业务风险IP情报在社交私信引流场景下的应用 – 作者:永安在线

​业务风险场景中基于IP的对抗一直是企业风控团队面对的一个难点。一方面一个IP背后可能对应多个用户和设备,另一方面随着黑产秒拨和代理技术的发展,大量的黑产IP资源是和正常用户的IP混合在一起。所以导致在IP这个维度上容易出现误判,往往风控的置信度不高,更甚者直接不把IP作为风控因子之一。但是从永安在线近期的数据监测可以看出,90%以上的黑产在攻击时为了绕过企业对于频次或者是地理位置的属性,必然是会使用到代理或者是秒拨的IP资源。对于IP情报能力的挖掘也能够有效帮助企业解决业务风险场景下的问题。

本篇文章主要分享一下在社交平台常见的IM广告引流场景下,业务风险IP情报如何帮助企业风控找到更多虚假账号。

社交平台广告引流场景下对抗的难点分析:

社交平台由于天然的聊天属性,导致变成了黑产广告引流、杀猪盘诈骗最严重的地方。黑产上游账号商人注册大量的虚假账号,然后把这些账号卖给中游引流团伙,引流团伙利用自动化工具和脚本批量的平台用户发“加微信”或者“做兼职”等私信进行引流到微信号或者QQ号。下游诈骗团伙在微信或者QQ上对引流成功的账号进行进行诈骗。一方面大量的垃圾广告会影响平台的用户体验,另一方面如果一旦脱离的平台的用户被诈骗成功,及时是不发生在社交平台内,也会对平台的口碑和形象造成极大的影响。

 图片[1]-业务风险IP情报在社交私信引流场景下的应用 – 作者:永安在线-安全小百科

 图片[2]-业务风险IP情报在社交私信引流场景下的应用 – 作者:永安在线-安全小百科

 图片[3]-业务风险IP情报在社交私信引流场景下的应用 – 作者:永安在线-安全小百科

拿我们的一个社交客户的风险场景举例,早期黑产的作恶方式主要是通过接码平台注册大量的账号然后再利用自动化的工具进行批量引流。基于此他们主要在注册和私信两个场景下做攻防对抗,一方面在注册场景下接入恶意手机卡情报和人脸验证对注册账号进行强校验,另一方面通过内容审核对于发布的引流信息进行识别,从而关联相关账号进行封禁。这个在早期极大的提高了黑产的注册成本,一定程度上控制住了黑产。图片[4]-业务风险IP情报在社交私信引流场景下的应用 – 作者:永安在线-安全小百科

早期黑产作恶方式与对抗方式

但随着攻防对抗的升级,黑灰产不再使用接码平台进行账号注册,而是转用真人众包的方式进行虚假注册。真人众包实际上就是利用了想赚点小钱的兼职人员,他们通过发布注册任务获取大量通过人脸认证或者实名认证的账号,然后再把这些账号转卖给引流团伙进行诈骗。引流团伙在通过引流工具和脚本自动生成绕过企业内容审核机制的话术进行引流。图片[5]-业务风险IP情报在社交私信引流场景下的应用 – 作者:永安在线-安全小百科

真人众包的注册任务图片[6]-业务风险IP情报在社交私信引流场景下的应用 – 作者:永安在线-安全小百科

真人众包下黑产作恶方式

总结来说,有两大对抗难点:

1、虚假注册账号是利用真人信息和手机号进行注册的,难以识别

2、通过内容审核识别一方面存在滞后性,另一方面黑产工具可以批量生成随机话术进行对抗,导致攻防被动。

图片[7]-业务风险IP情报在社交私信引流场景下的应用 – 作者:永安在线-安全小百科

在Karma业务安全情报平台上发现的自动化引流脚本具有自动改变引流话术的功能

如何利用业务安全IP情报关联真人作弊的风险账号?

从上述的风险问题来看,其实单从账号或者内容审核的唯独很难有效的识别黑产的引流账号或者内容。但是有一个维度是值得深挖的——我们发现黑产利用工具在进行批量引流时,为了避免平台风控对于高频操作的限制,往往会内置一个代理或者秒拨的IP资源池,让其能够让每一次的行为都是一个新的IP资源。我们跟客户风控部一起对黑产账号进行多维度的数据分析后发现,黑产在该平台上作恶时存在明显的特征也正是:90%以上的黑产账号登录所用的IP来自于秒拨代理IP。图片[8]-业务风险IP情报在社交私信引流场景下的应用 – 作者:永安在线-安全小百科

秒拨代理IP已集成到部分黑产工具中

因此从账号关联IP为切入口,永安在线与该社交平台风控一起进行了用户账号对应的IP关联分析,摘取出账号关联的IP中,IP命中我们业务风险IP情报中高风险IP占比超过60%的账号,结果发现这部分的账号74%存在直接的异常账号特征,例如密码简单且相似性高的特征,剩下的26%也存在一些其他的特征,例如IP存在跨省级切换的情况等等。利用这样的方式,我们帮助该平台一起发现了将近30万个虚假账号。

总的来说,平台利用业务风险IP情报这个维度,平台从事前事中时候逐步收束疑似站外引流的范围,并结合已有的数据维度,实现特征归类,逐步补齐业务风控模型。图片[9]-业务风险IP情报在社交私信引流场景下的应用 – 作者:永安在线-安全小百科

业务风险IP情报在企业风控中的置信度将会逐步提高

永安在线业务风险IP情报主要解决两个问题:

1、对于主流的黑产IP资源的识别,能够覆盖全国80%以上的代理、秒拨资源。

2、时效性问题,我们做到对IP风险的秒级更新,判断一个IP在访问的当下是否是一个黑产的动态恶意IP。并且基于捕获的时间的长短进行风险的降级和清洗,保证实时的实时IP风险情报的准确度在99%以上。基于这两点,能够极大的提升IP情报对于风控运营的价值,在误判率极低的情况下,识别更多风险行为和账号,

业务风险IP情报因子在业务场景下应用上,我们建议:

1、中高风险IP风险IP所关联的账号进行分析,精准找出可疑流量,分析恶意特征,提升攻防效率。

2、对于爬虫等不关联账号的场景,可直接对不同风险等级的IP做处置:对于高风险IP直接拦截,中风险IP进行二次校验。

来源:freebuf.com 2020-07-21 14:28:50 by: 永安在线

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论