同盾科技-黑灰产欺诈攻防体系的研究与实践

全球金融科技大会董纪伟“阅微”中国科学院计算数学硕士曾任国密局密码算法课题组成员GA某部-涉贷反诈模型项目技术负责人人行支付清算协会反诈培训讲师曾获国际SAT算法竞赛“Agile”组目前担任同盾科技软件产品方案部总经理、解决方案首席专家兼策略模型总监行业资深安全专家，负责同盾对外所有产品线的解决方案、咨询、技术及架构10余年金融行业工作经验，FRM金融风险管理师认证。熟悉金融领域风控与反欺诈相关产品、技术、业务及场景解决方案，擅长反欺诈规则、策略设计及特征建模曾任人民银行下属机构研发部开发经理、项目经理、高级安全咨询顾问、反欺诈团队负责人、反欺诈项目总监等。负责过金融行业多家机构风控系统的设计与研发，主力研发的交易监控反欺诈系统荣获2015年人民银行科技发展二等奖>3对于欺诈攻防的思考全球全两料枝大会Ww课ITCUTM④Android-以华为手机为例：全球金融科技大会也许仅仅是一个一块钱注册红包也许仅仅是一个五块钱的首单免单也许仅仅是一个三十块钱的信用卡租车权益黑产组织欺诈事件从未落幕，也很难落幕现象级表现欺诈为什么会越来越多?一句话讲不清楚，也不是一句涉诈抓不到、抓不完就能解释的，还有很多其他方面的原因。最直接的原因就是利润远高于风险。据实际数据表明，欺诈是一种低成本、高回报的犯罪，诈骗的手法很简单，很容易传播、仿效。这是一种投入很低、回报很高的犯罪形式。以电信诈骗为例，比贩毒还赚钱，但是风险却只有贩毒的万分之一。利益永远是第一驱动力。正如《孤注一掷》所言，人有两颗心，一颗是贪心，一颗是不甘心。所以欺诈是一个社会问题，而非单纯的犯罪问题，它是社会诚信缺失的一个小小的缩影。全球金融科技大会据统计，网络黑产从业人员已超200万，造成损失高达千亿，目前黑产呈现以下四方面趋势：据统计，网络黑产从业人员已超200万，造成损失高达千亿，目前黑产呈现以下四方面趋势：我国23年手机网络用户较22年增加了约16%,而22年发生的数据泄露事件，65%以上来自移动设产业化技术化传统欺诈场景传统欺诈场景线下交易盗卡、现有欺诈场景全球金融科技大会某云安全平台监控到的欺诈攻击次数(2022-2023年度)全球金融科技大会2022.10-2022.122023.1-2023.3信息泄露及欺诈攻击的现状黑灰产欺诈引发互联网贷款非正常近一年个人信息1149亿元81亿条次近一年经济损失用户注册占比泄漏1149亿元81亿条次2022年金融业务欺诈率每万元放贷每万元放贷欺诈金额2.15元欺诈损失排名靠前的联网欺诈、银行卡&账号盗用、羊毛党、中介团伙欺诈、等薅羊毛薅羊毛某银行钱包业务被黑产攻击生成进清播吴某非法盗取个人身份信息骗取银行信用卡110张，透支86万元以公诉利话(208号层诉内本院公话.本崭变S于28中满配则-A.西9市城之区人民时高现出能变并公诉风.大8户证复印件，0"中国移动压马有限公司西9公，上虚单位收入明等平臣，在中X行全球金融科技大会同盾科技崔某盗取、收买、非法提供信用卡信息数万条e,并于同6月E有2用+的模人同、何姓.送.天下作车有公的、认",联2.粗.空公客订、重竹订8,涉反电诈不力等多项违规，机构被罚超1500万人人民银行、银保监会、外管局公告的金融罚单11875张，涉及32.62亿罚款未按定展行客户身份F义务/保存易报告立国名户，假名题户主流金融产品主流金融产品主流认证工具币为主传统诈骗传统诈骗逐步从广撒网、单一场景向定向精准、复杂场景、专业工具对抗转变全球金融科技大会全球金融科技大会全球金融科技大会电诈杀猪盘也变智能化“卖茶姑娘”竟是机器“芯”全球金融科技大会自动编码恶意程序脚本小子化身黑客“大神”规频聊天全球金融科技大会张嘴、摇头，摄像头捕捉到人的动作后，屏幕上原本静态的人像可以动起来，动作幅度和真人一致，还能眨眼和露齿微笑，仿真度颇高，几分钟内就能生成一段视频，脸还能被任意替换。这就是“Al换脸”技术。盗取诈骗“工具”账号盗取潜在目标的朋友、客户、领导的微信账号，准备实施诈骗的通话工具。信任话，初步取得信任。字交流分钟内以投标过账为由被骗430万；安徽安庆何先生在接到好友视频通话后，同样是以投标需垫付为由，被骗245万全球金融科技大会全球金融科技大会AlAl技术的进步将降低Al换脸门槛，降低Al换脸诈骗成本越逼真以假乱真，欺诈机器和程序以假乱真，欺诈机器和程序扫号攻击/拖库伪基站群发短信扫号攻击/拖库伪基站群发短信登录账户钓鱼登录账户暗网购买数据盗取账户资金突破人脸识别全球金融科技大会带来不便敬请谅解!士，总行】经济犯罪侦查局讯忠安全系统党D全球金融科技大会可名排wdoldpmTEe认sr网12030iW人IAE人短信劫持JsenArrayarray=neJsonbaskObject.seto_count(Consts.hak⁰jtct,stthak_id(tIs.bam_6.bekObject,sethkane(this.bahehObject,setPhone(this.phane,oetTbaskObject.setCardialthis.card_1d.behOject.setONcKJssword(his.chha⁰bject,setTradeDaserd(hiarray.add(gsm,teJsanTree(laniocanectlecostroller.petnstans(.r1raseprurratpr验证码使用欺诈者设备户资金，透支信用卡额度(溢缴款),办理各种贷款receiwe.time°:“15654212ileuc:c2581346-31c-a7c-7317be5N6k.291e9447设银行],设银行],群起而攻之-团伙群控作案模式由于资源限制(为提高投资回报率),黑产总会最大程由于资源限制(为提高投资回报率),黑产总会最大程度利用已有资源。重复使用现有设备和信息进行不同申请，导致共用相同的手机号码、登录IP、硬件设备形成关联网络。1.将数据进行关联，形成关系网络图；2.使用社会关系网络分析工具，分析关系网络图中是否有大量共用设备等拓扑结构。全球金融科技大会欺诈是指故意告知对方虚假情况，或者故意隐瞒真实情况，诱使对方基于错误判断作出意思表示。获取远多于受害人所掌握的信息全球金融科技大会社工库是社会工程学的简称，是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等等心理陷进进行诸如欺骗、伤害等危害的手段取得自身利益的手法，是一种黑客攻击的手法。全球金融科技大会社工库犯罪分子通过搜集相关被泄露的数据，再进行分析归档，类似于我们现在的大数据加工处理。便于查询使用，当数据量足够大时，就能够查到想要的信息。数据加工&知识萃取社工会通过各种方式收集泄露的用户数据，如酒店入住数据、订票类数据、购物网站类数据、银行卡数据、交易数据等。让后将这些数据进行分析整合，类似就形成了一个“用户画像”。危害社工库的个人信息被电诈不法分子利用，只要黑产认为你有价值，便会通过各种方式进行欺诈或者利用身份信息进行非法交易。何为明网、深网和暗网?4%。举个例子，网站内容可以用普通搜索引擎(比如Google深网明网暗网全球金融科技大会同盾科技黑产在暗网中的主要交易市场示例1600四件套。洗1600四件套。洗月-1张银行卡，可指医择，还可指定运暗网交易市场医择，还可指定运暗网交易市场中文暗网担保交易幸拒绝的!签收后两个月内无条件售后!4!账户充值1提币|资金记录|交易记录|我的发布|我的收藏|资费标准I交易激活|论坛[副站[返回首页分类数据1服务|虚拟「实体|技术[其它|基础|影视|私拍|卡料1使用广告发布刊登|发布新交易T问题反馈|交易编号：10000进入-1600元一套，同盾科技网站首页-数据-情报一拖库某保险公司数据200多万W多姓名/身份88[美元]交易发布时间：出售单价折算：出售中本单成交：0公开评论区发布者信息一览[当前粗略统计]000付款购买，投诉，撤销投诉，主动放款等操作，请输入请输入欺诈的最大威胁在哪里?人性是最大的威胁!!!全球金融科技大会全球金融科技大会同盾科技各种信息储备各种信息储备1、身份证号2、手机号3、银行卡号4、U盾5、外加持证照■s…e-各种变现渠道基础资料工具各种变现渠道基础资料工具涉诈黑卡倒卖与资金流银行卡开卡银行卡开卡银行卡层层倒卖诈骗实施环节0发送卡号情导转账发送卡号情导转账收集大量用于收集大量用于一线客服涉诈黑卡缺钱、被忽悠、缺钱、被忽悠、售卖个人信息四件套对接诈骗团伙，提供银行卡给他们用对接诈骗团伙，提供银行卡给他们用于收赃款、洗黑钱涉诈事前感知难涉诈事前感知难涉诈事中识别难银行卡多沉默、低活跃，难以感知被倒卖流转信息转账多是跨行，缺少完整交银行卡多沉默、低活跃，难以感知被倒卖流转信息转账多是跨行，缺少完整交易信息和涉诈背景同盾科技同盾科技全球金融科技大会黑产攻击工具及物料的层级结构变现&套利积代下载黑产业务工具代下载汪核心资源与基础工具小云手机邮箱账号真机农场+群控黑产情报0Q群/微信群技术博客/贴吧电报群黑产工具论坛羊毛线报论坛全球金融科技大会同盾科技黑产欺诈主流武器库欺诈手段从常规的人肉组织和操作，转向专业工具化的批量操作一梁机一请新机·版本：正式版3.1.21.772·版本：正式版3.104.0猫池/黑卡云手机短信嗅探21066陈既无阳】验证码：686(1708730253关810695LApellDerBeslalgungcoeirderepee应用面板模拟环境辅助工箱电话号码+8613975793273更多…·版本：正式版3.2.1.2·版本：正式版6.6.0.5101全球金融科技大会在欺诈攻击巨大的利益驱动下，专业黑产规模不断扩大，应用的技术手段越来越高群控->真人群控->操作指令复制(后台)群控->真人群控->操作指令复制(后台)巴场按60)涉诈黑产新工具抖商虚拟助手摩尼定位03自动化工具03自动化工具屏幕点击器触控精灵贝利自动点击器屏幕点击器触控精灵贝利自动点击器爱云兔云手机版本：3.3.0多多云手机版本：2.2.11双柯柯框架版本：1.0.5万能自动点击连点器自动按键精灵蓝叠模拟器木木模拟器版本：2.7.24女帝框架虫虫助手双开空间分身大师幻影分身悟空分身新比翼多开虚拟大师版本：1.2.8夜神模拟器版本：7.0.5.5用3D脸纸片脸一体化工具一体化工具持篡改攻击:::黑产复合攻击：APT攻击的时空属性更进一步导致传统安全防御失效征志文②①发送木马链接或钓鱼邮件给客户或通过U志文②②①钓鱼邮件③①钓鱼邮件④社会工程同盾科技同盾科技未来影响的思考相应措施全球金融科技大会技术没有善恶之分，但人有!!!其实，还有一句话，在技术面前，不是人人平等的。相比于组织化、专业化的黑灰产欺诈团伙，公众及个体的防护能力整体偏弱。全球金融科技大会核心目标：正常人正常人·区分是人还是机器可信常态·区分是本人还是非本人受害者·识别行为是惯用可信还是存在风险本人受害者及好与坏的边界参与欺诈本人可疑参与欺诈交易人/群坏涉诈者坏涉诈者非本人物料租借机器全球金融科技大会欺诈犯罪态势：“魔高一尺道高一丈”面对高技术、高智商、高度自律、高度组织的对手，必须革新战法，“以技术对抗技术，用Al来升级武器”,不然等待我们的只有惨败。全球金融科技大会核心要素：虚实真假善恶拒绝/人工调查是拒绝/人工调查是否是否本人是是否是否真人是否活体识别智能验证设备指纹人像比对实名认证交叉验证交叉验证生物探针风险行为稳定性智察分GPS位移异常团伙模型全球金融科技大会实现欺诈风险防控的关键三要素数据要素数据要素尽小者大、积微者著,整合多维岛问题全球金融科技大会场景/算法场景/算法大模型应用可以很好地识别欺诈行为数据特征Al应用数据特征设备特征模型风险预测设备特征频率特征异常聚类监督模型金额特征异常聚类监督模型时间特征领域专家规则团伙挖掘衍生特征领域专家规则团伙挖掘数据埋点欺诈场景特征无监督机器学习算法挖掘异常特征欺诈场景特征有监督算法精准区分欺诈和正常事件知识图谱增强关联分析能力同盾科技同盾科技全球金融科技大会低关联分析低关联分析高欺诈侦测率欺诈误报率专家规则加持全球金融科技大会风险解释·风险点1:该设备27日一天内切换账号多达13次，其中高峰时间段内(10至11点前后)监测到该设备高频切换账号，切换速度约为30次；2月27日~3月1日一共使用了9个账号，维持相近的操作规律。传感器信息SP:ShanghaiHong屏幕设置传感器信息SP:ShanghaiHong屏幕设置地理位置击键行为其他信息全球金融科技大会高频切换账号速度9设备内网ip地址数1设备外网ip地址数1是已安装的作弊软件“猴子分身”,“分身大师”案例实践2:屏幕共享、麦克风占用、Al合成脸攻击通过某些App(下图示例)自带的屏幕共享功能，青钉钉骗子能够实现实时监控事主手机的所有操作。整骗子先以指引操作为由，让事主下载app并打开屏幕分享功能。再利用事主之前透露的银行卡号，随即登录网银进行转账操作。实时监控事主收到的短信验证码。ToDesk如果害现被人在+在T腾讯会议钉钉向日葵向日葵e北信源(300352)重下产品小X远程(原UU远程)花生壳回蓝信花生壳回蓝信全时行业实践案例2023年6月投产后■背景与目标应对客户被诈骗分子诱导通过视频会议软件共享屏幕或语音通话进行申请贷款的新风险，软开按照“主动防、智能控、全面管”路径，运用设备反欺诈技术监测“屏幕共享”和“麦克风占用”状态，实现对电诈风险特征精准定位，风险交易实时拦截；防控方案1)实时检测用户正处于屏幕共享、麦克风占用情况，交易前风险弹窗提示，同时会做延迟到账、24小时人工触达确认；2)挖掘已知人脸定制ROM特征，对摄像头图像流相关函数进行HOOK检测，输出CAMERA_FAKE标签，在前端SDK进行防控策略识别和拦截全球金融科技大会涉案数量从800余起下降至百余起涉案数量和投产前比下降8成4000万每月减少的资金损失登录事件登录事件案件涉及事件类型、行为特征案件涉及事件类型、行为特征修改事件息回息回出账转账事件时序特征转账事件子分(风险概率)子分(风险概率)C-◎关联账号类敏感时间类C-◎LSTM模型节点特征√是否可信设备是否可信地址近