在線欺詐:當今應用層主要安全問題
責編:gltian |2019-01-25 13:25:36線上欺詐是通常發生在應用層上的一種網絡犯罪形式。傳統詐騙往往與尼日利亞王子求助信之類騙局、虛假交易和身份盜竊相關,但最近幾年,隨著消費級線上服務與應用變現方式的增加,欺詐的“潛力”被大幅開發。
以下幾種常見的欺詐攻擊:
- 刷虛假銷量與評論來促銷或提升賣家等級
- 創建虛假賬戶攫取新用戶促銷優惠/禮券
- 虛列仿貨或低價引誘買家私下交易(可能不安全)
- 用機器人程序制造虛假點擊量、安裝量和訂閱量
- 交易或重復交易網絡游戲虛擬物品獲利
- 虛假交易
- 以被盜/假身份開設虛假信用卡及銀行賬戶
線上欺詐形式列都列不完。但與獲取非法權限黑進某網絡或系統的其他網絡犯罪形式不同,此類新的欺詐攻擊只需簡單注冊用戶賬戶并濫用線上服務及應用提供的產品功能即可。線上服務本身成為了攻擊平臺的一部分。對網絡罪犯而言,既然能在社交網絡和點對點市場上匿名自由發布內容,何苦還去花費時間精力打造和維護托管主機?
網絡罪犯普遍放棄攻擊用基礎設施,這一轉變表明,以往黑名單和信譽列表的檢測方式正在變得實效。騙子們不再需要維護托管惡意內容或發起攻擊的專用服務器,攻擊行動變換自如。DataVisor最新一期《欺詐指標報告》指出,虛假IP地址的中位生存時間僅為3.5天。只要網絡罪犯可以通過匿名代理、點對點VPN通信甚至直接從窩點接入互聯網的方式訪問線上服務及應用,他們就可以發起攻擊。
應用層攻擊
應用層攻擊給了騙子極好的偽裝,讓他們可以成功混入普通用戶當中。分辨HTTP連接是真實人類還是機器人程序腳本發起的,與區分虛假用戶賬戶和真實賬戶一樣難。
應用層支持多種通信協議和接口,堪稱最廣攻擊界面。除了應用代碼,訪問控制和Web/移動API中都可能藏有漏洞。涉及已登錄授權用戶的攻擊是最難以預防與檢測的,比如利用了線上服務用戶賬戶的欺詐攻擊。
根據在線服務或應用的動作和功能,虛假賬戶可以通過執行一系列溫和的操作來規避常規檢測。很多欺詐攻擊會等待數周、數月甚至數年才開始發動攻擊。舉個例子,金融騙子會用偽造身份開設多張信用卡,累積信用歷史后套現信用額度一去不返。社交網站上還有虛假賬戶創建3年之后才開始活躍,在資料信息中更新網絡釣魚URL。
此類攻擊即便用機器學習模型都很難檢測。原因之一出現在模型“學習”發現虛假活動或惡意行為的方式上。很多流行機器學習應用中,比如圖像識別或自然語言處理,標簽都是確定性的;小雞的圖像顯示的就是小雞,不會是鴨子。向模型饋送大量“小雞”樣本,模型便能學會識別小雞。
然而,欺詐或虛假行為卻沒有確定性定義。因而將機器學習應用到欺詐檢測上,標簽的噪音就太大了。
動態攻擊
困難之二是攻擊的動態性。沒了專用攻擊基礎設施的限制,騙子就能更快速地變換攻擊方法利用應用中的漏洞。依靠以往攻擊樣本意味著模型總是基于過時信息執行檢測,對未來攻擊的檢測有效性相當有限。
想要對付快速進化的高級線上攻擊,解決方案應納入多層防御,構建堅實的防御基礎,比如采用強身份驗證系統,審核所有API訪問,執行自動化代碼測試等。另外,公司企業應對開發人員及第三方應用進行審查,留意通過非標準化接口的訪問,了解自身服務或應用面對的攻擊類型,在解決方案實現上做出明智的選擇。
為進一步解決設已授權用戶的濫用問題,可以采用高級行為分析對用戶行為執行全面探查。線上欺詐攻擊往往批量執行,一次涉及成百上千個虛假賬戶。這些“機器人”賬戶一般表現出與普通用戶相異的行為特征。應探索注重數據分析和新洞見發現的技術解決方案,而不僅僅是檢測反復出現的已知攻擊模式。
對待線上欺詐不能一味追趕,如果僅僅是跟在后面追,永遠慢攻擊者一步。
DataVisor《欺詐指標報告》:
https://www.datavisor.com/resources/special-reports/Fraud-Index-Report-Q3-2018