又到了一年一度的双十一购物季,各大平台营销活动纷纷上线,红包、优惠券、秒杀……这些优惠你抢到了吗?
为了拉新促活,一家知名保险公司近期投入上百万的营销费用,在自家APP、微信小程序上线了一个“抽奖得红包”的用户活动。然而,这些红包真正被用户抢到了吗?恐怕很难。经过瑞数信息的后台诊断分析,大部分红包并没有按计划被发放至终端用户手上,而是被大量“羊毛党”薅走了。
通过日志分析,瑞数信息发现了大量的高级自动化行为和批量接口调用等可疑情况:
仅8天时间,简单脚本攻击就超过140万次,高级自动化工具使用了2万+次,重放攻击逼近1.5万次,令牌篡改请求也突破了6000次。
换句话说,黑产团伙早就盯上了这个活动,通过系统化的技术手段和数以万计的账号,利用自动化的脚本程序,来批量参与保险线上平台的营销活动,以此获取高额利润。除此之外,由于黑产的大量“进攻”,扫雷抢红包怎样才能不输,营销活动页面经常卡顿,后端服务器难以支撑,严重影响了真实用户参与活动的体验。
那么问题来了
为什么部署了大量安全设备的保险公司没有发现黑产团伙的行为?
瑞数信息又是如何发现并打击黑产的呢?
为什么用户无法发现黑产“薅羊毛”?
一方面,小程序这类新兴线上渠道被攻击者逆向难度很低,只要调取代码就可以直接获取微信用户身份认证信息,完成登录、下单、查询等用户行为。另一方面,API接口承载着大量客户信息、业务和交易数据、认证信息等关键数据,经常面临接口越权、未授权访问等安全威胁。黑产不仅可以利用应用漏洞进行攻击,还通过各类拟人化Bots模拟业务操作,实现业务攻击,对数字化业务的影响也在快速攀升。
内外交困之下,传统的业务安全/风控产品也疲态尽显。
传统业务安全/风控产品的关注点在于账号、IP、设备信誉以及固定规则,需要频繁地更新数据库和规则来应对黑产攻击。但如今的黑产已经可以通过丰富IP、使用肉鸡、设备root、手机群控等手段,让传统的业务安全/风控系统疲于应对,甚至无法察觉黑产的存在。
三步发现黑产“薅羊毛”
针对传统安全/风控产品的弊端,瑞数信息利用独创的“动态安全+AI”技术,三步精准定位黑产“薅羊毛”行为,有效打击各类网络欺诈,包括伪装成正常交易的业务作弊、利用合法账号窃取敏感数据、假冒终端应用等。
1、关机状态下同时按住音量下键+开机键(或主页键和电源键)2、进入开机界面,松开,一会儿就会看到官方recovery刷机工具。3、然后通过音量上和下,分别选择wipe data,确定(用音量键上下选择,用电源键确定),然后他会询问yes。
1.批量调取接口行为分析(重放、脚本自动化)
以上述保险公司案例为例,通过单独分析抽奖路径,瑞数信息发现:20%的请求操作行为字段为空值,可以判断这一部分是使用的简单脚本进行攻击;30%的输入操作记录为0,说明可能是通过高级自动化攻击发起的请求,或者是使用重放工具发起的请求。
正常的抽奖逻辑需要先访问抽奖页面,然后通过该页面发起抽奖的接口请求。但瑞数信息从接口调用的referer发现:其中20%的请求没有前置页面请求,referer值为空,说明这些请求是直接自动化调用的抽奖接口,没有按照正常的抽奖逻辑进行抽奖。
2. 高级Bots工具
通过日志分析,瑞数信息发现了不少高级自动化工具。这类工具的访问日志中操作行为字段为空,没有人为的输入、滑动等行为,所有请求都是脚本驱动浏览器完成。
3. 黑产批量调取接口行为分析(代理池)
通过瑞数信息的cookie id(每个用户不会重复,具备唯一性),以及提取到的页面输入行为进行聚类分析,发现黑产团伙进行接口批量调用,直接参与抽奖行为。
以上种种分析,都指向了黑产团伙的行为路径:使用简单脚本,定时抓取活动页面,获取活动信息;使用高级自动化工具和重放攻击,模拟真人访问,自动化参与抽奖。
四招分层解决“薅羊毛”
在清晰洞察了黑产行为之后,瑞数信息采用四招分层解决黑产“薅羊毛”问题。
招式一:针对简单脚本攻击和高级Bots工具
瑞数信息的“动态令牌”“动态验证”技术,能够确保运行环境,进行人机识别,对抗浏览器模拟化以及自动化攻击;同时,防止重放攻击和越权,确保业务逻辑正常进行。
保证手机要安全,软件下载渠道要安全或安装手机安全软件。外挂抢红包软件获取用户敏感信息,均需获得系统权限,因而,用户要能自己掌握手机应用的功能权限,随时可以关闭获取用户信息等相关功能选项。用户可以下载第三方安全软件,24。
招式二:针对黑产团伙
概率问题。这个抢包就是概率问题,有的号抢包一直中雷只能说明运气好,有的不中雷可能是最近运气不好可以过段时间再抢包,毕竟概率上都拿捏不住。
通过业务威胁感知、群控模型、聚类分析指纹和IP对应关系、分析页面输入行为、定制可编程对抗策略等方式,瑞数信息能够实时识别和拦截模拟合法操作的异常行为,并梳理出黑产名单。
同时通过瑞数信息的“动态安全+AI”技术,大幅削减了自动化工具的攻击效率,拦截了大量的“薅羊毛”行为,也为客户服务器减轻了很大的压力。
不仅如此,考虑到黑产一般在活动发起前就开始进行诸多准备,如扫描系统漏洞、爬取用户信息、分析活动页面信息等,瑞数信息在活动发起前就对业务做好防护,让业务“风险前置”。
招式三:漏洞防扫描
通过动态安全技术,使得漏洞扫描或漏洞利用工具无法发起有效自动化扫描探测,无法发现可利用的漏洞及网页目录结构。同时,在网站/APP等应用未打补丁或补丁空窗期,提供有效安全防护。
招式四:用户信息防泄露
总体而言,瑞数信息之所以能很好地解决黑产“薅羊毛”问题,一方面在于“动态安全+AI技术”具有自动化攻击防御、人机识别等独特优势;另一方面也在于能同时覆盖Web、H5、APP、小程序、API等多种业务渠道,数据采集点更加丰富,通过全量数据融合AI算法,使得防御能力更加精准,实现业务风控前置。
用挂就行,我有
在黑产作案方式逐渐专业化、隐蔽化、团伙化的今天,线上营销需要新的安全技术方案才能更好地“应战”。瑞数信息作为Gartner、IDC等国际知名咨询机构推荐的在线反欺诈领域代表厂商,将持续发挥自身技术优势,为业务安全保驾护航。
