流量经济新观察之银行篇：数字化转型四十载（下） – 作者:GEETEST极验

在上篇，我们了解到，银行业已踏入数字化时代，面对新的竞争者（科技巨头以及创新平台）渗透，流量战争正式走向白热化。与此同时，各大银行纷纷倾力巨资展开线上流量的争夺，然而金融领域却早已被恶意机器流量侵蚀。

一场银行数字化转型背后的战争，即将打响。

一、渗透银行业务中的黑产

早在2018年，Gartner就将机器人防御（bot defense）加入到评估WAF和CDN核心能力的评价指标。现如今，全球恶意机器流量行业分布中，金融领域以47.7%的占比，排在首位，成为黑产团伙攻击的重点目标。

1.1 撞库攻击

2015年4月，乌云平台公布了国内某行某接口存在设计缺陷。具体为，某行网银登录页面，没有部署任何验证码，黑产可以利用社工库，针对该接口进行批量撞库攻击，从而获得明文银行卡号等敏感信息。

据相关调查显示，金融行业的撞库攻击风险高踞各行业榜首，高达65%。仅在2016年第一季度，就有超过十万的个人信息泄漏，超过十亿的资金面临潜在的风险。那么，银行业为什么会频繁遭遇撞库攻击呢？

1. 银行多个渠道可支持账号密码登陆，这给黑产带了可撞库的机会；
2. 未部署任何验证码，或仍然使用传统图片验证码，恶意流量攻击成本低；
3. 用户隐私信息泄露，庞大的社工库配合自动化脚本，形成高频高效攻击；
4. 门槛低变现简单，撞库成功后通过转账或者购买理财产品快速变现。 

1.2 职业羊毛党

2017年4月，某城商行旗下某APP主推的拉新活动上线。邀请任意新用户手机注册，即可获得虚拟积分并兑换价值100元的话费或100元购物卡等商品。由于门槛过低，引来职业羊毛党关注。一夜之间，羊毛党通过大批量虚假注册，垄断了该行数百万的拉新补贴。等到银行发现并关闭接口的时候，留下的只剩一堆虚假的流量数据。

2017年12月，国内某行APP遭遇职业羊毛党积分套现。通过第三方渠道购买一万多条个人信息（其中近3000余条，是公民银行卡信息），在某行「掌xx活」APP上大量注册账号，骗取积分，兑换礼品，低价出售变现。至案发时，共计兑换爱奇艺视频会员月卡10,269个、罗技无线鼠标343个，以及其他物品。后经物价局价格认证中心鉴定，仅涉案的爱奇艺会员月卡，总计价值就超过12万元。

作为网络黑产中重要角色之一，庞大的线报网络以及成熟的上下游产业链，让职业羊毛党寄生于银行线上业务之中。但凡有银行进行奖励、返现、优惠券、积分兑换等拉新促活推广时，职业羊毛党总能在第一时间，快速垄断银行为营销投入的线上资产，最后，通过线上二手平台，或线下低价分销快速变现。具体表现为：

1. 线报共享，职业羊毛党分工明确，专人负责线报搜集。银行一旦上线新项目，他们将通过QQ群、微信群、社群论坛等多渠道，快速传递线报信息；
2. BaaS支持，针对项目漏洞，快速完成自动化攻击方案，为羊毛党提供批量注册、秒拨动态IP、定制化改机工具、人工打码等规范化服务；
3. 变现套利，基于从银行活动中抢占的大量实物与虚拟奖励，职业羊毛党通过网上二手平台，或线下低价分销等模式完成变现套利。

1.3 伪-基站与短信嗅探

2018年8月，「独钓寒江雪」在豆瓣发帖《这下一无所有了》，讲述被盗刷的经历。一时间，伪-基站、短信嗅探掀起舆论关注。与此同时，包括郑州、广州、厦门等全国多地，接连发生多起银行卡被盗刷事件。这些银行卡盗刷案件作案手段一致，均是利用手机2G网络（GSM）不加密传输的漏洞，通过伪-基站和短信嗅探器，在一定范围内获取用户手机号码和短信验证码。之后，再利用各大银行APP存在的漏洞和缺陷，实现信息窃取、资金盗刷。

2021年2月，广东公安通过官博向网民发出提醒，广东省多地出现不法分子，利用伪-基站，冒充银行向用户发送诈骗短信。黑产人员通过伪-基站能搜取设备周围一定范围内的手机卡信息，并通过伪装成运营商的基站，冒充任意的手机号码强行向用户手机发送诈骗、广告推销等短信息，诱骗用户登录钓鱼网站后，获取用户精准信息并实施诈骗。

近年来，黑产利用伪-基站进行银行卡盗刷，冒充银行诈骗等攻击案例逐渐增多，除提升用户网络安全意识外，银行APP传统的「短信验证码」身份认证方式存在极大的安全隐患：

1. 基于2G网络的短信安全验证「短信验证码」本身存在缺陷：使用单向鉴权技术，且短信内容以明文形式传输；
2. 目前银行APP在登录、支付甚至是修改密码等关键业务环节，过于依赖「短信验证码」这一安全短板；
3. 当手机短信被拦截，这套身份认证体系将变得格外脆弱。

显然，如果仅仅是依靠短信验证码来确认用户身份，存在极大的安全隐患。对于平台而言，除了短信验证之外，在涉及大额支付及修改用户交易密码等业务场景，增加新的验证手段刻不容缓。

二、数字化转型胜负手

当下，数字化信号已经逐渐深入到生活中的每一个场景，可以预见，下一个时代，人类大部分活动及交互都将在数字化世界中进行，对于流量的争夺将愈发激烈。而面对前有科技巨头渗透，后有黑产团伙环绕的严峻形式，作为银行，围绕流量攻守展开的突破，将决定最后数字化转型的胜负手。

2.1 扩大流量池

与互联网企业不同，大多数的银行在金融科技这块的投入，仍处于初始阶段。许多手机银行APP经营并不成熟，流量也仅限于物理网点的迁移，做增量办法并不多。面对科技巨头以及创新平台的渗透，科学的获客、活客、留客、变现、反馈的生态闭环将成为新的突破口。

• 让流量进来：线下渠道与线上活动并行

跳出物理网点的依赖，必须拓展强大的线下渠道资源：一方面，将生活服务商家优惠券资源与外部第三方平台关联，第三方平台一旦用券码做推广，流量将导入到手机银行APP；另一方面，除传统网点、网银、门户网站等行内渠道，积极拓展商户、对公企业等资源，进一步扩大流量入口。

丰富多样的活动推广，提升新用户口碑以及老用户黏性：针对代发、出国金融、信用卡、理财、基金、缴费等核心流量入口，每月定期开展5-10场活动。数据显示，成功的数字化营销能让银行销售生产率提高20%，用户流失率下降25%，交叉销售成功率提高160%。

• 让流量留下：去「卖方市场」思维，加强客群特色服务

银行竞争意识薄弱，固有的「卖方市场」思维难以转变，将网点那套被动服务模式搬到线上，糟糕的用户体验将造成流量的严重流失。而在银行产品及功能同质化的今天，APP做的更「好用好懂好看」已经很难拉开差距，精准定位用户特征，挖掘用户潜在需求，突出用户的个性化和定制化，开发特色服务将成为新的机会。例如：某行手机银行的积分商城，产品重点覆盖年轻女性客群，抓住用户的喜好，推出一系列轻奢商品，进一步巩固了用户黏性并成功。

2.2 业务安全加固

恶意机器流量已经渗透到银行各个业务场景之中，寄生其中，并不断抢占银行线上资源，造成真实用户的大量流失。针对恶意流量的防御，业务安全加固，成为银行数字化转型过程中的重要课题。

同时，黑产团伙的手段也在不断迭代，利用先进技术与工具，规避平台的传统风控：

• 购买大量SIM卡来进行注册账号；
• 待机手机进行登录，甚至不断抹机来消除记录；
• 通过网上购买大量银行卡信息进行实名认证；
• 使用猫池设备伪造登录信息；
• 通过代理商修改地理位置和IP地址；
• ……

而在实际业务当中，面对黑产不断升级迭代的技术以及工具，「传统的短信验证码」与「字符验证码」反而成为最容易遭遇攻击的安全隐患。

传统字符验证码：破解率已接近100%

早在十年前，由康斯坦茨大学以及其他三所高校组成的研究小组，在其发布的一项为《Breaking e-Banking CAPTCHAs》的论文中曾明确指出：

• 中国的金融机构（任何类型）和其他国家的中小型金融机构都更积极地部署字符验证码，以至已成为几乎每个电子银行系统的标准组成部分；
• 在当时，针对这种以失真变形的字符组成的验证码，破解率已接近100%；
• 这些CAPTCHA项目由某银行服务提供商开发，数千家金融机构仍在使用这种传统的字符验证码。

据调查，我国银行现有交互端口，高达8成仍以传统的字符验证码进行人机校验，甚至存在部分银行在关键业务场景并未部署验证码，而这些都是银行频繁遭遇恶意流量攻击的关键原因之一。在没有部署验证码的场景，黑产可以直接操作脚本，进行高频次撞库攻击；而传统字符验证码，当前网上随便找个脚本都能轻松破解。为了对抗自动图像识别，传统字符验证码只好更加扭曲，更加模糊，严重侵害用户体验，直接导致用户的大量流失。

加固建议：极验「行为式验证码」

区别于传统字符验证码的人机校验逻辑，极验「行为式验证码」跳出围绕图片内容展开图灵测试的模式，而是利用生物特征与人工智能技术，通过对用户的行为特征进行分析，并连接庞大的数据库，实现全网联防联控。

作为全球创新性验证码代表，极验「行为式验证码」目前已被包括：中信银行信用卡、四川天府银行、新网银行、南京银行等全球32万家企业所应用，单日交互量高达14亿次。

传统短信验证码：用户流失率高达32%

在前面伪-基站与嗅探攻击中有介绍，基于2G网络的短信安全验证「短信验证码」本身存在缺陷：使用单向鉴权技术，且短信内容以明文形式传输。基于此，传统短信验证码将成为黑产团伙的突破口，短信验证码一旦被黑场团伙劫持，将严重威胁到银行用户财产安全。

另外，在银行各种营销活动中，短信验证码时常会出现校验时间较长、短信下发不稳定、短信接口容易被刷等问题，无形之中，造成真实用户的大量流失。据TalkingData实验报告数据，企业因为繁琐复杂的注册登录过程导致的用户流失，已高达32%。

加固建议：极验「无感本机认证」

随着产品的逐渐成熟与完善，兼顾安全与体验的最佳方案成为各大银行流量之争的核心关键。越来越多银行开始重视旗下产品体验优化，极验「无感本机认证」创新解决方案，正在替代传统的短信验证码。

作为身份校验的升级方案，极验牵手全国三大运营商推出「无感本机认证」。由运营商网关直接验证用户SIM卡中的手机号码，全程加密，替代短信验证码。从而让不法分子无短信可嗅探，从根源解决短信嗅探的风险。同时，也大大简化用户操作流程，用户体验更加顺畅，有效提高转化率，帮助企业优化认证流程，助力拉新、留存、促活。

结语

对于企业来说，疫情期间各种新需求的倒逼，将使其加速数字化转型。经过疫情检验，银行数字化转型下，各项业务将更加成熟。而随疫情冲击逐步消退，银行又将迎来新的挑战——智慧金融。在这一过程中，金融生态圈越完善、用户体验越好、金融产品竞争力越强的银行，必将在下一轮的竞争中拔得头筹。

来源：freebuf.com 2021-04-22 11:35:49 by: GEETEST极验