同盾科技-黑灰產(chǎn)欺詐攻防體系的研究與實踐

全球金融科技大會董紀偉“閱微”中國科學院計算數(shù)學碩士曾任國密局密碼算法課題組成員GA某部-涉貸反詐模型項目技術負責人人行支付清算協(xié)會反詐培訓講師曾獲國際SAT算法競賽“Agile”組目前擔任同盾科技軟件產(chǎn)品方案部總經(jīng)理、解決方案首席專家兼策略模型總監(jiān)行業(yè)資深安全專家，負責同盾對外所有產(chǎn)品線的解決方案、咨詢、技術及架構10余年金融行業(yè)工作經(jīng)驗，F(xiàn)RM金融風險管理師認證。熟悉金融領域風控與反欺詐相關產(chǎn)品、技術、業(yè)務及場景解決方案，擅長反欺詐規(guī)則、策略設計及特征建模曾任人民銀行下屬機構研發(fā)部開發(fā)經(jīng)理、項目經(jīng)理、高級安全咨詢顧問、反欺詐團隊負責人、反欺詐項目總監(jiān)等。負責過金融行業(yè)多家機構風控系統(tǒng)的設計與研發(fā)，主力研發(fā)的交易監(jiān)控反欺詐系統(tǒng)榮獲2015年人民銀行科技發(fā)展二等獎>3對于欺詐攻防的思考全球全兩料枝大會Ww課ITCUTM④Android-以華為手機為例：全球金融科技大會也許僅僅是一個一塊錢注冊紅包也許僅僅是一個五塊錢的首單免單也許僅僅是一個三十塊錢的信用卡租車權益黑產(chǎn)組織欺詐事件從未落幕，也很難落幕現(xiàn)象級表現(xiàn)欺詐為什么會越來越多?一句話講不清楚，也不是一句涉詐抓不到、抓不完就能解釋的，還有很多其他方面的原因。最直接的原因就是利潤遠高于風險。據(jù)實際數(shù)據(jù)表明，欺詐是一種低成本、高回報的犯罪，詐騙的手法很簡單，很容易傳播、仿效。這是一種投入很低、回報很高的犯罪形式。以電信詐騙為例，比販毒還賺錢，但是風險卻只有販毒的萬分之一。利益永遠是第一驅(qū)動力。正如《孤注一擲》所言，人有兩顆心，一顆是貪心，一顆是不甘心。所以欺詐是一個社會問題，而非單純的犯罪問題，它是社會誠信缺失的一個小小的縮影。全球金融科技大會據(jù)統(tǒng)計，網(wǎng)絡黑產(chǎn)從業(yè)人員已超200萬，造成損失高達千億，目前黑產(chǎn)呈現(xiàn)以下四方面趨勢：據(jù)統(tǒng)計，網(wǎng)絡黑產(chǎn)從業(yè)人員已超200萬，造成損失高達千億，目前黑產(chǎn)呈現(xiàn)以下四方面趨勢：我國23年手機網(wǎng)絡用戶較22年增加了約16%,而22年發(fā)生的數(shù)據(jù)泄露事件，65%以上來自移動設產(chǎn)業(yè)化技術化傳統(tǒng)欺詐場景傳統(tǒng)欺詐場景線下交易盜卡、現(xiàn)有欺詐場景全球金融科技大會某云安全平臺監(jiān)控到的欺詐攻擊次數(shù)(2022-2023年度)全球金融科技大會2022.10-2022.122023.1-2023.3信息泄露及欺詐攻擊的現(xiàn)狀黑灰產(chǎn)欺詐引發(fā)互聯(lián)網(wǎng)貸款非正常近一年個人信息1149億元81億條次近一年經(jīng)濟損失用戶注冊占比泄漏1149億元81億條次2022年金融業(yè)務欺詐率每萬元放貸每萬元放貸欺詐金額2.15元欺詐損失排名靠前的聯(lián)網(wǎng)欺詐、銀行卡&賬號盜用、羊毛黨、中介團伙欺詐、等薅羊毛薅羊毛某銀行錢包業(yè)務被黑產(chǎn)攻擊生成進清播吳某非法盜取個人身份信息騙取銀行信用卡110張，透支86萬元以公訴利話(208號層訴內(nèi)本院公話.本嶄變S于28中滿配則-A.西9市城之區(qū)人民時高現(xiàn)出能變并公訴風.大8戶證復印件，0"中國移動壓馬有限公司西9公，上虛單位收入明等平臣，在中X行全球金融科技大會同盾科技崔某盜取、收買、非法提供信用卡信息數(shù)萬條e,并于同6月E有2用+的模人同、何姓.送.天下作車有公的、認",聯(lián)2.粗.空公客訂、重竹訂8,涉反電詐不力等多項違規(guī)，機構被罰超1500萬人人民銀行、銀保監(jiān)會、外管局公告的金融罰單11875張，涉及32.62億罰款未按定展行客戶身份F義務/保存易報告立國名戶，假名題戶主流金融產(chǎn)品主流金融產(chǎn)品主流認證工具幣為主傳統(tǒng)詐騙傳統(tǒng)詐騙逐步從廣撒網(wǎng)、單一場景向定向精準、復雜場景、專業(yè)工具對抗轉(zhuǎn)變?nèi)蚪鹑诳萍即髸蚪鹑诳萍即髸蚪鹑诳萍即髸娫p殺豬盤也變智能化“賣茶姑娘”竟是機器“芯”全球金融科技大會自動編碼惡意程序腳本小子化身黑客“大神”規(guī)頻聊天全球金融科技大會張嘴、搖頭，攝像頭捕捉到人的動作后，屏幕上原本靜態(tài)的人像可以動起來，動作幅度和真人一致，還能眨眼和露齒微笑，仿真度頗高，幾分鐘內(nèi)就能生成一段視頻，臉還能被任意替換。這就是“Al換臉”技術。盜取詐騙“工具”賬號盜取潛在目標的朋友、客戶、領導的微信賬號，準備實施詐騙的通話工具。信任話，初步取得信任。字交流分鐘內(nèi)以投標過賬為由被騙430萬；安徽安慶何先生在接到好友視頻通話后，同樣是以投標需墊付為由，被騙245萬全球金融科技大會全球金融科技大會AlAl技術的進步將降低Al換臉門檻，降低Al換臉詐騙成本越逼真以假亂真，欺詐機器和程序以假亂真，欺詐機器和程序掃號攻擊/拖庫偽基站群發(fā)短信掃號攻擊/拖庫偽基站群發(fā)短信登錄賬戶釣魚登錄賬戶暗網(wǎng)購買數(shù)據(jù)盜取賬戶資金突破人臉識別全球金融科技大會帶來不便敬請諒解!士，總行】經(jīng)濟犯罪偵查局訊忠安全系統(tǒng)黨D全球金融科技大會可名排wdoldpmTEe認sr網(wǎng)12030iW人IAE人短信劫持JsenArrayarray=neJsonbaskObject.seto_count(Consts.hak?jtct,stthak_id(tIs.bam_6.bekObject,sethkane(this.bahehObject,setPhone(this.phane,oetTbaskObject.setCardialthis.card_1d.behOject.setONcKJssword(his.chha?bject,setTradeDaserd(hiarray.add(gsm,teJsanTree(laniocanectlecostroller.petnstans(.r1raseprurratpr驗證碼使用欺詐者設備戶資金，透支信用卡額度(溢繳款),辦理各種貸款receiwe.time°:“15654212ileuc:c2581346-31c-a7c-7317be5N6k.291e9447設銀行],設銀行],群起而攻之-團伙群控作案模式由于資源限制(為提高投資回報率),黑產(chǎn)總會最大程由于資源限制(為提高投資回報率),黑產(chǎn)總會最大程度利用已有資源。重復使用現(xiàn)有設備和信息進行不同申請，導致共用相同的手機號碼、登錄IP、硬件設備形成關聯(lián)網(wǎng)絡。1.將數(shù)據(jù)進行關聯(lián)，形成關系網(wǎng)絡圖；2.使用社會關系網(wǎng)絡分析工具，分析關系網(wǎng)絡圖中是否有大量共用設備等拓撲結構。全球金融科技大會欺詐是指故意告知對方虛假情況，或者故意隱瞞真實情況，誘使對方基于錯誤判斷作出意思表示。獲取遠多于受害人所掌握的信息全球金融科技大會社工庫是社會工程學的簡稱，是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等等心理陷進進行諸如欺騙、傷害等危害的手段取得自身利益的手法，是一種黑客攻擊的手法。全球金融科技大會社工庫犯罪分子通過搜集相關被泄露的數(shù)據(jù)，再進行分析歸檔，類似于我們現(xiàn)在的大數(shù)據(jù)加工處理。便于查詢使用，當數(shù)據(jù)量足夠大時，就能夠查到想要的信息。數(shù)據(jù)加工&知識萃取社工會通過各種方式收集泄露的用戶數(shù)據(jù)，如酒店入住數(shù)據(jù)、訂票類數(shù)據(jù)、購物網(wǎng)站類數(shù)據(jù)、銀行卡數(shù)據(jù)、交易數(shù)據(jù)等。讓后將這些數(shù)據(jù)進行分析整合，類似就形成了一個“用戶畫像”。危害社工庫的個人信息被電詐不法分子利用，只要黑產(chǎn)認為你有價值，便會通過各種方式進行欺詐或者利用身份信息進行非法交易。何為明網(wǎng)、深網(wǎng)和暗網(wǎng)?4%。舉個例子，網(wǎng)站內(nèi)容可以用普通搜索引擎(比如Google深網(wǎng)明網(wǎng)暗網(wǎng)全球金融科技大會同盾科技黑產(chǎn)在暗網(wǎng)中的主要交易市場示例1600四件套。洗1600四件套。洗月-1張銀行卡，可指醫(yī)擇，還可指定運暗網(wǎng)交易市場醫(yī)擇，還可指定運暗網(wǎng)交易市場中文暗網(wǎng)擔保交易幸拒絕的!簽收后兩個月內(nèi)無條件售后!4!賬戶充值1提幣|資金記錄|交易記錄|我的發(fā)布|我的收藏|資費標準I交易激活|論壇[副站[返回首頁分類數(shù)據(jù)1服務|虛擬「實體|技術[其它|基礎|影視|私拍|卡料1使用廣告發(fā)布刊登|發(fā)布新交易T問題反饋|交易編號：10000進入-1600元一套，同盾科技網(wǎng)站首頁-數(shù)據(jù)-情報一拖庫某保險公司數(shù)據(jù)200多萬W多姓名/身份88[美元]交易發(fā)布時間：出售單價折算：出售中本單成交：0公開評論區(qū)發(fā)布者信息一覽[當前粗略統(tǒng)計]000付款購買，投訴，撤銷投訴，主動放款等操作，請輸入請輸入欺詐的最大威脅在哪里?人性是最大的威脅!!!全球金融科技大會全球金融科技大會同盾科技各種信息儲備各種信息儲備1、身份證號2、手機號3、銀行卡號4、U盾5、外加持證照■s…e-各種變現(xiàn)渠道基礎資料工具各種變現(xiàn)渠道基礎資料工具涉詐黑卡倒賣與資金流銀行卡開卡銀行卡開卡銀行卡層層倒賣詐騙實施環(huán)節(jié)0發(fā)送卡號情導轉(zhuǎn)賬發(fā)送卡號情導轉(zhuǎn)賬收集大量用于收集大量用于一線客服涉詐黑卡缺錢、被忽悠、缺錢、被忽悠、售賣個人信息四件套對接詐騙團伙，提供銀行卡給他們用對接詐騙團伙，提供銀行卡給他們用于收贓款、洗黑錢涉詐事前感知難涉詐事前感知難涉詐事中識別難銀行卡多沉默、低活躍，難以感知被倒賣流轉(zhuǎn)信息轉(zhuǎn)賬多是跨行，缺少完整交銀行卡多沉默、低活躍，難以感知被倒賣流轉(zhuǎn)信息轉(zhuǎn)賬多是跨行，缺少完整交易信息和涉詐背景同盾科技同盾科技全球金融科技大會黑產(chǎn)攻擊工具及物料的層級結構變現(xiàn)&套利積代下載黑產(chǎn)業(yè)務工具代下載汪核心資源與基礎工具小云手機郵箱賬號真機農(nóng)場+群控黑產(chǎn)情報0Q群/微信群技術博客/貼吧電報群黑產(chǎn)工具論壇羊毛線報論壇全球金融科技大會同盾科技黑產(chǎn)欺詐主流武器庫欺詐手段從常規(guī)的人肉組織和操作，轉(zhuǎn)向?qū)I(yè)工具化的批量操作一梁機一請新機·版本：正式版3.1.21.772·版本：正式版3.104.0貓池/黑卡云手機短信嗅探21066陳既無陽】驗證碼：686(1708730253關810695LApellDerBeslalgungcoeirderepee應用面板模擬環(huán)境輔助工箱電話號碼+8613975793273更多…·版本：正式版3.2.1.2·版本：正式版6.6.0.5101全球金融科技大會在欺詐攻擊巨大的利益驅(qū)動下，專業(yè)黑產(chǎn)規(guī)模不斷擴大，應用的技術手段越來越高群控->真人群控->操作指令復制(后臺)群控->真人群控->操作指令復制(后臺)巴場按60)涉詐黑產(chǎn)新工具抖商虛擬助手摩尼定位03自動化工具03自動化工具屏幕點擊器觸控精靈貝利自動點擊器屏幕點擊器觸控精靈貝利自動點擊器愛云兔云手機版本：3.3.0多多云手機版本：2.2.11雙柯柯框架版本：1.0.5萬能自動點擊連點器自動按鍵精靈藍疊模擬器木木模擬器版本：2.7.24女帝框架蟲蟲助手雙開空間分身大師幻影分身悟空分身新比翼多開虛擬大師版本：1.2.8夜神模擬器版本：7.0.5.5用3D臉紙片臉一體化工具一體化工具持篡改攻擊:::黑產(chǎn)復合攻擊：APT攻擊的時空屬性更進一步導致傳統(tǒng)安全防御失效征志文②①發(fā)送木馬鏈接或釣魚郵件給客戶或通過U志文②②①釣魚郵件③①釣魚郵件④社會工程同盾科技同盾科技未來影響的思考相應措施全球金融科技大會技術沒有善惡之分，但人有!!!其實，還有一句話，在技術面前，不是人人平等的。相比于組織化、專業(yè)化的黑灰產(chǎn)欺詐團伙，公眾及個體的防護能力整體偏弱。全球金融科技大會核心目標：正常人正常人·區(qū)分是人還是機器可信常態(tài)·區(qū)分是本人還是非本人受害者·識別行為是慣用可信還是存在風險本人受害者及好與壞的邊界參與欺詐本人可疑參與欺詐交易人/群壞涉詐者壞涉詐者非本人物料租借機器全球金融科技大會欺詐犯罪態(tài)勢：“魔高一尺道高一丈”面對高技術、高智商、高度自律、高度組織的對手，必須革新戰(zhàn)法，“以技術對抗技術，用Al來升級武器”,不然等待我們的只有慘敗。全球金融科技大會核心要素：虛實真假善惡拒絕/人工調(diào)查是拒絕/人工調(diào)查是否是否本人是是否是否真人是否活體識別智能驗證設備指紋人像比對實名認證交叉驗證交叉驗證生物探針風險行為穩(wěn)定性智察分GPS位移異常團伙模型全球金融科技大會實現(xiàn)欺詐風險防控的關鍵三要素數(shù)據(jù)要素數(shù)據(jù)要素盡小者大、積微者著,整合多維島問題全球金融科技大會場景/算法場景/算法大模型應用可以很好地識別欺詐行為數(shù)據(jù)特征Al應用數(shù)據(jù)特征設備特征模型風險預測設備特征頻率特征異常聚類監(jiān)督模型金額特征異常聚類監(jiān)督模型時間特征領域?qū)＜乙?guī)則團伙挖掘衍生特征領域?qū)＜乙?guī)則團伙挖掘數(shù)據(jù)埋點欺詐場景特征無監(jiān)督機器學習算法挖掘異常特征欺詐場景特征有監(jiān)督算法精準區(qū)分欺詐和正常事件知識圖譜增強關聯(lián)分析能力同盾科技同盾科技全球金融科技大會低關聯(lián)分析低關聯(lián)分析高欺詐偵測率欺詐誤報率專家規(guī)則加持全球金融科技大會風險解釋·風險點1:該設備27日一天內(nèi)切換賬號多達13次，其中高峰時間段內(nèi)(10至11點前后)監(jiān)測到該設備高頻切換賬號，切換速度約為30次；2月27日~3月1日一共使用了9個賬號，維持相近的操作規(guī)律。傳感器信息SP:ShanghaiHong屏幕設置傳感器信息SP:ShanghaiHong屏幕設置地理位置擊鍵行為其他信息全球金融科技大會高頻切換賬號速度9設備內(nèi)網(wǎng)ip地址數(shù)1設備外網(wǎng)ip地址數(shù)1是已安裝的作弊軟件“猴子分身”,“分身大師”案例實踐2:屏幕共享、麥克風占用、Al合成臉攻擊通過某些App(下圖示例)自帶的屏幕共享功能，青釘釘騙子能夠?qū)崿F(xiàn)實時監(jiān)控事主手機的所有操作。整騙子先以指引操作為由，讓事主下載app并打開屏幕分享功能。再利用事主之前透露的銀行卡號，隨即登錄網(wǎng)銀進行轉(zhuǎn)賬操作。實時監(jiān)控事主收到的短信驗證碼。ToDesk如果害現(xiàn)被人在+在T騰訊會議釘釘向日葵向日葵e北信源(300352)重下產(chǎn)品小X遠程(原UU遠程)花生殼回藍信花生殼回藍信全時行業(yè)實踐案例2023年6月投產(chǎn)后■背景與目標應對客戶被詐騙分子誘導通過視頻會議軟件共享屏幕或語音通話進行申請貸款的新風險，軟開按照“主動防、智能控、全面管”路徑，運用設備反欺詐技術監(jiān)測“屏幕共享”和“麥克風占用”狀態(tài)，實現(xiàn)對電詐風險特征精準定位，風險交易實時攔截；防控方案1)實時檢測用戶正處于屏幕共享、麥克風占用情況，交易前風險彈窗提示，同時會做延遲到賬、24小時人工觸達確認；2)挖掘已知人臉定制ROM特征，對攝像頭圖像流相關函數(shù)進行HOOK檢測，輸出CAMERA_FAKE標簽，在前端SDK進行防控策略識別和攔截全球金融科技大會涉案數(shù)量從800余起下降至百余起涉案數(shù)量和投產(chǎn)前比下降8成4000萬每月減少的資金損失登錄事件登錄事件案件涉及事件類型、行為特征案件涉及事件類型、行為特征修改事件息回息回出賬轉(zhuǎn)賬事件時序特征轉(zhuǎn)賬事件子分(風險概率)子分(風險概率)C-◎關聯(lián)賬號類敏感時間類C-◎LSTM模型節(jié)點特征√是否可信設備是否可信地址近