线上欺诈是通常发生在应用层上的一种网络犯罪形式。传统诈骗往往与尼日利亚王子求助信之类骗局、虚假交易和身份盗窃相关,但最近几年,随着消费级线上服务与应用变现方式的增加,欺诈的“潜力”被大幅开发。
以下几种常见的欺诈攻击:
- 刷虚假销量与评论来促销或提升卖家等级
- 创建虚假账户攫取新用户促销优惠/礼券
- 虚列仿货或低价引诱买家私下交易(可能不安全)
- 用机器人程序制造虚假点击量、安装量和订阅量
- 交易或重复交易网络游戏虚拟物品获利
- 虚假交易
- 以被盗/假身份开设虚假信用卡及银行账户
线上欺诈形式列都列不完。但与获取非法权限黑进某网络或系统的其他网络犯罪形式不同,此类新的欺诈攻击只需简单注册用户账户并滥用线上服务及应用提供的产品功能即可。线上服务本身成为了攻击平台的一部分。对网络罪犯而言,既然能在社交网络和点对点市场上匿名自由发布内容,何苦还去花费时间精力打造和维护托管主机?
网络罪犯普遍放弃攻击用基础设施,这一转变表明,以往黑名单和信誉列表的检测方式正在变得实效。骗子们不再需要维护托管恶意内容或发起攻击的专用服务器,攻击行动变换自如。DataVisor最新一期《欺诈指标报告》指出,虚假IP地址的中位生存时间仅为3.5天。只要网络罪犯可以通过匿名代理、点对点VPN通信甚至直接从窝点接入互联网的方式访问线上服务及应用,他们就可以发起攻击。
应用层攻击
应用层攻击给了骗子极好的伪装,让他们可以成功混入普通用户当中。分辨HTTP连接是真实人类还是机器人程序脚本发起的,与区分虚假用户账户和真实账户一样难。
应用层支持多种通信协议和接口,堪称最广攻击界面。除了应用代码,访问控制和Web/移动API中都可能藏有漏洞。涉及已登录授权用户的攻击是最难以预防与检测的,比如利用了线上服务用户账户的欺诈攻击。
根据在线服务或应用的动作和功能,虚假账户可以通过执行一系列温和的操作来规避常规检测。很多欺诈攻击会等待数周、数月甚至数年才开始发动攻击。举个例子,金融骗子会用伪造身份开设多张信用卡,累积信用历史后套现信用额度一去不返。社交网站上还有虚假账户创建3年之后才开始活跃,在资料信息中更新网络钓鱼URL。
此类攻击即便用机器学习模型都很难检测。原因之一出现在模型“学习”发现虚假活动或恶意行为的方式上。很多流行机器学习应用中,比如图像识别或自然语言处理,标签都是确定性的;小鸡的图像显示的就是小鸡,不会是鸭子。向模型馈送大量“小鸡”样本,模型便能学会识别小鸡。
然而,欺诈或虚假行为却没有确定性定义。因而将机器学习应用到欺诈检测上,标签的噪音就太大了。
动态攻击
困难之二是攻击的动态性。没了专用攻击基础设施的限制,骗子就能更快速地变换攻击方法利用应用中的漏洞。依靠以往攻击样本意味着模型总是基于过时信息执行检测,对未来攻击的检测有效性相当有限。
想要对付快速进化的高级线上攻击,解决方案应纳入多层防御,构建坚实的防御基础,比如采用强身份验证系统,审核所有API访问,执行自动化代码测试等。另外,公司企业应对开发人员及第三方应用进行审查,留意通过非标准化接口的访问,了解自身服务或应用面对的攻击类型,在解决方案实现上做出明智的选择。
为进一步解决设已授权用户的滥用问题,可以采用高级行为分析对用户行为执行全面探查。线上欺诈攻击往往批量执行,一次涉及成百上千个虚假账户。这些“机器人”账户一般表现出与普通用户相异的行为特征。应探索注重数据分析和新洞见发现的技术解决方案,而不仅仅是检测反复出现的已知攻击模式。
对待线上欺诈不能一味追赶,如果仅仅是跟在后面追,永远慢攻击者一步。
DataVisor《欺诈指标报告》:
https://www.datavisor.com/resources/special-reports/Fraud-Index-Report-Q3-2018
相关阅读
