0
一天,某銀行活動部門發現,今年投入的 2000 萬營銷費用中,1800 萬被羊毛黨薅走了。
銀行可能經歷了兩個套路。
套路一:沒什么風控措施,羊毛黨一擁而上,活動負責人看著火熱的活動數據沾沾自喜,沒想到辛辛苦苦拉的新在一個星期內就掉光了。
套路二:有風控措施,但是銀行內鬼將風控規則透露給了外部同伙,同伙根據信息調整了策略,繞過風控,事后兩方分錢。
還有騙貸的。
9 月 6 日,據新聞報道,XX銀行兩員工參與騙貸 4200 萬,原來,兩名XX銀行的員工在外注冊了兩家公司,編造虛假的貸款用途騙取銀行貸款,自己申請自己審批,來了個騙貸一條龍服務。
受害的不只是銀行,還有銀行的客戶,比如,每一個普普通通走進銀行存錢、貸款、辦理理財等其他金融服務的人。
這些人是怎么受害的呢?
最近有一個讓人啼笑皆非的“解凍民族資產”詐騙故事。這個故事的套路很古老,大致是“古代帝王在XXX有巨額資產,現在需要大家贊助一下,提取資產后將拿出很多扶貧資金給籌款的人”,這個受害者團隊的頭頭馬銀帶領團隊籌集了一筆高達 80 億元的扶貧款。
這個故事的魔幻之處在于上當受騙者的信息被層層倒賣,大家覺得“你好騙,就都來騙一下”。
“馬銀等人的電話信息會在詐騙者圈中倒賣,本來我在騙他,騙了幾次之后,覺得再要錢可能要不過來了,就賣給你,你再冒充其他身份來騙他。一個‘豬頭’,常常有好幾個人來割一刀。”其中一個詐騙者說。
回到前面說的銀行的故事,作為某個銀行客戶的你是不是經常接到詐騙、推銷等騷擾電話?一個接一個,你都不知道,到底有多少人拿到了你的信息。
在內外攻擊混合雙打下,個人信息不知不覺被多個黑灰產盤剝,甚至遭遇多重“宰殺”。
他們能玩的把戲不只這些,看看這份黑灰產動作清單,表格顏色越深,代表形勢越嚴峻:
不只是銀行,保險、理財、運營商、互聯網等多個領域,個人與政府機構、企業一起一同遭受網絡威脅。不過,今天我要講的故事主要還是給這些機構“治病”,而非個人。
幫我分析“病情”的老醫生來自芯盾時代,他叫杜旭,有 20 多年的安全從業經驗,現任芯盾時代合伙人、產品市場部副總裁。
【杜旭】
杜旭把這種“病”劃分到了“業務安全”。業務安全是指保護業務系統免受安全威脅的措施或手段,你可以理解為你去一家銀行辦理業務,一家保險公司幫你處理保險業務,公司職工辦公所要流轉的業務系統的安全。
前面的安全風險顯得很復雜,但是杜旭開出的“藥方”卻只有一個:搞清楚使用“業務”的人是誰,只讓他使用規定動作內的業務,就像你約了小紅去唱K,就要保證來的是小紅,由于預算有限,規定動作就是 唱K,不能吃飯。而要達到這一目的,使用的工具也超級簡單——手機,21世紀最讓人上頭的產品。
你只需要拿出一個手機,背后的瀚海星辰由技術人員負責。
剛開始,大家都學會了一種方法:輸入手機號碼,拿起手機看看收到的短信驗證碼,填進去,這樣就完成了身份認證。
有一天,狡猾的黑灰產學會了攔截短信驗證碼,這種驗證方式突然變得不那么可靠了。既然不那么安全,那就上人臉識別吧,至少“大部分人做不到模仿一個活人的臉”。但是,用戶要是每次使用銀行的服務,除了使用短信驗證碼,還要再來一次人臉識別,肯定不太愉快,銀行也在想:到底應該給誰彈出人臉識別的雙重認證?
為了準確判斷“誰應該再贏得一次信任”,需要再上幾個維度綜合判斷,除了用戶能感受到的密碼、生物等維度,技術人員(后來就是機器)在背后從應用、時間、歷史等7個維度進行判斷。
這是三年前老醫生想的第一種辦法,名為 MFA(多因素)認證,現在用得挺好的。但銀行又提出了新的需求,既然手機端可以這么應用,電腦端、小程序等用戶能接觸到的全渠道都要能用上這種身份認證,而且要保證就算黑灰產刷機也不能抹滅自己的痕跡。
黑灰產常試圖讓老醫生看不出這些數據來自同一個機器,但是老醫生自有應對之道:利用幾千個維度確認這些信息是否來自同一臺機器。“盡管可以刷新幾個指標,但通過硬件指標判斷,比如cpu性能、顯卡性能等,每一臺機器都有恒定且唯一的標記,不容更改。甚至,還能知道機器上裝了哪些應用軟件,軟件是什么版本等。”杜旭說,這就是端點核心安全(EDR)。
銀行不能光憑“你說好”就相信你,它給出了 100 萬條測試數據,要求大家用自己的方法來進行 POC 測試。
所謂 POC 測試,就是業界流行的針對客戶具體應用的驗證性測試,根據用戶對采用系統提出的性能要求和擴展需求的指標,在選用服務器上進行真實數據的運行,對承載用戶數據量和運行時間進行實際測算,并根據用戶未來業務擴展的需求加大數據量以驗證系統和平臺的承載能力和性能變化。
說得更簡單點,銀行用戶在測試數據里混入了一些“渾水摸魚”的高風險數據,對應現實操作,你能否全部找出來?
杜旭說,光給我這些數據,我也看不出來。
于是,他給了銀行進行身份認證的 SDK,讓銀行的機器再跑一段時間,再拿出100萬條數據進行測試。“基于 SDK 跑的情況,我可以告訴你這 100 萬條信息來自于一百部手機。”老醫生胸有成竹。
用身份認證技術知道用戶是誰還不夠,還需要知道他們干了什么,這是從“行為”角度進行的二次確認。
問題來了,既然你說只要是確認是“好人”,那么“好人”進來應該不會發生“壞事”吧?為什么還要考察“行為”?杜旭告訴雷鋒網,因為從單個客戶看,他可能是個干凈的用戶,但是如果關聯行為,會發現這個人有很高的風險。
比如,信用清白的 A、B、C、D、E、F 分別申請借貸 10 萬,最后錢都倒了 G 的賬戶,說不定是黑灰產買賣了個人信息,或者以各種手段誘騙用戶借貸分成,最后給平臺造成追也追不回的壞賬。
不過,杜旭的想法依然是,通過鎖定設備身份,監控設備是否有類似的不合理的群體行為,這個方案叫做“智能行為認證 IPA ”。
發現用戶是誰,能做什么,確認用戶到底做了什么,這兩個方案構成了老醫生杜旭開給“用戶是C”的B端客戶的藥方。
還有一類客戶沒有 C 端用戶,那么,他們的業務安全就容易做了嗎?并沒有,抓披著“良人”外套的內鬼或者“攻擊者”也很難。
芯盾時代曾經有個大型連鎖超市的客戶,它的員工遍布全國,有7萬人,二級單位有1000多個,這還沒有包括不同供應商,誰能保證所有人都和老板一條心?
不僅不是一條心,還可能用 AI 冒充老板指揮員工打錢。
這個價值 173 萬元的詐騙就是這樣發生的:一天,英國子公司的 CEO 接到了德國母公司“老板”電話,老板操著一副德國腔的英文跟 CEO 聊起了天,原來,德國“老板”在跟“匈牙利供應商”談生意,賬要從英國的子公司走,也就是英國子公司把錢打給“匈牙利供應商”,德國的母公司后續再給英國子公司補款,德國“老板”要在一個小時之內給“匈牙利供應商”的賬戶打 22 萬歐元,折合人民幣173萬元。
因為這個聲音跟老板一毛一樣,CEO 毫不猶豫地打錢了,直到騙子沒騙夠,準備再來一輪詐騙時,CEO 才發現不對勁。
一樣的路徑是,是否有人可以冒充老板或者員工的賬號等獲得相關權限?
杜旭把給“用戶是 C ”的 B 端客戶的“配藥原理”用到了這一類他們稱之為“E”端的客戶上,依舊簡單的是:他們要了解用戶是誰,有什么權限,干了些什么。
這一次,也是利用手機作為最簡單的介質,稍微“輕松”一點的是,他們在確認用戶身份時,只有一個核心路徑:確保只有 A 能做 A 做的事情,所有偏離固定路徑的行為和人都被認為“有問題”。
來到第一個問題,怎么確保是“A”?
在訪問操作源頭就進行身份核實,把以前公司派發的“U盾”轉變成手機認證,不過不同的是,還需要在手機里裝一個驗證 App,這個 App 在手機里有一塊單獨的區域,就像深處鬧市中的一個跟監獄一樣守衛森嚴的房子,如果要登陸業務系統,只有通過這個 App 發出“鑰匙”,才能進入。
但身份驗證只是撇開無權限用戶的手段,對于找出內鬼而言,還需要核心武器:監測、分析用戶的行為。
根據常態行為,發現異常情況,這是老醫生開出的“持續自適應認證”,每隔一個時間點,這個武器就會檢查用戶的狀態是否變化,是否有越權行為。比如,用戶 IP 沒有變化,但是登陸的驗證方式卻突然從電腦轉移到手機端,“持續自適應認證”就要結合其他維度,考慮是否彈出其他驗證方式,驗證用戶是否合法。
在這個過程中,如果用戶沒有任何異常的行為,這個武器像一個靜默的記錄者,不斷地建立對用戶的印象,慢慢地知道了你的常規狀態,就像跟你一起生活了三年的鄰居大媽,一直覺得你是個安靜的小哥哥,突然發現你家有人連續一個月在深夜蹦迪,相信我,她一定會來砸門的。
不過,這個方案的核心不在于“抓住內鬼,嚴刑拷打”,而在于保護正常的工作流程,簡單來說,你可以把它理解為保安,而非警察。
“因為這涉及到一個用戶打擾率的問題,我們也不可能嚴格到只要你偏離了一點,就馬上再次認證,還是需要經過其他維度的評分。”杜旭對雷鋒網說。
還有一個關鍵問題,假如老醫生真的要給有 7 萬名員工的企業上這個“持續自適應認證”,難道它要根據 7萬名員工的行為來生成 7 萬個模型?
當然不是。
“規則發現和規則權重調整都是靠機器學習模型通過歷史性算出來的,AI 會根據不同的人群生成類似的模型,并通過一定頻率更改不同的驗證規則。”杜旭對雷鋒網說。
也就是說,你可以把之前想象中的鄰居大媽理解成隔壁不同的物業,負責一個個轄區,而且這個物業還挺人性,會根據小區的發展開發不同的管理策略。
這兩類針對不同用戶的方案看上去還挺動態和復雜,但用戶能體驗到的就是一項手機操作而已,這也是一個“問診”二十年老醫生的滿滿誠意:復雜的招式簡單化,讓你一個手機走天下。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
