2019工信部金融与电商反欺诈白皮书-现状与趋势

  |  

摘要: 一份 2019 年工信部出的金融与电商反欺诈白皮书

【对数据分析、人工智能、金融科技、风控服务感兴趣的同学,欢迎关注我哈,阅读更多原创文章】
我的网站:潮汐朝夕的生活实验室
我的公众号:潮汐朝夕
我的知乎:潮汐朝夕
我的github:FennelDumplings
我的leetcode:FennelDumplings


报告原文


1. 现状(2019年)

电商与零售类金融业务欺诈概述

(1) 营销活动欺诈

  • 定义: 在企业进行新用户获客及老用户唤醒时所采取的如红包、优惠券等运营成本,被黑灰产利用技术手段不正当获利,导致营销活动失败的场景。

  • 关键角色: 羊毛党、黄牛党。

  • 损失: 没有获取真实用户、公平性体验差导致用户流失。

(2) 渠道流量欺诈

  • 定义: 利用技术手段仿冒移动应用新增用户,独自或与第三方推广平台合作,共同骗取移动互联网应用(App)市场运营成本的场景。

  • 伪装手段:

  1. 通过代理 IP、位置模拟、设备型号伪装等,让群控设备看起来像是自然分布;
  2. 在安装激活后,继续模拟后续的 App 内用户行为,使得留存率看起来正常;
  • 损失: 运营推广费用流失

(3) 虚假用户裂变欺诈

  • 定义: App 采用“用户裂变”的方式来进行推广获客时,黑产通过控制大量假账号,骗取平台拉新补贴的场景。

  • 损失: 运营推广费用流失。

(4) 盗取信息欺诈

  • 定义: 欺诈团伙通过高额利息、高价值奖品、高额度折扣等虚假宣传欺骗网络用户,并要求用户填写个人信息,从而实现非法盗取用户信息的目的。

  • 非法获取的公民信息常常通过非法转卖的方式流入地下黑产。

(5) 恶意交易欺诈

  • 定义:黑灰产利用移动互联网交易的便利性,在交易中的货到付款、退、换货政策等环节中,利用漏洞进行牟利。

  • 这类欺诈通常隐蔽性更高,其中很大部分并不直接以牟利为主要目标,而来源于针对于对商业同行的恶意攻击。

(6) 金融支付欺诈

  • 定义: 利用不正当的技术手段在支付的各个环节谋取不正当利益的行为。
  1. 利用的支付系统的漏洞在用户不知情的情况下非法盗取用户资金;
  2. 通过伪造网站、公司、项目等手段骗取用户资金;
  3. 通过一些第三方支付平台发行的商户的 POS 机虚构交易套现;
  4. 将非法所得的资金转移到第三方支付平台账户,在线购买游戏点卡、比特币、手机充值卡等物品,再对外销售进行洗钱等活动。

(7) 网络刷单欺诈

  • 定义: 灰产模拟活跃用户对商品评论或购买数量进行恶意操纵,从而导致消费者受到欺骗或商家受到损失。

  • 损失: 平台直接的经济损失、公平性体验差导致用户流失。

(8) 电信欺诈

  • 定义:通过电话、短信以及互联网联系作为主要手段的诈骗案件,意在获取被害人的财产、银行账户等隐私信息。

  • 常见手法:

  1. 冒充熟人
  2. 中奖、退税、积分兑换
  3. 冒充公检法

(9) 网贷欺诈

  • 定义: 申请人利用线上申请环节的漏洞伪造数据故意违约或线上黑色产业链利用技术手段劫持互联网贷款平台信息恶意进行团伙欺诈行为。

  • 手法: 申领大量手机号码,同时利用这些非常用号码进行大量刷量消费从而提高信用评级;通过技术手段修改伪造身份信息、手机设备信息、位置信息达到骗取贷款并躲避贷后催收的目的;利用公共信用信息更新缓慢的时间差同时申请多家平台贷款,恶意透支信用度。

(10) 优质内容爬取欺诈

  • 定义: 通过网络爬虫,按照某种规则在网络上爬取所需内容的脚本程序。

  • 损失:

  1. 资讯类App: 投入成本写出的高质量内容很快被爬虫窃取
  2. 出行类App: 动态定价策略受影响,做出不符合事实的定价
  3. 浏览量等数据失实,增加数据分析的难度
  4. 爬虫衍生出的虚拟 IP 需要在数据清洗阶段剔除

技术越高的爬虫,在行为模式上越接近真人,久而久之从人类行为中寻找规律的算法,反而找到的是机器人的行为规律。

移动反欺诈三个要点

(1) 移动用户的身份判断

手机号,IP 等基础资源,判断虚假。

(2) 移动欺诈状况评估

移动欺诈场景下的状况评估,是通过对黑灰产攻防成本的监测和企业业务逻辑漏洞及流程缺陷进行监测,了解企业的移动欺诈的状况。

判断维度:

  • 虚假账号量
  • 注册风险
  • 登录风险
  • 流量欺诈风险
  • 内容风险
  • 活动风险
  • 数据风险
  • 设备风险

(3) 移动欺诈行为判断

黑产为了投入产出比的最大化,往往会利用自动化工具和脚本去运行这些固定的操作行为。

平台需要多维度的特征分析。

设备维度的工具, 例如可信ID

欺诈行为的模型和结果

广义上来看,欺诈也是一种经济行为,并且通常可以带来超额利润,从而引起更多参与者的加入。从这个角度来看,是一种欺诈也可以看作是一种“反应—扩散”模型

反欺诈扩散模型示例

在欺诈者与受害者(商家和用户都可能成为欺诈者)的行为模式影响下,通过移动互联网服务为平台,与外部环境相互作用,形成欺诈者与受害者的反应扩散模式,最终使得移动互联网反欺诈行为经过作用与反馈的不断迭代,形成较为成熟的模式。

模型的详细推导以及对近几年数据的分析参考 移动互联网欺诈模型


2. 趋势

当前态势

根据《欺诈经济学:规避快速增长和创新中的风险》,黑产从业人数高达 150 万,2015 年网络欺诈损失占 GDP 比例多达 0.63%,约 4000 多亿人民币。

下面从黑产的涵盖范围,黑产的技术手段,黑产的实施方式及黑产的产业链条四个维度看当前(2019年)黑产欺诈态势。

涵盖范围

遍布行业: 金融,教育,电商,社交,出行,游戏。

技术手段

伪基站、猫池、卡池、设备农场、打码平台、积分墙。

实施方式

$7 \times 24$ 小时盯守,发现有漏洞就及时行动;发现被拦截就更改策略。灵活多变,进化神速。

产业链条

上下游分工明确:

(1) 黑产情报

线报收集: 相关活动的时间范围、收益变现形式。

情报来源: 黑灰产论坛、QQ群、微信群、电报群。

产品团队和技术团队做前期分析。

通过原始情报需要分析出以下三点信息进而做出操作决策:

  1. 产品逻辑
  2. 必需资源
  3. 必要工具/脚本

具体的分析内容有很多,比如新账号首单还是老账号拉活; 是否涉及地域性; 是否涉及绑卡等等。

分析后做出相应决策例如充钱,囤号等等。

(2) 核心资源与基础工具

核心资源 — 账号

欺诈账号有两个来源: 注册和盗号。

批量注册需要批量手机号短信验证码,这类黑产分为几代。

第一代: 虚拟运营商手机号

虚拟运营商 2013 开始发展,至今已有阿里、京东等几十家机构拿到虚拟运营商牌照。

第二代: 海外、传统运营商流出的黑手机卡

这类卡往往是欠费半停机(只能收短信)状态。现在很多公司用语音验证码,因此这类卡现在也是有不少质量较高的,可以接听语音。

这类卡需要配合历史作恶黑库识别。

第三代: 手机资源+高效接码注册

猫池+卡池的工具组合。

  • 猫池负责解码接短信,模拟正常手机的功能
  • 卡池为猫池提供足够卡源,实现全天无人工值守自动随机换卡,

猫池和卡池的关系有点像步枪和弹夹。

第四代: 接码平台

运用第一、二代的卡资源,再结合三代的工具,形成一体化的接码平台,形成一体化的接码平台。

盗号的来源也分为四代。

第一代: 木马

该产业链有明确的分工,有人设计木马程序,有人专门传播/控制木马,有人收集梳理盗取的号码库,有人负责有价值的号码变现,即“洗库”。随着移动互联网大潮来临,很多厂商转型移动端。

第二代: 号码及票据

当企业级服务的 web 端存在时,可利用 XSS 或 CSRF 等漏洞,使得 cookie 中登录票据等私密信息的泄漏。在此类登录票据的有效期内,黑灰产可以利用此号码+票据进行盗号。

第三代: 社会工程学攻击

批量弱密码扫号还是仿造得惟妙惟肖的钓鱼网站盗号。

撞库

撞库是一种利用人性的方式。

核心资源 — 设备
  • 第一代:基于协议破解的假设备。
  • 第二代:安卓手机模拟器。
  • 第三代:真手机设备篡改或多开。
  • 第四代:设备农场。
核心资源 — IP
  • 第一代:ADSL 拨号。
  • 第二代: VPN 代理。
  • 第三代:专门用于黑灰产的代理服务器。
  • 第四代:VPS 混拨。

(3) 业务工具

  • 打码平台
  • 脚本: 结合业务流程设计脚本,通过按键精灵模拟用户操作
  • 工具
    • 撞库工具
    • 引流脚本
    • 羊毛软件
  • 模拟器
  • 改机软件
  • 猫池
  • 变现
    • 提现
    • 实物
    • 虚拟价值套利

趋势

行为模式: 被动 -> 主动

移动互联网突破了传统服务行业的界限——将商家、用户、平台方、电信运营商,第三方支付企业等更多的角色投入到服务中来,从而实现提供更方便快捷、低成本、低门滥、不受时间地域限制的金融及购物服务。

在这样的背景下,欺诈分子不再“守株待兔”,而是采用定制化的欺诈方案“主动出击”。

安全漏洞: 碎片 -> 系统

对于传统的信息化系统的信息安全问题,近年来已经得到了有效的管理。但是,随着移动应用和云计算的出现、新的信息安全问题很难有效检测并予以控制。包括身份识别与合理授权存在难度、进程管理等问题使信息安全面临更加严峻的形势。

上述安全风险逐渐从“碎片化”的单点风险转变为影响全局的“系统性”风险。其一旦被欺诈黑/灰产行业利用,将对个人信息、企业安全等造成重大影响。

商业逻辑: 孤岛 -> 融合

由于整个互联网行业存在着“为了融资而创新”、“为了讲故事而创新”的苗头,对于业务创新过于热衷,而没有对新模式可能带来的业务风险给与足够的重视。

移动互联网服务不管在模式上进行怎样的创新,其本质还是服务,所以它也会面临传统服务模式同样具有的风险。其中比较突出是信用风险、业务风险和误操作风险。

信用风险

移动互联网服务中,为了吸引客户,减少交易步骤可能带来的用户流失,很多企业都有意或无意地放宽了对于用户信用的评估,从而带来的业务履行或服务中可能存在的欺诈风险。

我国移动互联网服务的信用风险相对较高,这是因为在移动网络中,数据遭到篡改的风险很大,真实性和可靠性降低,如网上出现的各种“代刷信用”、“伪装用户”、“修改评价”等现象。

业务风险

由于移动互联网服务的商务模式往往采用“羊毛出在猪身上”的模式,即以获取客户为目的,而不是以从服务中直接获取收益为主要目的。这就导致很多移动互联网企业以“撒钱”的方式,通过赠品、大额折扣、甚至现金等方式争夺用户。这种方式一方面存在严重的业务风险,比如“羊毛党”、“黄牛党”留下了大量漏洞,造成宝贵的社会风投资本被大量浪费。

误操作风险

很多用户对于新的服务不了解而出现的失误,以及被有意误导造成操作失误,从而引起的损失。

变现逻辑: 量变 -> 质变

PC 互联网时代,早期的互联网场景更多的是线上的展示(广告类)。所以黑灰产的欺诈行为是通过控制的个人电脑做为肉鸡来进行Ddos、刷广告、安装流氓软件等变现。在这个时代一台台实际的物理电脑就是黑灰产的核心资源,资源意味着变现能力。

而在移动互联网时代,互联网场景变成了场景和个体的连接。所以黑灰产的欺诈行为也变成了通过大量的手机号在各个场景下注册虚假账号,并通过这些账号在业务场景中变现。利用这些虚假账号进行恶意注册,黑灰产可以在多个平台实现变现。电商平台薅羊毛,金融平台骗贷,电信诈骗,短视频平台刷量等变现方式。

迭代速度: 缓慢 -> 迅速

黑灰产工具软件具有更强的版本更新迭代速度。除了增加新功能,修复 Bug 以外,频繁的版本更新更是黑灰产从业人员跟业务安全团队攻防对抗加剧的体现。


Share