截止到目前,DataVisor 已經保護一些全球大型金融與電商企業免受欺詐威脅,其中累計處理用戶賬戶數量高達40億,這也讓我們更好地洞悉全球欺詐生態變化趨勢。藉此 DataVisor 將推出系列技術文章,以分享從未出現的新型欺詐技術和攻擊模式,為企業提供反欺詐中的獨到見解和業務洞察。
在這篇文章中,我們將介紹欺詐者在進行大規模垃圾信息攻擊中幾種常用的技術手段。
場景概述
眾所周知,欺詐者會使用鏈接來推廣各種產品或服務。 垃圾信息鏈接會通過多種渠道分發,例如郵件、文字消息、社交媒體, 特別是社交媒體成為了欺詐分子分發垃圾信息的首選。因為傳播方式簡單快捷,同時因為社交媒體信息像是來自真實的人,增加了人們的信任度,這樣增加了點擊未知鏈接的幾率。
對於欺詐分子來說,成功的垃圾信息活動是獲得儘可能大的 ROI(投資回報率)。 這意味著垃圾信息需要覆蓋儘可能多的終端用戶,這就要求反欺詐系統中的黑名單擁有強大的功能,還要有可擴展性。 接下來就會介紹近期 DataVisor 觀察到的社交媒體平臺上分發惡意鏈接的一些最新技術。
分發技術
一般來說,欺詐分子會使用多種欺詐技術儘可能的增加覆蓋人群,同時降低被社交平臺封禁的風險。 首先他們會發起小規模低頻率的活動以偽裝成正常用戶,同時在一個時間段內均勻分佈,以避免引起注意。在進行分發垃圾信息時,欺詐分子會租用受劫持的殭屍網絡,用它們作為代理,這樣基於 IP 黑名單和基於規則的反欺詐系統就會失效。 有時欺詐分子還會在垃圾信息中混入合法內容,看起來更像正常用戶,以此大大增加了檢測難度。
而在某些情況下,把受劫持賬戶用於進行垃圾信息分發更是大大增加了檢測難度。 欺詐分子能從暗網購買洩露的賬號和信息或自己盜取賬戶(如撞庫攻擊等)。在擁有這些資源後,欺詐分子便能操控這些賬戶,通過被劫持帳戶進行垃圾信息的推廣,而這些行為卻常常不被正常用戶所發覺。
偽裝技術
一次有效的垃圾信息不僅要求攻擊不被檢測的情況下,儘可能覆蓋多的用戶。同時欺詐分子還要保證推廣鏈接不會被平臺封禁,因為使用同一靜態鏈接是很容易被封禁的。
幾種常見的偽裝技術
1. 簡化鏈接
一個常見的垃圾信息偽裝技術是使用簡化鏈接,比如 Bitly、Google 簡版鏈接、Is Good 和 TinyURL 。這些服務會為一般的鏈接生成簡化版本以便用於分享。 欺詐者分子經常使用此功能隱藏惡意鏈接的落地頁面,也利用了這些鏈接的信譽值。(因為簡化鏈接十分常見,社交媒體很少會封禁它們)。
△簡化鏈接示例
2. 訪問重定向
垃圾郵件發送者和欺詐者利用網站和服務,通過例如通過在 Web 請求添加參數的方式,將終端用戶重定向至其它特定的網址。這種已知的重定向的漏洞會被使用在一些搜索引擎中,這其中包括百度和谷歌地圖。
△訪問重定向的垃圾信息鏈接
3. 利用雲服務
欺詐者通常會從雲服務或其他暗網中租用“防彈”主機作為其垃圾信息發送設備, 考慮到垃圾信息的基礎設施成本,欺詐分子傾向使用同一落地站點進行後續垃圾信息活動,可以將落地頁設置重定向的請求並同時投放多個系列廣告。
△鏈接再次跳轉攻擊的一個示例,其中落地服務器被重複用於多個垃圾信息活動
其實上面只是欺詐分子部分逃避檢測的技術手段。 平臺應該從多個維度分析用戶行為,無需通過已知經驗的欺詐檢測方案。而 DataVisor 的無監督機器學習引擎能夠從全局查看用戶行為,發現傳統欺詐解決方案不易察覺的微妙鏈接。如果您有興趣瞭解更多 DataVisor 的相關技術,歡迎在關注微信在後臺留言提出,或者留言【姓名+公司+郵箱+具體問題】,我們將盡快為您解答。
閱讀更多 DataVisor 的文章
