本计划痛快薅一把羊毛,没曾想遇到拥有风控能力的验证码。
从早上6点多开始,王宇开始用批量抢购软件登录东风雪铁龙小程序,准备抢那款热门C6车,却始终未成功。不是被被系统拦截,就是无法通过验证。他修改了好多次设备参数信息,更换了好几批IP地址,甚至启用了一批从未使用过新账号,却依旧被小程序验证码拦截警告。
以至于,王宇以为东风汽车封禁自己所在地的网络IP。还特意用真实的号码登录小程序验证,却发现可以成功登录正常下单。
“真邪门了,白忙活一天”,王宇生气得骂了几句。
汽车大降价,黑灰产牟利欢
3月初,湖北省政府联合车企与经销商,对东风旗下的诸多自主与合资品牌开展为期1个月的惊人补贴。其中,最受关注的一款车型为东风雪铁龙C6。一台雪铁龙C6共创版,指导价21.19万元左右。其中,厂商优惠4.5万元,政府补贴4.5万元,累计优惠9万元,裸车价仅为12.19万元左右,是东风系旗下品牌中降价幅度最大的一款车型。
各地消费者都是直奔雪铁龙C6而来,在众多消费者扑向线下4S店的同时,像王宇一样的抢购者却将目光转向东风雪铁龙的在线销售平台——东风雪铁龙小程序。
王宇原计划抢购100-200购车名额,然后分别加价3000-5000元,在那些二手平台和社群里转售给购车的真正消费者,这样就能够轻松稳赚几十万元人民币。像王宇这样,使用软件程序参与东风雪铁龙在线抢购的黑灰产还有很多。他们不仅扑向东风雪铁龙小程序,东风标致小程序也成为抢购的重点。
顶象防御云业务安全情报中心监测发现,3月1日起,东风雪铁龙小程序、东风标致索肖社区小程序的验证码请求量大增。顶象无感验证的风险拦截量,从每日的百分之十几猛增到百分之三四十,甚至一度达到65%。也就是说,每天异常行为的账号、欺诈行为账号注册登录一度达到65%。
由于东风雪铁龙小程序、东风标致小程序配置了拥有风控能力的无感验证验证码,导致王宇使用的批量账号无法成功登录,也就无法完成目标车型的抢购。
汽车电商面临风险有哪些特征?
汽车电商业务中涉及到的优惠系统、客户系统等,规则使用上互相重叠漏洞很多,业务风险点多,账户、订单等各系统均有可能出现漏洞,单点防控难度大。黑灰产手握大量账号,个体行为合法、群体非法,识别难度大。攻击者中既有不良用户,又有专业黑灰产,还有可能是恶意同行。专业工具不断更新,新手段层出不穷,对抗防御难度大。
1、在线购物业务杂、规则繁杂、漏洞多。漏洞是威胁的爆发源头,无论是病毒攻击还是黑客入侵大多是基于漏洞,软件漏洞、接口漏洞、管理漏洞等等。并且,电商业务中涉及到的优惠系统、客户系统等,规则使用上互相重叠漏洞很多,业务风险点多,账户、订单等各系统均有可能出现漏洞,单点防控难度大。
2、攻击者规模庞大、专业程度高。黑灰产彼此分工明确、合作紧密、协同作案,形成一条完整的产业链。他们熟悉各项业务流程,了解企业的需求、风控规则及业务漏洞,能够娴熟地运用移动互联网、云计算、人工智能等新技术进行业务欺诈操作。他们能够熟练应用自动化、智能化各类新技术,不断开发和优化各类攻击工具。
3、欺诈手段复杂多变,单点防护失效。黑灰产手握大量账号,个体行为合法、群体非法,识别难度大。攻击者中既有不良用户,又有专业黑灰产,还有可能是恶意同行。同时,秒拨IP、模拟器等专业工具不断更新,新手段层出不穷,对抗难度大。而且业务欺诈覆盖范围广,跨界、跨区域交叉特征明显,风险传播速度快,涉众广、逐利性强,当某个平台的业务上出现该风险,会被迅速复制到其他业务平台上。以往业务风险传染性以天计算,现在以分钟计算,传染性传播性大增。
4、攻击来源复杂,识别和防御难度大。相较于个体欺诈,团伙欺诈行为更难侦测和识别,传统的反欺诈工具无法从全局视角洞察欺诈风险。业务风险欺诈不断变化,手段更迭快速,新攻击手段对既有的防控措施进行了调整甚至免疫,传统措施不能及时对新风险进行识别和预警。而且网购平台很多业务安全流程上很容易互相矛盾,甚至相互打架, 一旦出现误判,将直接影响订单交易和平台运营。
验证码如何防范欺诈账户登录
顶象无感验证以防御云为核心,集13种验证方式,多种防控策略,以智能验证码服务、验证决策引擎服务、设备指纹服务、人机模型服务为一体的云端交互安全验证系统。其汇集了4380条风险策略、112类风险情报、覆盖24个行业、118种风险类型,防控精准度>99.9%,1天内便可实现从风险到情报的转化,行业风险感知能力实力加强,同时支持安全用户无感通过,实时对抗处置能力更是缩减至60s内。
集成行为算法,增强操作保护。无感验证通过行为轨迹模型检测来进行识别,如鼠标在页面内的滑动轨迹、键盘的敲击速率、滑动验证码的滑动轨迹、速率、按钮点击等。同时,它使用孤立森林(Isolation Forest,一种异常检测算法)提出Isolation概念,将异常数据从既有数据分布中孤立,用以实现异常检测的目的,不仅可以有效地不仅提升验证码对机器行为、恶意行为的识别能力,更可以增强操作的保护。
集成验证模仿,实现主动对抗。无感验证通过图片乱序切条、图片更新定时加工、图片变异等技术,结合关联性检测进行防范,通过内置规则和策略,判断相关关联性,如同一设备关联性、同一IP关联性、滑动失败关联性、验证次数关联性等,有效识别短时间内异常关联性。尤其是集成的验证魔方,10s内完成配,60s即可生效,可实现快速攻防对抗。
内嵌乱序传输,有效防劫持。无感验证在数据传输环节已内置“乱序切图传输“功能,可将背景图片进行乱序切割后传播。
动态加解密,防御已知攻击。无感验证专有动态加解密混淆算法,能够对JS代码进行混淆压缩,并定时自动化更新算法,自动变更数据加密,实现验证码校验的快速自动迭代,大幅增强破解难度。
人机训练模型,对抗未知威胁。无感验证集成实时流计算及场景策略结合机器学习训练的人机模型、历史数据的关联分析,通过图形算法和AI模型,对用户产生的行为轨迹数据进行机器学习建模,结合访问频率、地理位置、历史记录等多个维度信息,快速、准确的返回人机判定结果,抵御程序的自动识别,抵抗新技术的攻击。
业务安全大讲堂:立即报名
业务安全产品:免费试用
业务安全交流群:加入畅聊