黑客、羊毛黨、刷客、騙貸大軍雲集，互金平臺如何應對？

整理 | 墨菲

互金平臺其實每時每刻都在對戰黑灰產。

黑客、羊毛黨、刷客和騙貸者，都緊盯互聯網金融這個多金的領域。

在一本財經學員的風控閉門訓練營中，中國傳奇黑客風寧，講述了面對龐大的黑灰產，平臺的應對之策。

01網絡安全法對風控的影響

6月1號，國家頒佈實施了網絡安全法，其中第40條、第41條，對互金業務風控影響非常大。

附則解釋了幾個名詞：

第一，網絡運營者的概念，有提供APP、提供網站、提供網絡服務的統稱為網絡運營者。

第二，網絡數據的概念，手機號，快遞地址，名字，郵箱，只要能跟本人形成一個關聯，只要跟你的服務端有交互，甚至是淘寶的一個訂單信息，都屬於網絡數據。

第三，個人信息的概念，有個“包括不限於”的字樣，只要能反向追溯到一個人的信息都屬於個人信息。

網絡運營者收集信息也受到限制。

第一，合法正當，你得解釋為什麼要存儲、收集。

第二，公開收集，以前互金網貸，安卓端APP直接就收集信息，用戶完全不知情，但是現在必須要明示出來。

第三，不得收集與自身服務無關的信息，現在很多APP打開就會有定位要求，為什麼要定我的GPS位置？解釋不清的時候也屬於違反法律。

安全法出臺後，在互金領域影響最大的就是支付寶花唄關停風波。

馬雲說他能知道全國哪一個省的女性買的內衣是最大號的。用戶點了同意協議，但可能根本不知道自己的隱私信息被收來了，不知道被拿來做了什麼。安全法實施後，花唄新的合同被公示出來，導致用戶有了一個危機意識。花唄也在官微上解釋了收集用戶的信息原因。

今年6月份，廣東省警方開展了“颶風1號”專案行動，摧毀侵犯公民個人信息犯罪團伙6個，搗毀犯罪窩點14個，抓獲犯罪嫌疑人138名，繳獲涉及全國公民個人信息近1億條，查扣銀行卡2000餘張和電腦、手機、存儲設備一批。

還有一個重要影響，8月1號重慶網警在公眾號發佈：重慶公安局網安總隊成功查處了一起案件：網絡運營者，提供網絡服務過程當中未依法留存用戶登錄網絡日誌。

這意味著，網絡運營得要留存用戶訪問日誌半年信息，方便執法機關審計，沒有存儲日誌的，直接就被依法查處。

我們可以總結一下，網絡安全法對網站的影響：第一，用戶信息收集要經過用戶同意；第二，做好日誌存儲，數據保全，保證信息不被洩露。

02現金貸業務身份欺詐

騙貸群體是怎麼誕生的？這個群體並不神祕，他們從信用卡時代過來。2013年餘額寶誕生後，中國的網貸時代到來了，他們也看到了這個風口。他們會通過一些論壇（比如我愛卡），貼吧（比如戒賭吧），微信公眾賬號，微信群、QQ群聚集，順便獲客。

他們攻擊邏輯：

1 集群攻擊。他們的技術迭代非常快，一旦有人發現一個技術，就會開始招代理，將技術擴大。如果在早期沒有遏制，很快就開始席捲整個互聯網圈。

2 反覆測試，拿著用戶的資料，反覆試各個平臺的風控規則。有一批人是專門靠騙貸教學為生。他們發現了平臺風控漏洞後，自己先擼，之後馬上把這個技術二次傳達，建立收費群，招收學員。

3 包裝資料，以假亂真。不管平臺風控制定了什麼規則，他會相應地去包裝一些資料出來。比如在黑市上購買身份證、銀行卡、手機號“三件套”，之前是30塊錢，現在已經漲到了1500。或者用“海馬玩”模擬器修改自己的定位，偽造銀行賬單等。

4 臥底，為了拿到一手的資料，他們會試圖混進公司。某家現金貸公司就曾被臥底打入過，男的用假學歷做了信審主管，他的媳婦是地下中介，兩個人內外勾結放錢。

對於騙貸中介的防守要點：

1 平臺對於騙貸群體的監控遠遠不夠，需要花時間精力監控他們的動作，關注論壇，打入QQ和微信群，瞭解他們最近有什麼技術，哪些風控規則已經被突破了。

2 做好內控，對於新招進來的信審員工做一些背景的調查，不能讓中介混進來。

3 及時修改風控規則。騙貸技術迭代速度非常快，甚至可以保證三天一迭代。

4 資料聯網查詢。

5 設置套現門檻，比如，醫美這個場景中，需要首付30%等。

03常見黑客攻擊常用手法

黑客主要會在三個體系中攻擊：

第一是賬戶體系。最直接的業務體現為註冊、登錄、找密三個主要入口。而黑產、灰產、“羊毛黨”會有撞庫攻擊、盜號洗號、驗證碼安全等攻擊行為。

第二是交易體系。交易體系安全主要在電商、金融類發生實際交易的場景下出現。

“羊毛黨”或者問題商家在交易體系中，存在大量虛擬交易，信息作弊及各類針對活動場景的攻擊，手段包括刷庫存、刷單、活動作弊等。活動做弊是最嚴峻的一塊，覺察到平臺活動後，一批中介會蜂擁而至。

第三是支付體系，在整個交易過程中，支付體系視為業務安全裡最重要的環節，也是各類風控體系發揮巨大功效的地方。

登陸攻擊是最嚴重的，最常見的方式是撞庫攻擊，簡單來說，就是使用他人在A網站的賬號密碼，去B網站嘗試登陸。

撞庫攻擊有多嚴峻？有報道稱，黑客獲取的9900萬條淘寶賬戶信息，其中2059萬條存在並且密碼吻合。還有一個報道，支付寶賬號密碼2元／個就能購買，花幾百塊買一兩百個，最後盜刷，獲得了32萬收益。

即使被吐槽最難的12306驗證碼，我們嘗試的識別率是98.7%，雖然達不到100%，但基本上能一次通過。

驗證碼，也存在幾種繞過的手段。

第一是設備偽造。6月份，一個遊戲工作室，用100臺越獄的iPhone5C，登錄王者榮耀，掛機遊戲，導致騰訊損失了1000萬。

第二是身份偽造，身份證、手機卡、銀行卡等偽造。

第三是行為特徵偽造。行為特徵就是我的工作單位，日常的活動範圍，日常消費習慣等，這都屬於一個人的消費行為，但是這些都是可以偽造的。

第四是虛假手機號偽造，我們檢測到，羊毛黨批量手機號有兩三千萬左右。

第五是銀行卡號、CVV、金融賬戶偽造，如果嚴格按照支付標準，CVV只能由銀行存儲的，但有些第三方支付平臺、比較大的旅遊公司也在存儲CVV賬號，很容易被黑客攻擊。

俗語常說的“四大件”，是指U盾、手機卡、銀行卡，身份證，這些也在漲價，兩年前一套價格650塊錢，現在漲到了1500左右。

有一幫人專門會去偏遠山區收身份證，20塊錢一張，拿到銀行辦理銀行卡。偏遠山區開卡、存款等業務量很低，為了多辦卡提升業績，審核也不會太嚴格。

另外一批人，清潔工、營業員，甚至扒手，也會蒐集手機號、身份證來進行買賣。

現在國家實名制要求嚴格了，有些人會200塊錢僱一大批民工，等在銀行去辦卡。他們沒有隱私意識，辦好拿錢就走人。

對於一個操作者身份真實性、有效性、一致性的驗證，有不少確認手段，但也存在漏洞。

傳統驗證方式，比如密碼、郵箱等，信息洩漏嚴重，聲紋、指紋、九宮格等，無法確定是本人；人工電話審核，成本太高。

現在比較流行的活體識別，也存在漏洞。

315晚會上已經曝光了，藉助人臉關鍵點定位和自動化人臉動效技術，可以將自拍照由靜態改為動態。

破解方法不止這一種，最簡單的是在淘寶上，花50塊錢買一個人頭模型，將正臉照片貼在模型前面，將側臉照片貼在模型兩邊，在活體檢測提示搖頭時轉動模型可通過部分活體檢測。

有一批人，會拿一堆洗衣粉、充電寶等小禮物，去偏遠地區找人錄製驗證視頻。

04結合網絡安全技術做好風控

烏雲網數量統計顯示，2014年至2015年8月份，P2P行業高危漏洞佔56%，已經成為網絡安全的重災區。

我們曾經隨機下載網貸平臺APP，測試發現：75%無任何加固，代碼直接可以拿到；40% 任意用戶密碼修改，修改發送4位驗證碼，1分40秒就能破解，而改掉密碼可以直接登錄，手機號等信息可以直接拿到；50%任意手機號註冊；50%用戶信息可以直接遍歷，包括手機號、微信、QQ號等。

如何做好技術風控？

第一，在設計開發時，就要做好架構規劃，包括邏輯流程和系統的安全性等。網站規劃最重要的是信息存儲的機密性，比如日誌信息、用戶信息、網站代碼等。

比如，之前紅嶺官網被黑的事件，如果做好了結構優化，可以起一個副站，再做一個二次跳轉，就不會對業務構成非常大的影響。

還有一個，要冗餘備份，勒索病毒把網貸平臺數據加密，給錢才能打開。如果沒有備份，這筆錢是給還是不給呢？

第二，在業務上線之前，做好防D準備，比如服務器高防、冗餘切換，多線路分流；做好安全檢測，滲透測試、移動端加殼加固、數據洩漏等。

有統計數據顯示， 80%左右的現金貸、P2P曾被敲詐勒索過，小到700塊，大到幾百萬都有。

第三，是運營推廣環節：

域名：相似度域名釣魚；

關鍵字劫持：百度關鍵字購買（競爭對手購買品牌關鍵字）；

輿情：微博、網絡論壇、自媒體等負面信息應對；

註冊環節：職業羊毛黨刷註冊（號安手機號角度專注解決羊毛黨SecID人機識別角度）；

活動推廣：推廣業務邏輯、流量劫持應對、重放劫持。