欺詐情報體系

2021-10-25 10:36:21 字數 2188 閱讀 4093

我們對欺詐情報的定義為:黑產團夥在使用哪些資源和技術手段危害網際網路業務的正常運營,包括但不限於「刷單」,「薅羊毛」等黑產攻擊事件細節、黑產新型的作弊工具及黑產使用的各種資源資訊。

情報,是乙個歷史悠久的軍事名詞,可以說貫穿了人類的戰爭史。在網路安全領域,很早就興起了威脅情報這個細分領域,也出現了一些做的很好的公司。根據gartner的定義,威脅情報是一種基於證據的知識,包括上下文、機制、標識、含義和能夠執行的建議,這些知識和資產所面臨已有的或醞釀中的威脅或危害相關,可用於資產相關主體對威脅或危害的響應或處理決策提供資訊支援。

在風控反欺詐領域中,欺詐情報沒有傳統安全領域的威脅情報那麼引人注目,但也是各家風控廠商的必備能力。黑產掌握的資料和資源非常豐富,對移動安全和機器學習的新技術也能夠非常快速地應用於實戰。防禦方的效率取決於態勢感知的速度和獲取情報的詳細程度。欺詐情報的價值就在於此,幫助防禦方更快地掌握相對豐富的黑產動態和資訊,更快速,更準確的決策。

對於黑產情報的採集,一般通過臥底黑產網路、監控黑產論壇等方式進行。普通的資訊採集工作會通過各種im聊天機械人等自動化的工具實現,而深入追蹤黑產網路則需要通過人工運營實現。

根據情報採集的內容和方式的不同,我們把欺詐情報分為三大類:資料情報、技術情報和事件情報,下面分別進行介紹。

資料情報指的是能夠沉澱手機號、ip、裝置及郵箱賬號等黑產名單資料的情報資訊。這類情報對網際網路平台是具有價值的情報,可以進行直接使用,快速打擊黑產,為平台止損。

我們曾經追蹤乙個非常典型的黑產刷單團夥,該團夥深入潛伏在乙個電商客戶的平台中。每當平台推出**活動時,如拉新送50元的優惠券活動,總會被該黑產團夥串通平台的不良商家進行刷單攻擊,給平台造成了大量的營銷費用損失。

技術情報指的是針對某一種欺詐技術的詳細資訊,包括原理、用途、危害等。網際網路企業和黑產的對抗,在某種程度上就是乙個推動技術發展的過程,黑產的攻擊往往促使網際網路平台研發和運用新的技術,不斷更新自身的技術體系。

黑產團夥為了降低作案成本和突破現有的防控體系,會不斷將新的技術投入欺詐實戰中。例如我們前文介紹的「快啊答題」的案例,黑產團夥在2023年就開始利用人工智慧進行驗證碼破解。

對於黑產團夥採用的新型欺詐模式、技術手段甚至是繞過防控體系的技術細節,我們會重點關注和布控情報體系。如果在黑產團夥剛開始驗證或小範圍使用某種欺詐技術時就被情報體系捕獲,那麼我們就可以在黑產團夥利用這個技術開始進行大規模欺詐之前部署好相關策略,防控效果會非常好。

在技術情報中,工具情報是一種比較有價值的情報。所謂工具情報是指各種和作弊工具,欺詐工具相關的資訊。欺詐行為是否工具化是判斷風險級別的乙個重要因素。如果某一種欺詐技術,沒有被人開發為自動化工具或指令碼,黑產成員運用還停留在手工操作層面,這種風險就相對可控。因為手工操作中的很多技術細節會成為門檻,小白級別的黑產團夥就無法參與。在這種情況下,欺詐規模一般不會特別大。如果某一種欺詐行為,已經開發成自動化工具、降低了門檻,使得大量小白級別的黑產團夥也可以參與其中。這時,欺詐團夥就會變得非常大。具體的欺詐規模與自動化工具成品的傳播量成正比。傳播量越大,表示持有這款工具的黑產團夥人數就越多,實際的欺詐規模也就越大。

由於越來越多的技術人員成為黑色產業的參與者,黑產作弊的定製成本也在下降。在很多黑產集中的論壇中都可以看到作弊工具的成品或半成品的**,也有很多針對特定平台、特定場景的定製懸賞。這些參與黑產的技術人員一般不會參與一線欺詐攻擊活動,而是參與提供軟體牟利,網際網路上流傳的各類黑產作弊軟體都是他們的作品。

在收集技術情報時,對情報人員的技術能力也有一定的要求。通過臥底黑產網路等方式獲取的資訊可能往往並不完備,很多時候只是一些簡單的線索。情報人員需要具有一定的技術和業務敏感度,能夠判斷各種不同線索的價值高低,對**值線索通過各種方式進一步獲取更多的資訊。如果不具備相應的技術背景和專業的知識經驗,那麼即使看到了黑產發布的資訊,也不能完全理解這些資訊的真正意義,或者把真正重要的資訊忽略掉。對技術情報的追中和分析,我們都會記錄沉澱下來並積累成為知識庫,這對於提公升情報人員的能力會有很大的作用。

情報體系捕獲的某欺詐事件即將發生、正在發生或已經發生過的資訊均可成為事件情報。事件情報可用於預警即將發生的風險事件、阻斷正在發生的風險事件和事後溯源已經發生過的風險。

黑產團夥在發動一次規模較大的欺詐攻擊之前,往往會做一些資源準備工作,如準備大量的手機號、**ip等。這些準備工作雖然都是在黑產網路中隱蔽進行的,但是都會有些痕跡。捕捉這些痕跡就會知道黑產接下來要做的事情。

黑產團夥在實施欺詐的過程中,網際網路平台可能已經從資料上感知了異常,但是並不了解黑產團夥是如何操作的。平台根據業務資料進行分析,但是這需要一定的事件,而且可能效果並不好。通過黑產情報捕獲相關資訊後,可以快速部署有針對性的策略止損。

網際網路反欺詐體系中的常用技術和資料型別

網際網路反欺詐常用的技術主要包括資料採集 特徵工程 決策引擎 資料分析等幾個類別 資料採集 主要應用於從客戶端或網路獲取客戶相關資料的技術方法。值得強調的是,資料採集技術的使用,應當嚴格遵循法律法規和監管要求,在獲取使用者授權的情況下對使用者資料進行採集。通常,使用以下兩種方法進行資料採集。裝置指紋...