流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验

在上篇,我们了解到,银行业已踏入数字化时代,面对新的竞争者(科技巨头以及创新平台)渗透,流量战争正式走向白热化。与此同时,各大银行纷纷倾力巨资展开线上流量的争夺,然而金融领域却早已被恶意机器流量侵蚀。

一场银行数字化转型背后的战争,即将打响。

一、渗透银行业务中的黑产

早在2018年,Gartner就将机器人防御(bot defense)加入到评估WAF和CDN核心能力的评价指标。现如今,全球恶意机器流量行业分布中,金融领域以47.7%的占比,排在首位,成为黑产团伙攻击的重点目标。

1.1 撞库攻击

2015年4月,乌云平台公布了国内某行某接口存在设计缺陷。具体为,某行网银登录页面,没有部署任何验证码,黑产可以利用社工库,针对该接口进行批量撞库攻击,从而获得明文银行卡号等敏感信息。

图片[1]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

据相关调查显示,金融行业的撞库攻击风险高踞各行业榜首,高达65%。仅在2016年第一季度,就有超过十万的个人信息泄漏,超过十亿的资金面临潜在的风险。那么,银行业为什么会频繁遭遇撞库攻击呢?

  1. 银行多个渠道可支持账号密码登陆,这给黑产带了可撞库的机会;
  2. 未部署任何验证码,或仍然使用传统图片验证码,恶意流量攻击成本低;
  3. 用户隐私信息泄露,庞大的社工库配合自动化脚本,形成高频高效攻击;
  4. 门槛低变现简单,撞库成功后通过转账或者购买理财产品快速变现。 

1.2 职业羊毛党

2017年4月,某城商行旗下某APP主推的拉新活动上线。邀请任意新用户手机注册,即可获得虚拟积分并兑换价值100元的话费或100元购物卡等商品。由于门槛过低,引来职业羊毛党关注。一夜之间,羊毛党通过大批量虚假注册,垄断了该行数百万的拉新补贴。等到银行发现并关闭接口的时候,留下的只剩一堆虚假的流量数据。图片[2]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

2017年12月,国内某行APP遭遇职业羊毛党积分套现。通过第三方渠道购买一万多条个人信息(其中近3000余条,是公民银行卡信息),在某行「掌xx活」APP上大量注册账号,骗取积分,兑换礼品,低价出售变现。至案发时,共计兑换爱奇艺视频会员月卡10,269个、罗技无线鼠标343个,以及其他物品。后经物价局价格认证中心鉴定,仅涉案的爱奇艺会员月卡,总计价值就超过12万元。图片[3]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

作为网络黑产中重要角色之一,庞大的线报网络以及成熟的上下游产业链,让职业羊毛党寄生于银行线上业务之中。但凡有银行进行奖励、返现、优惠券、积分兑换等拉新促活推广时,职业羊毛党总能在第一时间,快速垄断银行为营销投入的线上资产,最后,通过线上二手平台,或线下低价分销快速变现。具体表现为:

  1. 线报共享,职业羊毛党分工明确,专人负责线报搜集。银行一旦上线新项目,他们将通过QQ群、微信群、社群论坛等多渠道,快速传递线报信息;
  2. BaaS支持,针对项目漏洞,快速完成自动化攻击方案,为羊毛党提供批量注册、秒拨动态IP、定制化改机工具、人工打码等规范化服务;
  3. 变现套利,基于从银行活动中抢占的大量实物与虚拟奖励,职业羊毛党通过网上二手平台,或线下低价分销等模式完成变现套利。

1.3 伪-基站与短信嗅探

2018年8月,「独钓寒江雪」在豆瓣发帖《这下一无所有了》,讲述被盗刷的经历。一时间,伪-基站、短信嗅探掀起舆论关注。与此同时,包括郑州、广州、厦门等全国多地,接连发生多起银行卡被盗刷事件。这些银行卡盗刷案件作案手段一致,均是利用手机2G网络(GSM)不加密传输的漏洞,通过伪-基站和短信嗅探器,在一定范围内获取用户手机号码和短信验证码。之后,再利用各大银行APP存在的漏洞和缺陷,实现信息窃取、资金盗刷。

图片[4]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

2021年2月,广东公安通过官博向网民发出提醒,广东省多地出现不法分子,利用伪-基站,冒充银行向用户发送诈骗短信。黑产人员通过伪-基站能搜取设备周围一定范围内的手机卡信息,并通过伪装成运营商的基站,冒充任意的手机号码强行向用户手机发送诈骗、广告推销等短信息,诱骗用户登录钓鱼网站后,获取用户精准信息并实施诈骗。

图片[5]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

近年来,黑产利用伪-基站进行银行卡盗刷,冒充银行诈骗等攻击案例逐渐增多,除提升用户网络安全意识外,银行APP传统的「短信验证码」身份认证方式存在极大的安全隐患:

  1. 基于2G网络的短信安全验证「短信验证码」本身存在缺陷:使用单向鉴权技术,且短信内容以明文形式传输;
  2. 目前银行APP在登录、支付甚至是修改密码等关键业务环节,过于依赖「短信验证码」这一安全短板;
  3. 当手机短信被拦截,这套身份认证体系将变得格外脆弱。

显然,如果仅仅是依靠短信验证码来确认用户身份,存在极大的安全隐患。对于平台而言,除了短信验证之外,在涉及大额支付及修改用户交易密码等业务场景,增加新的验证手段刻不容缓。

二、数字化转型胜负手

当下,数字化信号已经逐渐深入到生活中的每一个场景,可以预见,下一个时代,人类大部分活动及交互都将在数字化世界中进行,对于流量的争夺将愈发激烈。而面对前有科技巨头渗透,后有黑产团伙环绕的严峻形式,作为银行,围绕流量攻守展开的突破,将决定最后数字化转型的胜负手。

2.1 扩大流量池

与互联网企业不同,大多数的银行在金融科技这块的投入,仍处于初始阶段。许多手机银行APP经营并不成熟,流量也仅限于物理网点的迁移,做增量办法并不多。面对科技巨头以及创新平台的渗透,科学的获客、活客、留客、变现、反馈的生态闭环将成为新的突破口。图片[6]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

  • 让流量进来:线下渠道与线上活动并行

跳出物理网点的依赖,必须拓展强大的线下渠道资源:一方面,将生活服务商家优惠券资源与外部第三方平台关联,第三方平台一旦用券码做推广,流量将导入到手机银行APP;另一方面,除传统网点、网银、门户网站等行内渠道,积极拓展商户、对公企业等资源,进一步扩大流量入口。

丰富多样的活动推广,提升新用户口碑以及老用户黏性:针对代发、出国金融、信用卡、理财、基金、缴费等核心流量入口,每月定期开展5-10场活动。数据显示,成功的数字化营销能让银行销售生产率提高20%,用户流失率下降25%,交叉销售成功率提高160%。

  • 让流量留下:去「卖方市场」思维,加强客群特色服务

银行竞争意识薄弱,固有的「卖方市场」思维难以转变,将网点那套被动服务模式搬到线上,糟糕的用户体验将造成流量的严重流失。而在银行产品及功能同质化的今天,APP做的更「好用好懂好看」已经很难拉开差距,精准定位用户特征,挖掘用户潜在需求,突出用户的个性化和定制化,开发特色服务将成为新的机会。例如:某行手机银行的积分商城,产品重点覆盖年轻女性客群,抓住用户的喜好,推出一系列轻奢商品,进一步巩固了用户黏性并成功。

2.2 业务安全加固

恶意机器流量已经渗透到银行各个业务场景之中,寄生其中,并不断抢占银行线上资源,造成真实用户的大量流失。针对恶意流量的防御,业务安全加固,成为银行数字化转型过程中的重要课题。

图片[7]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

同时,黑产团伙的手段也在不断迭代,利用先进技术与工具,规避平台的传统风控:

  • 购买大量SIM卡来进行注册账号;
  • 待机手机进行登录,甚至不断抹机来消除记录;
  • 通过网上购买大量银行卡信息进行实名认证;
  • 使用猫池设备伪造登录信息;
  • 通过代理商修改地理位置和IP地址;
  • ……

而在实际业务当中,面对黑产不断升级迭代的技术以及工具,「传统的短信验证码」与「字符验证码」反而成为最容易遭遇攻击的安全隐患。

传统字符验证码:破解率已接近100%

早在十年前,由康斯坦茨大学以及其他三所高校组成的研究小组,在其发布的一项为《Breaking e-Banking CAPTCHAs》的论文中曾明确指出:

  • 中国的金融机构(任何类型)和其他国家的中小型金融机构都更积极地部署字符验证码,以至已成为几乎每个电子银行系统的标准组成部分;
  • 在当时,针对这种以失真变形的字符组成的验证码,破解率已接近100%;
  • 这些CAPTCHA项目由某银行服务提供商开发,数千家金融机构仍在使用这种传统的字符验证码。

图片[8]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

据调查,我国银行现有交互端口,高达8成仍以传统的字符验证码进行人机校验,甚至存在部分银行在关键业务场景并未部署验证码,而这些都是银行频繁遭遇恶意流量攻击的关键原因之一。在没有部署验证码的场景,黑产可以直接操作脚本,进行高频次撞库攻击;而传统字符验证码,当前网上随便找个脚本都能轻松破解。为了对抗自动图像识别,传统字符验证码只好更加扭曲,更加模糊,严重侵害用户体验,直接导致用户的大量流失。

图片[9]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科图片[10]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

加固建议:极验「行为式验证码」

区别于传统字符验证码的人机校验逻辑,极验「行为式验证码」跳出围绕图片内容展开图灵测试的模式,而是利用生物特征与人工智能技术,通过对用户的行为特征进行分析,并连接庞大的数据库,实现全网联防联控。

图片[11]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科图片[12]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科图片[13]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

作为全球创新性验证码代表,极验「行为式验证码」目前已被包括:中信银行信用卡、四川天府银行、新网银行、南京银行等全球32万家企业所应用,单日交互量高达14亿次。

传统短信验证码:用户流失率高达32%

在前面伪-基站与嗅探攻击中有介绍,基于2G网络的短信安全验证「短信验证码」本身存在缺陷:使用单向鉴权技术,且短信内容以明文形式传输。基于此,传统短信验证码将成为黑产团伙的突破口,短信验证码一旦被黑场团伙劫持,将严重威胁到银行用户财产安全。

另外,在银行各种营销活动中,短信验证码时常会出现校验时间较长、短信下发不稳定、短信接口容易被刷等问题,无形之中,造成真实用户的大量流失。据TalkingData实验报告数据,企业因为繁琐复杂的注册登录过程导致的用户流失,已高达32%。

图片[14]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

加固建议:极验「无感本机认证」

随着产品的逐渐成熟与完善,兼顾安全与体验的最佳方案成为各大银行流量之争的核心关键。越来越多银行开始重视旗下产品体验优化,极验「无感本机认证」创新解决方案,正在替代传统的短信验证码。图片[15]-流量经济新观察之银行篇:数字化转型四十载(下) – 作者:GEETEST极验-安全小百科

作为身份校验的升级方案,极验牵手全国三大运营商推出「无感本机认证」。由运营商网关直接验证用户SIM卡中的手机号码,全程加密,替代短信验证码。从而让不法分子无短信可嗅探,从根源解决短信嗅探的风险。同时,也大大简化用户操作流程,用户体验更加顺畅,有效提高转化率,帮助企业优化认证流程,助力拉新、留存、促活。

结语

对于企业来说,疫情期间各种新需求的倒逼,将使其加速数字化转型。经过疫情检验,银行数字化转型下,各项业务将更加成熟。而随疫情冲击逐步消退,银行又将迎来新的挑战——智慧金融。在这一过程中,金融生态圈越完善、用户体验越好、金融产品竞争力越强的银行,必将在下一轮的竞争中拔得头筹。

来源:freebuf.com 2021-04-22 11:35:49 by: GEETEST极验

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论