图片:09160002.png
整理 | 墨菲
互金平台其实每时每刻都在对战黑灰产。
黑客、羊毛党、刷客和骗贷者,都紧盯互联网金融这个多金的领域。
在一本财经学员的风控闭门训练营中,传奇黑客风宁,讲述了面对庞大的黑灰产,平台的应对之策。
01、网络安全法对风控的影响
6月1号,颁布实施了网络安全法,其中第40条、第41条,对互金业务风控影响非常大。
第一,网络运营者的概念,有提供APP、提供网站、提供网络服务的统称为网络运营者。
第二,网络数据的概念,手机号,快递地址,名字,邮箱,只要能跟本人形成一个关联,只要跟你的服务端有交互,甚至是淘宝的一个订单信息,都属于网络数据。
第三,个人信息的概念,有个“包括不限于”的字样,只要能反向追溯到一个人的信息都属于个人信息。
网络运营者收集信息也受到限制。
第一,合法正当,你得解释为什么要存储、收集。
第二,公开收集,以前互金网贷,安卓端APP直接就收集信息,用户完全不知情,但是现在必须要明示出来。
第三,不得收集与自身服务无关的信息,现在很多APP打开就会有定位要求,为什么要定我的GPS位置?解释不清的时候也属于违反法律。
安全法出台后,在互金领域影响最大的就是支付宝花呗关停风波。
马云说他能知道全国哪一个省的女性买的内衣是最大号的。用户点了同意协议,但可能根本不知道自己的隐私信息被收来了,不知道被拿来做了什么。安全法实施后,花呗新的合同被公示出来,导致用户有了一个危机意识。花呗也在官微上解释了收集用户的信息原因。
今年6月份,广东省警方开展了“飓风1号”专案行动,摧毁侵犯公民个人信息犯罪团伙6个,捣毁犯罪窝点14个,抓获犯罪嫌疑人138名,缴获涉及全国公民个人信息近1亿条,查扣银行卡2000余张和电脑、手机、存储设备一批。
还有一个重要影响,8月1号重庆网警在公众号发布:重庆公安局网安总队成功查处了一起案件:网络运营者,提供网络服务过程当中未依法留存用户登录网络日志。
这意味着,网络运营得要留存用户访问日志半年信息,方便执法机关审计,没有存储日志的,直接就被依法查处。
我们可以总结一下,网络安全法对网站的影响:第一,用户信息收集要经过用户同意;第二,做好日志存储,数据保全,保证信息不被泄露。
02、现金贷业务身份欺诈
骗贷群体是怎么诞生的?这个群体并不神秘,他们从信用卡时代过来。2013年余额宝诞生后,中国的网贷时代到来了,他们也看到了这个风口。他们会通过一些论坛(比如我爱卡),贴吧(比如戒赌吧),微信公众账号,微信群、QQ群聚集,顺便获客。
他们攻击逻辑:
1 集群攻击。他们的技术迭代非常快,一旦有人发现一个技术,就会开始招代理,将技术扩大。如果在早期没有遏制,很快就开始席卷整个互联网圈。
2 反复测试,拿着用户的资料,反复试各个平台的风控规则。有一批人是专门靠骗贷教学为生。他们发现了平台风控漏洞后,自己先撸,之后马上把这个技术二次传达,建立收费群,招收学员。
3 包装资料,以假乱真。不管平台风控制定了什么规则,他会相应地去包装一些资料出来。比如在黑市上购买身份证、银行卡、手机号“三件套”,之前是30块钱,现在已经涨到了1500。或者用“海马玩”模拟器修改自己的定位,伪造银行账单等。
4 卧底,为了拿到一手的资料,他们会试图混进公司。某家现金贷公司就曾被卧底打入过,男的用假学历做了信审主管,他的媳妇是地下中介,两个人内外勾结放钱。
对于骗贷中介的防守要点:
1 平台对于骗贷群体的监控远远不够,需要花时间精力监控他们的动作,关注论坛,打入QQ和微信群,了解他们最近有什么技术,哪些风控规则已经被突破了。
2 做好内控,对于新招进来的信审员工做一些背景的调查,不能让中介混进来。
3 及时修改风控规则。骗贷技术迭代速度非常快,甚至可以保证三天一迭代。
4 资料联网查询。
5 设置套现门槛,比如,医美这个场景中,需要首付30%等。
03、常见黑客攻击常用手法
黑客主要会在三个体系中攻击:
第一是账户体系。最直接的业务体现为注册、登录、找密三个主要入口。而黑产、灰产、“羊毛党”会有撞库攻击、盗号洗号、验证码安全等攻击行为。
第二是交易体系。交易体系安全主要在电商、金融类发生实际交易的场景下出现。
“羊毛党”或者问题商家在交易体系中,存在大量虚拟交易,信息作弊及各类针对活动场景的攻击,手段包括刷库存、刷单、活动作弊等。活动做弊是最严峻的一块,觉察到平台活动后,一批中介会蜂拥而至。
第三是支付体系,在整个交易过程中,支付体系视为业务安全里最重要的环节,也是各类风控体系发挥巨大功效的地方。
即使被吐槽最难的12306验证码,我们尝试的识别率是98.7%,虽然达不到100%,但基本上能一次通过。
验证码,也存在几种绕过的手段。
第一是设备伪造。6月份,一个游戏工作室,用100台越狱的iPhone5C,登录王者荣耀,挂机游戏,导致腾讯损失了1000万。
第二是身份伪造,身份证、手机卡、银行卡等伪造。
第三是行为特征伪造。行为特征就是我的工作单位,日常的活动范围,日常消费习惯等,这都属于一个人的消费行为,但是这些都是可以伪造的。
第四是虚假手机号伪造,我们检测到,羊毛党批量手机号有两三千万左右。
第五是银行卡号、CVV、金融账户伪造,如果严格按照支付标准,CVV只能由银行存储的,但有些第三方支付平台、比较大的旅游公司也在存储CVV账号,很容易被黑客攻击。
俗语常说的“四大件”,是指U盾、手机卡、银行卡,身份证,这些也在涨价,两年前一套价格650块钱,现在涨到了1500左右。
有一帮人专门会去偏远山区收身份证,20块钱一张,拿到银行办理银行卡。偏远山区开卡、存款等业务量很低,为了多办卡提升业绩,审核也不会太严格。
另外一批人,清洁工、营业员,甚至扒手,也会搜集手机号、身份证来进行买卖。
现在国家实名制要求严格了,有些人会200块钱雇一大批民工,等在银行去办卡。他们没有隐私意识,办好拿钱就走人。
传统验证方式,比如密码、邮箱等,信息泄漏严重,声纹、指纹、九宫格等,无法确定是本人;人工电话审核,成本太高。
现在比较流行的活体识别,也存在漏洞。
315晚会上已经曝光了,借助人脸关键点定位和自动化人脸动效技术,可以将自拍照由静态改为动态。
破解方法不止这一种,最简单的是在淘宝上,花50块钱买一个人头模型,将正脸照片贴在模型前面,将侧脸照片贴在模型两边,在活体检测提示摇头时转动模型可通过部分活体检测。
有一批人,会拿一堆洗衣粉、充电宝等小礼物,去偏远地区找人录制验证视频。
04、结合网络安全技术做好风控
乌云网数量统计显示,2014年至2015年8月份,P2P行业高危漏洞占56%,已经成为网络安全的重灾区。
我们曾经随机下载网贷平台APP,测试发现:75%无任何加固,代码直接可以拿到;40% 任意用户密码修改,修改发送4位验证码,1分40秒就能破解,而改掉密码可以直接登录,手机号等信息可以直接拿到;50%任意手机号注册;50%用户信息可以直接遍历,包括手机号、微信、QQ号等。
如何做好技术风控?
第一,在设计开发时,就要做好架构规划,包括逻辑流程和系统的安全性等。网站规划最重要的是信息存储的机密性,比如日志信息、用户信息、网站代码等。
比如,之前红岭官网被黑的事件,如果做好了结构优化,可以起一个副站,再做一个二次跳转,就不会对业务构成非常大的影响。
还有一个,要冗余备份,勒索病毒把网贷平台数据加密,给钱才能打开。如果没有备份,这笔钱是给还是不给呢?
第二,在业务上线之前,做好防D准备,比如服务器高防、冗余切换,多线路分流;做好安全检测,渗透测试、移动端加壳加固、数据泄漏等。
有统计数据显示, 80%左右的现金贷、P2P曾被敲诈勒索过,小到700块,大到几百万都有。
第三,是运营推广环节:
域名:相似度域名钓鱼;
关键字劫持:百度关键字购买(竞争对手购买品牌关键字);
舆情:微博、网络论坛、自媒体等负面信息应对;
注册环节:职业羊毛党刷注册(号安手机号角度专注解决羊毛党SecID人机识别角度);
活动推广:推广业务逻辑、流量劫持应对、重放劫持。
