NSC2014通付盾(PayEgis)公司董事長汪德嘉
責編:rhliu |2014-10-24 13:53:28《暗戰:交易反欺詐攻防》
我演講的這個題目是一個電視的名字,但是實際上在網絡世界,其實像電視當中的情節是有發生的。我這個題目其實是涉及到移動金融安全方面的,放到這個論壇,不知道有多少人感興趣。
首先介紹一下我自己,我是通付盾的CEO,2011年底從國家回來,在蘇州創業,現在在北京、杭州和各地都有分布。我在國外的經歷是做反欺詐方面的,動態是一個身份認證的一種方法,我剛才聽到了前面一位嘉賓提到了軟件定義邊界,我特別驚喜。我這個話題其實是與那個有點類似。我是做軟件的,我們的時空碼做身份認證,不是用過去那種硬件的方法,我們是用軟件來做身份認證,是把軟件做到已有的面上去做身份認證。在做自控碼的過程當中,我們也提高了自己的產品能力,保證軟件的機密性。前面愛加密的高總也講到了他們的安全加固,其實我們也有安全加固的產品,就是提高我們自己時空碼軟件的機密性,我們是有自己的獨到之處,我們不是在應用層去做安全攻擊,而是在系統層。包括系統里面的一些存儲,還有這種密鑰的碎片化、云端化,還有就是針對操作系統的一些優化,我們做了很多的工作。
我們這個產品叫應用盾,這個從安全評估來講是攻,你如果要防的話肯定要知道怎么攻,到安全加固,提供從體檢到檢鑰,后面的渠道檢測是全網的感知能力,我們也能夠提供目前Android市場上500多家應用市場的開發。我們的應用開發的監控不是基于簽名的,因為金融機構很多都是外包的,很多都是同一個簽名的,不是基于簽名的。這是另外一個話題了,我們還有主動的防御,還有異常檢測,我們是應用盾的系列,這是我們在端安全的一些產品。
另外一個產品是我們在云的一款產品叫反欺詐,這是我后面要重點講的。我們時空碼是一個端管云的認證體系,實際上時空碼我說是多維的,二維的就是動態的二維碼,一維的就是條碼,還有數字碼,就像過去ODP一樣,是硬盤。比特信,是自認證的,有一個加密的算法,昨天的會議有一個話題就是量子加密,其實我們就是對抗量子減密的。
今天是談一個很小的話題,關于反欺詐這一塊的,從攻防的角度來談。我從一個很小的點,從移動營銷這個角度來談。目前移動營銷的一個趨勢是移動化、社交化、游戲化。特別是現在微信里面的營銷特別火,我們其實有些方面的用戶,我們這種攻防很有意思,有很多不眠之夜,和他們在斗爭。所以跟大家分享一下,移動化、社交化、游戲化有它的優缺點,大家都知道。
移動營銷的一些風險,移動營銷最后產生的是一些有價值的東西,比如有一些獎品,獎品有的是話費,有的是優惠券,有的是彩票,這些都是有價值的東西,在我們看來是虛擬貨幣,是虛擬的有價值的東西。對于黑客來說,這一塊法律懲罰起來成本比較高,其實對于他們來說,欺詐的風險成本比較低,不像網銀,偷了錢可能會找上門來。這種小額的在網絡世界里面,找到這些黑客的話,其實難度也比較大。
在移動營銷里面有一個欺詐的產業鏈,只要有價值的地方,很多人就會糾結在一起做一些壞事。這個產業鏈欺詐主要在幾個方面,有的是黑客的欺詐,有的內部用工的欺詐,黑客的欺詐不用講,用戶的欺詐也不用仔細講。我想講一下內部的欺詐,其實我們客戶有一個很大的點就是內部欺詐,內部因為他們要考核業績,所以他們在外面找到黑客,故意把這個平臺刷業績。這是一家銀行,他們是推廣類的營銷,他們的產品是一個錢包,他們是怎么做的呢?是在微信里面有一個鏈接,這個鏈接是可以轉發的,打開鏈接這是一個抽獎的界面。抽獎有很多種,有隨機數的,有摩天輪的,還有一種就是刮刮獎。你中獎的話就會有獎品,有話費或者是電影票,沒有中獎的話,還有機會的可以轉發給你的朋友。
這是在微信里面,微信里面這個頁面是HTML5,對于黑客來說,這里面的機密其實很重要,當然黑客也是分成三六九等。我這里面講到欺詐的話,比如黑客到底有多黑,第一個是比較初級的黑客,有時間手工錄入一些手機號碼,可以是自己的,也可以是別人的,但是這個手機號碼怎么樣驗證合法性和有效性?一般這種營銷平臺在前面做得成本比較昂貴,所以基本上就是輸入一個,后面再輸。這樣的話,對于這種有時間的黑客來說,時不時的在微信里面抽抽獎。手工輸入很多,就是我輸入一個別人的號碼,這個獎抽下來,然后我去兌獎,這是最初級的。還有一種級別就是有些黑客它有些工具,這些工具要么是錄制的,要么是修改刷獎的腳本,這些腳本工具來刷獎。進來用戶,不僅僅是用手了,而是用工具了。還有就是像程序員,他不是用別人的工具,自己可以制造工具,自己寫腳本刷獎。因為最后是HTML5,可以在里面有自己的腳本和模擬。
手機客戶端,Web端,不管是混淆還是加密,對于黑客來說都是透明的,只不過是花多長時間的成本問題,這是對于有技能的,能夠制造工具的黑客來說。還有黑客他不僅僅有工具,還有技能,他可能手下有一幫小兄弟,還有很多資源,還有很多搞IP、代理服務器等等,是有資源的,他們就比較厲害。這是我們反欺詐攻擊者經常頭痛的問題,但是不是最頭痛的。最頭痛的問題是這些黑客他懂風控,他知道你的風控里面一些防御的規則,他試探,其實就是對抗,高手對招,這種情況在國內和國外在高手當中經常發生,最頭疼的是第五級。如果不是專業人士的話可能不知道,這些就是一些暗戰。
我今天講七種武器,不僅僅是對于營銷反欺詐,對于交易反欺詐、登錄反欺詐都是有效的,當然的話,在工具組合和武器上用得不一樣。從設備指紋開始,設備指紋不是生物質能,因為人是最不靠譜的,人有很多馬夾,靠譜的東西是真實的東西,在外面通過CT/PIP見到的都是真實的,沒有見到的都不是。這種機器碼不是前臺的,而是后臺的,是別人帶來的偽裝的。后面到地理環境,這也是一個很有效的武器,就是說根據你在真正地方,它的變化,怎么樣識別這個場景,識別這個欺詐。后面是規則引擎,就是一種決策、判斷,也比較靈活,讓你學習很多知識,就像專家庫一樣。然后是模型,模型是預測,就是根據你的經驗,過去根據你周邊的環境,你可以預測和判斷他下一步會做什么。到征信系統,在這個虛擬世界里面,其實最終看到的是征信,就是這個設備有多少可能性,這個動作有多少可能性會做欺詐。有些肯定是做欺詐的,比如有的是從網吧來的,或者有些機器是被黑客病毒入侵了機器,都是有可能作為一個肉機來作案的。關系圖譜就是說沒有數據的情況下,怎么樣通過設備與設備之間的關系,或者人與人之間的關系來識別這種欺詐。最后就是所有的東西一定要看得明白,數據展現非常重要,否則的話你不知道發生了什么。
我講幾個武器,規則引擎很多專業人士都知道,從條件到操作符,到最后的動作。條件其實是我們一個真實的系統,條件有很多規則、類型,包括技術、時間,都是很敏感的,是多種不同參數的類型。剛才說的手機號碼,其實用這個來表示的話,能夠很快的判斷出來是一個合法的或者是非法的手機號。操作符我們是打組合拳的,”與”或者是”或”,因為講攻防就是要講組合拳,最后是動作。這很重要,因為對于高手來說,他知道你做了哪些動作,他能夠感知到,所以一定要變化。
規則的類型,這是我們系統支持的,當然還有更多的。一個就是速率,很多反欺詐的,對于欺詐來說,他拿到一些漏洞,或者知道有一個控制,可以很快的執行欺詐。所以他在很短的時間里面做很大量的事情,這些事情一定要用速率的方法做反欺詐,這是非常有效的。一個人在過去一個小時里面,向一個帳號里面充值,每次都充值,連續充值10次,每次充值100塊錢,這個就有點不正常。這里面講了,每個小時,每個IP訪問數量不能超過50次。IP還是PC時代的東西,像移動很多的IP都是不精確的,以IP作為一個例子,像設備指紋的速率什么,就是不同維度的。還有一個就是模式,就是定義多個參數之間存在的關系,防止偽造參數,控制每分鐘,每個IP不能超過5次,就是這兩個有關系在里面。就是計數,定義計數的關系,增加參數協同控制能力,每一個IP的頁面不超過3次。上面是從速率、模式和計數層次,下面是更高級的層次,有一些實例在里面。
怎么樣定義這個組合的規則,這是界面性的東西,這是我們系統里面的。然后就是規則和流程怎么樣操作,這里面講到與模型和行動是相關聯的,最后是決策。這是大數據的一些東西,大數據來反欺詐,沒有數據的時候也能反欺詐。剛才提到的是一些武器和問題,就像搏擊一樣,對于這種手工刷獎有什么好招?我們有一個設備指紋的技術,這個設備指紋的技術能夠唯一的識別一個設備,這個指紋是我們發的,在我們系統里面的一個碼,不是身份證號。我們覺得在你的客戶端里面,因為是軟件,在黑客來講你總是透明的。所以一定從服務器當中,當然要結合客戶端的一些信息。
我們有一個設備指紋,用設備指紋進去的話,控制這種手工刷獎非常有效。這里面有一個Count規則,單參數的控制同一個設備一周最多中獎5次,同一個設備一天進入2次非法頁面,這是基本的欺詐,就是這一招。對于錄制、使用腳本,我們是可以對于PC和模擬器進行識別,一個微信可能是在手機上面的。加入說模擬器來做一些東西,肯定是在反欺詐。后面是直接訪問抽獎的接口,是用腳本來的,我們用自己的一些Context的規則,觸發控制,比如設備指紋不合法,比如鏈接ID僅出現一次就中獎。參數的話,很多就是把你的參數錄制下來,然后改成他的參數,給你的后臺做請求。而且我們有一些對于偽造的這種黑客,我們就自動的拉進黑名單,而且也不告訴他。
還有一個就是對于這些有資源的黑客,多IP地址,其實要通過地理信息庫來識別。這個速度非常快,因為微信里面,移動時代的請求量特別大,每天都是千萬級的,甚至是億萬級的,傳統的數據庫根本不行,必須通過大數據,Hadoop的結構。我們禁止使用代理服務器,IP地址和手機號段不匹配,我們都是可以用這些方式來控制的。
針對Level4的,我們有正則表達式匹配,還有30分鐘相似號碼的統計,Similarity是相似度的規則參數控制。還有一個做法就是Pattern的規則,它們之間是存在一定的關聯性的,限制一個時間里面一個參數與其他參數的關系。一個設備對應的帳號數量不能超過5個,一小時同一個帳號對應的帳號次數不能超過5次,就是多種組合拳。
針對高手的情況,這里面講到信譽規則,這個做法就是禁止信譽值小于0.5設備的訪問,我們對于信譽都有一個評分,我們假如說拒絕一個IP的信譽值,這種IP訪問或者設備訪問的話,就把信譽值降低了0.05,這是一個自動的學習過程。對于這種,我們每次請求多個參數中,僅修改少量參數,試探的方法來做非常好。很多其實也在跟你試探,你修改了規則,你的策略變了,其實他也在變。有很多時候做什么呢?我們很多時候其實是用蜜罐的技術,像導彈,用這種方式蜜罐,就是這種方法。我們很多東西是用后臺來做的,我們有意圖的來引誘他到這種蜜罐的環境。就是把很多黑客的東西放入進來,這個是交易反欺詐方面非常需要的。對于有些刷獎行為的操作,他自己拒絕了你都不知道是怎么拒絕的,與業務的聯動是非常重要的。比如凌晨一兩點,我們發現很多人來刷營銷平臺,做的交易也是不正常的,在中國凌晨一兩點都是睡覺的時候,對于美國是做交易的,這里面有更深層的策略。
我們對欺詐者也有分級,不同的欺詐者我們有不同單位的策略。下面講到分析模型,還有一些設備征信,這是我們一些產品。后面是數據展現,這里面包括你的規則,多有效,包括量很大,這里面有一半的請求都是欺詐的,這個是欺詐環。我們接進我們的系統其實也就是一個星期,也找不到其他的好辦法,在黑客圈子里面大家都知道,沒有幾天預算就沒有了,所以他一直在找提供商。后來找我們,一周之內就把這個欺詐給停止了。我們把展現的結果給他們,這里面有一個地理位置是廣東,他們說你們的數據很準,當時他們還給廣東分行打電話,廣東分行的一個負責人說,你們有異常,你們做了什么事了?但是他們知道,那邊有異常,做了什么事,但是他不知道怎么樣證明他們做了一些事。其實他們是通過內部欺詐,外面雇了一些黑客幫他們提高業績,很快的就得到了客戶的認可。
反欺詐安全和金融安全特別重要,保護民生,我們也是希望助力移動金融發展。我們最近在招聘,在座有很多都是技術人員,如果致力于做一些利國利民的事情,請加入我們,謝謝!
