黑产触角,防不胜防
每年双11的前一个月,是小黑一年中最忙碌的日子,也是他赚钱最丰厚的时间段,被小黑称为“黄金十月”。小黑是一个卡商,他希望能在卡商这个行业里能”闯出”一番天地。卡商是手中握有大量电话卡的人,他们为了保证卡随时在线,将其养在“猫池”中。这些号码可以批量注册电商平台账号,可以接收验证码,甚至可以识别“语音验证码”。
在短短一个月时间内,小黑将会在自己10平米的小作坊中,持续申请数万个账号,一个电话号码可以反复利用,同时注册多个电商平台账号。注册账号的目的,就是为了去电商平台抢优惠券和特价货物。
“账号新鲜出炉后,我们就开始到各大黑产群中销售”,小黑说。卡商手头的货,是产业链的源头,非常抢手,在黑产群里通常是“一呼百应”。很多黑产会主动来寻求“卡商爸爸”合作。一个月的时间,小黑靠卖账号,净赚十几万。
其实,小黑只算成千上万卡商中的中等玩家,“有大量的卡商,手握数万,甚至数十万的卡,他们几乎垄断源头,一个双11,就能挣数百万”,小黑说。
卡商给电商平台发起的双11购物节带来的黑产狂欢节,提供了最初的“弹药”,而另一边,还有人专门提供“武器”。有了账号和密码,如果手动登录去抢优惠券或抢低价促销产品,可能抢到吗?“根本不可能,你看哪个平台优惠活动,不是秒没?”黑客小C称,要想抢到,就需要专门的软件。一些技术不错的黑客,研发“抢货软件”,往外销售。
现在专门研发出抢不同电商平台的商品和折扣劵的工具,比如针对GG商城的,比较有名的,就是“火牛”和“秒快”。“这些软件的操作方式,都大同小异”,小C称,无非都是批量导入卡商的账号和密码,检测优惠活动页面——一旦开始,疯狂下单。
当然,电商平台也注意到这个群体的存在,一旦发现异样操作,他们就会对这些账号和IP进行封锁,这些账号也就上了黑名单。而另一边,黑产的攻击方也在不断迭代技术。小C注意到,今年的黑产注册软件,比之前的强大了很多倍。“软件增加了很多必杀技,比如对接了打码平台,自动识别图形验证码,抢一次,就更新一个号码、一个地址、一个IP等等”,小C称,这些功能,都是为了突破各家的风控规则。
未雨绸缪,主动出击
作为中国最有名的电商网站之一,GG于2000年初成立并正式涉足电商领域,并在成立4年后在美国纳斯达克证券交易所正式挂牌上市,是中国成功赴美上市的大型综合型电商平台之一。2018年7月,GG第三次入榜《财富》全球500强。从GG成立的那一天开始,GG飞速发展的历史,也是通过高科技风控手段不断与黑产斗争抗衡的历史。
根据相关资料显示,2018年单一个单月,黑灰产虚假注册主流电商平台账号达到 1545980个,其中虚假GG账号约占40%;黑灰产针对主流电商平台接口的攻击量达到134743987次,其中爬虫攻击占42.62%,攻击登陆接口(批量登录和撞库)占13.30%;针对主流电商平台黑灰产工具样本新增768种,其中辅助类工具占54%,信息采集工具占22%,抢购工具占16.7%,账号注册类工具占7.3%。
无论是对于一家互联网企业还是网络安全厂商而言,在与网络黑产的对抗中最大的挑战莫过于“威胁是在不断变化的”。那么在面对这样一个不断变化的对手时,最好的对抗手段显然不是毫不作为地等待对手的下次攻击。但对于大多数电商平台来说,只是在被动遭受一次又一次的攻击之后,填补修复漏洞、更新病毒库,以此来完善自身的防御体系,继而应对下一次攻击。这种“亡羊补牢”式的对抗方式已经远远无法适应当前日益严峻的威胁形势。
安全威胁变大,对抗威胁的能力也要有所提升。一是对抗双方都应有攻有守,而不是一方攻击一方被动防御;二是对抗双方在实力上不能过于悬殊,起码势均力敌,这就要求GG必须跟上黑客手段的升级速度。
GG也在多年的大数据积累和分析技术基础上建立了一套自己的风控安全体系。这套安全体系的明显特征就是能够在源头上主动排查规避潜在的安全风险,同时与合作伙伴共同打击黑产。全球顶尖反欺诈AI公司DataVisor维择科技成为了GG防范黑产、打击黑产最得力的帮手。在DataVisor维择科技独创的基于无监督技术引擎的反欺诈AI平台助力下,GG的风控体系成功将AI技术应用于真实用户甄别中,助力于提升平台的风控体系。
在以往的反欺诈风控手段中,针对用户注册这个阶段,GG的安全团队已经处于业内领先水平。单从风控的角度来看,GG安全部门通过如下手段加强认证机制:第一,购买三方数据,进行联防联控;第二,完善四要素认证;第三,完善活体检测,比如增加人脸识别。但注册流程越复杂,用户注册和尝试新品的意愿就越低,这必然是一个矛盾点。为了吸引客户,选择简化申请流程。但简化的流程在吸引正常用户的同时,也会吸引黑产。
无监督机器学习,横空出世
为了对抗黑产,整个行业在过往大多数采取了常规性的风控手法,从最早的黑名单和规则库。复杂的策略和规则起到了一定的作用,但仍然难以解决黑产领域不断推陈出新的新的注册手法和手段。在注册过程中乔装打扮成正常注册用户的黑产账户越来越多,对于大量群组欺诈无法做到准确检测,对于潜伏“坏”用户无法提前预警。虽然也采用社交网络分析和有监督学习来挖掘风险,但有监督学习由于只能识别已知欺诈,滞后性比较强。而坏人的手法又变化多端,层出不穷,所以只能检测到有限的欺诈用户。
魔高一尺,道高一丈。这个时候,无监督机器学习反欺诈AI技术作为传统风控手段的创新性的突破,就起到了巨大的作用。在AI领域,无监督机器学习的独特优势在于,不用通过历史标签,也不需要使用专家规则,由于其是基于用户基本信息和行为信息聚类分析判断,可以有效识别未知欺诈和新型欺诈。
无论是日常购物还是6.18以及双11这种大促的关键时刻,DataVisor维择科技独有的无监督机器学习引擎赋能下的反欺诈AI平台均可以发现大批账户注册时所出现的各类“不同寻常的行为”,而这些行为往往都来自各种恶意账户,正是“坏”注册用户不法占用用户优惠券和秒杀促销的黑手! 注册是所有欺诈场景的入口,在此阶段查封批量注册、恶意注册,在源头阻挡后续攻击,在最早期辨识出“坏”用户,做到未雨绸缪,防患于未然。
2018年,GG开始将其注册用户数据在脱敏后,导入到DataVisor维择科技的反欺诈平台。原始数据只有十几个维度特征,经过反欺诈平台的自动衍生之后,可以获得上百个新的特征。之后这些全方位描述账号的特征进入到DataVisor无监督检测引擎,引擎通过对特征自动分析,在高维空间对所有新注册账号进行聚类,并自动检测高度关联的可疑聚类,最终输出可疑欺诈群组。与传统欺诈检测方法往往只有一个分数不同,DataVisor无监督检测引擎最终输出的是欺诈团伙,除了有分数之外,还会输出所有相关联的账号以及他们之间的可疑关联特征,也就是被检测为欺诈团伙的理由。这种可解释性,为客户审核提供了有力的依据。
DataVisor维择科技独创所赋能的无监督机器学习AI技术,通过用户注册行为的不同特征进行分析和判断,可以针对GG电商各种渠道新用户注册,都能通过用户注册行为的不同特征进行分析和判断,无死角防范,提前风控,迅速发现并打击黑产分子,把每一项危险扼杀在萌芽中! 要知道,无监督机器学习之所以厉害,就是因为它不是孤立的检测某一单个欺诈事件或帐户,而是可以全局检测蓄意发起恶意攻击的潜在欺诈团伙它检测的不是哪种具体的欺诈行为,而是检测所有可能会出现问题的有团伙聚集行为准备做某些事情的所有群体。
DataVisor维择科技的AI工程师发现,虽然账户注册每天都有千千万万,但有一个普遍的现象就是,坏注册用户都是“扎堆”做坏事,不管如何伪装自己,但每个群组之间都会有若干关联,被“无监督机器学习技术”这双火眼金睛一下子就分辨出来。
图片:技术原理
比如,有一类是“非机器行为的大规模注册群组。工程师们发现,在一个固定的时间段里,比如注册时间为10月7日、10月8日18:00与19:00两个时间段;在同一个地点,IP地址都在广东如河源、揭阳,这两个地方在专家规则里被标注为黑产高发地,手机号码前缀都一样,且为虚拟运营商(170),且设备信息有大部分都有重复使用的情况,那么这一批注册账户就被DataVisor维择科技反欺诈平台判定为“不怀好意”的坏用户, 然而这批用户在GG风控第一道防线检测时成功绕过了“语音验证”。
再比如,还有一类是“用户名相似群组“。DataVisor在检测出的数据中,发现这样一个群组,人数总计293人。其中有以下活动特征:所有人的注册时间都集中在12月4日0:00-1:00这一个小时,注册来源都是快速注册,注册类型一致,都是手机注册,其用户名格式相似且异常,都是3-5位随机字母+4位数字,还有一点,其IP地址均一致,定位于江苏南京。对于这种用户,因为有类似格式用户名,由于他们的用户名采取了变换,GG的风控体系,有监督机器学习下,大多数是没有办法检测到。但经过DataVisor无监督机器学习检测之后,最终被判定为坏用户。
DataVisor维择科技的无监督机器学习技术,相对于有监督机器学习技术,最厉害的一招必杀技就是可以有效识别“潜伏用户“。在2018年6月和7月的检测过程当中,DataVisor维择科技的反欺诈平台发现一批用户数据是有问题的,所以标注为”坏“用户,但根据GG自有的风控规则检测,发现这批用户没什么问题。1个月后GG抽查,也确实没有发现问题。但在3个月后再次复查,经核查用户下订单及其他行为,99%以上被确认为坏用户,这类用户的在长时间潜伏后,终于开始发起攻击,谋取非法利益。所以,对于那些能识别复杂的注册过程,能攻破人工语音验证的“坏”注册用户,无监督机器学习引擎下的反欺诈AI平台都可以有效自动识别新型欺诈。
经过几个月的亲密深入合作,在GG注册的所有用户,在被DataVisor维择科技反欺诈平台检测出的“坏”用户数据中,正确率高达99%以上,其相对于GG自有的风控平台发现的“坏“用户数据,覆盖增益率高达15%以上。除此之外,DataVisor维择科技还跟GG原有的风控体系互帮互助,自动发现了许多GG内部模型未能及时覆盖的新风险模式,DataVisor维择科技也成为GG风控系统中最重要的合作伙伴。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。