銀行業面臨的“黑灰產”威脅及對抗策略淺析
伴隨互聯網+金融的興起,銀行逐漸將業務遷移到互聯網上,然而在提供網上業務便利的同時,銀行也面臨著許多嚴峻的新興交易欺詐與安全威脅的挑戰。諸如惡意注冊、撞庫、暴力破解、盜用賬戶、用戶信息泄露、欺詐交易、交易篡改等交易欺詐行為,令銀行承受著巨大的業務及商譽風險。
銀行面臨的威脅分析
金融行業的數據類型具備天然的敏感性、高價值等特點,因此備受攻擊者青睞。而數字金融服務的普及為攻擊者制造了更大的攻擊面。目前,銀行面臨的“黑灰產”威脅,主要是以虛假交易套現、積分變現套利、用戶信息倒賣、金融欺詐等形式來謀取暴利。
1.主要威脅
(1)羊毛黨。主要體現在對信用卡和積分“薅羊毛”。對銀行來說,持卡人參與銀行開展的優惠促銷活動,正常地獲取積分,再將積分兌換成各種權益,這無可非議。但“職業羊毛黨”往往通過虛假交易行為違規獲取積分,并且涉及數額巨大。特別是一些“羊頭”被“羊毛圈”冠以“大老板(DLB)”的名號,以顯示其“薅羊毛”程度之兇狠、“成果”之豐盛。另外值得注意的是,隨著各類信用卡套現、刷單軟件的出現,當下“職業羊毛黨”不僅僅是幾個人或是幾個小組織,而是往專業化、規模化的方向不斷發展,逐漸形成黑灰色產業鏈。
圖1 “職業羊毛黨”利用POS機信用卡套利/套現流程圖
(2)信息倒賣。用以信息倒賣的“信息”以銀行客戶數據為主,黑客通過非法途徑或非法手段竊取銀行的用戶數據,并通過暗網進行售賣,以此謀取巨大利潤。被竊取并售賣的隱私數據通常包括:姓名、性別、銀行卡號碼、身份證號碼、手機號碼、所在城市、通訊地址、郵編、工作單位、工作電話、住宅電話、銀行卡種類、發卡銀行等。
2.黑灰產運作方式
目前,針對銀行業務的黑灰產攻擊已形成較為完整的攻擊產業鏈。從規劃、布局、攻擊、收割、詐騙到分贓的整個過程,由許多“黑灰產”團隊分工合作,各自負責技術實現、社工欺詐、情報收集等步驟。同時,攻擊產業鏈中的各個團隊大多通過網絡進行溝通,并通過不記名模式實現交易、買賣,為安全防護與攻擊追蹤設置了巨大難度。
另外,伴隨著網絡“黑灰產”的發展和成熟,如今的工具軟件已經深度整合到了整個產業鏈當中,成為其中不可取代的一部分。以賬號注冊場景為例,黑灰產業除了掌握接碼平臺、打碼平臺和動態IP等資源外,還通過整合改機工具、模擬點擊工具、批量掃號工具、代理軟件工具等各類工具軟件,實現了高度自動化和高度協同的作業流程。
“黑灰產”帶來的負面影響和風險
一旦針對大型金融機構核心系統或廣為使用的數字金融服務的攻擊獲得成功,將帶來大范圍的社會擔憂、數據泄露丑聞、用戶資產損失,從而對金融機構造成多重打擊。
1.直接或間接的經濟損失。國內很多銀行和其他金融機構常年被“羊毛黨”用專用工具時刻掃描,只要有新營銷活動上線或者系統出現漏洞,一兩分鐘內大量資金就會被套現竊走,從而造成巨額的經濟損失。
2.銀行社會商譽降低。敏感信息泄露不會對企業立即造成財務損失,但會逐步引發法律訴訟、負面輿情等,使得企業信用程度降低、商譽下降、客戶損失,進而出現高額財務損失并影響企業聲譽。
3.正常的金融秩序被擾亂。隨著各類信用卡套現、刷單軟件的出現,專業化、規模化的黑灰色產業鏈,使得銀行為廣大持卡人提供的回饋以及營銷投入被截流,廣大持卡人利益受損,正常的金融秩序被擾亂。
“黑灰產”成因分析
1.巨大的經濟利益驅動。網絡“黑灰產,因巨大的經濟利益而存在,產業鏈上中下游的任何一個環節中都存在利潤空間。以“薅羊毛”為例,羊毛黨為獲取大量賬戶儲備,需購買大量相關聯的個人信息,即使一條個人信息僅售賣2角錢,我國8億多網民基數也將為其帶來無限的利潤空間。目前,全國估計有數百萬網絡“黑灰產”從業者,年產值超過千億人民幣。
2.違法犯罪成本低。一方面,網絡黑產門檻低、投入少。如今網絡違法犯罪不再像以前那么神秘,不懂技術、沒有經驗、沒有資源都沒有關系,網絡購物為網絡違法犯罪提供了非常便利且低廉的條件,一個簡單的手機木馬程序甚至百十元即可買到。另一方面,很多黑灰產,尤其是灰產,涉及金額不大,往往構不成法律上的違法犯罪,所以即使被發現抓獲,也不會受到嚴重懲罰。
3.網民安全意識的匱乏。我國網絡普法相對滯后,很多網民自身缺乏網絡安全意識,這正是網絡“黑灰產”迅猛發展而難以控制、容易得手且利潤巨大的原因之一。還有些網民有一定的網絡安全意識,但是缺乏相關知識,不知該如何應對網絡“黑灰產”,或使用什么安全防護軟件。
4.監管難度大。目前國家已開始重視對網絡黑灰產的打擊,但是防范和打擊難度比較大。一是“黑灰產”為了逃避打擊,獲取更大利益,在不斷研發新技術和新犯罪工具。二是網絡是個虛擬的空間,監管部門即使發現網絡違法犯罪行為,在調查偵查過程中也是困難重重,電子證據特殊,難以發現和固定。
“黑灰產”治理及防護策略實踐
隨著技術的發展,越來越多的新型攻擊手段被發現,“黑灰產”攻防技術的對抗周期不斷縮短,精細化、定制化的攻擊手法和思路使得傳統防護的效果愈發有限,因此需要采用更創新融合的動態防護策略,具體包括以下幾個方面:
1.采用多因素身份認證。采用除了用戶名、密碼之外的多因素認證模式,如短信驗證碼、人臉識別、聲紋識別、指紋識別等認證技術組合使用。
2.自動化攻擊識別。90%的攻擊流量通過自動化工具發起,因此利用人機識別技術,實現對各種自動化工具的有效識別,防止自動化攻擊的執行,從而降低黑灰產攻擊效率,阻擋使用自動化工具發起的撞庫、薅羊毛、批量網申和爬蟲等攻擊。
3.設備指紋技術。每個客戶端生成不依賴于設備特征的“設備指紋”,防止攻擊者通過偽造客戶端環境、偽造令牌的方式繞過追蹤;再通過“唯一令牌標識”和全訪問記錄,實現銀行各業務渠道的關聯,形成用戶訪問行為視圖,實現精準的攻擊定位與溯源。
4.全業務渠道覆蓋。通過對銀行所有的業務接入渠道,包括Web、App、API、H5、微信和微信小程序的統一防護,實現對各類接入客戶端數據的融合,并通過來源IP、賬號信息對各平臺訪問數據進行關聯與信譽評分,實現多平臺業務信息聯動與威脅感知,達到精準識別與攔截惡意自動化非法請求的目的。同時通過完整的數據記錄,可以透視用戶的訪問軌跡,追蹤用戶的訪問行為。
5.業務威脅分析。通過數據聚類、威脅建模,機器學習等技術,綜合應用保護系統的日志數據、客戶端收集的相關數據,實現業務威脅深度分析,透視業務威脅、業務熱點趨勢,建立用戶畫像,輔助業務決策。
目前,國家對數據安全越來越重視,相繼出臺《網絡安全法》《網絡安全等級保護2.0》《數據安全法》等一系列法律法規用于規范和落實數據安全建設。對于銀行業而言,數據安全、主動對抗外部威脅、防范業務風險將成為銀行信息科技的重點工作和常態化工作,主動構建數據安全體系,穩步推進數據安全治理,是銀行業發展的必由之路。
