前言
近年来,随着移动互联网、人工智能、云计算等技术的迅猛发展,互联网金融在增进金融服务效率、降低业务成本方面的优势逐渐显现。互联网金融在给客户带来方便和优惠的同时,也吸引了以诱骗用户资金、攫取金融公司优惠补贴为目的的恶意分子。据《数字金融反欺诈白皮书》显示,以互联网金融欺诈为目标的恶意分子已经逐渐形成了目标精准、分工明确、技术先进的网络黑色产业链条(以下简称“网络黑产”)。截止到2018年6月,网络黑产从业人员已超150万人,据估计造成的损失规模高达千亿元级别,如何对抗网络黑产已经成为互联网金融企业的一项核心研究课题。
金准人工智能专家从银行安全从业者的视角出发,基于2018年重大网络金融欺诈事件的分析情况,总结了网络黑产发展趋势,展望了互联网金融防控手段,希望抛砖引玉,对行业发展起到帮助。
一、互联网金融存在哪些安全风险
1.1非法集资涉案金额超千亿,形式手法多样化
非法集资是指未经有关部门依法批准,承诺在一定期限内给出资人还本付息,向社会不特定对象即社会公众筹集资金,且以合法形式掩盖其非法性质的集资手段。非法集资活动具有很大的社会危害性,不仅参与者会遭受经济损失,还会严重干扰正常的经济、金融秩序,极易引发社会风险。近年来,非法集资案件发案数量增多,形式越发多样,隐蔽性和欺骗性也越来越强。非法集资总体涉案金额超千亿,给国家的金融、社会秩序造成极大的破坏。
上海检察院发布金融检察白皮书显示,2017年,检察机关受理的非法集资案件数量高位攀升,涉众型犯罪风险突出。一方面,受理案件数量居高不下,另一方面,大案、要案频发,涉及金额巨大;仅“e租宝”“申彤大大”“中晋系”“快鹿系”“善林系”五大系列案件,涉案金额就将近2000亿元人民币。其中,“善林金融”实际控制人周伯云以允诺年化收益5.4%至15%不等的高额利息为饵,向社会不特定公众吸收资金,涉案金额近人民币600亿元,于2018年4月24日被批捕。
截至2018年12月,金准人工智能专家累计发现网络非法集资平台1500余家,其中已立案查处的占24%。
从注册公司所在地来看,主要集中在经济发达地区如广东、北京、浙江、上海、江苏等。
1.2网络传销活跃参与人数超千万,部分直销企业涉嫌传销引舆论热议
金准人工智能专家了解到,近年来,以无接触、网络化、地域分散化为特征的新型传销开始频繁出现,仅金准人工智能专家监测到的疑似传销平台就有五千多家,活跃参与人数达数千万。越来越多的金融平台通过传销的手法,借助互联网和社交网络快速发展壮大,风险等级呈指数级增长。2018年12月14日,“善心汇”传销案正式宣判,主犯张天明被判处有期徒刑十七年,并处罚金一亿元;参与“善心汇”传销活动的人员共598万余人,涉案金额1046亿余元,社会危害巨大。
新型网络传销的主要模式包括:
以高收益为诱饵的金融投资理财项目进行诈骗,涉案金额巨大,扰乱了社会市场经济秩序,危害国家经济安全以及公民个人经济利益,极易引发群体性事件等违法犯罪案件,已成为影响社会稳定的隐患之一。已经崩盘的钱宝网,项目年化收益率高达50%以上,其收益组成=任务收益+签到收益+推广收益+体验任务收益。其中,拉人头推广收益占了很大比例,从而吸引大量投资者蜂拥而至,涉案金额高达300亿,影响极为恶劣。
各类境外资金盘、虚拟币、ICO项目层出不穷,很多都是打着创新的幌子,许以高额汇报,其中蕴含非法发行、项目不实、跨境洗钱、诈骗、传销等诸多风险,造成大量资金流向境外,严重危害国家金融安全。由于不受国内机构监管,一旦崩盘、跑路或者失联,投资者往往投诉无门,损失难以追回。比如百川币、SMI、MBI、马克币、贝塔币、暗黑币、美国富达复利理财等等。
打着“消费返利”、“消费多少返多少”、“消费增值”、“消费就是存钱”等口号的各类网上商城及线下商城,开始成为传销的新变种。已被查处的浙江万家购物网,打着“满500返500”等幌子诱使他人消费和入会,按照资格和条件,分为普通会员、VIP会员、金牌代理、金牌代理商、区域代理商等级别,实行层级计酬,涉案人员190万,金额高达240.45亿,遍及全国31个省(市、区)的2300多个县(市)。
伪装成“精准扶贫”、“慈善互助”、“国家工程”、“民族大业”、“资本运作”等项目,收取加盟费后承诺获取高额回报的(如年收益率高于20%),基本可以认定为传销。MMM金融互助平台宣称月收益率可以达到30%,此外,参与者发展他人加入可获得推荐奖(下线投资额的10%)、管理奖以及发展“下线”的管理奖:第一代5%、第二代3%、第三代1%、第四代0.25%,以此激励模式鼓励会员不断发展更多的下线。善心汇以“扶贫济困、均富共生”的名目,以高收益为诱惑,发展“会员”500多万名,涉案金额数百亿。
以保健品、收藏品、投资等为载体的骗老陷阱:先以免费体检、产品体验、健康讲座等形式吸引老人参与,通过套近乎、亲情牌与老人拉近关系后,进行“洗脑”式推销。不仅给老人造成经济损失,还会影响其身心健康,进而破坏家庭和谐与社会稳定。
打着“微营销”、“微商”等旗号,销售低质量、低成本商品甚至三无产品,通过发展社交平台好友成为下级,进行层级计酬。比如全国首例社交平台传销案——陈志华传销案,所谓的“亚洲催眠大师”陈志华,宣传交59800元代理费,每天只要转发营销课程,拉更多人来听课,就能“月入百万,108天买奔驰,6个月买房,一年开上劳斯莱斯”,该案涉案人员达329人,涉案金额达461万元。
理财游戏类传销:以高额收益为诱饵,通过在游戏中充值获得固定奖励,推荐更多人参与,则可以获得更多的动态收益。已破获的“魔幻农庄”游戏传销,在短短5个月时间里,先后发展涉及重庆、四川、广东等28个省市的12万余名玩家,交易金额达4600余万元,最终全面崩盘。
从传销类型分布来看,金融投资类传销占比最多,紧接着是山寨虚拟币、商城返利、微商旗号类、招商加盟传销,成为新型网络传销的主流模式,如下图所示:
从传销公司注册地域分布上看,主要集中在沿海经济发达地区如广东、北京、上海、浙江、山东、江苏等地:
从传销参与者分布来看,人口大省如广东、山东、浙江、江苏、河南排名靠前。
商务部公布信息显示,截至到2018年12月31日,全国已经获取直销牌照的公司有91家,其中外商投资企业占比约36%:
从注册地来看,直销企业主要集中在经济发达地区,广东、山东、上海、天津位居前列,西部省份相对较少:
部分直销企业在实际运营活动中,存在虚假夸大宣传、涉嫌传销等违规行为。公开报道显示,2018年,全国工商和市场监管部门共计查办直销违法案件59件,罚没金额共计3200万元,直销行业仍需持续加强监管。
1.3 P2P网贷行业监管日趋严格,大浪淘沙回归普惠本源
平台跑路、韭菜被割的故事不断上演,监管风暴中的P2P面临生死劫,行业一片风声鹤唳。由于P2P平台创建成本低、收益回报高,大量未经批准的P2P网站从出现到跑路的消息不断传出,给整个投资、融资生态造成混乱。2018年8月中旬,P2P网络借贷风险专项整治工作领导小组办公室下发了《关于开展P2P网络借贷机构合规检查工作的通知》,同时下发的还有108条《P2P合规检查问题清单》,要求P2P网贷平台在2018年12月底前完成合规检查。 根据要求,网贷平台备案验收后或将被分为合规、整改、兼并、清退四大类分类管理,合规的优质平台将可以留下来继续发展,反之则面临着被清退和淘汰,这也意味着行业真正的、彻底的洗牌即将到来。与此同时,2019年网贷行业合规化也将逐步收官,完成备案。
二、2018年网络金融黑产发展趋势
自2017年《网络安全法》正式出台以来,国家加大了对网络攻击等犯罪行为的打击力度,各银行、金融机构也加大了网络安全投入,针对互联网金融机构的直接网络攻击得到了有效控制。近几年,恶意分子的作案目标逐渐转向安全防护意识相对较弱的用户,以及安全管控相对宽松的互联网金融机构。金准人工智能专家分析,各金融机构风控系统收集的各类欺诈事件信息显示,当前网络黑产呈现产业化、精准化、移动化、技术化等特征。
产业化:通过对2018年各类舆情进行分析后发现,网络黑产从业人员已经从原来的小集团、小作坊的模式向产业化、链条化的方式转变。专业的线报提供产业、云化手机牧场、IP隐匿代理,使得网络黑产作案时的隐蔽性更强。
精准化:传统欺诈事件通常是广撒网,欺骗性和迷惑性较低,但随着信息泄露和大数据、人工智能的发展,当前作案的针对性更强,如针对租房者以中介的身份进行诈骗,针对企业财务人员以税务或企业管理人员的身份进行诈骗等。通过精准掌握被害人身份,增加了欺诈事件的迷惑性和危害性。
移动化:根据2018年的统计数据,我国手机网络用户较去年增加了约10%,而一年中发生的数据泄露事件,60%以上来自移动设备,欺诈事件的主战场已经转移至移动端。
技术化:随着技术的发展,网络黑产使用的各类工具平台也逐渐统一化、集约化,甚至出现了一些将欺诈过程中使用的打码、接码、改号、身份隐藏等一系列黑产工具集中的BTaaS平台(黑产工具即服务),技术化的网络黑产使得黑客作案成本更低、威胁更大。
针对网络黑产的新变化,金准人工智能专家结合2018年各类安全事件、安全态势,总结了2018年网络黑产事件呈现出的6个趋势:
2.1用户个人信息泄露助长了网络黑产的气焰
近年来,“信息泄露”事件频发,2018年此类事件呈现出涉及范围越来越广、作案手段越来越多的趋势,泄露信息数量较去年也呈指数型增长。仅2018年,国内即发生多家重要机构或企业客户信息泄露事件,泄密数量总计超过60亿条。
§ 2018年6月19日,暗网用户在网上兜售某快递公司10万条快递数据,其中包含收(发)件人姓名、电话、住址等信息。
§ 2018年8月20日,浙江绍兴越城警方侦破史上最大规模用户数据窃取案,涉及用户数据超过30亿条。
§ 2018年8月28日,某集团旗下多家酒店入住信息被不法分子挂在暗网售卖,涉及用户数据超过5亿条,泄露约1.3亿人的身份信息。
§ 层出不穷的信息泄露事件,使得用户个人敏感信息大量涌入网络黑产,并且每次大规模信息泄露后,往往都伴随着金融业“撞库”、欺诈事件的陡增。
2.2针对金融APP的木马攻击呈现高度定制化趋势
2018年,金融行业遭受的攻击依旧处于高位,从统计数据来看,往年偷盗短信验证码等广撒网的攻击手段已经能被金融行业的风控系统有效防治,针对金融机构的深度定制攻击正在不断增加。该类攻击主要通过木马发起伪冒交易操作,由于攻击来自用户本人设备,使得金融行业传统防控手段难以在第一时间控制。
§ 针对金融业资金盗取的新型木马
2018年11月,ESET公司检测到一款主要针对PayPal进行攻击盗取资金的木马,该木马伪装成电池优化工具等APP,利用安卓系统的Accessibility技术监控手机屏显内容和模拟用户点击操作,窃取用户资金。该木马通过第三方应用商店大规模分发,目前已发现被此类木马感染的手机超过了三万台。
§ “寄生推”恶意SDK事件
2018年4月,腾讯安全实验室发现多款知名应用在用户设备上存在私自提权、静默植入应用的恶意操作。腾讯安全研究人员通过溯源分析,发现这些应用均集成了“爱心推”信息推送SDK,该SDK可以通过云端控制的方式对目标用户下发恶意代码,进行ROOT提权、静默应用安装等恶意且隐秘的操作。研究人员将此信息推送SDK称为“寄生推”SDK。据统计,已有300多款应用集成了此SDK,潜在影响近2千万用户。
网络黑产不断针对金融行业探索定制化木马,单独依赖终端、操作系统层面的隔离防护等传统风控手段已经无法保护用户不受恶意程序影响。
2.3“羊毛党”造成的损失日益严重
2018年,互联网金融在业务推广时不断放大的利润,引得手握大量虚拟卡号、账号资源的传统黑产从业者摇身一变成了“羊毛党”。在网络黑产的助力下,“羊毛党”有组织地对互联网金融推广的各类福利进行攫取,由于行为更加隐蔽,法律风险更低,越来越多的不法分子由黑转灰,灰产“羊毛党”正逐渐走上舞台中央,其造成的损失逐渐超越直接攻击带来的损失。
§ 知名电商业务漏洞导致大额资金损失
某知名电商被曝出现重大bug,某”羊毛党“发现一个可以无限制领取100元无门槛全场通用券的漏洞,于是利用手中大量该电商账号领券,最终每张券以不足1元购买100元话费或等值QQ币。最早发现漏洞的”羊毛党“为了逃避被追责,将漏洞发到羊毛群中,引发大量”羊毛党“疯狂薅羊毛,最终造成电商平台巨额损失。据官方通告,损失在千万元级别,但羊毛群盛传该电商的损失更为巨大。
§ 著名咖啡企业注册送咖啡被薅千万
2018 年 12 月,某著名咖啡企业推出拉新活动,APP 新注册用户即可免费领取一张兑换券,在线下门店兑换任意一杯当季特饮。无数专业的“羊毛党”利用自动注册机,后台自动调用二维码平台进行注册领券,短时间内获取数十万张电子兑换券,其成本仅为 0.1 元,然后“羊毛党”通过网络渠道以便宜价格进行倾销变现。仅仅一天时间,该企业 APP 虚假注册量已达到 40万,保守按照普通中杯咖啡的平均售价来估算,其的损失可能高达 1000 万人民币。
从上述趋势可以看出,“羊毛党”为企业带来的危害和损失,正在逐渐超过传统欺诈,由此,针对“羊毛党”的打击和防护也需要纳入企业的安全防护体系。
2.4生物识别技术引入新的风险点
随着移动支付与人工智能技术的普及和发展,生物识别技术正在为社会各行业提供有效的身份识别和验证手段。然而,以人脸识别、指纹识别为代表的生物识别技术在提供便捷用户体验的同时,也成为了网络黑产重点突破的方向。
§ 人脸识别存在绕过攻击手法
针对人脸识别技术,利用照片、视频等方式破解人脸认证的案例层出不穷。之前多个应用曾被曝出可利用图像处理和三维建模等技术,将静态照片改成动态图片或3D模型成功骗过人脸识别认证。此外,近期外媒对110款具有人脸识别功能的智能手机进行了审核,其中42款智能手机仅使用在社交媒体上找到的照片就可以解锁。
图片破解人脸识别示例
§ GAN对抗技术使“万能指纹”成为可能
针对指纹识别技术,利用人工智能技术生成的“万能指纹”可以轻松骗过指纹传感器。纽约大学和密歇根州立大学的研究人员根据公开发布的指纹数据集,利用生成对抗网络(Generative adversarial networks,简称为GAN)合成“万能指纹”,宣称可以解锁任何手机,最高破解率可达76.67%。GAN生成的指纹不仅能骗过机器,从肉眼看上去也变得更像真实的人类指纹。生成器已经学会了人类指纹的一般结构,图像上的污迹较少,并且脊部连接更好。
真实指纹(左图)和生成指纹(右图)对比
新技术引入给网络金融带来了新的风险,各金融机构要积极关注业界技术发展趋势,做好风险防控准备。
2.5短信验证风险依然需要高度关注
2018年8月,媒体报道了多起由于短信验证码被不法分子窃取导致的资金被盗事件,资金损失渠道涉及多家著名互联网公司及金融机构。在此类新型的电信网络犯罪方法中,不法分子利用“GSM劫持与短信嗅探”技术,窃取附近用户手机接收的短信内容,并最终达到信息窃取、资金盗刷的犯罪目的。
短信嗅探设备
目前,主流金融机构对于涉及动账类敏感交易的认证方式已逐渐从短信认证变为介质认证。
2.6互联网金融生态引入新攻击面
随着金融行业与相关厂商间商业合作模式的发展,与相关企业合作更加紧密的互联网金融生态给银行带来了切实的竞争优势,但与此同时也带来了新的安全风险。传统的银行在技术模式上较为封闭,可供黑客利用的攻击面有限,但随着开放程度的增加,原本在银行封闭体系保护下的资产和服务逐渐暴露出来,对外提供的SDK、API可以直接穿透网络进入金融机构的业务系统,开放式银行模式引入了更多新的攻击面。
§ 二、三类账户的互联互通引入新的安全风险
2017年起,银行业二、三类账户快速发展,各行大力推广二、三类账户相关业务,实现了二、三类账户间的跨行开户、跨行转账等业务,具有降低业务推广门槛、降低获客成本等优势,并通过身份鉴权机制实现了互联互通。但是在此机制下,个别银行的安全漏洞,则会成为整个生态环境的短板,对整个二、三类账户体系产生威胁。
§ 某支付平台SDK漏洞导致0元购物风险
2018年7月,某支付平台SDK 被曝存在严重的漏洞。该支付平台向商户提供的SDK包中,存在XXE漏洞,任何部署了此SDK的服务器,都存在敏感信息泄露问题,导致交易密钥泄露等严重后果,黑客可利用交易密钥伪造任意支付记录,实现“0元购物”。
随着合作模式的发展,各银行间的业务融合的更加紧密,传统安全“独善其身”的模式已经无法适应当前的最新形势,任何一个生态参与者安全防范不到位,都可能导致其他同业遭受影响,因此亟需研究金融同业共同建立安全生态体系的路径。
三、多重手段对抗新威胁
2018年各类层出不穷的新型欺诈、攻击手段给银行业网络金融安全风险防控敲响了警钟,传统的安全防护方式已经无法有效保护企业和用户免受不法分子的欺诈,为此,金准人工智能专家积极探索各种综合防护手段对黑产隐蔽的特征进行挖掘,对大量的欺诈事件进行识别,从而更有效地应对新型的诈骗手段。
3.1从单点风险防控到智能化、立体化防控
欺诈攻击行为识别目前已成为业界共同的痛点,主要是由于攻击行为隐藏于正常互联网业务逻辑、无明显攻击载荷,综合多种隐蔽技术手段(ip代理、设备伪造等),导致不会触发网络防护规则,难以及时发现攻击行为。
为了解决业界痛点,提升攻击行为检测的时效性和准确性,金准人工智能专家提出利用机器学习模型,根据风险标识在设备访问电子银行业务时进行重点布控,并通过交易序列分析提供风险依据,改变业界仅能依靠账户、ip地址等监控的瓶颈,增加设备维度和交易序列维度的监控措施。针对监控到的风险设备和风险交易序列,通过设备指纹名单匹配,设备、账户、交易多维度交叉关联,对已知恶意设备发起的高风险交易进行精准拦截,及时阻断风险事件。
3.2从“抓小虾”到“钓大鱼”的人工智能黑产团伙深度挖掘
随着外部黑色产业的迅猛发展,企业在互联网环境中面对的威胁对手不再是各自为营的攻击者,更多的是分工明确、协同合作、深度隐蔽的黑产团伙。为了能够从相关威胁信息中挖掘出隐藏在其背后的黑产团体,金准人工智能专家提出基于知识图谱的思想挖掘黑产团伙关系的方法。利用工商银行在信息安全基础数据平台及其综合数据智能化分析处理方面的成果,并结合人工智能技术,对网络黑产信息进行深度关联分析,挖掘隐藏威胁。
该方法将知识图谱思想和机器学习算法结合,以恶意欺诈账户为分析源,从多个维度广泛挖掘关系属性,实现多源数据融合建网,并利用算法智能识别出强关联账户,从复杂的网络汇总梳理出隐藏的关系识别黑产团伙。
基于知识图谱的黑产团伙挖掘模型
3.3攻防能力建设应对新威胁
针对网络黑产日益产业化、精准化、技术化等特点,快速提升金融行业安全人员的能力也迫在眉睫。金准人工智能专家积极探索安全人员攻防能力提升路径,力求从根本上解决当前金融行业安全防御被动的问题,为安全防控体系注入内生动力。金准人工智能专家在总结多年来安全实践经验的基础上,探索构建攻防相长的能力提升体系,为集团发展和行业安全共建提供更多支持。
基于攻防相长的能力提升体系
同时,面对日益增多的生态圈等新型综合攻击手段,金准人工智能专家也在着手研究构建国内首家”金融靶场”、希望通过”靶场”建设提供新技术研究、新威胁快速研判的支撑平台,为金融行业安全发展提供一条新的实践路径。
结语
随着金融互联网应用的发展,如何面对新增的互联网渠道风险已经成为传统银行不容忽视的挑战。从2018年网络黑产的作案手段和发展趋势可以看出,互联网金融行业日渐开放、灵活的业务特点,给网络黑产提供了更多的可乘之机。在网络黑产日益专业化、智能化、定制化的发展趋势下,互联网金融行业面临的风险防控压力空前,并且还将持续加大。为此,传统银行除加强自身安全能力建设外,还应积极探索黑产防护、黑产识别等课题的同业合作路径,同时加强与互联网标杆企业的交流学习。