《同盾科技:2023黑灰产欺诈攻防体系的研究与实践报告(54页).pdf》由会员分享,可在线阅读,更多相关《同盾科技:2023黑灰产欺诈攻防体系的研究与实践报告(54页).pdf(54页珍藏版)》请在三个皮匠报告上搜索。
1、黑灰产欺诈攻防体系的研究与实践同盾科技/阅微中国科学院中国科学院 计算数学硕士计算数学硕士 曾任国密局密码算法课题组成员曾任国密局密码算法课题组成员 GAGA某部某部-涉贷反诈模型项目技术负责人涉贷反诈模型项目技术负责人 人行支付清算协会反诈培训讲师人行支付清算协会反诈培训讲师曾获国际曾获国际SATSAT算法竞赛算法竞赛“AgileAgile”组组 个人季军个人季军目前担任同盾科技软件产品方案部总经理、解决方案首席专家兼策略模型总监目前担任同盾科技软件产品方案部总经理、解决方案首席专家兼策略模型总监行业资深安全专家,负责同盾对外所有产品线的解决方案、咨询、技术及架构行业资深安全专家,负责同盾对
2、外所有产品线的解决方案、咨询、技术及架构支持支持1010余年金融行业工作经验,余年金融行业工作经验,FRMFRM金融风险管理师认证。熟悉金融领域风控与反金融风险管理师认证。熟悉金融领域风控与反欺诈相关产品、技术、业务及场景解决方案,擅长反欺诈规则、策略设计及特欺诈相关产品、技术、业务及场景解决方案,擅长反欺诈规则、策略设计及特征建模征建模曾任人民银行下属机构研发部开发经理、项目经理、高级安全咨询顾问、反欺曾任人民银行下属机构研发部开发经理、项目经理、高级安全咨询顾问、反欺诈团队负责人、反欺诈项目总监等。负责过金融行业多家机构风控系统的设计诈团队负责人、反欺诈项目总监等。负责过金融行业多家机构风
3、控系统的设计与研发,主力研发的交易监控反欺诈系统荣获与研发,主力研发的交易监控反欺诈系统荣获20152015年人民银行科技发展二等奖年人民银行科技发展二等奖同盾科技同盾科技 软件产品及方案部软件产品及方案部总经理总经理&策略模型总监策略模型总监 董纪伟董纪伟 “阅微阅微”CONTENTS1黑灰产的最新态势分析黑灰产的最新态势分析2不知攻焉知防不知攻焉知防-黑灰产实施攻击的主要手法、攻击链路黑灰产实施攻击的主要手法、攻击链路如何一环扣一环如何一环扣一环3对于欺诈攻防的思考对于欺诈攻防的思考4他山之石他山之石-如何有效构建欺诈防御体系如何有效构建欺诈防御体系黑灰产的最新态势分析黑灰产的最新态势分析
4、lets try a small testIOS-苹果手机:苹果手机:设置设置-隐私与安全性隐私与安全性-定位服务(滑到底)定位服务(滑到底)-系统服务系统服务-重要地点重要地点(可能需要(可能需要认证一下)认证一下)-你的行程轨迹在这里你的行程轨迹在这里Android-以华为手机为例:以华为手机为例:1)设置)设置-隐私隐私-权限管理、行为记录,可以看到有哪些权限管理、行为记录,可以看到有哪些APP在在“默默工作默默工作”2)拨打界面输入)拨打界面输入 *#*#2846579#*#*工程菜单工程菜单3)共享,你有没有点击了原图分享)共享,你有没有点击了原图分享现象级表现现象级表现欺诈为什么会
5、越来越多?欺诈为什么会越来越多?一句话讲不清楚,也不是一句涉诈抓不到、抓不完就能解释的,还有很多其他方面的原因。最直接的原因就是利润远高于风险利润远高于风险。据实际数据表明,欺诈是一种低成本、高回报的犯罪,诈骗的手法很简单,很容易传播、仿效。这是一种投入很低、回报很高的犯罪形式。以电信诈骗为例,以电信诈骗为例,比贩毒还赚钱,但是风险却只有贩毒的万分之一万分之一。利益永远是第一驱动力。正如孤注一掷孤注一掷所言,人有两颗心,一颗是贪心,一颗是不甘心。所以欺诈是一个社会问题,而非单纯的犯罪问题,它是社会诚信缺失社会诚信缺失的一个小小的缩影。风险视角风险视角-欺诈升级是由于业务场景趋于复杂、外部攻击及
6、黑产猖獗欺诈升级是由于业务场景趋于复杂、外部攻击及黑产猖獗随着互联网与移动技术在金融行业的发展,随着互联网与移动技术在金融行业的发展,金融金融业务场景也业务场景也发生了根本性的转变,攻击面、攻击点呈现爆发式增长,欺发生了根本性的转变,攻击面、攻击点呈现爆发式增长,欺诈场景也呈现多样性变化诈场景也呈现多样性变化虚假注册虚假注册理财诈骗理财诈骗刷单、跑分刷单、跑分营销薅羊毛营销薅羊毛账户盗取账户盗取虚假借贷虚假借贷线下交易盗卡、线下交易盗卡、伪卡、套现风险伪卡、套现风险业务场景复杂化业务场景复杂化传传统统欺欺诈诈场场景景现现有有欺欺诈诈场场景景黑产产业猖獗黑产产业猖獗产业化产业化精准化精准化移动化
7、移动化技术化技术化从原来小集团、小作坊模式向产业化链条化的方式转变。专业的线报提供产业、云化手机牧场、IP隐匿代理,使黑产作案时的隐蔽性更强传统欺诈通常是广撒网,但随着信息泄露和大数据、人工智能的发展,通过掌握被害人的身份信息,加强作案针对性,黑产增加了欺诈事件的迷惑性和危害性我国23年手机网络用户较22年增加了约16%,而22年发生的数据泄露事件,65%以上来自移动设备,欺诈事件的主战场已转移至移动端黑产使用的各类工具平台逐渐统一化、集约化,甚至出现了一些将打码、接码、改号、身份隐藏等黑产工具集中的BTaaS平台(黑产工具即服务),技术化的黑产使得黑客作案成本更低、威胁更大据统计,网络黑产从
8、业人员已超据统计,网络黑产从业人员已超200万,造成损失高达千亿,万,造成损失高达千亿,目前黑产呈现以下四方面趋势:目前黑产呈现以下四方面趋势:2022.7-2022.97.19亿次亿次7.81亿次亿次8.11亿次亿次6.58亿次亿次2022.10-2022.122023.1-2023.32023.4-2023.6数据来源:同盾反欺诈研究院某云安全平台监控到的欺诈攻击次数(某云安全平台监控到的欺诈攻击次数(2022-2023年度)年度)11欺诈损失排名靠前的类型:电信诈骗、互电信诈骗、互联网欺诈、银行卡联网欺诈、银行卡&账号盗用、羊毛党、账号盗用、羊毛党、中介团伙欺诈、等中介团伙欺诈、等202
9、2年金融业务年金融业务欺诈率欺诈率互联网贷款非正常互联网贷款非正常用户注册占比用户注册占比近一年个人信息近一年个人信息泄漏泄漏每万元放贷每万元放贷欺诈金额欺诈金额2.15元元33%-39%81亿条次亿条次数据来源:中国银行卡产业发展蓝皮书、电子商务生态安全白皮书黑灰产欺诈引发黑灰产欺诈引发近一年经济损失近一年经济损失1149亿元亿元典型欺诈事件造成的行业影响典型欺诈事件造成的行业影响薅羊毛薅羊毛虚假信贷申请虚假信贷申请信息盗取信息盗取电信诈骗电信诈骗洗钱合规风险洗钱合规风险某银行钱包业务被黑产攻击吴某非法盗取个人身份信息骗取银行信用卡110张,透支86万元崔某盗取、收买、非法提供信用卡信息数万
10、数万条涉反电诈不力等多项违规,机构被罚超1500万人民银行、银保监会、外管局公告的金融罚单11875张,涉及32.62亿亿罚款信息泄露及欺诈攻击的现状信息泄露及欺诈攻击的现状随着互联网信息技术的发展,涉诈攻防不断且形势严峻随着互联网信息技术的发展,涉诈攻防不断且形势严峻以传统线下交易渠道为主的支以传统线下交易渠道为主的支付方式,比如网上银行、账号付方式,比如网上银行、账号类支、手机银行、线下类支、手机银行、线下POS等等主要为一代网银盾、静态密主要为一代网银盾、静态密码、短信验证码等码、短信验证码等传统诈骗传统诈骗复制卡、复制复制卡、复制SIM卡卡网银木马网银木马PC钓鱼网站、钓鱼网站、传统伪
11、基站传统伪基站以线上交易渠道为主的支付方以线上交易渠道为主的支付方式为主,比如快捷支付、扫码式为主,比如快捷支付、扫码支付、手机银行、个人网银等支付、手机银行、个人网银等主要为短信验证码、生物认主要为短信验证码、生物认证、设备认证、证、设备认证、软证书软证书等等围绕手机银行的欺诈手段日益围绕手机银行的欺诈手段日益丰富,比如丰富,比如手机钓鱼网站、手手机钓鱼网站、手机木马、短信嗅探机木马、短信嗅探等等欺诈场景复杂化,比如结合木欺诈场景复杂化,比如结合木马、钓鱼,结合跑分平台等马、钓鱼,结合跑分平台等以网联银联快捷支付、银行及以网联银联快捷支付、银行及三方信贷、手机银行、数字货三方信贷、手机银行、
12、数字货币为主币为主主要为可信认证、生物认证、主要为可信认证、生物认证、手机盾、软证书等手机盾、软证书等复杂化的复合欺诈场景结合多种复杂化的复合欺诈场景结合多种专业工具的综合运用,比如专业工具的综合运用,比如传统传统诈骗叠加屏幕共享,诈骗叠加屏幕共享,AI换脸,结换脸,结合信贷、数字货币、秒拨、合信贷、数字货币、秒拨、VPN、GOIP等结合众包及动态二维码等结合众包及动态二维码逐步从逐步从 网银网银PC 端端 向向 手机银行、移动金融、线上贷款、数字货币手机银行、移动金融、线上贷款、数字货币 转移转移逐步从逐步从 广撒网、单一场景广撒网、单一场景 向向 定向精准、复杂场景、专业工具对抗定向精准、
13、复杂场景、专业工具对抗 转变转变主流认证工具主流欺诈模式主流金融产品技术加持,实施欺诈攻击编写恶意代码和钓鱼网站主动发现网站及APP的漏洞,恶意渗透深度伪装人的声音/图像/语言/视频生成式生成式AI兴起,兴起,ChatGPT 对涉诈攻防的一些影响对涉诈攻防的一些影响与传统印象中略显与传统印象中略显“机械机械”的对话机器人不同,的对话机器人不同,ChatGPT不仅可用于聊天、搜索和翻译,还能写文章、调代码,其技不仅可用于聊天、搜索和翻译,还能写文章、调代码,其技术应用和场景规划在各行各业引发了广泛讨论,但在安全圈还鲜有讨论,近期我们关注到,境外已出现部分关于黑产使术应用和场景规划在各行各业引发了
14、广泛讨论,但在安全圈还鲜有讨论,近期我们关注到,境外已出现部分关于黑产使用用ChatGPT进行欺诈的恶意利用,将对现有进行欺诈的恶意利用,将对现有反欺诈体系反欺诈体系提出严峻挑战,需要提前关注、提前预防提出严峻挑战,需要提前关注、提前预防电诈杀猪盘也变智能化电诈杀猪盘也变智能化“卖茶姑娘卖茶姑娘”竟是机器竟是机器“芯芯”自动编码恶意程序自动编码恶意程序脚本小子化身黑客脚本小子化身黑客“大神大神”AI觉醒:觉醒:生成式生成式AI发力,发力,自然语言预训练大模型成黑产新绝招自然语言预训练大模型成黑产新绝招 张嘴、摇头,摄像头捕捉到人的动作后,屏幕上原本静态的人像可以动起来,动作幅度和真人一致,还能
15、眨眼和露齿微笑,仿真度颇高,几分钟内就能生成一段视频,脸还能被任意替换。这就是“AI换脸换脸”技术技术。“AI换脸换脸”成为涉诈近期热点成为涉诈近期热点通过骚扰电话、获取过往聊天记录提取“工具人”声音素材,通过朋友圈、官网证件获得面部照片素材,准备合成AI视频的材料。获取声音、面容获取声音、面容素材素材实时合成AI视频,通过虚拟摄像头伪造视频通话,初步取得信任。AI视频通话获取视频通话获取信任信任为免穿帮,短暂通话后,以开会的理由挂掉视频通话,转换文字聊天,引导加QQ好友结束通话转为文结束通话转为文字交流字交流设计符合两人关系的剧本,以在自己或相关人员外地投标需要借目标的对公账户交保证金为由,
16、伪造转账成功的图片,催促目标用对公账户给指定账户转账。以资金周转、投标保以资金周转、投标保证金为由骗钱证金为由骗钱盗取诈骗盗取诈骗“工具工具”账号账号盗取潜在目标的朋友、客户、领导的微信账号,准备实施诈骗的通话工具。3起近期典型案例:福州的李先生遭遇冒充领导的AI视频诈骗4.8万;福州某科技公司老板郭先生接到“朋友”视频通话后10分钟内以投标过账为由被骗430万;安徽安庆何先生在接到好友视频通话后,同样是以投标需垫付为由,被骗245万案件还原:案件还原:AI视频诈骗,颠覆视频诈骗,颠覆“眼见为实眼见为实”的认知的认知趋势分析:趋势分析:AI持续发展,持续发展,“助力助力”黑产产业升级黑产产业升
17、级AI技术的进步将降低AI换脸门槛,降低AI换脸诈骗成本素材要求越来越少,成品确越来素材要求越来越少,成品确越来越逼真越逼真以前AI换脸还需要一两百张图片,现在不同角度的照片,一般5到8张就可以生成很不错的模型。AI发展太快,难以防止脸部信息盗用,尤其是公众人物。以假乱真,欺诈机器和程序突破人脸识别钓鱼撞库/逆向暴力破解登录账户盗取账户资金AI换脸技术持续革新,发展到可以骗过机器和程序,突破金融机构的人脸识别,达到账户盗用、资金盗取的目的,造成人脸识别安全认证失效的困境。扫号攻击/拖库精准电信诈骗伪基站群发短信暗网购买数据社交平台发达,材料获取容易社交平台发达,材料获取容易在微博、抖音、朋友圈
18、,或偷拍几张高清照片,都能通过AI建模实现换脸。劫持客户的交易短信及电劫持客户的交易短信及电话、网络话、网络通过手机号和短信验证,盗取账通过手机号和短信验证,盗取账户资金,透支信用卡额度(溢缴户资金,透支信用卡额度(溢缴款),办理各种贷款款),办理各种贷款通过料主信息,通过料主信息,借助借助AI视视频及语音频及语音、屏幕共享,诱屏幕共享,诱骗客户信任骗客户信任,安装木马,安装木马APP假冒公检法,筛选作案假冒公检法,筛选作案对象或钓鱼短信对象或钓鱼短信01020403短信劫持短信劫持验证码使用欺诈者设备验证码使用欺诈者设备AI赋能精确施诈,赋能精确施诈,AI换脸换脸+木马木马/钓鱼钓鱼+涉诈组
19、织的高级局涉诈组织的高级局群控设备群控设备原因原因由于资源限制(为提高投资回报率),黑产总会最大程由于资源限制(为提高投资回报率),黑产总会最大程度利用已有资源。度利用已有资源。行为行为重复使用重复使用现有设备和信息现有设备和信息进行不同申请,导致进行不同申请,导致共用相同共用相同的的手机号码、登录手机号码、登录IP、硬件设备、硬件设备形成关联网络。形成关联网络。识别方法识别方法1.将数据进行关联,形成将数据进行关联,形成关系网络图关系网络图;2.使用社会关系网络分析工具,分析关系网络图中是使用社会关系网络分析工具,分析关系网络图中是否有大量共用设备等否有大量共用设备等拓扑结构拓扑结构。攻击者
20、攻击者群起而攻之群起而攻之-团伙群控作案模式团伙群控作案模式不知攻焉知防不知攻焉知防-黑灰产实施攻击的主要手黑灰产实施攻击的主要手法、攻击链路如何一环扣一环法、攻击链路如何一环扣一环欺诈的本质是什么?欺诈的本质是什么?信息差,即为信息不对称信息差,即为信息不对称获取远多于受害人所掌握的信息欺诈欺诈是指故意告知对方虚假情况,或者故意隐瞒真实情况,是指故意告知对方虚假情况,或者故意隐瞒真实情况,诱使对方基于错误判断作出意思表示。诱使对方基于错误判断作出意思表示。*出自:中国法学会出自:中国法学会“法治百科法治百科”项目领导小组办公室项目领导小组办公室信息不对称的来源?信息不对称的来源?社工库社工库
21、犯罪分子通过搜集相关被泄露的数据,再进行分析归档,类似于我们现在的大数据加工处理。便于查询使用,当数据量足够大时,就能够查到想要的信息。危害危害社工库的个人信息被电诈不法分子利用,只要黑产认为你有价值,便会通过各种方式进行欺诈或者利用身份信息进行非法交易。数据加工数据加工&知识萃取知识萃取社工会通过各种方式收集泄露的用户数据,如酒店入住数据、订票类数据、购物网站类数据、银行卡数据、交易数据等。让后将这些数据进行分析整合,类似就形成了一个“用户画像”。社工库是社会工程学社会工程学的简称,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等等心理陷进进行诸如欺骗、伤害等危害的手段取得自身利益
22、的手法,是一种黑客攻击的手法。社工库社工库何为明网、深网和暗网?何为明网、深网和暗网?明网(明网(Surface Web),),是指能被普通搜索引擎检索到的网络,约占整个互联网的 4%。举个例子,网站内容可以用普通搜索引擎(比如 Google、百度、搜狗)检索到的网站,比如新华网、微博、知乎等,被称为明网。我们的大部分上网时间,都是停留在明网上。深网(深网(Deep Web),),与明网相对的,被称为是指内容不能被普通搜索引擎检索到的网络,约占整个互联网的 96%。深网里的内容,需要账号密码、访问权限等才可以访问。比如说,我们邮箱里的内容,存储在云服务里面的内容,公司的数据库,学术论文数据库等
23、等,都属于深网的范畴。我们的一部分上网时间,停留在深网上。暗网(暗网(Dark Web),),在深网这个大范畴下的其中一部分网络,需要通过特定的浏览器、特殊授权或者特殊设置才能链接上的网络,普通的浏览器和搜索引擎无法进入。暗网的一个特点是经过加密后隐秘性强,不容易追踪到真实的地理位置和使用者的身份。这也导致了暗网上充斥着许多非法交易,比如贩卖军火、毒品、身份护照信息等等。简单总结简单总结:整个互联网可以分为明网和深网,区别在于内容能否被普通的搜索引擎检索整个互联网可以分为明网和深网,区别在于内容能否被普通的搜索引擎检索到,其中占了到,其中占了 96%份额的深网中还有一小部分被称为暗网,需要特定
24、的浏览器、特殊授份额的深网中还有一小部分被称为暗网,需要特定的浏览器、特殊授权或是特殊设置才能访问,隐秘性强且大部分都是非法的内容。权或是特殊设置才能访问,隐秘性强且大部分都是非法的内容。黑产在暗网中的主要交易市场示例黑产在暗网中的主要交易市场示例欺诈的最大威胁在哪里?欺诈的最大威胁在哪里?除了在除了在业务流程存在业务流程存在的的缺陷缺陷及技术存在的漏洞因素之外及技术存在的漏洞因素之外,信息泄露、复合型诱信息泄露、复合型诱导导涉诈涉诈安全过程中的最薄弱环节,大部分都是安全过程中的最薄弱环节,大部分都是人的因素人的因素。攻击者直接对目标发起社会工程攻击,敏感信息泄露、多账户使用同一密码导攻击者直
25、接对目标发起社会工程攻击,敏感信息泄露、多账户使用同一密码导致的漏洞,以及账户使用弱密码带来的安全就是最大挑战。致的漏洞,以及账户使用弱密码带来的安全就是最大挑战。人性是最大的威胁!人性是最大的威胁!目前,人均常用的密码一般不超过目前,人均常用的密码一般不超过5个,平均个,平均3个左右,这也是人脑中长期个左右,这也是人脑中长期记忆的一个规律所在。记忆的一个规律所在。右图中的右图中的TIME TO CRACK IT:是破解密码所需时间,:是破解密码所需时间,count是使用人数。是使用人数。这个是密码服务商这个是密码服务商NordPass公布的公布的2021年研究数据。年研究数据。以常见的登录以
26、常见的登录/交易密码来看,账户及密码的获取难度不大交易密码来看,账户及密码的获取难度不大信息售卖5件套1、身份证号、身份证号2、手机号、手机号3、银行卡号、银行卡号4、U盾盾5、外加持证照、外加持证照基础资料工具申请多个联通、电信、移动、虚拟运营商号码;申请多个联通、电信、移动、虚拟运营商号码;申请多个银行卡号建行、招商、民生;申请多个银行卡号建行、招商、民生;各种场景下的持证照,用于电商实名认证;各种场景下的持证照,用于电商实名认证;不同角度的照片,用于合成人脸识别视频;不同角度的照片,用于合成人脸识别视频;各种信息储备申请淘宝、京东、拼多多等电商资源;申请淘宝、京东、拼多多等电商资源;申请
27、微信、抖音、快手等;申请微信、抖音、快手等;批量注册各种批量注册各种APP账号;账号;注册公司,申请商标等;注册公司,申请商标等;各种变现渠道资金转移账号,洗钱工具;资金转移账号,洗钱工具;信贷欺诈资料,无法查实;信贷欺诈资料,无法查实;各种僵尸粉、刷票、刷榜账号;各种僵尸粉、刷票、刷榜账号;售卖个人信息到下一环节;售卖个人信息到下一环节;黑产获取及使用物料信息的方式黑产获取及使用物料信息的方式涉诈黑卡倒卖与资金流银行卡开卡银行卡层层倒卖诈骗实施环节涉诈资金转移恶意开卡团伙可疑开卡群众连续开卡伴随开卡缺钱、被忽悠、法律意识淡薄卡商团队收集大量用于诈骗的银行卡售卖个人信息四件套提供银行卡信息给一
28、线诈骗人员诈骗团伙运营人员诈骗受害人被骗转钱诈骗团伙一线客服水房团队汇兑钱庄取款团队跑分平台涉诈黑卡发送卡号诱导转账涉诈事前感知难转账多是跨行,缺少完整交易信息和涉诈背景洗钱速度快,涉诈资金转移路径复杂,涉诈卡活跃时间短对接诈骗团伙,提供银行卡给他们用于收赃款、洗黑钱以网赚等名义在社交网络广撒网,寻找卡农层层倒卖除手机卡外,涉诈银行卡的来源路径是什么?除手机卡外,涉诈银行卡的来源路径是什么?银行卡多沉默、低活跃,难以感知被倒卖流转信息涉诈事中识别难涉诈事后冻结难黑产攻击工具及物料的层级结构黑产攻击工具及物料的层级结构30猫池/黑卡云手机短信嗅探群控设备设备篡改更多 欺诈手段从常规的人肉组织和操
29、作,转向专业工具化的批量操作欺诈手段从常规的人肉组织和操作,转向专业工具化的批量操作黑产欺诈主流武器库黑产欺诈主流武器库群控现场群控-真人群控-操作指令复制(后台)在欺诈攻击巨大的利益驱动下,专业黑产规模不断扩大,应用的技术手段越来越高在欺诈攻击巨大的利益驱动下,专业黑产规模不断扩大,应用的技术手段越来越高涉诈团伙的技术能力持续演进,已实现涉诈团伙的技术能力持续演进,已实现BTaaS(黑产工具即服务)体系(黑产工具即服务)体系涉诈黑产新工具涉诈黑产新工具新一轮黑产巡检,涉及虚拟定位、多开分身、自动化工具、新一轮黑产巡检,涉及虚拟定位、多开分身、自动化工具、VPN、虚拟系统、虚拟系统5个方面的多
30、款工具个方面的多款工具模拟人脸的深度伪造技术模拟人脸的深度伪造技术3D脸脸纸片脸纸片脸一体化工具一体化工具静图改动图静图改动图一键生成手持身份证一键生成手持身份证重点关注重点关注瞬时位置移动瞬时位置移动技术加持:身份凭证攻击的高效化和聚焦性,也在不断攻击现有的防控手段技术加持:身份凭证攻击的高效化和聚焦性,也在不断攻击现有的防控手段A(Advanced):):即高级入侵手段。单点隐蔽能力强、攻击空间空间路径不确定防御难点:防御难点:传统的基于特征匹配的边界防御技术难以生效弱变量组合及增幅、数据埋点及标签传导P(Persistent):):即持续性攻击。攻击时间时间上具有长持续性,一旦入侵成功则
31、长期潜伏,寻找合适的机会外传敏感信息,而在单个时间点上却无明显异常。防御难点:防御难点:基于单环节、单时间点的实时检测技术难以应对错位时空(利用信息的不对称)错位时空(利用信息的不对称)、时间序列化、CEP链式特征APT:Advanced Persistent Threat 高级持续性威胁(潜伏)高级持续性威胁(潜伏)路由器核心交换机防火墙/IPS接入交换机邮件服务器接入交换机AC/AP终端Internet文件服务器社会工程钓鱼邮件恶意文件远控服务器远控服务器(C&C)发送木马链接或钓鱼邮件给客户发送木马链接或钓鱼邮件给客户或通过或通过U盘等存储介质传递盘等存储介质传递 客户被感染后连接远控服
32、务器客户被感染后连接远控服务器 建立据点,长期潜伏和伺机扩散建立据点,长期潜伏和伺机扩散 窃取或破坏数据窃取或破坏数据黑产复合攻击:黑产复合攻击:APT攻击的时空属性更进一步导致传统安全防御失效攻击的时空属性更进一步导致传统安全防御失效对于欺诈攻防的思考对于欺诈攻防的思考机器预测能力会大大提升,未来预防会重于打击,大部分欺诈会在事前或机器预测能力会大大提升,未来预防会重于打击,大部分欺诈会在事前或者事中被阻止者事中被阻止大模型逐步兴起,大部分事务性的工作都将被机器所取代,比如:文件和大模型逐步兴起,大部分事务性的工作都将被机器所取代,比如:文件和图像的自动生成,代码的编写等图像的自动生成,代码
33、的编写等利用人工智能技术,欺诈者的深度造假能力会大幅度提升,人类需要重新利用人工智能技术,欺诈者的深度造假能力会大幅度提升,人类需要重新反思人工智能所带来便捷生活的同时,也带来更加深度的隐患和危害,并采取反思人工智能所带来便捷生活的同时,也带来更加深度的隐患和危害,并采取相应措施相应措施如何和如何和AI互动和交流,从而引导互动和交流,从而引导AI向善而不是去从事欺诈,会是一门新的向善而不是去从事欺诈,会是一门新的研究领域,因为高科技的欺诈分子会诱导研究领域,因为高科技的欺诈分子会诱导AI去从事欺诈,而不是自己本人去做去从事欺诈,而不是自己本人去做未来影响的思考未来影响的思考欺诈攻防的决定因素是
34、什么?欺诈攻防的决定因素是什么?人是决定因素,技术永远是手段!人是决定因素,技术永远是手段!技术没有善恶之分,但人有!其实,还有一句话,在技术面前,不是人人平等的。相比于组织化、专业化的黑灰产欺诈团伙,公众及个体的防护能力整体偏弱。回归本质:反欺诈就是在解决信息差问题,区分行为是好是坏回归本质:反欺诈就是在解决信息差问题,区分行为是好是坏客户客户/交易交易人人/群群机器本人非本人本人被电诈本人可疑涉诈者信息买卖涉诈者涉诈者物料租借涉诈者参与欺诈受害者核心目标:核心目标:区分是人还是机器区分是本人还是非本人识别行为是惯用可信还是存在风险识别客户主体(人/群)是好是坏,以及好与坏的边界本人可信常态
35、正常人好好坏坏他山之石他山之石-如何有效构建欺诈防御体系如何有效构建欺诈防御体系欺诈犯罪欺诈犯罪态势:态势:涉诈团伙掌握了海量的公民隐私信息、黑手机号和代理IP等作案资源,通过团伙化、众包等方式运作,形成了人数众多的欺诈产业链。利用手机系统漏洞,使用鼻子就能破解指纹认证、佩戴特殊的眼镜或通过化妆即可突破人脸识别和活体验证。在巨大利益的诱惑下,犯罪组织可能掌握着众多黑科技,也是最有动力去提升技术能力的团体。“你有张良计,我有过桥梯”。看似牢不可破的认证及防御手段,在黑灰产面前只不过是一层纸。解决之道:解决之道:对抗黑产及外部欺诈,需要借助产业的力量和法制的力量。“魔高一尺魔高一尺 道高一丈道高一
36、丈”面对高技术、高智商、高度自律、高度组织的对手,必须革新战法,“以技术对抗技术,用以技术对抗技术,用AI来升级武器来升级武器”,不然等待我们的只有惨败。PK面对越来越面对越来越“高能高能”的黑灰产欺诈犯罪组织,需要升级武器,革新战法的黑灰产欺诈犯罪组织,需要升级武器,革新战法核心要素:虚核心要素:虚 实实 真真 假假 善善 恶恶主要识别:人机、非本人、本人异常主要识别:人机、非本人、本人异常欺诈攻防的层级梯度欺诈攻防的层级梯度-诱敌深入、纵深打击诱敌深入、纵深打击一点出险,多点布控,全面布防一点出险,多点布控,全面布防数据要素数据要素算力算力/工具工具场景场景/算法算法尽小者大、积微者著,整
37、合多维尽小者大、积微者著,整合多维度数据,补充数据短板,加强内度数据,补充数据短板,加强内外部数据融合使用,解决数据孤外部数据融合使用,解决数据孤岛问题岛问题通过终端态势感知平台、智能决通过终端态势感知平台、智能决策平台、模型平台、知识图谱平策平台、模型平台、知识图谱平台等先进的算力台等先进的算力/工具,实现反工具,实现反欺诈体系的能力支撑欺诈体系的能力支撑深度了解欺诈攻防场景深度了解欺诈攻防场景标签沉淀标签沉淀/规则发现规则发现机器学习模型机器学习模型/自学习自学习策略及模型持续优化策略及模型持续优化/自迭代自迭代大模型应用大模型应用实现欺诈风险防控的关键三要素实现欺诈风险防控的关键三要素设
38、备特征欺诈场景特征欺诈场景特征团伙挖掘团伙挖掘监督模型监督模型异常聚类异常聚类无监督机器学习算法挖掘异常特征无监督机器学习算法挖掘异常特征特征库有监督算法精准区分欺诈和正常事件有监督算法精准区分欺诈和正常事件数据特征AI应用决策时间特征频率特征金额特征衍生特征SVM、LR、GDBT数据埋点数据埋点领域专家规则领域专家规则模型风险预测模型风险预测43数据数据是基础,是基础,特征特征是关键,融合是关键,融合多元多元AI技术技术可以很好地识别欺诈行为可以很好地识别欺诈行为知识图谱增强关联分析能力知识图谱增强关联分析能力不同欺诈识别手段可应用于反欺诈的不同成熟度阶段,可以组合应用以侦测复杂的欺诈风险不
39、同欺诈识别手段可应用于反欺诈的不同成熟度阶段,可以组合应用以侦测复杂的欺诈风险实现多元化风险侦测能力集合实现多元化风险侦测能力集合大模型大模型加持加持风险解释风险解释风险点1:该设备27日一天内切换账号多达13次,其中高峰时间段内(10至11点前后监测到该设备高频切换账号,切换速度约为 30秒1次;在2月27 日3月1日一共使用了9个账号,维持相近的操作规律。风险点2:设备内网IP 地址固定为 192.168.*.*,外网IP地址均为 124.207.*.*,从地址规律来看这是一个固定的设备,而非一个随身携带的手机。风险点3:该设备伪造了自身的制造商、型号、地址信息,伪造规律与切换账频率一致,
40、试图欺骗后端系统,但该设备未能隐藏更多的指纹特征,仍被识别。风险点4:该设备安装了“猴子分身”,“分身大师”。设备编码设备编码06*ae单日切换账号次数13切换账号高峰时段10:00-11:00高频切换账号速度30秒/次七日内设备关联账号数9设备内网ip地址数1设备外网ip地址数1设备信息是否伪造是已安装的作弊软件“猴子分身”,“分身大师”案例实践案例实践1:线上贷款申请环节遭遇黑灰产机器申请风险案例:线上贷款申请环节遭遇黑灰产机器申请风险案例案例实践案例实践2:屏幕共享、麦克风占用、:屏幕共享、麦克风占用、AI合成脸攻击合成脸攻击行业实践案例行业实践案例 背景与目标背景与目标 应对客户被诈骗
41、分子诱导通过视频会议软件共享屏幕或语音通话进行申请贷款的新风险,软开按照“主动防、智能控、全面管”路径,运用设备反欺诈技术监测“屏幕共享”和“麦克风占用”状态,实现对电诈风险特征精准定位,风险交易实时拦截;防控方案防控方案 1)实时检测户正处于屏幕共享、麦克风占用情况,交易前风险弹窗提示,同时会做延迟到账、24小时人工触达确认;2)挖掘已知脸定制ROM特征,对摄像头图像流相关函数进行HOOK检测,输出CAMERA_FAKE标签,在前端SDK进行防控策略识别和拦截2023年年6月投产后月投产后百余百余涉案数量从800余起下降至百余起80%涉案数量和投产前比下降8成4000万万每月减少的资金损失9
42、月月11日,日,银行银行接到行内投诉电话,被告知行内某一个客户,在接到行内投诉电话,被告知行内某一个客户,在9月月9号,号,被电信诈骗。在被电信诈骗。在9月月9日日11:48:12到到11:50:45期间进行期间进行3笔跨行转账,笔跨行转账,4分钟分钟内累计转出金额内累计转出金额145998元。元。经调查经调查客户确实因为跨行转账被骗大额钱财,客户确实因为跨行转账被骗大额钱财,且诈骗人员属于诈骗关注区域云南且诈骗人员属于诈骗关注区域云南。登录事件转账事件案件涉及事件类型、行为特征修改事件01.短时内切换设备登录短时内切换设备登录02.短时间内切换短时间内切换ip03.连续两次登录设备不一致连续
43、两次登录设备不一致04.连续两次登录连续两次登录ip归属省份不一致归属省份不一致05.新设备登录新设备登录06.新设备首次出现且状态为失败新设备首次出现且状态为失败01.短时间内(短时间内(1h)频繁关键信息修改)频繁关键信息修改02.新设备修改关键信息新设备修改关键信息03.修改修改ip归属省份与上一次成功修改归属省份不一致归属省份与上一次成功修改归属省份不一致04.短时间内多短时间内多ip修改关键信息修改关键信息01.短时间内多短时间内多ip转账交易转账交易02.段时间内多设备转账交易段时间内多设备转账交易03.转账转账ip归属省份非常用归属省份非常用ip归属省份归属省份04.非常用设备转
44、账交易非常用设备转账交易05.连续多笔接近限额交易连续多笔接近限额交易06.新设备单笔接近限额交易新设备单笔接近限额交易07.非常用设备及环境下登录失败交易后短事件内关键信息修改非常用设备及环境下登录失败交易后短事件内关键信息修改08.新设备登录成功后频繁修改账户关键信息新设备登录成功后频繁修改账户关键信息09.新设备登录后频繁发生单笔接近限额的转账交易新设备登录后频繁发生单笔接近限额的转账交易10.大额交易当日存在新设备登录失败现象大额交易当日存在新设备登录失败现象案例实践案例实践3:某金融机构涉及资金电诈案件:某金融机构涉及资金电诈案件2023.09电信诈骗电信诈骗稳定可靠的量化决策稳定可
45、靠的量化决策稳态决策稳态决策即时分析,实时决策即时分析,实时决策敏态决策敏态决策交互式风控交互式风控自适应、可量化自适应、可量化多模式的动态决策多模式的动态决策动态决策动态决策实现反欺诈决策体系的三态设计:稳态、敏态、动态实现反欺诈决策体系的三态设计:稳态、敏态、动态归因分析归因分析漏点分析漏点分析意图分析意图分析链路分析链路分析时序分析时序分析行为分析行为分析反欺诈分析模式设计反欺诈分析模式设计业务场业务场景景环境环境感知感知知识知识构建构建对未来状态的投影对未来状态的投影趋势趋势预测预测对当前形式的分析,梳理对当前形式的分析,梳理感知对事件影响的元素构成感知对事件影响的元素构成态势感知态势
46、感知+持续对抗持续对抗-实现对于欺诈风险浓度的准确度量实现对于欺诈风险浓度的准确度量偏移指数偏移指数提前感知提前感知欺诈态势感知欺诈态势感知风险归因分析风险归因分析“春江水暖鸭先知春江水暖鸭先知”欺诈分子(我们的对手)在如何利用先进的欺诈分子(我们的对手)在如何利用先进的AI技技术从事欺诈活动方面,永远比我们投入更大,更术从事欺诈活动方面,永远比我们投入更大,更富有创造力,且更加专注,因为可以获取到巨大富有创造力,且更加专注,因为可以获取到巨大的难以想象的利益。的难以想象的利益。成立专门的技术组织去研究和对抗来自全球的欺诈活动成立专门的技术组织去研究和对抗来自全球的欺诈活动从政策和资金层面支持
47、一批反欺诈的高科技公司不断突破从政策和资金层面支持一批反欺诈的高科技公司不断突破创新,积极拓展中国及全球市场创新,积极拓展中国及全球市场鼓励建立持续对抗黑灰产的社会生态联盟鼓励建立持续对抗黑灰产的社会生态联盟欺诈攻防领域欺诈攻防领域-未来面临的一个挑战未来面临的一个挑战同盾的角色同盾的角色-决策智能为主线,以技术反制技术,体现科技企业的责任担当决策智能为主线,以技术反制技术,体现科技企业的责任担当以社会责任为己任,同盾体现科技企业的责任担当,为配合有关机构有效打击电诈犯罪,斩断涉诈资金链,“以技术反制技术以技术反制技术”,面向金融行业及公安条线输出反欺诈相关技术与服务;是科技部认定的全国范围内
48、金融风控、隐私计算领域金融风控、隐私计算领域唯一唯一获批的开放创新平台企业通过“情报情报+数据数据+咨询咨询+平台平台+运营运营”综合服务,构建一站式反欺诈解决方案,目前已在头部国有行业、股份制银行、代表性地方城商行、各地公安、地方性金融监督管理机构等多个行业近百家机构落地攻击模式剖析攻击模式剖析剖析欺诈最新的攻击模式、手法、链路,欲剖析欺诈最新的攻击模式、手法、链路,欲知己之所防,先知彼之所攻知己之所防,先知彼之所攻02欺诈攻防思考欺诈攻防思考本质问题的探讨,核心在于如何解决信息差本质问题的探讨,核心在于如何解决信息差03黑灰产欺诈态势黑灰产欺诈态势黑灰产欺诈的最新态势分析及趋势预黑灰产欺诈的最新态势分析及趋势预测,风已起,需要及时应对测,风已起,需要及时应对01体系设计与实践体系设计与实践反欺诈体系的构建逻辑以及行业的实践分享反欺诈体系的构建逻辑以及行业的实践分享04小小总结小小总结TakeAway欺诈风险总是存在的。欺诈风险总是存在的。没有完美的策略或者模型,无论是没有完美的策略或者模型,无论是风控,还是产品诉求。攻击永远存在,我们要做到的是风控,还是产品诉求。攻击永远存在,我们要做到的是欺诈风险可控与业务有效经营欺诈风险可控与业务有效经营反欺诈而言,反欺诈而言,自适应、可量化的动态决策自适应、可量化的动态决策才是关键!才是关键!