网站开发人员是干嘛的,常州网络网站建设,泊头做网站,网站怎么推广比较好简介#xff1a; 风控大考最佳实践 根据阿里云历史行业风险治理相关数据显示#xff0c;未经风险管控的自然流量中#xff0c;约三分之一比例属于疑似黑灰产的高风险行为#xff1b;而在建立合理的风控指标监控体系并采取风险防控手段后#xff0c;高风险用户比例下降至3%… 简介 风控大考最佳实践 根据阿里云历史行业风险治理相关数据显示未经风险管控的自然流量中约三分之一比例属于疑似黑灰产的高风险行为而在建立合理的风控指标监控体系并采取风险防控手段后高风险用户比例下降至3%以内下降比率超过90%。 有效的风险防控方案是保障各类营销、促活拉新等活动效果的必要手段。
随着春节临近部分互联网行业迎来业务高峰企业为了争夺用户流量将投入大量获客、营销资源但同时也将面临风控大考。 由于各行业、企业的业务场景及逻辑多种多样黑灰产需要借助工具才能实现团伙作案。阿里云安全团队梳理了近年来主流的被黑灰产使用的作案工具并分析其作案原理及攻击手法为企业提升防控精准度和防控效率提供参考。
云 手 机
云手机即一台运行在云端服务器的虚拟手机具备云计算赋予的超大规模、弹性扩容、成本低等优势经常被用于移动办公、AIoT、工业互联网等场景。然而这些创新的技术工具也被黑灰产瞄上用在了攻击套利方面。
传统风险治理主要通过设备指纹等技术手段进行风控管理因此黑灰产需要购买多台真机才能完成作案。但借助云手机黑灰产只需要一个云手机厂商账号就可以同时开启大量新机批量套利作案成本大大降低。
此外黑灰产可以将云手机虚拟成各类实体手机的品牌型号作案企业风控人员如果对云手机没有足够的认知很难将作弊类的云手机设备与正常云手机用户区分开风险识别挑战增加。 常见套利场景 薅羊毛黑灰产利用云手机实现低成本设备群控再使用脚本工具进行批量注册、养号恶意攻击或者寻找企业营销活动漏洞囤积平台权益进行倒卖套利。游戏打金黑灰产注册大量游戏账号借助云手机安装作弊应用来养号以获得高价值游戏装备然后通过特定交易渠道卖出实现套利。攻防原理 黑灰产可以通过云手机实现设备群控从而完成大量虚假账号的注册、登录及活跃养号然后根据不同行业业务特性实现套利具有批量、自动化操作等风险特征。
针对这一情况企业可以基于业务场景、风险画像标签搭建合理的业务指标监控体系从而及时感知风险异动。比如针对监控指标进行时序分析、操作行为聚类分析、团伙发现分析等有效发现黑灰产风险行为。
改 机 工 具
改机即把设备固有的硬件信息、软件信息、传感器信息如IMEI、IMSI、系统版本、内核版本、GPS、陀螺仪等修改成用户自定义的信息以此来骗过大多数APP的信息采集功能。
黑灰产团伙利用改机工具能够产生新的设备指纹以此来绕过单设备无法注册多账号的限制实现批量账号的注册、登录、养号为后续攻击套利提供物料。 常见套利场景 薅羊毛比如黑灰产可以利用改机工具修改设备信息伪装成为“新用户”用来躲避平台对有过“案底”的黑设备检测或是刷取一些对领取账号资质有要求的高价值权益进行套利。营销推广作弊黑灰产通过改机工具不断刷新设备指纹绕过平台风控规则批量注册小号并进行广告点击、刷单、刷赞等作弊操作消耗商家营销推广资源。攻防原理 互联网营销活动中大多数企业会通过限制设备参与活动次数来防止黑灰产批量薅羊毛在遭遇攻击后则通过建立设备“黑名单”来防止风险行为再次发生。而黑灰产通过改机工具可以绕过上述限制进行套利。
· 改机工具无法做到和官方手机完全一致因此通过建立主流机型设备参数库进行设备参数比对便能发现黑灰产作案的蛛丝马迹;
· 市面上的改机工具一般是基于特定框架实现的如Xposed因此通过检测Xposed、注入模块、系统文件等方法能及时发现设备是否存在改机行为;
· 通过对设备参数进行合法性校验也可以在一定程度上发现改机行为。 改机工具界面 应 用 多 开
由于系统限制同一软件在一个手机上只能安装一个。“应用多开”就是突破这类系统限制实现在一部手机上同一应用安装多个从而实现多账号自由切换
黑灰产不仅可以利用“应用多开”养号更严重的是多开工具能截获目标APP的网络流量从而实现监听网络包、截取登陆账号密码、窥探IM软件聊天记录导致正常用户信息被第三方多开应用滥用于黑灰产活动。 利用多开工具实现同一手机安装多个相同应用 常见套利场景 “杀猪盘”社交应用多账号操作“杀猪盘”指诈骗分子利用网络交友诱导受害人投资赌博的一种电信诈骗方式。黑灰产团伙使用多开软件等工具可以做到广撒网实现1对N的消息发送提高作案效率。虚假推广刷量黑灰产借助多开工具刷量消耗用于拉新或促活活动中的投放资源影响活动转化效果给企业带来资损。恶意引流黑灰产通过批量应用分身实现批量登录、操控账户大量发送“牛皮藓”消息进行恶意引流。攻防原理 目前市面上被黑灰产利用的多开软件多种多样其中手机版虚拟机是行业中较新的一种作弊方案。 手机版虚拟机多开方案借鉴了qemu的实现原理使用原生系统的Linux内核在自己的APP内部搭建了一个新系统的rootfs。此类工具是近期最新出现的移动端虚拟机可在Android手机上模拟出来另外一个独立的Android系统并且自带各种作弊插件。
恶意多开应用常见于同设备操作因此通过终端风险检测及服务端基于设备、操作环境、团伙聚类等方式可及时发现恶意多开行为。 虚 拟 定 位
虚拟定位即在获取到高权限的手机上从底层修改系统GPS采集的位置信息欺骗手机APP获取恶意伪装的假GPS数据。 常见攻击场景 网约车刷单针对网约车业务场景利用虚拟定位工具模拟行驶实现刷单套取平台垫付金及奖励。社交App虚拟定位诈骗修改定位后以虚拟地址在社交应用上进行色情类诈骗。商家信息爬取修改定位后自动爬取附近商家的商品、价格等信息售卖得利常见于恶意市场竞争。攻防原理 拦截API接口获取设备位置信息使用规则文件替换位置数据绕开系统对作弊插件的检测达到插件隐身的目的。掌握了虚拟定位工具的实现原理可以结合业务场景进行更有针对性地风险检测及防护。
阿里云安全专家支招业务风险防控
1. 完善业务设计提高作案门槛
针对有可能存在资损的活动与业务流程:
适当提升用户参与门槛如限定同设备、手机号参与活动的最高次数以防止黑灰产“薅羊毛”增加核销规则如对现金券类的高价值权益的兑现使用进行账户资质、行为达标等多条件强校验。
2. 主动监测风险异动分层治理
通过主动监测活动营销资源核销比例及速率结合账户行为、设备风险情况主动进行实时与近实时的异动监控。对于捕捉到的异常事件进行量化评估根据对业务的影响程度做不同处理对具有潜在资损的活动权益进行合理的分层挽回与止损。
3. 与专业风控团队合作
目前市面上的黑灰产作案工具、作案手法层出不穷。企业自建风控团队通常耗时会超过半年而大多数业务风险问题从产生到爆发的时间都很短几小时就足以造成巨额损失。因此与专业的风控团队建立合作可以有效弥补企业自身的能力短板同时节约自研成本。 值得一提的是业务风控是高度依赖实战经验的领域。阿里云业务风控团队在阿里巴巴集团自身十余年的风险管控过程中积累了丰富的最佳实践结合大数据、流式计算、机器学习算法等创新技术可以为企业提全链路跨风险场景的“端云”的联防风控方案。
作者云安全专家
原文链接
本文为阿里云原创内容未经允许不得转载
