截止到目前,DataVisor 已经保护一些全球大型金融与电商企业免受欺诈威胁,其中累计处理用户账户数量高达40亿,这也让我们更好地洞悉全球欺诈生态变化趋势。借此 DataVisor 将推出系列技术文章,以分享从未出现的新型欺诈技术和攻击模式,为企业提供反欺诈中的独到见解和业务洞察。
在这篇文章中,我们将介绍欺诈者在进行大规模垃圾信息攻击中几种常用的技术手段。
场景概述
众所周知,欺诈者会使用链接来推广各种产品或服务。 垃圾信息链接会通过多种渠道分发,例如邮件、文字消息、社交媒体, 特别是社交媒体成为了欺诈分子分发垃圾信息的首选。因为传播方式简单快捷,同时因为社交媒体信息像是来自真实的人,增加了人们的信任度,这样增加了点击未知链接的几率。
对于欺诈分子来说,成功的垃圾信息活动是获得尽可能大的 ROI(投资回报率)。 这意味着垃圾信息需要覆盖尽可能多的终端用户,这就要求反欺诈系统中的黑名单拥有强大的功能,还要有可扩展性。 接下来就会介绍近期 DataVisor 观察到的社交媒体平台上分发恶意链接的一些最新技术。
分发技术
一般来说,欺诈分子会使用多种欺诈技术尽可能的增加覆盖人群,同时降低被社交平台封禁的风险。 首先他们会发起小规模低频率的活动以伪装成正常用户,同时在一个时间段内均匀分布,以避免引起注意。在进行分发垃圾信息时,欺诈分子会租用受劫持的僵尸网络,用它们作为代理,这样基于 IP 黑名单和基于规则的反欺诈系统就会失效。 有时欺诈分子还会在垃圾信息中混入合法内容,看起来更像正常用户,以此大大增加了检测难度。
而在某些情况下,把受劫持账户用于进行垃圾信息分发更是大大增加了检测难度。 欺诈分子能从暗网购买泄露的账号和信息或自己盗取账户(如撞库攻击等)。在拥有这些资源后,欺诈分子便能操控这些账户,通过被劫持帐户进行垃圾信息的推广,而这些行为却常常不被正常用户所发觉。
伪装技术
一次有效的垃圾信息不仅要求攻击不被检测的情况下,尽可能覆盖多的用户。同时欺诈分子还要保证推广链接不会被平台封禁,因为使用同一静态链接是很容易被封禁的。
几种常见的伪装技术
1. 简化链接
一个常见的垃圾信息伪装技术是使用简化链接,比如 Bitly、Google 简版链接、Is Good 和 TinyURL 。这些服务会为一般的链接生成简化版本以便用于分享。 欺诈者分子经常使用此功能隐藏恶意链接的落地页面,也利用了这些链接的信誉值。(因为简化链接十分常见,社交媒体很少会封禁它们)。
△简化链接示例
2. 访问重定向
垃圾邮件发送者和欺诈者利用网站和服务,通过例如通过在 Web 请求添加参数的方式,将终端用户重定向至其它特定的网址。这种已知的重定向的漏洞会被使用在一些搜索引擎中,这其中包括百度和谷歌地图。
△访问重定向的垃圾信息链接
3. 利用云服务
欺诈者通常会从云服务或其他暗网中租用“防弹”主机作为其垃圾信息发送设备, 考虑到垃圾信息的基础设施成本,欺诈分子倾向使用同一落地站点进行后续垃圾信息活动,可以将落地页设置重定向的请求并同时投放多个系列广告。
△链接再次跳转攻击的一个示例,其中落地服务器被重复用于多个垃圾信息活动
其实上面只是欺诈分子部分逃避检测的技术手段。 平台应该从多个维度分析用户行为,无需通过已知经验的欺诈检测方案。而 DataVisor 的无监督机器学习引擎能够从全局查看用户行为,发现传统欺诈解决方案不易察觉的微妙链接。如果您有兴趣了解更多 DataVisor 的相关技术,欢迎在关注微信在后台留言提出,或者留言【姓名+公司+邮箱+具体问题】,我们将尽快为您解答。
閱讀更多 DataVisor 的文章
