17-反欺诈攻防手段
17反欺诈攻防手段
17.1 生物识别攻防
生物特征的识别包括指纹识别和人脸识别。
17.1.1指纹识别
- 欺诈:采集指纹印记,制作指纹膜;
- 反欺诈:采用分辨率更高的指纹识别模块,除非使用真人手指倒模的指纹膜外,不会轻易被上述指纹膜攻破
17.1.2静态人脸识别
- 欺诈:照片、图片攻击
- 反欺诈:增加活体检测,随机要求用户点头、摇头、眨眼
17.1.3动态人脸识别
- 欺诈:①事先录制好的视频攻击;②获取照片使用3D软件建模渲染出用户人脸攻击,可模拟简单动作
- 反欺诈:①集成眼纹识别技术,检测人眼独特的血管分布;②集成声纹识别技术,要求用户念出随机数字;③检测活体截图照片是否翻拍。
17.2 数据获取攻防(数据泄露攻防)
17.2.1 手段1
- 欺诈:黑客拖库
- 反欺诈:①系统打补丁,升级各类依赖库,加强业务代码的安全性;②敏感数据加密、脱敏处理
17.2.2 手段2
- 欺诈:①木马/病毒直接获取客户在用户端的数据;②钓鱼网站欺骗客户交出自己的敏感信息
- 反欺诈:黑产情报监控,对社工库数据进行分析,发现高危账户,做相应防范
17.2.3 手段3
- 欺诈:电信诈骗,获取客户敏感资料
- 反欺诈:黑产情报监控,对社工库数据进行分析,发现高危账户,做相应防范
17.2.4手段4
- 欺诈:企业内部员工泄露、贩卖客户资料
- 反欺诈:①敏感数据加密、脱敏处理;②内部员工系统权限控制;③内部员工操作痕迹记录
17.3 营销欺诈攻防
参与活动规则:手机号作为账号主体,一个手机号仅能参加一次活动
假设前提:手机号不需要实名验证,无在网时长限制,无需接收验证码
17.3.1手段1
- 欺诈:随意填写手机号注册参与活动
- 反欺诈:手机号接收验证码(数字验证码),验证通过才可参与活动
17.3.2手段2
- 欺诈:①卡商购买能接收验证码的手机号;②通过收码平台获取验证码,并回传给脚本工具,快速完成注册
- 反欺诈:升级验证码,使用图形验证码+拼图验证
17.3.3 手段3
- 欺诈:①1、利用打码平台(网赚平台),人工打码;②有实力的打码平台集成图像识别技术,完成图像验证码到文本的转换;③拼图验证也可以通过图像识别配合鼠标轨迹脚本,完成拼图
- 反欺诈:①手机号实名验证;②在网状态;③在网时长限制
17.3.4手段4
- 欺诈:①通过卡商,使用猫池设备养卡,购买满足条件的虚假号码攻击;②使用群控系统批量注册
- 反欺诈:①风控系统就在客户端部署鼠标轨迹侦测代码,配合机器深度学习,归纳真人操作鼠标的移动规律,让黑产的自动脚本无计可施;②风控规则不准同一台手机/同一个IP频繁执行注册或不断切换账号尝试登陆;③采用先进的设备指纹技术;④分析手机传感器状态(例如GPS定位、陀螺仪倾角),判断设备异常(位置和姿态长期不变)
17.3.5 手段5
- 欺诈:①使用PC端的手机操作系统模拟器,或者在真实手机上安装改机工具,随意设置各种终端设备信息;②针对IP封锁,黑产则使用廉价的高匿名代理服务器来欺骗业务平台,从业务请求消息的内容当中只能看到代理的IP而看不到源头的IP
- 反欺诈:①采用APP加固来识别运行环境(是否模拟器),检测root/越狱状态,屏蔽或限制此类设备发起的业务请求;②对于IP代理,通常使用IP黑灰名单,过滤掉已知/嫌疑的代理;③爬取用户APP列表,检测是否存在改机软件;④采用先进的设备指纹技术
17.3.6 手段6
- 欺诈:对于成功注册的账号,黑产参与活动,接下来是如何套利:①绑定银行卡提现;②填写收货地址收货;③购买虚拟商品、高价值商品套利;④优惠券转卖获利
- 反欺诈:①绑卡四要素验证;②一张卡仅能参与一次活动限制;③收货地址集中性规则/监控;④优惠券购买行为监控
17.3.7手段7
- 欺诈:对于风控对银行卡的限制,黑产还会尝试多开银行卡(如2类户)的形式更多参与活动
- 反欺诈:限制同一身份证仅能参与一次活动
17.4 网络信贷欺诈攻防
目前,信贷欺诈有以下几种方式:
17.4.1 社会工程学诈骗(电信诈骗)
- 欺诈①:获取客户手机号、姓名信息,冒充某平台工作人员联系客户,伪造该平台资质证明,获取客户信任后,骗取前期费用,客户将钱款转至对方微信、支付宝或私人账户
- 反欺诈办法:官网、微博、公众号、APP等途径发布防欺诈提醒;存量客户发短信提醒;山寨APP链接尝试做屏蔽处理,黑产的社交账户做投诉屏蔽处理;指引客户报案,配合公安取证
- 欺诈②:获取客户手机号、姓名信息,冒充某平台工作人员联系客户,发给客户链接让客户下载山寨APP,以各种理由骗取前期费用
- 反欺诈办法:官网、微博、公众号、APP等途径发布防欺诈提醒;存量客户发短信提醒;山寨APP链接尝试做屏蔽处理,黑产的社交账户做投诉屏蔽处理;指引客户报案,配合公安取证
- 欺诈③:截获客户短信详情,知道客户欠款金额,还款日期,还款账户信息,联系客户获取客户信任,让客户将欠款转至对方微信、支付宝或私人账户
- 反欺诈办法:调查公司内部各环节是否存在漏洞,以及短信通道合作方是否违规;客户短信也可能在其他平台被爬取;官网、微博、公众号、APP等途径发布防欺诈提醒;存量客户发短信提醒
- 欺诈④:公司内部或合作方泄露客户敏感信息,冒充平台工作人员诈骗
- 反欺诈办法:调查公司内部各环节是否存在漏洞,以及短信通道合作方是否违规;客户短信也可能在其他平台被爬取;官网、微博、公众号、APP等途径发布防欺诈提醒;存量客户发短信提醒
17.4.2 第三方欺诈
- 欺诈①:客户找中介办理,中介帮客户包装资料、代接听审核电话,获取超过客户资质的贷款额度
- 欺诈②:黑产获取客户整套资料原件,伪冒客户身份申请贷款,寻找长的相像的人过人脸识别
- 欺诈③:黑产获取客户身份证号码、银行卡账户,注册某平台账号,使用3D软件建模模拟出人脸过人脸识别,骗取2类户信用额度,再绑定微信支付宝套现
- 欺诈④:熟人作案,客户被骗,用本人身份申请贷款,款项被第三方转走
- 反欺诈办法:人脸识别、声纹识别、外部数据交叉检验
17.4.3 第一方欺诈
- 欺诈①:客户本人申请贷款,恶意拖欠不还款
- 欺诈②:一人多证,意图不良