如今,注册各类手机 App 时通过短信验证提交个人信息已然成了常规操作,殊不知这些本应用于认证、分析并为你 “提供更好服务” 的个人信息,随着手机失窃案的频发,有一天也会沦为手机黑产打开你个人小金库的万能钥匙。

恐怖如斯的黑产:有耐力有套路

最近,一个名为 “信息安全老骆驼” 的微信公众号讲述了因妻子手机落入黑产团队手中而与之斗智斗勇的故事。虽然身为资深的信息安全专家,比一般用户有更好的安全意识和专业知识,但还是在与狡猾的黑产的对抗中损失了几万元资金。

案件过程十分曲折,其中最令人咋舌的是黑产分子通过四川电信远程挂失与解挂业务中存在的漏洞,以 “男女朋友闹矛盾” 为借口,一整晚与失主就手机号进行几十次反复挂失与解挂的操作,最终导致 “老骆驼” 一方 SIM 卡挂失失败。

要知道,一旦手机号被解除挂失就意味着,使用各大 App 时所需的身份认证环节,极有可能被对方利用短信验证码服务通过验证。

由于没能在原先的支付宝里套到任何钱和信息,黑产分子又利用失主的手机号及身份信息等注册了支付宝等软件的新账号。

经支付宝相关工作人员回复与 “老骆驼” 后来证实,黑产并未能绕过支付宝人脸识别认证,也并非通过快速绑卡而获得卡号,而是通过某政务 App 的短信验证功能获得了失主的姓名、手机号码、身份证号、银行卡号等信息后进而进行注册与绑卡。

随后,黑产分子陆续在美团、京东、财付通、苏宁金融等其他多款 App 上伪冒开户,并进行贷款申请、资金转移、信用卡买卡充值等操作。

值得庆幸的是,造成的损失不算太大,涉及到的公司随后也都主动进行了赔付并消除了相关的贷款记录。

10 月 13 日凌晨,“老骆驼” 在个人公众号上发布的最新文章中透露,“个人损失都已追回”。此外,四川电信修改了电话挂失、解挂的业务规则;文中身份信息泄露来源的某政务 App 也进行了对应安全升级;支付机构也积极联系了当事人,探讨如何加强相关安全防护。

借用风控专家的一句话,此事的最大意义在于 “在这种新型犯罪大量爆发前用较低的代价让大家重视和关注起来,各机构采取有效的措施,避免后面造成更大损失后才去 ‘救火’ 的局面”。

至此,网络安全老兵对抗黑产盗刷的事件似乎已完美解决,但背后暴露出的个人隐私保护、金融机构身份识别技术的短板、风控乏力、安全预警的缺失确是值得长期思考的课题。

滋生于金融又为祸金融

现实中,成千上万的金融黑产从业者并没有停下伸向企业和个人用户资金的双手,网络安全这场看不见硝烟的攻防战也从未落幕。

在 “老骆驼” 公众号文章的留言中,多位网友分享了类似的经历,且损失巨大,最严重的一位因被冒用身份而背负了 68 万的网络贷款,至今还在索赔中。

一个令人脊背发凉的事实是,网络黑产早就盯上了金融领域,诈骗和盗刷的发生很多时候甚至并不以手机失窃为前提。

前些年兴起的互联网金融很大程度上激发了黑灰产的兴起,当时的市场获客成本高昂,互联网金融公司剑走偏锋引入黑市流量,野蛮生长的 P2P 网贷、现金贷也催生了信贷欺诈、撸贷者、羊毛党。

《中国金融反欺诈技术应用报告》指出,金融科技业务交易频繁、实时性强、数据量大、客群下沉,相比于银行等传统金融服务机构,金融科技公司可能更容易受到攻击,欺诈者可能会利用这一点将从暗网获得的数据变现,尤其是 P2P 贷款和欺诈性汇款方面。

360 手机卫士出具的《2020 上半年度中国手机安全状况报告》显示,2020 年上半年,该平台共接到手机诈骗举报 1561 起,其中提交理赔申请的诈骗举报为 776 起,涉案总金额高达 778.9 万元,人均损失 10037 元。

报告显示,在所有提交理赔申请的诈骗举报中,金融理财占比最高,为 26.7%。从涉案总金额来看,同样是金融理财类诈骗总金额最高,达 272.4 万元,占比 35%。

多种新技术对抗金融欺诈

如何防控手机黑产这种新型网络犯罪?

10 月 12 日,全国人大常委会法工委发言人臧铁伟表示,个人信息保护法草案将提请十三届全国人大常委会第二十二次会议审议,这也从个人信息保护方面为打击网络黑产提供了更加完备的制度和法律保障。

而企业层面对抗手机黑产的方式依然是技术升级。

此案中回复 “老骆驼” 的支付宝相关工作人员所隶属的蚂蚁安全实验室也专注前沿安全技术。其中,天筭实验室也在围绕风控和反欺诈技术,探索安全领域的机器学习等前沿问题。动点科技了解到,针对上述金融机构暴露出的身份识别、风控与安全预警方面的短板,蚂蚁推出了智能审理抗辩算法、叫醒热线、风险知识图谱等功能。

对于用户交易纠纷,智能审理抗辩算法从图片、文字、语音等举报信息中抽丝剥茧,触发账户、交易等判断机关,依照司法判定的逻辑图谱,快速审理定性的同时相继展开账户处置、追踪治理、智能调解、资金返还等服务。

蚂蚁安全实验室工作人员告诉动点科技,“反欺诈之战的关键在于用户心理,欺诈者之所以能屡屡得手,核心就在于其对被骗者心理的掌控。”

而叫醒热线的 AI 客服在与用户的沟通过程中采用情感分析与风险对比两种算法,了解用户情绪、意愿的同时明确用户中招骗术的类型,并给出相应的风险教育小知识。此功能除了应用在反欺诈场景当中,目前已投入交易真实性核实、借贷支用风险等风控领域。

而蚂蚁风险知识图谱目前可服务涵盖反洗钱、反欺诈等业务,引入了机器学习和深度学习等算法,通过知识获取、融合、推理等技术实现黑产的高精准识别。

以盗用风险识别为例,用户在进行一笔付款时,风险知识图谱会判断受益方是否存在欺诈风险、设备/环境是否有风险等,依赖图神经网络、社区发现等算法实现风险交易的实时识别。天筭实验室自主研发的时序图智能技术可实现预测风险、提前锁定、实时拦截等功能。目前蚂蚁风险知识图谱具备 0.1 秒级的知识推理能力,可实现万级风险特征的复杂计算和黑产团伙挖掘。

对于个人来说,制止手机黑产的关键在于提升我们的个人信息保护意识。多位 IT 界人士建议用户在手机锁屏密码之外设置 SIM 卡 PIN 码,以确保手机锁屏状态下短信无法显示验证码内容。

道高一尺魔高一丈,年产值高达千亿的网络黑产就隐匿在无处不在的阳光背后的阴影里。法律与制度层面给出的是宏观的大方向,普通用户能采取的措施效力着实有限。相信随着人工智能、大数据、区块链等高新技术逐步应用到反欺诈当中,必定能为打击网络黑产贡献一支生力军。

 

图片来自 Pixabay