瑞數(shù)：信用卡上的攻防博弈

　　“本銀行信用卡，手續(xù)簡(jiǎn)單額度高，活動(dòng)豐富可免年費(fèi)，更有積分換大禮。明早九點(diǎn)，網(wǎng)絡(luò)在線申請(qǐng)，無需預(yù)約，極速辦理，最快3秒審核！“

　　肖禾的手機(jī)響了，他低頭一看，是銀行微信公眾號(hào)的一條新推送。

　　當(dāng)下信用卡市場(chǎng)競(jìng)爭(zhēng)日趨白熱化，很多銀行都在發(fā)行新的卡產(chǎn)品，為了搶奪客群，高額度、免年費(fèi)、快審核、多優(yōu)惠的新卡活動(dòng)一波接著一波。黑產(chǎn)從業(yè)者們也自然盯上了這塊肥肉。

　　不過20出頭的肖禾，已經(jīng)是信息搜集屆小有名氣的人物。信用卡欺詐產(chǎn)業(yè)鏈的重要環(huán)節(jié)，他都參與其中。這不，銀行推廣信息還沒來得及分享，他就被一位微信群主@了。內(nèi)容很簡(jiǎn)單：三百人，具體身份信息，要真的。肖禾略微思索了一下，回了四個(gè)字：一人六十。對(duì)方秒回：成交。

　　將手機(jī)揣回兜里，肖禾篤信，明早9點(diǎn)，他的上游黑客就能利用自動(dòng)化程序軟件，將他提供的三百條個(gè)人信息批量提交到申請(qǐng)頁面，在短短幾分鐘內(nèi)完成信用卡的在線申請(qǐng)。

　　至于如何獲取身份信息，肖禾這種“高端玩家”已經(jīng)不滿足于在網(wǎng)上購(gòu)買，除了和黑客合作，通過撞庫、洗庫的方式提煉篩選信息，他還選擇了一種更隱蔽、回報(bào)率更高的方式：以公司招工、問卷調(diào)查等名義，低價(jià)換取或騙取大量真人的詳細(xì)信息和身份證復(fù)印件，再為他們憑空造出各種收入證明、房產(chǎn)證明、學(xué)歷證明。因?yàn)檫@些身份信息確實(shí)真實(shí)，所以不必過于擔(dān)心銀行的審核，通過率更高。況且如今部分銀行“極速辦理”的理念使得審核時(shí)間非常有限，即使需要短信或語音驗(yàn)證碼，自動(dòng)打碼平臺(tái)也能夠輕松對(duì)付。

　　等成功領(lǐng)到信用卡，利用銀行開卡即贈(zèng)刷卡金、實(shí)體大禮包等活動(dòng)，肖禾和伙伴們只需要一臺(tái)電腦，就能將銀行精心策劃的信用卡推廣活動(dòng)一搶而空；更別說有了這一批新信用卡之后，以卡養(yǎng)卡，惡意透支、薅羊毛、套現(xiàn)，甚至洗錢能帶來的巨額收益了。悄無聲息之中，這條黑色產(chǎn)業(yè)鏈上的每個(gè)人都能賺得盆滿缽滿。

　　然而，對(duì)于銀行的信用卡中心來說，肖禾眼中的誘人生意卻教人欲除之而后快。

　　由于信用卡的主要業(yè)務(wù)集中在手機(jī)App和微信公眾號(hào)上，為了提升用戶的業(yè)務(wù)體驗(yàn)，很多銀行都將相關(guān)促銷活動(dòng)放在H5頁面上。但很快安全管理人員就察覺到，幾乎每次H5頁面推廣，都會(huì)遭遇大量通過自動(dòng)化攻擊發(fā)起的虛假信用卡申請(qǐng)、搶促銷與秒殺、短信轟炸等業(yè)務(wù)威脅。

　　從商業(yè)角度來說，這些攻擊行為擾亂了申請(qǐng)數(shù)據(jù)、轉(zhuǎn)化率、毛利率等商業(yè)分析指標(biāo)，歪曲了業(yè)務(wù)增長(zhǎng)的真實(shí)水平，可能會(huì)誤導(dǎo)后續(xù)的商業(yè)決策。從用戶體驗(yàn)來說，真實(shí)用戶很難在與自動(dòng)化工具的較量中勝出，總是搶不到促銷優(yōu)惠的結(jié)果，就是用戶不再有繼續(xù)參與、使用的熱情，導(dǎo)致部分客戶的流失。而從信用卡部門本身來說，除了會(huì)大大增加銀行人工審核成本，影響正常用戶申請(qǐng)的處理效率，最刻骨的影響大概就是動(dòng)輒百萬千萬的投入打了水漂。

　　雪上加霜的是，當(dāng)批量信用卡申請(qǐng)、薅羊毛、撞庫、賬戶盜用、積分盜用這些新興交易欺詐行為不斷挑戰(zhàn)銀行業(yè)務(wù)系統(tǒng)和IT系統(tǒng)時(shí)，依賴特征庫、規(guī)則及閥值機(jī)制進(jìn)行防護(hù)的傳統(tǒng)安全防御機(jī)制已經(jīng)有心無力，無法提供有效防御，令信用卡部門承擔(dān)著巨大的業(yè)務(wù)風(fēng)險(xiǎn)及商譽(yù)損害。

　　也正因如此，肖禾和他的同伙們才能在與銀行的對(duì)決中一次次占據(jù)上風(fēng)。

　　第二天一早，肖禾提交完用戶信息，信心滿滿地等待著又一波分紅。然而隨著時(shí)間一分一秒地過去，肖禾卻逐漸焦躁起來。因?yàn)橥�常剛過9點(diǎn)，他就能收到群主的大額紅包--這是他們?yōu)橛忠淮螌�銀行玩弄于股掌之上的慣例慶祝。但現(xiàn)在時(shí)針已經(jīng)指過11點(diǎn)，微信卻仍然毫無動(dòng)靜。肖禾終于沉不住氣發(fā)了一個(gè)問號(hào)，過了半天，對(duì)方才回了一條：自動(dòng)化程序沒用，沒法提交申請(qǐng)。

　　其實(shí)，這一天，同時(shí)失手的還有成千上萬個(gè)類似肖禾的組織，以往屢屢得逞的攻擊者們，這次卻在銀行面前吃了閉門羹。

　　肖禾和其他攻擊者們可能想不到，面對(duì)黑產(chǎn)的海量應(yīng)用攻擊，銀行信用卡中心終于選擇絕地反擊，及時(shí)調(diào)整安全防護(hù)策略，打了一個(gè)漂亮的翻身仗。究其原因，正是該信用卡中心決定與瑞數(shù)信息展開合作，采用瑞數(shù)動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)（RAS），對(duì)H5頁面建立全新的安全防御體系。

　　以新信用卡開放申請(qǐng)的這一天為例，在早上九點(diǎn)至九點(diǎn)半的短短半小時(shí)內(nèi)，經(jīng)過瑞數(shù)動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)（RAS）的識(shí)別，78.6%的開戶申請(qǐng)都被認(rèn)定為自動(dòng)化工具提交的虛假申請(qǐng)，并被實(shí)時(shí)過濾和攔截。在隨后9小時(shí)的定時(shí)監(jiān)測(cè)中，由于自動(dòng)化工具失效，惡意流量在全站訪問總量中的占比也從78.6%急劇下降至不足1%，使得整體業(yè)務(wù)系統(tǒng)持續(xù)平穩(wěn)運(yùn)行。

　　瑞數(shù)動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)（RAS）旨在混淆和干擾攻擊工具對(duì)于目標(biāo)系統(tǒng)的認(rèn)知，在銀行反欺詐及風(fēng)控系統(tǒng)識(shí)別和審核之前的業(yè)務(wù)邏輯流程之初，及業(yè)務(wù)操作的執(zhí)行中就進(jìn)行實(shí)時(shí)的人機(jī)識(shí)別，將風(fēng)控前置，關(guān)口前移。其之所以能幫助銀行信用卡部門成功逆轉(zhuǎn)攻防態(tài)勢(shì)，主要得益于以下幾點(diǎn)：

　　除了能夠有效阻止各種自動(dòng)化工具的攻擊，幫助銀行信用卡中心避免批量申請(qǐng)及后續(xù)養(yǎng)卡、薅羊毛、套現(xiàn)、洗錢的風(fēng)險(xiǎn)，保障銀行的資金、用戶和整體業(yè)務(wù)外，從應(yīng)用安全效益角度看，瑞數(shù)動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)（RAS）還可以大大降低安全運(yùn)維成本。無需修改應(yīng)用代碼、無需進(jìn)行特征庫及策略庫的升級(jí)維護(hù)工作，不僅節(jié)省了帶寬、服務(wù)器等資源，而且令銀行每年在應(yīng)用安全方面的投入，包括安全評(píng)估、安全事件應(yīng)急和安全運(yùn)維，大幅降低。

　　“過去的武器，贏不了未來的戰(zhàn)爭(zhēng)“。隨著黑灰產(chǎn)業(yè)不斷的規(guī)�；�、市場(chǎng)化，攻擊手段也在向自動(dòng)化和工具化演進(jìn)，銀行等金融機(jī)構(gòu)絕不能僅僅依靠單一被動(dòng)的傳統(tǒng)模式進(jìn)行安全防護(hù)，而應(yīng)當(dāng)利用瑞數(shù)“動(dòng)態(tài)安全”的新技術(shù)，建立一張360度全方位的動(dòng)態(tài)防護(hù)網(wǎng)，以動(dòng)制動(dòng)，確保銀行信用卡及其他業(yè)務(wù)的安全運(yùn)行！