一天，某銀行活動(dòng)部門發(fā)現(xiàn)，今年投入的 2000 萬(wàn)營(yíng)銷費(fèi)用中，1800 萬(wàn)被羊毛黨薅走了。

銀行可能經(jīng)歷了兩個(gè)套路。

套路一：沒(méi)什么風(fēng)控措施，羊毛黨一擁而上，活動(dòng)負(fù)責(zé)人看著火熱的活動(dòng)數(shù)據(jù)沾沾自喜，沒(méi)想到辛辛苦苦拉的新在一個(gè)星期內(nèi)就掉光了。

套路二：有風(fēng)控措施，但是銀行內(nèi)鬼將風(fēng)控規(guī)則透露給了外部同伙，同伙根據(jù)信息調(diào)整了策略，繞過(guò)風(fēng)控，事后兩方分錢。

還有騙貸的。

9 月 6 日，據(jù)新聞報(bào)道，XX銀行兩員工參與騙貸 4200 萬(wàn)，原來(lái)，兩名XX銀行的員工在外注冊(cè)了兩家公司，編造虛假的貸款用途騙取銀行貸款，自己申請(qǐng)自己審批，來(lái)了個(gè)騙貸一條龍服務(wù)。

受害的不只是銀行，還有銀行的客戶，比如，每一個(gè)普普通通走進(jìn)銀行存錢、貸款、辦理理財(cái)?shù)绕渌鹑诜?wù)的人。

這些人是怎么受害的呢？

最近有一個(gè)讓人啼笑皆非的“解凍民族資產(chǎn)”詐騙故事。這個(gè)故事的套路很古老，大致是“古代帝王在XXX有巨額資產(chǎn)，現(xiàn)在需要大家贊助一下，提取資產(chǎn)后將拿出很多扶貧資金給籌款的人”，這個(gè)受害者團(tuán)隊(duì)的頭頭馬銀帶領(lǐng)團(tuán)隊(duì)籌集了一筆高達(dá) 80 億元的扶貧款。

這個(gè)故事的魔幻之處在于上當(dāng)受騙者的信息被層層倒賣，大家覺(jué)得“你好騙，就都來(lái)騙一下”。

“馬銀等人的電話信息會(huì)在詐騙者圈中倒賣，本來(lái)我在騙他，騙了幾次之后，覺(jué)得再要錢可能要不過(guò)來(lái)了，就賣給你，你再冒充其他身份來(lái)騙他。一個(gè)‘豬頭’，常常有好幾個(gè)人來(lái)割一刀?！逼渲幸粋€(gè)詐騙者說(shuō)。

回到前面說(shuō)的銀行的故事，作為某個(gè)銀行客戶的你是不是經(jīng)常接到詐騙、推銷等騷擾電話？一個(gè)接一個(gè)，你都不知道，到底有多少人拿到了你的信息。

在內(nèi)外攻擊混合雙打下，個(gè)人信息不知不覺(jué)被多個(gè)黑灰產(chǎn)盤剝，甚至遭遇多重“宰殺”。

他們能玩的把戲不只這些，看看這份黑灰產(chǎn)動(dòng)作清單，表格顏色越深，代表形勢(shì)越嚴(yán)峻：

不只是銀行，保險(xiǎn)、理財(cái)、運(yùn)營(yíng)商、互聯(lián)網(wǎng)等多個(gè)領(lǐng)域，個(gè)人與政府機(jī)構(gòu)、企業(yè)一起一同遭受網(wǎng)絡(luò)威脅。不過(guò)，今天我要講的故事主要還是給這些機(jī)構(gòu)“治病”，而非個(gè)人。

幫我分析“病情”的老醫(yī)生來(lái)自芯盾時(shí)代，他叫杜旭，有 20 多年的安全從業(yè)經(jīng)驗(yàn)，現(xiàn)任芯盾時(shí)代合伙人、產(chǎn)品市場(chǎng)部副總裁。

【杜旭】

杜旭把這種“病”劃分到了“業(yè)務(wù)安全”。業(yè)務(wù)安全是指保護(hù)業(yè)務(wù)系統(tǒng)免受安全威脅的措施或手段，你可以理解為你去一家銀行辦理業(yè)務(wù)，一家保險(xiǎn)公司幫你處理保險(xiǎn)業(yè)務(wù)，公司職工辦公所要流轉(zhuǎn)的業(yè)務(wù)系統(tǒng)的安全。

前面的安全風(fēng)險(xiǎn)顯得很復(fù)雜，但是杜旭開(kāi)出的“藥方”卻只有一個(gè)：搞清楚使用“業(yè)務(wù)”的人是誰(shuí)，只讓他使用規(guī)定動(dòng)作內(nèi)的業(yè)務(wù)，就像你約了小紅去唱K，就要保證來(lái)的是小紅，由于預(yù)算有限，規(guī)定動(dòng)作就是 唱K，不能吃飯。而要達(dá)到這一目的，使用的工具也超級(jí)簡(jiǎn)單——手機(jī)，21世紀(jì)最讓人上頭的產(chǎn)品。

你只需要拿出一個(gè)手機(jī)，背后的瀚海星辰由技術(shù)人員負(fù)責(zé)。

“用戶是C”的B端客戶的藥方

剛開(kāi)始，大家都學(xué)會(huì)了一種方法：輸入手機(jī)號(hào)碼，拿起手機(jī)看看收到的短信驗(yàn)證碼，填進(jìn)去，這樣就完成了身份認(rèn)證。

有一天，狡猾的黑灰產(chǎn)學(xué)會(huì)了攔截短信驗(yàn)證碼，這種驗(yàn)證方式突然變得不那么可靠了。既然不那么安全，那就上人臉識(shí)別吧，至少“大部分人做不到模仿一個(gè)活人的臉”。但是，用戶要是每次使用銀行的服務(wù)，除了使用短信驗(yàn)證碼，還要再來(lái)一次人臉識(shí)別，肯定不太愉快，銀行也在想：到底應(yīng)該給誰(shuí)彈出人臉識(shí)別的雙重認(rèn)證？

為了準(zhǔn)確判斷“誰(shuí)應(yīng)該再贏得一次信任”，需要再上幾個(gè)維度綜合判斷，除了用戶能感受到的密碼、生物等維度，技術(shù)人員（后來(lái)就是機(jī)器）在背后從應(yīng)用、時(shí)間、歷史等7個(gè)維度進(jìn)行判斷。

這是三年前老醫(yī)生想的第一種辦法，名為 MFA（多因素）認(rèn)證，現(xiàn)在用得挺好的。但銀行又提出了新的需求，既然手機(jī)端可以這么應(yīng)用，電腦端、小程序等用戶能接觸到的全渠道都要能用上這種身份認(rèn)證，而且要保證就算黑灰產(chǎn)刷機(jī)也不能抹滅自己的痕跡。

黑灰產(chǎn)常試圖讓老醫(yī)生看不出這些數(shù)據(jù)來(lái)自同一個(gè)機(jī)器，但是老醫(yī)生自有應(yīng)對(duì)之道：利用幾千個(gè)維度確認(rèn)這些信息是否來(lái)自同一臺(tái)機(jī)器。“盡管可以刷新幾個(gè)指標(biāo)，但通過(guò)硬件指標(biāo)判斷，比如cpu性能、顯卡性能等，每一臺(tái)機(jī)器都有恒定且唯一的標(biāo)記，不容更改。甚至，還能知道機(jī)器上裝了哪些應(yīng)用軟件，軟件是什么版本等?！倍判裾f(shuō)，這就是端點(diǎn)核心安全（EDR）。

銀行不能光憑“你說(shuō)好”就相信你，它給出了 100 萬(wàn)條測(cè)試數(shù)據(jù)，要求大家用自己的方法來(lái)進(jìn)行 POC 測(cè)試。

所謂 POC 測(cè)試，就是業(yè)界流行的針對(duì)客戶具體應(yīng)用的驗(yàn)證性測(cè)試，根據(jù)用戶對(duì)采用系統(tǒng)提出的性能要求和擴(kuò)展需求的指標(biāo)，在選用服務(wù)器上進(jìn)行真實(shí)數(shù)據(jù)的運(yùn)行，對(duì)承載用戶數(shù)據(jù)量和運(yùn)行時(shí)間進(jìn)行實(shí)際測(cè)算，并根據(jù)用戶未來(lái)業(yè)務(wù)擴(kuò)展的需求加大數(shù)據(jù)量以驗(yàn)證系統(tǒng)和平臺(tái)的承載能力和性能變化。

說(shuō)得更簡(jiǎn)單點(diǎn)，銀行用戶在測(cè)試數(shù)據(jù)里混入了一些“渾水摸魚”的高風(fēng)險(xiǎn)數(shù)據(jù)，對(duì)應(yīng)現(xiàn)實(shí)操作，你能否全部找出來(lái)？

杜旭說(shuō)，光給我這些數(shù)據(jù)，我也看不出來(lái)。

于是，他給了銀行進(jìn)行身份認(rèn)證的 SDK，讓銀行的機(jī)器再跑一段時(shí)間，再拿出100萬(wàn)條數(shù)據(jù)進(jìn)行測(cè)試?！盎?SDK 跑的情況，我可以告訴你這 100 萬(wàn)條信息來(lái)自于一百部手機(jī)?！崩厢t(yī)生胸有成竹。

用身份認(rèn)證技術(shù)知道用戶是誰(shuí)還不夠，還需要知道他們干了什么，這是從“行為”角度進(jìn)行的二次確認(rèn)。

問(wèn)題來(lái)了，既然你說(shuō)只要是確認(rèn)是“好人”，那么“好人”進(jìn)來(lái)應(yīng)該不會(huì)發(fā)生“壞事”吧？為什么還要考察“行為”？杜旭告訴雷鋒網(wǎng)，因?yàn)閺膯蝹€(gè)客戶看，他可能是個(gè)干凈的用戶，但是如果關(guān)聯(lián)行為，會(huì)發(fā)現(xiàn)這個(gè)人有很高的風(fēng)險(xiǎn)。

比如，信用清白的 A、B、C、D、E、F 分別申請(qǐng)借貸 10 萬(wàn)，最后錢都倒了 G 的賬戶，說(shuō)不定是黑灰產(chǎn)買賣了個(gè)人信息，或者以各種手段誘騙用戶借貸分成，最后給平臺(tái)造成追也追不回的壞賬。

不過(guò)，杜旭的想法依然是，通過(guò)鎖定設(shè)備身份，監(jiān)控設(shè)備是否有類似的不合理的群體行為，這個(gè)方案叫做“智能行為認(rèn)證 IPA ”。

發(fā)現(xiàn)用戶是誰(shuí)，能做什么，確認(rèn)用戶到底做了什么，這兩個(gè)方案構(gòu)成了老醫(yī)生杜旭開(kāi)給“用戶是C”的B端客戶的藥方。

抓出內(nèi)鬼和披著羊皮的狼

還有一類客戶沒(méi)有 C 端用戶，那么，他們的業(yè)務(wù)安全就容易做了嗎？并沒(méi)有，抓披著“良人”外套的內(nèi)鬼或者“攻擊者”也很難。

芯盾時(shí)代曾經(jīng)有個(gè)大型連鎖超市的客戶，它的員工遍布全國(guó)，有7萬(wàn)人，二級(jí)單位有1000多個(gè)，這還沒(méi)有包括不同供應(yīng)商，誰(shuí)能保證所有人都和老板一條心？

不僅不是一條心，還可能用 AI 冒充老板指揮員工打錢。

這個(gè)價(jià)值 173 萬(wàn)元的詐騙就是這樣發(fā)生的：一天，英國(guó)子公司的 CEO 接到了德國(guó)母公司“老板”電話，老板操著一副德國(guó)腔的英文跟 CEO 聊起了天，原來(lái)，德國(guó)“老板”在跟“匈牙利供應(yīng)商”談生意，賬要從英國(guó)的子公司走，也就是英國(guó)子公司把錢打給“匈牙利供應(yīng)商”，德國(guó)的母公司后續(xù)再給英國(guó)子公司補(bǔ)款，德國(guó)“老板”要在一個(gè)小時(shí)之內(nèi)給“匈牙利供應(yīng)商”的賬戶打 22 萬(wàn)歐元，折合人民幣173萬(wàn)元。

因?yàn)檫@個(gè)聲音跟老板一毛一樣，CEO 毫不猶豫地打錢了，直到騙子沒(méi)騙夠，準(zhǔn)備再來(lái)一輪詐騙時(shí)，CEO 才發(fā)現(xiàn)不對(duì)勁。

一樣的路徑是，是否有人可以冒充老板或者員工的賬號(hào)等獲得相關(guān)權(quán)限？

杜旭把給“用戶是 C ”的 B 端客戶的“配藥原理”用到了這一類他們稱之為“E”端的客戶上，依舊簡(jiǎn)單的是：他們要了解用戶是誰(shuí)，有什么權(quán)限，干了些什么。

這一次，也是利用手機(jī)作為最簡(jiǎn)單的介質(zhì)，稍微“輕松”一點(diǎn)的是，他們?cè)诖_認(rèn)用戶身份時(shí)，只有一個(gè)核心路徑：確保只有 A 能做 A 做的事情，所有偏離固定路徑的行為和人都被認(rèn)為“有問(wèn)題”。

來(lái)到第一個(gè)問(wèn)題，怎么確保是“A”？

在訪問(wèn)操作源頭就進(jìn)行身份核實(shí)，把以前公司派發(fā)的“U盾”轉(zhuǎn)變成手機(jī)認(rèn)證，不過(guò)不同的是，還需要在手機(jī)里裝一個(gè)驗(yàn)證 App，這個(gè) App 在手機(jī)里有一塊單獨(dú)的區(qū)域，就像深處鬧市中的一個(gè)跟監(jiān)獄一樣守衛(wèi)森嚴(yán)的房子，如果要登陸業(yè)務(wù)系統(tǒng)，只有通過(guò)這個(gè) App 發(fā)出“鑰匙”，才能進(jìn)入。

但身份驗(yàn)證只是撇開(kāi)無(wú)權(quán)限用戶的手段，對(duì)于找出內(nèi)鬼而言，還需要核心武器：監(jiān)測(cè)、分析用戶的行為。

根據(jù)常態(tài)行為，發(fā)現(xiàn)異常情況，這是老醫(yī)生開(kāi)出的“持續(xù)自適應(yīng)認(rèn)證”，每隔一個(gè)時(shí)間點(diǎn)，這個(gè)武器就會(huì)檢查用戶的狀態(tài)是否變化，是否有越權(quán)行為。比如，用戶 IP 沒(méi)有變化，但是登陸的驗(yàn)證方式卻突然從電腦轉(zhuǎn)移到手機(jī)端，“持續(xù)自適應(yīng)認(rèn)證”就要結(jié)合其他維度，考慮是否彈出其他驗(yàn)證方式，驗(yàn)證用戶是否合法。

在這個(gè)過(guò)程中，如果用戶沒(méi)有任何異常的行為，這個(gè)武器像一個(gè)靜默的記錄者，不斷地建立對(duì)用戶的印象，慢慢地知道了你的常規(guī)狀態(tài)，就像跟你一起生活了三年的鄰居大媽，一直覺(jué)得你是個(gè)安靜的小哥哥，突然發(fā)現(xiàn)你家有人連續(xù)一個(gè)月在深夜蹦迪，相信我，她一定會(huì)來(lái)砸門的。

不過(guò)，這個(gè)方案的核心不在于“抓住內(nèi)鬼，嚴(yán)刑拷打”，而在于保護(hù)正常的工作流程，簡(jiǎn)單來(lái)說(shuō)，你可以把它理解為保安，而非警察。

“因?yàn)檫@涉及到一個(gè)用戶打擾率的問(wèn)題，我們也不可能嚴(yán)格到只要你偏離了一點(diǎn)，就馬上再次認(rèn)證，還是需要經(jīng)過(guò)其他維度的評(píng)分。”杜旭對(duì)雷鋒網(wǎng)說(shuō)。

還有一個(gè)關(guān)鍵問(wèn)題，假如老醫(yī)生真的要給有 7 萬(wàn)名員工的企業(yè)上這個(gè)“持續(xù)自適應(yīng)認(rèn)證”，難道它要根據(jù) 7萬(wàn)名員工的行為來(lái)生成 7 萬(wàn)個(gè)模型？

當(dāng)然不是。

“規(guī)則發(fā)現(xiàn)和規(guī)則權(quán)重調(diào)整都是靠機(jī)器學(xué)習(xí)模型通過(guò)歷史性算出來(lái)的，AI 會(huì)根據(jù)不同的人群生成類似的模型，并通過(guò)一定頻率更改不同的驗(yàn)證規(guī)則?！倍判駥?duì)雷鋒網(wǎng)說(shuō)。

也就是說(shuō)，你可以把之前想象中的鄰居大媽理解成隔壁不同的物業(yè)，負(fù)責(zé)一個(gè)個(gè)轄區(qū)，而且這個(gè)物業(yè)還挺人性，會(huì)根據(jù)小區(qū)的發(fā)展開(kāi)發(fā)不同的管理策略。

這兩類針對(duì)不同用戶的方案看上去還挺動(dòng)態(tài)和復(fù)雜，但用戶能體驗(yàn)到的就是一項(xiàng)手機(jī)操作而已，這也是一個(gè)“問(wèn)診”二十年老醫(yī)生的滿滿誠(chéng)意：復(fù)雜的招式簡(jiǎn)單化，讓你一個(gè)手機(jī)走天下。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。