2022网络金融黑产研究报告 报告作者: 中国工商银行金融科技研究院安全攻防实验室 2023年02月 目录 一、序言 二、2022数说黑产 三、2022网络金融黑产攻击手法演变趋势 1、黑产云化升级,“云手机”成为黑产作案新武器 2、“反催收”黑产野蛮生长,碰瓷式逃废债成金融行业新挑战 3、隐藏在身边的洗钱,“慢充”或被利用成为黑产洗钱新途径 4、生物识别受到黑产关注,新型认证并非固若金汤 5、 AI觉醒,自然语言预训练大模型成黑产新绝招 四、2022黑产防护对抗实践与思考 1、 框架研究,构建黑产防护全景视图 2、队伍建设,打造对抗黑产的专职“业务蓝军” 3、标准先行,建设行业身份认证体系 4、相得益彰,人工智能赋能传统安全防护 5、 技术革命,大模型引发金融反欺诈新思考 五、结束语 01 序 言 多年来,金融机构在反欺诈等黑产对抗工作上的投入不断增加,面对黑产不断的 花样翻新,金融机构的防护难度也不断攀升。中国工商银行作为金融行业的先行 者,持续关注黑产发展,其下属金融科技研究院安全攻防实验室(以下简称 “实 验室”)多年来持续面向社会发布黑产动向及防护技术的研究报告,从黑产攻防 技术研究、黑产团伙溯源反制、智能柔性风控等多维度开展了黑产的对抗防护工 作。在2023年的开年之际,实验室继续从金融安全从业者的角度,为大家带来 2022年黑产的趋势与变化,希望能够为全社会带来黑产防护的新思路。 02 2022数说黑产 为了数字化展示一年来的黑产趋势变化,实验室结合黑产数据分析,从黑产的诈骗 类型、传播趋势、攻击类型等方面对 2022年黑产形势进行总结分析。 2022年全国公安机关持续加强针对黑产团伙的打击,结合“云剑”、“净边”等 一系列专项行动,对黑产进行了有效遏制,截至 11月底,全国共破获电信网络诈骗案件39.1万起,立案数同比下降 17.3%,造成财产损失数额同比下降 1.3%[1]。 各类欺诈事件数量较 2021年有较大幅度下降。 2022年针对金融行业的黑产攻击目标主要包含两大类,一是对个人用户的资金欺 诈,二是对金融企业的薅羊毛、活动作弊。 针对个人用户的资金欺诈方面:根据相关数据统计,去年针对普通个人用户的欺诈 类型仍以虚假兼职、交友诈骗、身份冒充、金融理财为主,分别占所有类型的 29.5%、25.6%、12.5%和10.7%,占所有举报类型的 70%以上,且此四类诈骗危害结 果也较高,涉案金额占所有类型 涉案总额的 95%以上。相较 2021年,虚假兼职及 交友诈骗占比变化不大,但身份冒充类案件数量在 2022年有所上升,由 2021年的 第四位( 9.4%),上升到第三位( 12.5%)。 图1:2022年个人用户相关欺诈案件数量及金额占比情况 [2] 针对金融企业的欺诈方面,黑产对银行业务的关注度在 2022年持续攀高,银行业 欺诈事件整体呈高发态势,从针对银行业攻击消息数量的统计中可以看出,针对银 行业的攻击多集中发生在下半年,与这期间银行业务活动较多、整体营销力度较大 有关。 图2:2022年银行业攻击消息数量 [3] 由于不同业务类型的攻击成本不同,因此黑产针对不同类型营销活动的关注度也呈 现出不同分布,其中用户注册、抢优惠券等业务由于容易受到云手机、自动化脚 本、接码平台的攻击,攻击损耗 [4]比较低,整体遭受的攻击最为严重,分别占比 54.49%和32.57%,总占比近九成。答题、助力等活动由于需要真人参与作 弊,诈 骗成本较高,因此总体攻击占比较小。 图3:2022年银行业受攻击的活动类型占比 [5] 从针对金融行业攻击的黑产 IP分布来看,黑产 IP主要集中在部分重点地区,以江 苏、浙江、辽宁、福建、 安徽五地为主,黑产 IP数量占比超过 70%。 图4:针对金融行业网络攻击的 IP资源所在地 [6] 从黑产使用的工具来分析, 2022年黑产使用工具主要分 为三类:开发者工具、自 研类工具和辅助通讯类工具。开发者工具,主要包括开源类应用、模拟器、测试包 等应用;自研类工具多为从业者定向使用的工具,如洗钱 -免签、跑分平台等特殊 应用;辅助类工具是指物料提供环节使用的应用,如 GOIP、远控类等应用。从数 据统计中可以看出, 2022年度黑产各类工具传播量整体呈增长趋势,黑产工具传 播量在3月、7至8月、11月出现3个明显峰值,这与暑期、“双 11”等电商推 出促销活动强相关,说明重点活动期间,黑产活跃性也同步增强。 图5:2022年黑产APP传播月度趋势 [7] 03 2022网络金融黑产攻击手法演变趋势 随着新一轮科技革命和产业变革的深入发展,数字化转型已经成为当前银行业提升 服务效能的主流趋势,然而伴随着企业数字化转型,企业业务的边界愈发模糊,黑 产的攻击手段也愈发多元化。 为了进一步提升整个行业的黑产防护水平,实验室选取了年内黑产研究对抗中最典 型、最具代表性的黑产攻击手法,为大家进行介绍,希望全社会共同关注,实现对 相关手法的预防: 1、 黑产云化升级,“云手机”成为黑产作案新武器 随着云计算、云服务等新技术在互联网的应用和发展,黑产也逐步将攻击技术向云 化发展。年内实验室监测到,使用云手机进行作案已经逐渐成为新的趋势,相比于 传统的“手机农场”,云手机高性能、易维护、可扩展的特性使其在黑色产业链中 呈现快速传播的趋势。 图6:云手机示例 • “云手机” 历经四代技术发展 “云手机”是指构建在云计算能力之上的云端仿真手机,除了无法插入 SIM卡、 拨打电话之外,基本上具有真实手机的所有功能。根据实现原理,“云手机”大 致经历了四代的发展,包括真机云手机、模拟器云手机、容器云手机、 ARM阵列 云手机。相较于前几代云真机, 2022年最新一代基于 ARM阵列的“云手机”在功 能、性能方面的表现无限接近真机,可基于云技术提供监控和迁移能力,稳定性 表现优秀,除此之外也具备极强的拓展性。 图7:云手机发展历程 • “黑产专用云手机”涉及多个作案场景 黑产在云手机技术的基础上,开发了“黑产专用云手机”,集成了 HOOK攻击框 架、自动化操作、虚拟定位、虚拟相机、一键改机等一系列黑产常用功能及组 件,实现了 BTaaS(黑产工具即服务),并逐渐替代真机成为了黑产首选设备资 源,目前已应用到多类黑产活动中,主要包括群控、定位伪造、改机、协议破 解、人脸识别绕过等场景。 群控场景:云手机场景下,黑产可实现低成本、高性能的设备模拟,利用群控功能 同时操作大量设备,借助脚本工具完成批量注册、自动领券、商品秒杀、自动下单 等功能。 定位伪造场景:商家在业务推广活动中,往往会部署 基于地理位置的风控策略,避 免黑产进行跨地域薅羊毛,黑产专用云手机通过集成虚拟定位功能,使得黑产可快 速伪造地理位置,从而突破商家的风控限制。 改机场景:商家在业务推广活动中,往往会限制单台设备的活动参与次数,黑产可 利用云手机的改机组件,快速修改 IMEI等硬件参数,仿冒大量全新设备重复参与 活动领取补贴,薅取商家羊毛。 协议破解场景:黑产利用黑产云手机中嵌入的 HOOK框架、ROOT隐藏等工具,开展 针对APP防护协议的攻击及破解,绕过证书钢钉、报文签名等安全防护手段,实现 针对业务接口的攻击。 人脸识别绕过场景:黑产通过诱骗用户在其手机中安装云相机 APP,安装后可将用 户手机的视频流实时推送至黑产掌握的云手机中,在黑产使用云手机进行人脸识别 流程时,通过欺诈话术要求用户配合进行动作活检,即可实时绕过人脸识别。此类 攻击手法具有隐蔽性强、仿真度高的特点,迅速成为人脸识别攻击中最难被防护的 一种攻击手法。 黑产利用云手机进行作案,大幅 度降低了黑产的作案成本,也使得传统基于单一设 备特征进行风控的防护方式逐渐失效,增加了金融行业反欺诈风控的难度,因此需 要加强对云手机类设备识别的建模研究。 2、 “反催收”黑产野蛮生长,碰瓷式逃废债成金融行业新挑战 2022年名为“反催收”的黑产模式开始广泛传播,通过互联网平台向恶意欠款人 提供服务,利用金融服务行业一贯对于服务质量的高标准要求,以伪造证据、虚假 恶意投诉等手法进行勒索,向金融机构施加压力,达到减免贷款的目的。 • 短视频平台快速传播,从“教学”到“服务”一条龙 “反催收”黑产一般通过互联网平台招揽客源,活跃于各个短视频平台、社交平 台、投诉平台等,期间黑产会雇用大批专职或兼职的代理、中介人员,仿冒律师法 务、财务顾问,甚至是“上岸”的过来人,来游说客户进行“逃废债”行为。此类 黑产往往摆出正义的姿态,视频中充斥 着对催收、贷款方的指责。 当有客户联系反催收黑产后,反催收黑产会收取客户高昂的手续费作为佣金,随后 提供套路化的逃废债教程,包括教唆并协助用户伪造虚假材料,如疾病证明、死亡 证明、多头债务等一系列内容,通过虚假证明要求银行进行分期免息或本金减免。 图8:短视频平台相关视频内容 此外,针对银行的催收电话,反催收黑产会教导客户“专业应对话术”,包括挑衅 或诱导催收人员使用过激言语,然后再凭借这些言语录音威胁举报银行恶意催收, 或者向监管部门投诉,迫使银行接受用户提出的不合理条件。 • 榨取价值,

pdf文档 工行 - 2023.2 - 2022网络金融黑产研究报告

文档预览
中文文档 16 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共16页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
工行 - 2023.2 - 2022网络金融黑产研究报告 第 1 页 工行 - 2023.2 - 2022网络金融黑产研究报告 第 2 页 工行 - 2023.2 - 2022网络金融黑产研究报告 第 3 页
下载文档到电脑,方便使用
本文档由 SC2023-05-03 01:08:40上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言