维择科技黑产专家:AI+UML,打击网络黑产的两件利器

近日,DataVisor维择科技黑产研究专家周君桢、基础架构技术负责人李天携手AWS解决方案架构师姚远,在“互联网黑灰产揭秘与防范”线上研讨会上进行了精彩的分享,深度揭秘网络黑灰产业,同时也提供了防范黑产攻击的专家见解。

2020年伊始,各行业线下生产经营活动受疫情影响已经停滞数月,由此催生了宅经济时代的到来。游戏、社交、电商、教育等行业的在线流量相继出现爆发式增长,而混迹于其中的黑产团伙快速完成攻击部署,利用机酒“退改签”、低息贷款等噱头,冒充客服进行网络钓鱼,套取受害者银行卡号、密码等敏感信息进行欺诈。口罩、酒精等防护物资遭黑产秒杀并立即哄抬价格,黑产团伙能够快速垄断稀缺资源并实现变现,牟取暴利,对企业线上服务的稳定性与公民个人信息的安全性发起挑战。

无处不在的黑灰产

什么是黑灰产?DataVisor维择科技黑产研究专家周君桢解释道:“黑灰产即黑色或灰色产业,就是那些利用非法或作弊的手段牟取利益的产业。传统意义上的黑灰产,是指那些利用非法手段攻击网络空间、危害网络安全或财产安全并从中获利的产业,比如我们经常听到的勒索病毒、木马刷量、控制肉鸡刷量、电信诈骗等等。随着黑产的普遍化,技术门槛越来越低,有一些存在于灰色地带的行为,例如电商平台的现金券被普通用户大量“薅羊毛”,都属于黑灰产的范围。”

黑灰产能够对平台和用户造成十分严重的影响,甚至危害公共安全。在此前曝光的黑产作案欺诈活动中,黑产的单次攻击活动给企业带来的损失少则数万级别,多则千万级别甚至上亿级别。

那么,从事黑灰产业的都是哪些人?周君桢说道:“提到黑产从业者,我们脑海中浮现的可能是一个掌握高科技的黑客。但事实上,黑灰产无处不在,不一定要有过硬的技术能力,普通人也能够参与进来从而实现获利。”如下图中所展示的,一台电脑,通过数据线连接多台手机,就能实现统一控制,达到刷量造假、薅羊毛等目的。

至于为什么要把手机悬挂在晾衣架上,其实这是黑产人员的“对策”。因为正常用户的设备除了会变换位置、IP,还会有运动步数之类的参数。而黑产控制的大量的设备一般是不会动的,这一特征让黑产活动很容易被企业通过技术手段识别出来,于是他们就想出了把手机悬挂在晾衣架上这种方式,通过不停晃动来模仿正常用户的运动记录。所以说,黑产不仅是无处不在,而且“道增一尺,魔长一丈”,他们也在不断进行攻防。

黑灰产组织形式演变

黑灰产的组织形式也随着科技和经济社会的不断发展而不断演变,从最开始的线下单兵作战的形式转变成线上团伙规模攻击,再演变成分工精细的协同组织攻击。

黑灰产组织形式演变

当前的黑灰产组织形式呈现规模生产、技术专业、团伙作案三大特点:

规模生产:批量制作,变换模式,复杂攻击;

专业技术:技术迭代,运用先进的技术改进攻击方式;

团伙作案:团伙协同作案,分工明确,高效运作。

黑灰产的欺诈特征呈现行业间差异。虚假社交账户的申请过程中需要的信息很少,成本低,因此常常是黑灰产攻击的重灾区。从时间分布情况来看,大多数黑灰产在注册欺诈账户当日就实施欺诈活动。

黑灰产欺诈特征的行业差异

黑灰产攻防之战

企业在预防黑产攻击的过程中,首先需要对黑产舆情进行监控,比如威胁情报、平台流量、黑产线报等等,了解黑产动态;其次要对用户使用的设备进行监测,具备对模拟器、越狱、hook、不良设备进行有效监测的能力,拦截初级黑产;除此之外,还要对用户生命周期内的行为进行分析和实时防护;最后还要针对用户关联的设备、环境、行为等进行多维度关联分析,从而有效规避团伙攻击。

对于个人来说,我们要提高防范意识,保护个人信息和财产安全,不将个人信息售卖给其他组织或个人。针对来源不明的信息、链接不要轻易相信,需要再三确认,谨防受骗。尤其要提高财务账户的防护等级,定期修改密码,养成良好的安全习惯。

DataVisor维择科技基础架构技术负责人李天介绍道:“DataVisor维择科技的主要业务是人工智能反欺诈,而整个大数据反欺诈平台最核心的业务就是处理大量的用户数据,利用我们的无监督机器学习(UML)技术,帮助客户分析和检测出潜在的欺诈用户。我们基于AWS构建了大数据计算平台,每天能够处理大量的用户行为数据。到目前我们大概已经帮助不同的客户处理了45亿用户账号,保护大型企业免受复杂的欺诈攻击,同时也降低了投入成本和维护成本。

营销型网站