2018年銀行業網路金融黑產風險分析報告
一、序言
近年來,隨著移動網際網路、人工智慧、雲端計算等技術的迅猛發展,網際網路金融在增進金融服務效率、降低業務成本方面的優勢逐漸顯現。網際網路金融在給客戶帶來方便和優惠的同時,也吸引了以誘騙使用者資金、攫取金融公司優惠補貼為目的的惡意分子。據《數字金融反欺詐白皮書》顯示,以網際網路金融欺詐為目標的惡意分子已經逐漸形成了目標精準、分工明確、技術先進的網路黑色產業鏈條(以下簡稱“網路黑產”)。截止到2018年6月,網路黑產從業人員已超150萬人,據估計造成的損失規模高達千億元級別,如何對抗網路黑產已經成為網際網路金融企業的一項核心研究課題。
工商銀行作為金融標杆企業,2015年正式成立了藍軍團隊,長期跟蹤分析網路黑產的發展動向,並積極在同業進行經驗分享。本次編寫的《2018年銀行業網路金融黑產風險分析報告》,從銀行安全從業者的視角出發,基於2018年重大網路金融欺詐事件的分析情況,總結了網路黑產發展趨勢,展望了網際網路金融防控手段,希望拋磚引玉,對行業發展起到幫助。
二、2018年網路金融黑產發展趨勢
自2017年《網路安全法》正式出臺以來,國家加大了對網路攻擊等犯罪行為的打擊力度,各銀行、金融機構也加大了網路安全投入,針對網際網路金融機構的直接網路攻擊得到了有效控制。近幾年,惡意分子的作案目標逐漸轉向安全防護意識相對較弱的使用者,以及安全管控相對寬鬆的網際網路金融機構。各金融機構風控系統收集的各類欺詐事件資訊顯示,當前網路黑產呈現產業化、精準化、移動化、技術化等特徵。
-
產業化:通過對2018年各類輿情進行分析後發現,網路黑產從業人員已經從原來的小集團、小作坊的模式向產業化、鏈條化的方式轉變。專業的線報提供產業、雲化手機牧場、IP隱匿代理,使得網路黑產作案時的隱蔽性更強。
-
精準化:傳統欺詐事件通常是廣撒網,欺騙性和迷惑性較低,但隨著資訊洩露和大資料、人工智慧的發展,當前作案的針對性更強,如針對租房者以中介的身份進行詐騙,針對企業財務人員以稅務或企業管理人員的身份進行詐騙等。通過精準掌握被害人身份,增加了欺詐事件的迷惑性和危害性。
-
移動化:根據2018年的統計資料,我國手機網路使用者較去年增加了約10%,而一年中發生的資料洩露事件,60%以上來自移動裝置,欺詐事件的主戰場已經轉移至移動端。
-
技術化:隨著技術的發展,網路黑產使用的各類工具平臺也逐漸統一化、集約化,甚至出現了一些將欺詐過程中使用的打碼、接碼、改號、身份隱藏等一系列黑產工具集中的BTaaS平臺(黑產工具即服務),技術化的網路黑產使得黑客作案成本更低、威脅更大。
針對網路黑產的新變化,工商銀行藍軍團隊結合2018年各類安全事件、安全態勢,總結了2018年網路黑產事件呈現出的6個趨勢:
趨勢一:使用者個人資訊洩露助長了網路黑產的氣焰
近年來,“資訊洩露”事件頻發,2018年此類事件呈現出涉及範圍越來越廣、作案手段越來越多的趨勢,洩露資訊數量較去年也呈指數型增長。僅2018年,國內即發生多家重要機構或企業客戶資訊洩露事件,洩密數量總計超過60億條。
-
2018年6月19日,暗網使用者在網上兜售某快遞公司10萬條快遞資料,其中包含收(發)件人姓名、電話、住址等資訊。
-
2018年8月20日,浙江紹興越城警方偵破史上最大規模使用者資料竊取案,涉及使用者資料超過30億條。
-
2018年8月28日,某集團旗下多家酒店入住資訊被不法分子掛在暗網售賣,涉及使用者資料超過5億條,洩露約1.3億人的身份資訊。
層出不窮的資訊洩露事件,使得使用者個人敏感資訊大量湧入網路黑產,並且每次大規模資訊洩露後,往往都伴隨著金融業“撞庫”、欺詐事件的陡增。
趨勢二:針對金融APP的木馬攻擊呈現高度定製化趨勢
2018年,金融行業遭受的攻擊依舊處於高位,從統計資料來看,往年偷盜簡訊驗證碼等廣撒網的攻擊手段已經能被金融行業的風控系統有效防治,針對金融機構的深度定製攻擊正在不斷增加。該類攻擊主要通過木馬發起偽冒交易操作,由於攻擊來自使用者本人裝置,使得金融行業傳統防控手段難以在第一時間控制。
-
針對金融業資金盜取的新型木馬
2018年11月,ESET公司檢測到一款主要針對PayPal進行攻擊盜取資金的木馬,該木馬偽裝成電池優化工具等APP,利用安卓系統的Accessibility技術監控手機屏顯內容和模擬使用者點選操作,竊取使用者資金。該木馬通過第三方應用商店大規模分發,目前已發現被此類木馬感染的手機超過了三萬臺。
-
“寄生推”惡意SDK事件
2018年4月,騰訊安全實驗室發現多款知名應用在使用者裝置上存在私自提權、靜默植入應用的惡意操作。騰訊安全研究人員通過溯源分析,發現這些應用均集成了“愛心推”資訊推送SDK,該SDK可以通過雲端控制的方式對目標使用者下發惡意程式碼,進行ROOT提權、靜默應用安裝等惡意且隱祕的操作。研究人員將此資訊推送SDK稱為“寄生推”SDK。據統計,已有300多款應用集成了此SDK,潛在影響近2千萬使用者。
網路黑產不斷針對金融行業探索定製化木馬,單獨依賴終端、作業系統層面的隔離防護等傳統風控手段已經無法保護使用者不受惡意程式影響。
趨勢三:“羊毛黨”造成的損失日益嚴重
2018年,網際網路金融在業務推廣時不斷放大的利潤,引得手握大量虛擬卡號、賬號資源的傳統黑產從業者搖身一變成了“羊毛黨”。在網路黑產的助力下,“羊毛黨”有組織地對網際網路金融推廣的各類福利進行攫取,由於行為更加隱蔽,法律風險更低,越來越多的不法分子由黑轉灰,灰產“羊毛黨”正逐漸走上舞臺中央,其造成的損失逐漸超越直接攻擊帶來的損失。
-
知名電商業務漏洞導致大額資金損失
某知名電商被曝出現重大bug,某”羊毛黨“發現一個可以無限制領取100元無門檻全場通用券的漏洞,於是利用手中大量該電商賬號領券,最終每張券以不足1元購買100元話費或等值QQ幣。最早發現漏洞的”羊毛黨“為了逃避被追責,將漏洞發到羊毛群中,引發大量”羊毛黨“瘋狂薅羊毛,最終造成電商平臺鉅額損失。據官方通告,損失在千萬元級別,但羊毛群盛傳該電商的損失更為巨大。
-
著名咖啡企業註冊送咖啡被薅千萬
2018 年 12 月,某著名咖啡企業推出拉新活動,APP 新註冊使用者即可免費領取一張兌換券,線上下門店兌換任意一杯當季特飲。無數專業的“羊毛黨”利用自動註冊機,後臺自動呼叫二維碼平臺進行註冊領券,短時間內獲取數十萬張電子兌換券,其成本僅為 0.1 元,然後“羊毛黨”通過網路渠道以便宜價格進行傾銷變現。僅僅一天時間,該企業 APP 虛假註冊量已達到 40萬,保守按照普通中杯咖啡的平均售價來估算,其的損失可能高達 1000 萬人民幣。
從上述趨勢可以看出,“羊毛黨”為企業帶來的危害和損失,正在逐漸超過傳統欺詐,由此,針對“羊毛黨”的打擊和防護也需要納入企業的安全防護體系。
趨勢四:生物識別技術引入新的風險點
隨著移動支付與人工智慧技術的普及和發展,生物識別技術正在為社會各行業提供有效的身份識別和驗證手段。然而,以人臉識別、指紋識別為代表的生物識別技術在提供便捷使用者體驗的同時,也成為了網路黑產重點突破的方向。
-
人臉識別存在繞過攻擊手法
針對人臉識別技術,利用照片、視訊等方式破解人臉認證的案例層出不窮。之前多個應用曾被曝出可利用影象處理和三維建模等技術,將靜態照片改成動態圖片或3D模型成功騙過人臉識別認證。此外,近期外媒對110款具有人臉識別功能的智慧手機進行了稽核,其中42款智慧手機僅使用在社交媒體上找到的照片就可以解鎖。
圖片破解人臉識別示例
-
GAN對抗技術使“萬能指紋”成為可能
針對指紋識別技術,利用人工智慧技術生成的“萬能指紋”可以輕鬆騙過指紋感測器。紐約大學和密歇根州立大學的研究人員根據公開發布的指紋資料集,利用生成對抗網路(Generative adversarial networks,簡稱為GAN)合成“萬能指紋”,宣稱可以解鎖任何手機,最高破解率可達76.67%。GAN生成的指紋不僅能騙過機器,從肉眼看上去也變得更像真實的人類指紋。生成器已經學會了人類指紋的一般結構,影象上的汙跡較少,並且脊部連線更好。
真實指紋(左圖)和生成指紋(右圖)對比
新技術引入給網路金融帶來了新的風險,各金融機構要積極關注業界技術發展趨勢,做好風險防控準備。
趨勢五:簡訊驗證風險依然需要高度關注
2018年8月,媒體報道了多起由於簡訊驗證碼被不法分子竊取導致的資金被盜事件,資金損失渠道涉及多家著名網際網路公司及金融機構。在此類新型的電信網路犯罪方法中,不法分子利用“GSM劫持與簡訊嗅探”技術,竊取附近使用者手機接收的簡訊內容,並最終達到資訊竊取、資金盜刷的犯罪目的。
簡訊嗅探裝置
目前,主流金融機構對於涉及動賬類敏感交易的認證方式已逐漸從簡訊認證變為介質認證。
趨勢六:網際網路金融生態引入新攻擊面
隨著金融行業與相關廠商間商業合作模式的發展,與相關企業合作更加緊密的網際網路金融生態給銀行帶來了切實的競爭優勢,但與此同時也帶來了新的安全風險。傳統的銀行在技術模式上較為封閉,可供黑客利用的攻擊面有限,但隨著開放程度的增加,原本在銀行封閉體系保護下的資產和服務逐漸暴露出來,對外提供的SDK、API可以直接穿透網路進入金融機構的業務系統,開放式銀行模式引入了更多新的攻擊面。
-
二、三類賬戶的互聯互通引入新的安全風險
2017年起,銀行業二、三類賬戶快速發展,各行大力推廣二、三類賬戶相關業務,實現了二、三類賬戶間的跨行開戶、跨行轉賬等業務,具有降低業務推廣門檻、降低獲客成本等優勢,並通過身份鑑權機制實現了互聯互通。但是在此機制下,個別銀行的安全漏洞,則會成為整個生態環境的短板,對整個二、三類賬戶體系產生威脅。
-
某支付平臺SDK漏洞導致0元購物風險
2018年7月,某支付平臺SDK 被曝存在嚴重的漏洞。該支付平臺向商戶提供的SDK包中,存在XXE漏洞,任何部署了此SDK的伺服器,都存在敏感資訊洩露問題,導致交易金鑰洩露等嚴重後果,黑客可利用交易金鑰偽造任意支付記錄,實現“0元購物”。
隨著合作模式的發展,各銀行間的業務融合的更加緊密,傳統安全“獨善其身”的模式已經無法適應當前的最新形勢,任何一個生態參與者安全防範不到位,都可能導致其他同業遭受影響,因此亟需研究金融同業共同建立安全生態體系的路徑。
三、多重手段對抗新威脅
2018年各類層出不窮的新型欺詐、攻擊手段給銀行業網路金融安全風險防控敲響了警鐘,傳統的安全防護方式已經無法有效保護企業和使用者免受不法分子的欺詐,為此,工商銀行藍軍團隊積極探索各種綜合防護手段對黑產隱蔽的特徵進行挖掘,對大量的欺詐事件進行識別,從而更有效地應對新型的詐騙手段。
手段一:從單點風險防控到智慧化、立體化防控
欺詐攻擊行為識別目前已成為業界共同的痛點,主要是由於攻擊行為隱藏於正常網際網路業務邏輯、無明顯攻擊載荷,綜合多種隱蔽技術手段(ip代理、裝置偽造等),導致不會觸發網路防護規則,難以及時發現攻擊行為。
為了解決業界痛點,提升攻擊行為檢測的時效性和準確性,工商銀行藍軍團隊提出利用機器學習模型,根據風險標識在裝置訪問電子銀行業務時進行重點布控,並通過交易序列分析提供風險依據,改變業界僅能依靠賬戶、ip地址等監控的瓶頸,增加裝置維度和交易序列維度的監控措施。針對監控到的風險裝置和風險交易序列,通過裝置指紋名單匹配,裝置、賬戶、交易多維度交叉關聯,對已知惡意裝置發起的高風險交易進行精準攔截,及時阻斷風險事件。
手段二:從“抓小蝦”到“釣大魚”的人工智慧黑產團伙深度挖掘
隨著外部黑色產業的迅猛發展,企業在網際網路環境中面對的威脅對手不再是各自為營的攻擊者,更多的是分工明確、協同合作、深度隱蔽的黑產團伙。為了能夠從相關威脅資訊中挖掘出隱藏在其背後的黑產團體,工商銀行藍軍團隊提出基於知識圖譜的思想挖掘黑產團伙關係的方法。利用工商銀行在資訊保安基礎資料平臺及其綜合資料智慧化分析處理方面的成果,並結合人工智慧技術,對網路黑產資訊進行深度關聯分析,挖掘隱藏威脅。
該方法將知識圖譜思想和機器學習演算法結合,以惡意欺詐賬戶為分析源,從多個維度廣泛挖掘關係屬性,實現多源資料融合建網,並利用演算法智慧識別出強關聯賬戶,從複雜的網路彙總梳理出隱藏的關係識別黑產團伙。
基於知識圖譜的黑產團伙挖掘模型
手段三:攻防能力建設應對新威脅
針對網路黑產日益產業化、精準化、技術化等特點,快速提升金融行業安全人員的能力也迫在眉睫。工商銀行藍軍團隊積極探索安全人員攻防能力提升路徑,力求從根本上解決當前金融行業安全防禦被動的問題,為安全防控體系注入內生動力。工商銀行藍軍團隊在總結多年來安全實踐經驗的基礎上,探索構建攻防相長的能力提升體系,為集團發展和行業安全共建提供更多支援。
基於攻防相長的能力提升體系
同時,面對日益增多的生態圈等新型綜合攻擊手段,工商銀行藍軍團隊也在著手研究構建國內首家"金融靶場"、希望通過"靶場"建設提供新技術研究、新威脅快速研判的支撐平臺,為金融行業安全發展提供一條新的實踐路徑。
四、結語
隨著金融網際網路應用的發展,如何面對新增的網際網路渠道風險已經成為傳統銀行不容忽視的挑戰。從2018年網路黑產的作案手段和發展趨勢可以看出,網際網路金融行業日漸開放、靈活的業務特點,給網路黑產提供了更多的可乘之機。在網路黑產日益專業化、智慧化、定製化的發展趨勢下,網際網路金融行業面臨的風險防控壓力空前,並且還將持續加大。為此,傳統銀行除加強自身安全能力建設外,還應積極探索黑產識別、黑產防護等課題的同業合作路徑,同時加強與網際網路標杆企業的交流學習。
工商銀行經過了多年的探索,在資訊保安風險防控方面逐漸摸索出了具有網際網路金融特色的道路和方法,在人才、機制、系統、資料等方面有了一定的積累,面對日益嚴峻的形勢,工商銀行將繼續以開放、進取的態度,不斷加強資訊保安風控相關技術的研究和應用,同時也希望同業機構攜手,加強經驗分享與溝通合作,共同構築抵禦網路黑產的安全長城。
宣告:本文來自BRDC藍軍,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。