2018年银行业网络金融黑产分析报告
一、序言
近年来,随着移动互联网、人工智能、云计算等技术的迅猛发展,互联网金融在增进金融服务效率、降低业务成本方面的优势逐渐显现。互联网金融在给客户带来方便和优惠的同时,也吸引了以诱骗用户资金、攫取金融公司优惠补贴为目的的恶意分子。据《数字金融反欺诈白皮书》显示,以互联网金融欺诈为目标的恶意分子已经逐渐形成了目标精准、分工明确、技术先进的网络黑色产业链条(以下简称“网络黑产”)。截止到2018年6月,网络黑产从业人员已超150万人,据估计造成的损失规模高达千亿元级别,如何对抗网络黑产已经成为互联网金融从业单位的一项核心研究课题。
工商银行作为金融标杆企业,2015年正式成立了蓝军团队,长期主动关注黑产的发展动向,并积极在同业进行经验分享。本次编写了2018年网络金融黑产分析报告,从银行安全从业者的视角出发,基于2018年重大网络金融欺诈事件的分析情况,给出了对网络黑产发展趋势的总结,以及对互联网金融防控手段的展望。希望抛砖引玉,对行业发展起到帮助。
二、2018年网络金融黑产发展趋势
自2017年《网络安全法》正式出台以来,国家加大了对网络攻击等犯罪行为的打击力度,各银行、金融机构也加大了网络安全投入,针对互联网金融机构的直接网络攻击得到了有效控制。近几年,恶意分子的作案目标逐渐转向安全防护意识相对较弱的用户,以及安全管控相对宽松的互联网金融机构。根据各金融机构风控系统收集的各类欺诈事件信息显示,当前网络黑产呈现产业化、精准化、移动化、技术化等特征。
-
产业化:通过对2018年各类舆情进行分析后发现,黑产从业人员已经从原来的小集团、小作坊的模式向产业化链条化的方式转变。专业的线报提供产业、云化手机牧场、IP隐匿代理,使得黑产作案时的隐蔽性更强。
-
精准化:传统欺诈事件通常是广撒网,欺骗性和迷惑性较低,但随着信息泄露和大数据、人工智能的发展,现在作案的针对性更强,如针对租房者以中介的身份进行诈骗,针对企业财务人员以税务或企业管理人员的身份进行诈骗等。通过精准掌握被害人身份,增加了欺诈事件的迷惑性和危害性。
-
移动化:根据2018年的统计数据,我国手机网络用户较去年增加了约10%,而一年中发生的数据泄露事件,60%以上来自移动设备,欺诈事件的主战场已经转移至移动端。
-
技术化:随着技术的发展,黑产使用的各类工具平台也逐渐统一化、集约化,甚至出现了一些将欺诈过程中使用的打码、接码、改号、身份隐藏等一系列黑产工具集中的BTaaS平台(黑产工具即服务),技术化的黑产使得黑客作案成本更低、威胁更大。
针对黑产的新变化,工商银行蓝军团队结合2018年各类安全事件、安全态势,总结了2018年黑产事件呈现出的6个趋势:
趋势一:用户个人信息泄露助长了网络黑产的气焰
近年来,“信息泄露”事件频发,2018年此类事件呈现出涉及范围越来越广、作案手段越来越多的趋势,泄露信息数量较去年也呈指数型增长。仅2018年,国内即发生多家重要机构或企业客户信息泄露事件,泄密数量总计超过60亿条。
-
2018年6月19日,暗网用户在网上兜售某快递公司10万条快递数据,其中包含收(发)件人姓名、电话、住址等信息。
-
2018年8月20日,浙江绍兴越城警方侦破史上最大规模用户数据窃取案,涉及用户数据超过30亿条。
-
2018年8月28日,某集团旗下多家酒店入住信息被不法分子挂在暗网售卖,涉及用户数据超过5亿条,泄露约1.3亿人的身份信息。
层出不穷的信息泄露事件,使得用户个人敏感信息大量涌入网络黑产,而且,在每次大规模信息泄露发生后,都往往伴随“撞库”、欺诈事件的陡增。
趋势二:针对金融APP的木马攻击呈现高度定制化趋势
2018年,金融行业遭受的攻击依旧处于高位,从统计数据来看,往年偷盗短信验证码等广撒网的攻击手段已经能被金融行业的风控系统有效防治,针对金融机构的深度定制攻击正在不断增加。该类攻击主要通过木马发起伪冒交易操作,由于攻击来自用户本人设备,使得金融行业传统防控手段难以在第一时间控制。
■
针对金融业资金盗取的新型木马
2018年11月,ESET公司检测到一款主要针对PayPal进行攻击盗取资金的木马,该木马被伪装成电池优化工具等APP,利用安卓系统的Accessibility(残疾人无障碍)技术监控手机屏显内容和模拟用户点击操作,窃取用户资金。该木马通过第三方应用商店大规模分发,目前发现此类木马共感染了超过三万台手机。
■
“寄生推”恶意SDK事件
2018年4月,腾讯安全实验室发现多款知名应用在用户设备上存在私自提权、静默植入应用的恶意操作。腾讯安全研究人员通过溯源分析,发现这些应用均集成了“爱心推”信息推送SDK,该SDK可以通过云端控制的方式对目标用户下发恶意代码,进行ROOT提权、静默应用安装等恶意且隐秘的操作。研究人员将此信息推送SDK称为“寄生推”SDK。据统计,已有300多款应用集成了此SDK,潜在影响近2千万用户。
网络黑产不断针对金融行业探索定制化木马,单独依赖终端、操作系统层面的隔离防护等传统风控手段已经无法保护用户不受恶意程序影响。
趋势三:“羊毛党”造成的损失日益严重
2018年,互联网金融在业务推广时不断放大的利润,引得手握大量虚拟卡号、账号资源的传统黑产从业者摇身一变成了“羊毛党”。在网络黑产的助力下,羊毛党有组织地对互联网金融推广的各类福利进行攫取,由于行为更加隐蔽,法律风险更低,越来越多的不法分子由黑转灰,灰产“羊毛党”正逐渐走上舞台中央,其造成的损失逐渐超越直接攻击造成的损失。
■
拼多多业务漏洞导致大额资金损失
拼多多出现重大bug,某羊毛党发现一个可以无限制领取100元无门槛全场通用券的漏洞,于是利用手中大量的拼多多账号领券,最终每张券以不足1元购买100元话费或等值QQ币。最早发现漏洞的羊毛党为了逃避被追责,将漏洞发到羊毛群中,引发大量羊毛党疯狂薅羊毛,最终造成拼多多巨额损失。据官方通告,损失在千万元级别,但羊毛群盛传拼多多的损失更为巨大。
■
星巴克注册送咖啡被薅千万
2018 年 12 月,星巴克推出圣诞拉新活动,只要是星巴克 APP 新注册用户,即可免费领取一张兑换券,在线下门店兑换任意一杯圣诞当季特饮。无数专业的羊毛党利用自动注册机,后台自动调用二维码平台进行注册领券,短时间内获取数十万张电子兑换券,其成本仅为 0.1 元,然后羊毛党通过网络渠道以便宜价格进行倾销变现。仅仅一天时间,星巴克 APP 虚假注册量已达到 40万,保守按照普通中杯咖啡的平均售价来估算,星巴克的损失可能高达 1000 万人民币。
从上述趋势可以看出,羊毛党为企业带来的危害和损失,正在逐渐超过传统欺诈,由此,针对羊毛党的打击和防护也需要纳入企业的安全防护体系。
趋势四:生物识别技术引入新的风险点
随着移动支付与人工智能技术的普及和发展,生物识别技术正在为社会各行业提供有效的身份识别和验证手段。然而,以人脸识别、指纹识别为代表的生物识别技术在提供便捷用户体验的同时,也成为了网络黑产重点突破的方向。
■
人脸识别突破
针对人脸识别技术,利用照片、视频等方式破解人脸认证的案例层出不穷。之前多个应用曾被曝出可利用图像处理和三维建模等技术,将静态照片改成动态图片或3D模型成功骗过人脸识别认证。此外,近期外媒对110款具有人脸识别功能的智能手机进行了审核,其中42款智能手机仅使用在社交媒体上找到的照片就可以解锁。
■
GAN对抗技术,“万能指纹”成为可能
针对指纹识别技术,利用人工智能技术生成的“万能指纹”可以轻松骗过指纹传感器。纽约大学和密歇根州立大学的研究人员根据公开发布的指纹数据集,利用生成对抗网络(Generative adversarial networks,简称为GAN)合成“万能指纹”,宣称可以解锁任何手机,最高破解率可达76.67%。GAN生成的指纹不仅能骗过机器,从肉眼看上去也变得更像真实的人类指纹。生成器已经学会了人类指纹的一般结构,图像上的污迹较少,并且脊部连接更好。
真实指纹(左图)和生成指纹(右图)对比
新技术引入给网络金融带来了新的风险,各金融机构要积极关注业界技术发展趋势,做好风险防控准备。
趋势五:短信验证风险依然需要高度关注
2018年8月,媒体报道了多起由于短信验证码被不法分子窃取导致的资金被盗事件,资金损失渠道涉及多家著名互联网公司及金融机构。在此类新型的电信网络犯罪方法中,不法分子通过利用“GSM劫持与短信嗅探”技术,窃取附近用户手机接收的短信内容,并最终实现信息窃取、资金盗刷的犯罪目的。
目前,主流的金融机构对于涉及动账类敏感交易的认证方式已逐渐从短信认证变为介质认证。
趋势六:互联网金融生态引入了新的攻击面
随着金融行业与相关厂商间商业合作模式的发展,与相关企业合作更加紧密的互联网金融生态给银行带来了切实的竞争优势,但与此同时也带来了新的安全风险。传统的银行在技术模式上较为封闭,可供黑客利用的攻击面有限,但随着开放程度的增加,原本在银行封闭体系保护下的资产和服务逐渐暴露出来,对外提供的SDK、API可以直接穿透网络进入金融机构的业务系统,开放式银行模式引入了更多新的攻击面。
■
二、三类账户的互联互通引入新的安全风险
2017年起,银行业二、三类账户快速发展,各行大力推广二、三类账户相关业务,实现了二、三类账户间的跨行开户、跨行转账等业务,具有降低业务推广门槛、降低获客成本等优势,也通过身份鉴权机制实现了互联互通。但是在此机制下,个别银行的安全漏洞,则会成为整个生态环境的短板,对整个二、三类账户体系产生威胁。
■
微信SDK漏洞导致0元购物风险
2018年7月,微信支付SDK 被披露存在严重的XXE漏洞。在腾讯向商户提供的SDK包中,存在XXE漏洞,任何部署了此SDK的服务器,都存在敏感信息泄露问题,包括导致交易密钥泄露等严重后果,黑客可利用交易密钥伪造任意支付记录,实现“0元购物”。
随着合作模式的发展,各银行间的业务融合的更加紧密,传统安全“独善其身”的模式已经无法适应当前的最新形势,任何一个参与者不到位,都可能导致其他同业遭受影响,因此亟需研究兄弟同业共同建立安全生态体系的路径。
三、多重手段对抗新威胁
2018年各类层出不穷的新型欺诈、攻击手段给银行业网络金融安全风险防控敲响了警钟,传统的安全防护方式已经无法有效保护企业和用户免受不法分子的欺诈,为此,工商银行蓝军团队积极探索各种综合防护手段对黑产隐蔽的特征进行挖掘,对大量的欺诈事件进行识别,从而更有效地应对新型的诈骗手段。
手段一:从单点风险防控到智能化、立体化防控
欺诈攻击行为识别目前已成为业界共同的痛点,主要是由于攻击行为隐藏于正常互联网业务逻辑、无明显攻击载荷,综合多种隐蔽技术手段(ip代理、设备伪造等),导致不会触发网络防护规则,难以及时发现攻击行为。
为了解决业界痛点,提升攻击行为检测的时效性和准确性,工商银行蓝军团队提出利用机器学习模型,根据风险标识在设备访问电子银行业务时进行重点布控,并通过交易序列分析提供风险依据,改变业界仅能依靠账户、ip地址等监控的瓶颈,增加设备维度和交易序列维度的监控措施。针对监控到的风险设备和风险交易序列,通过设备指纹名单匹配,设备、账户、交易多维度交叉关联,对已知恶意设备发起的高风险交易进行精准拦截,及时阻断风险事件。
手段二:从“抓小虾”到“钓大鱼”的人工智能黑产团伙深度挖掘
随着外部黑色产业的迅猛发展,在互联网上面对的威胁对手不再是各自为营的攻击者,更多的是分工明确、协同合作、深度隐蔽的黑产团伙。为了能够从相关威胁信息中挖掘出隐藏在其背后的黑产团体,工商银行蓝军团队提出基于知识图谱的思想挖掘黑产团伙关系的方法。利用工商银行在信息安全基础数据平台及其综合数据智能化分析处理方面的成果,并结合人工智能技术,对黑产信息进行深度关联分析,挖掘隐藏威胁。
该方法将知识图谱思想和机器学习算法结合,以恶意欺诈账户为分析源,从多个维度广泛挖掘关系属性,实现多源数据融合建网,并利用算法智能识别出强关联账户,从复杂的网络汇总梳理出隐藏的关系识别黑产团伙。
手段三:攻防能力建设应对新威胁
针对黑产日益产业化、精准化、技术化等特点,快速提升金融行业安全人员的能力也迫在眉睫。工商银行蓝军团队通过积极探索安全人员攻防能力提升路径,力求从根本上解决当前金融行业安全防御被动的问题,为安全防控体系注入内生动力。工商银行蓝军团队在总结多年来安全实践经验的基础上,探索构建了攻防相长的能力提升体系,为集团发展和行业安全共建提供更多支持。
同时,面对日益增多的生态圈等新型综合攻击手段,工商银行蓝军团队也在着手研究构建国内首家金融仿真靶场、希望通过靶场建设提供新技术研究、新威胁快速研判的支撑平台,为金融行业安全发展提供一条新的实践路径。
四、结语
随着金融互联网应用的发展,如何面对新增的互联网渠道风险已经成为传统银行不容忽视的挑战。从2018年网络黑产的作案手段和发展趋势可以看出,互联网金融行业日渐开放、灵活的业务特点,给网络黑产提供了更多的可乘之机。在网络黑产日益专业化、智能化、定制化的发展趋势下,互联网金融行业面临的风险防控压力空前,并且还将持续加大。为此,传统银行除加强自身安全能力建设外,还应积极探索黑产防护、黑产识别等课题的同业合作路径,同时加强与互联网标杆企业的交流学习。
工商银行经过了多年的探索,在业务风险防控方面逐渐摸索出了具有互联网金融特色的道路和方法,在人才、机制、系统、数据等方面有了一定的积累,面对日益严峻的形势,工商银行愿秉持一贯的开放、进取的态度,不断加强业务风控相关技术的研究和应用,同时也希望同业机构携手,加强经验分享与沟通合作,共同构筑抵御网络黑产的安全长城。