又到了一年一度的双十一购物季,各大平台营销活动纷纷上线,红包、优惠券、秒杀……这些优惠你抢到了吗?
为了拉新促活,一家知名保险公司近期投入上百万的营销费用,在自家APP、微信小程序上线了一个“抽奖得红包”的用户活动。然而,这些红包真正被用户抢到了吗?恐怕很难。经过瑞数信息的后台诊断分析,大部分红包并没有按计划被发放至终端用户手上,而是被大量“羊毛党”薅走了。
通过日志分析,瑞数信息发现了大量的高级自动化行为和批量接口调用等可疑情况:仅8天时间, 简单脚本攻击就超过140万次,高级自动化工具使用了2万+次,重访攻击逼近1.5万次,令牌篡改请求也突破了6000次。
换句话说,黑产团伙早就盯上了这个活动,通过系统化的技术手段和数以万计的账号,利用自动化的脚本程序,来批量参与保险线上平台的营销活动,以此获取高额利润。除此之外,由于黑产的大量“进攻”,营销活动页面经常卡顿,后端服务器难以支撑,严重影响了真实用户参与活动的体验。
那么问题来了,
为什么部署了大量安全设备的保险公司没有发现黑产团伙的行为?
瑞数信息又是如何发现并打击黑产的呢?
为什么用户无法发现黑产“薅羊毛”?
事实上,保险公司的遭遇并不是个例。由于黑产分工明确、合作流程成熟,并且逐渐向隐蔽、专业、精准方向发展,已经越来越难以被消灭。据《数字金融反欺诈白皮书》显示,目前羊毛党已形成15余工种、160余万从业人员、产业规模不低于1000亿元人民币的产业链。
从黑产自身来看,“薅羊毛”的技术正在不断精进。相比于过去人肉作假,现在黑产更多采用Bots自动化工具,批量参与营销活动,进一步提升了“薅羊毛”效率。同时,黑产攻击手法更加拟人化,大面积地使用虚拟机、改码设备、批量养号等各种高科技造假手段,足以模拟正常用户的行为、设备、身份等系列特征,作案手法更加隐蔽。
从外部环境看,随着数字化业务快速增长,APP、微信、小程序、H5等多种业务接入渠道产生,API接口大量被调用,带来了巨大的敞口风险。
一方面,小程序这类新兴线上渠道被攻击者逆向难度很低,只要调取代码就可以直接获取微信用户身份认证信息,完成登录、下单、查询等用户行为。另一方面,API接口承载着大量客户信息、业务和交易数据、认证信息等关键数据,经常面临接口越权、未授权访问等安全威胁。黑产不仅可以利用应用漏洞进行攻击,还通过各类拟人化Bots模拟业务操作,实现业务攻击,对数字化业务的影响也在快速攀升。
内外交困之下,传统的业务安全/风控产品也疲态尽显。
传统业务安全/风控产品的关注点在于账号、IP、设备信誉以及固定规则,需要频繁地更新数据库和规则来应对黑产攻击。但如今的黑产已经可以通过丰富IP、使用肉鸡、设备root、手机群控等手段,让传统的业务安全/风控系统疲于应对,甚至无法察觉黑产的存在。
瑞数信息解决的保险公司“薅羊毛”这一案例中,保险公司之所以拦不住黑产,很大原因也在于该公司部署的WAF产品,只能基于固定规则和签名对异常行为进行判定,因此感知不到模拟真人的黑产攻击行为。
三步发现黑产“薅羊毛”
针对传统安全/风控产品的弊端,瑞数信息利用独创的“动态安全+AI”技术,三步精准定位黑产“薅羊毛”行为,有效打击各类网络欺诈,包括伪装成正常交易的业务作弊、利用合法账号窃取敏感数据、假冒终端应用等。
- 批量调取接口行为分析(重放、脚本自动化)
以上述保险公司案例为例,通过单独分析抽奖路径,瑞数信息发现:20%的请求操作行为字段为空值,可以判断这一部分是使用的简单脚本进行攻击;30%的输入操作记录为0,说明可能是通过高级自动化攻击发起的请求,或者是使用重放工具发起的请求。
正常的抽奖逻辑需要先访问抽奖页面,然后通过该页面发起抽奖的接口请求。但瑞数信息从接口调用的referer发现:其中20%的请求没有前置页面请求,referer值为空,说明这些请求是直接自动化调用的抽奖接口,没有按照正常的抽奖逻辑进行抽奖。
- 高级Bots工具
通过日志分析,瑞数信息发现了不少高级自动化工具。这类工具的访问日志中操作行为字段为空,没有人为的输入、滑动等行为,所有请求都是脚本驱动浏览器完成。
- 黑产批量调取接口行为分析(代理池)
通过瑞数信息的cookie id(每个用户不会重复,具备唯一性),以及提取到的页面输入行为进行聚类分析,发现黑产团伙进行接口批量调用,直接参与抽奖行为。
以上种种分析,都指向了黑产团伙的行为路径:使用简单脚本,定时抓取活动页面,获取活动信息;使用高级自动化工具和重放攻击,模拟真人访问,自动化参与抽奖。
四招分层解决“薅羊毛”
在清晰洞察了黑产行为之后,瑞数信息采用四招分层解决黑产“薅羊毛”问题。
招式一:针对简单脚本攻击和高级Bots工具
瑞数信息的“动态令牌”“动态验证”技术,能够确保运行环境,进行人机识别,对抗浏览器模拟化以及自动化攻击;同时,防止重放攻击和越权,确保业务逻辑正常进行。
招式二:针对黑产团伙
通过业务威胁感知、群控模型、聚类分析指纹和IP对应关系、分析页面输入行为、定制可编程对抗策略等方式,瑞数信息能够实时识别和拦截模拟合法操作的异常行为,并梳理出黑产名单。
同时通过瑞数信息的“动态安全+AI”技术,大幅削减了自动化工具的攻击效率,拦截了大量的“薅羊毛”行为,也为客户服务器减轻了很大的压力。
不仅如此,考虑到黑产一般在活动发起前就开始进行诸多准备,如扫描系统漏洞、爬取用户信息、分析活动页面信息等,瑞数信息在活动发起前就对业务做好防护,让业务“风险前置”。
招式三:漏洞防扫描
通过动态安全技术,使得漏洞扫描或漏洞利用工具无法发起有效自动化扫描探测,无法发现可利用的漏洞及网页目录结构。同时,在网站/APP等应用未打补丁或补丁空窗期,提供有效安全防护。
招式四:用户信息防泄露
针对用户信息恶意爬取,瑞数信息利用“动态混淆”技术,将黑产每一次获取的信息都动态加密,让黑产无法获取真实信息;利用“动态封装”技术,将业务关键逻辑动态变化,防止攻击者分析网站代码。
总体而言,瑞数信息之所以能很好地解决黑产“薅羊毛”问题,一方面在于“动态安全+AI技术”具有自动化攻击防御、人机识别等独特优势;另一方面也在于能同时覆盖Web、H5、APP、小程序、API等多种业务渠道,数据采集点更加丰富,通过全量数据融合AI算法,使得防御能力更加精准,实现业务风控前置。
在黑产作案方式逐渐专业化、隐蔽化、团伙化的今天,线上营销需要新的安全技术方案才能更好地“应战”。瑞数信息作为Gartner、IDC等国际知名咨询机构推荐的在线反欺诈领域代表厂商,将持续发挥自身技术优势,为业务安全保驾护航。