“刚才接一骗子电话:我们是某某银行,刚才查询发现您的银行卡昨天在境外消费8万8千美元,请问是您本人消费么?我说:是我本人消费的。骗子沉默了5秒后说:您真能吹牛逼。”
这是一个笑话,骗子行骗,反被调戏,醒悟,言语攻击……然而,这又是一个现状,如此骗局,生活中比比皆是,试问如果“我”不是如此机智,后果会是什么?
不止平时,每逢节假日随之暴涨不仅仅是旅游业,还有各种金融诈骗事件。尽管国家已经有法律法规对黑产进行相关处罚,然而快速收益和高回报也让越来越多的黑客铤而走险(刑法里非法入侵计算机系统罪会被判处三年到七年有期徒刑)。有数据统计,目前保守估计中国黑产从业人员已经超过160万,黑产市场规模已经达到千亿级别,而首当其冲受其所害的则以金融为主。
十一黄金周如期而至,各种金融欺诈招数揭秘文章也扎堆来袭,例如:
· 重要网站/APP的密码一定要独立
· 电脑勤打补丁,安装一款杀毒软件
· 尽量不使用IE浏览器
· 支持正版,因为盗版的、破解的总是各种猫腻,后门存在的可能性很大;
· 不那么可信的软件,可以安装到虚拟机里;
· 不要在公共场合(如咖啡厅、机场等)使用公共无线,自己包月3G/4G,不差钱,当然你可以用公共无线做点无隐私的事,如下载部电影之类的;
· 自己的无线AP,用安全的加密方式(如WPA2),密码复杂些;
· 离开电脑时,记得按下Win(Windows图标那个键)+L键,锁屏,这个习惯非常非常关键;
…………
这些方法切实有效,可以让人们对自身行为加以约束,同时对于骗子的行为、方法有所理解,减轻损失,只是究其源头,我们更需要帮助银行釜底抽薪。
设备指纹技术蹿红
身份的不确定性是互联网欺诈分子的根本支撑,“在互联网上,没有人知道你是一只狗”,这是一直以来都存在的风险。网络钓鱼、账户盗用等欺诈问题都是这种风险的直接体现,也是由于IP可伪造、可代理,移动IP识别精度低等问题,使银行通过识别IP进行风险控制的办法不太可靠。
然而设备指纹技术的出现,让银行反欺诈系统效果飙升,其通过在网站或移动端嵌入前端JS脚本或SDK来采集终端用户环境的非敏感设备特征信息,通过服务端的设备特征匹配算法而建立一套全球设备标识库。我们发现,这就相当于为每一位互联网用户的访问设备分配了唯一的设备标示。
世上没有百分百的事情,这样得到的信息特征虽然无法有效证明能够达到绝对唯一,但准确率的大幅提高还是不需要争议的。设备指纹作为设备方面的一个维度,基于快速识别在线设备的各项属性,判断交易的可信度,从而达到风险控制和反欺诈的要求。另外一个维度,就是信息的关联,这也是反欺诈的核心所在,信息关联的网络越全面、越稳定,反欺诈的成功率就越高。
比如几个账户同时在一个设备上登录,而这几个账户又曾经在其他设备上登录过,根据这样的“交叉登录”行为,再结合登陆的时间、地点等多方面的信息,就可以很精准地判别欺诈事件,并且可以勾勒出一个团伙使用的所有设备。所以可以说,设备指纹技术只是提供了设备识别的准确性,而最终要判断交易是否正常,还要依靠强大的分析能力,这才是反欺诈的关键。
基于设备指纹分析行为是关键
说到分析,现在自然绕不开大数据分析。HanSigh瀚思长期以来始终坚持在这个领域,并且在银行反欺诈系统中起到了至关重要的作用。其大数据安全系统以账户行为为核心,依赖现有网银日志中的设备指纹,采用机器学习方法找出异常行为模式,并且不需要额外集成SDK或者新日志格式。
先说为什么要以账户为核心,不管欺诈手段如何变化,所有的金融行为全部需要账户进行操作,包括注册行为、交易行为、支付行为、申请贷款行为等,通过已经解析的网银日志中的MAC字段,来区分威胁来自不同的登陆设备。
由于反欺诈行为的特点是由一组单独看起来合法的行为组成,每个行为都不会触发告警。但是如果在一个正确的时间序列进行观察,模式识别是能够侦测到可疑的行为正在发生。因此,HanSight瀚思引入时间因素,描述各种行为随时间的变化而产生的变化,从而建立起关联网络结构图,实现欺诈场景的图分析可视化。一旦发生告警,该账户的资料和所有行为能够在同一窗口展现,方便调查取证。
让人放心的是,HanSight瀚思基于分布式图数据库,其按天分片,解决了大图分割问题,并且一天网银数据盘存储量小于500MB,大幅减少了机器需求,从而实现长周期多阶段的关联分析,发现多团伙、多种欺诈场景。
再说机器学习的方法,这自然是HanSight瀚思的大招。尽管在业界各方的努力下,欺诈的成本已经越来越高,一个黑客单枪匹马与世界对饮的情况已经很少见了,团伙作案的欺诈行为成为了大趋势,他们往往有组织,有反侦查的经验,懂得伪装和隐藏自己,让识别的难度增加数倍。
当对这种不良内容难以识别的时候,没有人可以在分析成千上万的数据的同时做出判断,但机器学习可以,它使实时检测欺诈行为成为可能。简单来说,机器学习由计算机操控,通过符合特殊规则的预设过程且能自我完善的算法,以多维度多规则的组合,达到反欺诈的最好效果。尽管机器学习的维护成本大,数据的收集工作量巨大等,一旦机器学习到达一定程度,将是最好的反欺诈手段,并且目前看来没有之一。
经常关注HanSight瀚思的朋友或许已经发现,日志的价值在大数据时代被高度重视,从日志中可以找到很多非常重要的信号,不管攻击者手段如何变换,撞库、养库、暴力破解等,都可以通过海量的日志中分析到行为轨迹。HanSight瀚思也是从日志数据本身着手,投入了大量时间与精力研发,为各行业的安全防护输送了全新的思路。