《同盾科技：2023黑灰產欺詐攻防體系的研究與實踐報告（54頁）.pdf》由會員分享，可在線閱讀，更多相關《同盾科技：2023黑灰產欺詐攻防體系的研究與實踐報告（54頁）.pdf（54頁珍藏版）》請在三個皮匠報告上搜索。

1、黑灰產欺詐攻防體系的研究與實踐同盾科技/閱微中國科學院中國科學院 計算數學碩士計算數學碩士 曾任國密局密碼算法課題組成員曾任國密局密碼算法課題組成員 GAGA某部某部-涉貸反詐模型項目技術負責人涉貸反詐模型項目技術負責人 人行支付清算協會反詐培訓講師人行支付清算協會反詐培訓講師曾獲國際曾獲國際SATSAT算法競賽算法競賽“AgileAgile”組組 個人季軍個人季軍目前擔任同盾科技軟件產品方案部總經理、解決方案首席專家兼策略模型總監目前擔任同盾科技軟件產品方案部總經理、解決方案首席專家兼策略模型總監行業資深安全專家，負責同盾對外所有產品線的解決方案、咨詢、技術及架構行業資深安全專家，負責同盾對

2、外所有產品線的解決方案、咨詢、技術及架構支持支持1010余年金融行業工作經驗，余年金融行業工作經驗，FRMFRM金融風險管理師認證。熟悉金融領域風控與反金融風險管理師認證。熟悉金融領域風控與反欺詐相關產品、技術、業務及場景解決方案，擅長反欺詐規則、策略設計及特欺詐相關產品、技術、業務及場景解決方案，擅長反欺詐規則、策略設計及特征建模征建模曾任人民銀行下屬機構研發部開發經理、項目經理、高級安全咨詢顧問、反欺曾任人民銀行下屬機構研發部開發經理、項目經理、高級安全咨詢顧問、反欺詐團隊負責人、反欺詐項目總監等。負責過金融行業多家機構風控系統的設計詐團隊負責人、反欺詐項目總監等。負責過金融行業多家機構風

3、控系統的設計與研發，主力研發的交易監控反欺詐系統榮獲與研發，主力研發的交易監控反欺詐系統榮獲20152015年人民銀行科技發展二等獎年人民銀行科技發展二等獎同盾科技同盾科技 軟件產品及方案部軟件產品及方案部總經理總經理&策略模型總監策略模型總監 董紀偉董紀偉 “閱微閱微”CONTENTS1黑灰產的最新態勢分析黑灰產的最新態勢分析2不知攻焉知防不知攻焉知防-黑灰產實施攻擊的主要手法、攻擊鏈路黑灰產實施攻擊的主要手法、攻擊鏈路如何一環扣一環如何一環扣一環3對于欺詐攻防的思考對于欺詐攻防的思考4他山之石他山之石-如何有效構建欺詐防御體系如何有效構建欺詐防御體系黑灰產的最新態勢分析黑灰產的最新態勢分析

4、lets try a small testIOS-蘋果手機：蘋果手機：設置設置-隱私與安全性隱私與安全性-定位服務（滑到底）定位服務（滑到底）-系統服務系統服務-重要地點重要地點（可能需要（可能需要認證一下）認證一下）-你的行程軌跡在這里你的行程軌跡在這里Android-以華為手機為例：以華為手機為例：1）設置）設置-隱私隱私-權限管理、行為記錄，可以看到有哪些權限管理、行為記錄，可以看到有哪些APP在在“默默工作默默工作”2）撥打界面輸入）撥打界面輸入 *#*#2846579#*#*工程菜單工程菜單3）共享，你有沒有點擊了原圖分享）共享，你有沒有點擊了原圖分享現象級表現現象級表現欺詐為什么會

5、越來越多？欺詐為什么會越來越多？一句話講不清楚，也不是一句涉詐抓不到、抓不完就能解釋的，還有很多其他方面的原因。最直接的原因就是利潤遠高于風險利潤遠高于風險。據實際數據表明，欺詐是一種低成本、高回報的犯罪，詐騙的手法很簡單，很容易傳播、仿效。這是一種投入很低、回報很高的犯罪形式。以電信詐騙為例，以電信詐騙為例，比販毒還賺錢，但是風險卻只有販毒的萬分之一萬分之一。利益永遠是第一驅動力。正如孤注一擲孤注一擲所言，人有兩顆心，一顆是貪心，一顆是不甘心。所以欺詐是一個社會問題，而非單純的犯罪問題，它是社會誠信缺失社會誠信缺失的一個小小的縮影。風險視角風險視角-欺詐升級是由于業務場景趨于復雜、外部攻擊及

6、黑產猖獗欺詐升級是由于業務場景趨于復雜、外部攻擊及黑產猖獗隨著互聯網與移動技術在金融行業的發展，隨著互聯網與移動技術在金融行業的發展，金融金融業務場景也業務場景也發生了根本性的轉變，攻擊面、攻擊點呈現爆發式增長，欺發生了根本性的轉變，攻擊面、攻擊點呈現爆發式增長，欺詐場景也呈現多樣性變化詐場景也呈現多樣性變化虛假注冊虛假注冊理財詐騙理財詐騙刷單、跑分刷單、跑分營銷薅羊毛營銷薅羊毛賬戶盜取賬戶盜取虛假借貸虛假借貸線下交易盜卡、線下交易盜卡、偽卡、套現風險偽卡、套現風險業務場景復雜化業務場景復雜化傳傳統統欺欺詐詐場場景景現現有有欺欺詐詐場場景景黑產產業猖獗黑產產業猖獗產業化產業化精準化精準化移動化

7、移動化技術化技術化從原來小集團、小作坊模式向產業化鏈條化的方式轉變。專業的線報提供產業、云化手機牧場、IP隱匿代理，使黑產作案時的隱蔽性更強傳統欺詐通常是廣撒網，但隨著信息泄露和大數據、人工智能的發展，通過掌握被害人的身份信息，加強作案針對性，黑產增加了欺詐事件的迷惑性和危害性我國23年手機網絡用戶較22年增加了約16%，而22年發生的數據泄露事件，65%以上來自移動設備，欺詐事件的主戰場已轉移至移動端黑產使用的各類工具平臺逐漸統一化、集約化，甚至出現了一些將打碼、接碼、改號、身份隱藏等黑產工具集中的BTaaS平臺(黑產工具即服務)，技術化的黑產使得黑客作案成本更低、威脅更大據統計，網絡黑產從

8、業人員已超據統計，網絡黑產從業人員已超200萬，造成損失高達千億，萬，造成損失高達千億，目前黑產呈現以下四方面趨勢：目前黑產呈現以下四方面趨勢：2022.7-2022.97.19億次億次7.81億次億次8.11億次億次6.58億次億次2022.10-2022.122023.1-2023.32023.4-2023.6數據來源：同盾反欺詐研究院某云安全平臺監控到的欺詐攻擊次數（某云安全平臺監控到的欺詐攻擊次數（2022-2023年度）年度）11欺詐損失排名靠前的類型：電信詐騙、互電信詐騙、互聯網欺詐、銀行卡聯網欺詐、銀行卡&賬號盜用、羊毛黨、賬號盜用、羊毛黨、中介團伙欺詐、等中介團伙欺詐、等202

9、2年金融業務年金融業務欺詐率欺詐率互聯網貸款非正?；ヂ摼W貸款非正常用戶注冊占比用戶注冊占比近一年個人信息近一年個人信息泄漏泄漏每萬元放貸每萬元放貸欺詐金額欺詐金額2.15元元33%-39%81億條次億條次數據來源：中國銀行卡產業發展藍皮書、電子商務生態安全白皮書黑灰產欺詐引發黑灰產欺詐引發近一年經濟損失近一年經濟損失1149億元億元典型欺詐事件造成的行業影響典型欺詐事件造成的行業影響薅羊毛薅羊毛虛假信貸申請虛假信貸申請信息盜取信息盜取電信詐騙電信詐騙洗錢合規風險洗錢合規風險某銀行錢包業務被黑產攻擊吳某非法盜取個人身份信息騙取銀行信用卡110張，透支86萬元崔某盜取、收買、非法提供信用卡信息數萬

10、數萬條涉反電詐不力等多項違規，機構被罰超1500萬人民銀行、銀保監會、外管局公告的金融罰單11875張，涉及32.62億億罰款信息泄露及欺詐攻擊的現狀信息泄露及欺詐攻擊的現狀隨著互聯網信息技術的發展，涉詐攻防不斷且形勢嚴峻隨著互聯網信息技術的發展，涉詐攻防不斷且形勢嚴峻以傳統線下交易渠道為主的支以傳統線下交易渠道為主的支付方式，比如網上銀行、賬號付方式，比如網上銀行、賬號類支、手機銀行、線下類支、手機銀行、線下POS等等主要為一代網銀盾、靜態密主要為一代網銀盾、靜態密碼、短信驗證碼等碼、短信驗證碼等傳統詐騙傳統詐騙復制卡、復制復制卡、復制SIM卡卡網銀木馬網銀木馬PC釣魚網站、釣魚網站、傳統偽

11、基站傳統偽基站以線上交易渠道為主的支付方以線上交易渠道為主的支付方式為主，比如快捷支付、掃碼式為主，比如快捷支付、掃碼支付、手機銀行、個人網銀等支付、手機銀行、個人網銀等主要為短信驗證碼、生物認主要為短信驗證碼、生物認證、設備認證、證、設備認證、軟證書軟證書等等圍繞手機銀行的欺詐手段日益圍繞手機銀行的欺詐手段日益豐富，比如豐富，比如手機釣魚網站、手手機釣魚網站、手機木馬、短信嗅探機木馬、短信嗅探等等欺詐場景復雜化，比如結合木欺詐場景復雜化，比如結合木馬、釣魚，結合跑分平臺等馬、釣魚，結合跑分平臺等以網聯銀聯快捷支付、銀行及以網聯銀聯快捷支付、銀行及三方信貸、手機銀行、數字貨三方信貸、手機銀行、

12、數字貨幣為主幣為主主要為可信認證、生物認證、主要為可信認證、生物認證、手機盾、軟證書等手機盾、軟證書等復雜化的復合欺詐場景結合多種復雜化的復合欺詐場景結合多種專業工具的綜合運用，比如專業工具的綜合運用，比如傳統傳統詐騙疊加屏幕共享，詐騙疊加屏幕共享，AI換臉，結換臉，結合信貸、數字貨幣、秒撥、合信貸、數字貨幣、秒撥、VPN、GOIP等結合眾包及動態二維碼等結合眾包及動態二維碼逐步從逐步從 網銀網銀PC 端端 向向 手機銀行、移動金融、線上貸款、數字貨幣手機銀行、移動金融、線上貸款、數字貨幣 轉移轉移逐步從逐步從 廣撒網、單一場景廣撒網、單一場景 向向 定向精準、復雜場景、專業工具對抗定向精準、

13、復雜場景、專業工具對抗 轉變轉變主流認證工具主流欺詐模式主流金融產品技術加持，實施欺詐攻擊編寫惡意代碼和釣魚網站主動發現網站及APP的漏洞，惡意滲透深度偽裝人的聲音/圖像/語言/視頻生成式生成式AI興起，興起，ChatGPT 對涉詐攻防的一些影響對涉詐攻防的一些影響與傳統印象中略顯與傳統印象中略顯“機械機械”的對話機器人不同，的對話機器人不同，ChatGPT不僅可用于聊天、搜索和翻譯，還能寫文章、調代碼，其技不僅可用于聊天、搜索和翻譯，還能寫文章、調代碼，其技術應用和場景規劃在各行各業引發了廣泛討論，但在安全圈還鮮有討論，近期我們關注到，境外已出現部分關于黑產使術應用和場景規劃在各行各業引發了

14、廣泛討論，但在安全圈還鮮有討論，近期我們關注到，境外已出現部分關于黑產使用用ChatGPT進行欺詐的惡意利用，將對現有進行欺詐的惡意利用，將對現有反欺詐體系反欺詐體系提出嚴峻挑戰，需要提前關注、提前預防提出嚴峻挑戰，需要提前關注、提前預防電詐殺豬盤也變智能化電詐殺豬盤也變智能化“賣茶姑娘賣茶姑娘”竟是機器竟是機器“芯芯”自動編碼惡意程序自動編碼惡意程序腳本小子化身黑客腳本小子化身黑客“大神大神”AI覺醒：覺醒：生成式生成式AI發力，發力，自然語言預訓練大模型成黑產新絕招自然語言預訓練大模型成黑產新絕招 張嘴、搖頭，攝像頭捕捉到人的動作后，屏幕上原本靜態的人像可以動起來，動作幅度和真人一致，還能

15、眨眼和露齒微笑，仿真度頗高，幾分鐘內就能生成一段視頻，臉還能被任意替換。這就是“AI換臉換臉”技術技術?！癆I換臉換臉”成為涉詐近期熱點成為涉詐近期熱點通過騷擾電話、獲取過往聊天記錄提取“工具人”聲音素材，通過朋友圈、官網證件獲得面部照片素材，準備合成AI視頻的材料。獲取聲音、面容獲取聲音、面容素材素材實時合成AI視頻，通過虛擬攝像頭偽造視頻通話，初步取得信任。AI視頻通話獲取視頻通話獲取信任信任為免穿幫，短暫通話后，以開會的理由掛掉視頻通話，轉換文字聊天，引導加QQ好友結束通話轉為文結束通話轉為文字交流字交流設計符合兩人關系的劇本，以在自己或相關人員外地投標需要借目標的對公賬戶交保證金為由，

16、偽造轉賬成功的圖片，催促目標用對公賬戶給指定賬戶轉賬。以資金周轉、投標保以資金周轉、投標保證金為由騙錢證金為由騙錢盜取詐騙盜取詐騙“工具工具”賬號賬號盜取潛在目標的朋友、客戶、領導的微信賬號，準備實施詐騙的通話工具。3起近期典型案例：福州的李先生遭遇冒充領導的AI視頻詐騙4.8萬；福州某科技公司老板郭先生接到“朋友”視頻通話后10分鐘內以投標過賬為由被騙430萬；安徽安慶何先生在接到好友視頻通話后，同樣是以投標需墊付為由，被騙245萬案件還原：案件還原：AI視頻詐騙，顛覆視頻詐騙，顛覆“眼見為實眼見為實”的認知的認知趨勢分析：趨勢分析：AI持續發展，持續發展，“助力助力”黑產產業升級黑產產業升

17、級AI技術的進步將降低AI換臉門檻，降低AI換臉詐騙成本素材要求越來越少，成品確越來素材要求越來越少，成品確越來越逼真越逼真以前AI換臉還需要一兩百張圖片，現在不同角度的照片，一般5到8張就可以生成很不錯的模型。AI發展太快，難以防止臉部信息盜用，尤其是公眾人物。以假亂真，欺詐機器和程序突破人臉識別釣魚撞庫/逆向暴力破解登錄賬戶盜取賬戶資金AI換臉技術持續革新，發展到可以騙過機器和程序，突破金融機構的人臉識別，達到賬戶盜用、資金盜取的目的，造成人臉識別安全認證失效的困境。掃號攻擊/拖庫精準電信詐騙偽基站群發短信暗網購買數據社交平臺發達，材料獲取容易社交平臺發達，材料獲取容易在微博、抖音、朋友圈

18、，或偷拍幾張高清照片，都能通過AI建模實現換臉。劫持客戶的交易短信及電劫持客戶的交易短信及電話、網絡話、網絡通過手機號和短信驗證，盜取賬通過手機號和短信驗證，盜取賬戶資金，透支信用卡額度（溢繳戶資金，透支信用卡額度（溢繳款），辦理各種貸款款），辦理各種貸款通過料主信息，通過料主信息，借助借助AI視視頻及語音頻及語音、屏幕共享，誘屏幕共享，誘騙客戶信任騙客戶信任，安裝木馬，安裝木馬APP假冒公檢法，篩選作案假冒公檢法，篩選作案對象或釣魚短信對象或釣魚短信01020403短信劫持短信劫持驗證碼使用欺詐者設備驗證碼使用欺詐者設備AI賦能精確施詐，賦能精確施詐，AI換臉換臉+木馬木馬/釣魚釣魚+涉詐組

19、織的高級局涉詐組織的高級局群控設備群控設備原因原因由于資源限制（為提高投資回報率），黑產總會最大程由于資源限制（為提高投資回報率），黑產總會最大程度利用已有資源。度利用已有資源。行為行為重復使用重復使用現有設備和信息現有設備和信息進行不同申請，導致進行不同申請，導致共用相同共用相同的的手機號碼、登錄手機號碼、登錄IP、硬件設備、硬件設備形成關聯網絡。形成關聯網絡。識別方法識別方法1.將數據進行關聯，形成將數據進行關聯，形成關系網絡圖關系網絡圖；2.使用社會關系網絡分析工具，分析關系網絡圖中是使用社會關系網絡分析工具，分析關系網絡圖中是否有大量共用設備等否有大量共用設備等拓撲結構拓撲結構。攻擊者

20、攻擊者群起而攻之群起而攻之-團伙群控作案模式團伙群控作案模式不知攻焉知防不知攻焉知防-黑灰產實施攻擊的主要手黑灰產實施攻擊的主要手法、攻擊鏈路如何一環扣一環法、攻擊鏈路如何一環扣一環欺詐的本質是什么？欺詐的本質是什么？信息差，即為信息不對稱信息差，即為信息不對稱獲取遠多于受害人所掌握的信息欺詐欺詐是指故意告知對方虛假情況，或者故意隱瞞真實情況，是指故意告知對方虛假情況，或者故意隱瞞真實情況，誘使對方基于錯誤判斷作出意思表示。誘使對方基于錯誤判斷作出意思表示。*出自：中國法學會出自：中國法學會“法治百科法治百科”項目領導小組辦公室項目領導小組辦公室信息不對稱的來源？信息不對稱的來源？社工庫社工庫

21、犯罪分子通過搜集相關被泄露的數據，再進行分析歸檔，類似于我們現在的大數據加工處理。便于查詢使用，當數據量足夠大時，就能夠查到想要的信息。危害危害社工庫的個人信息被電詐不法分子利用，只要黑產認為你有價值，便會通過各種方式進行欺詐或者利用身份信息進行非法交易。數據加工數據加工&知識萃取知識萃取社工會通過各種方式收集泄露的用戶數據，如酒店入住數據、訂票類數據、購物網站類數據、銀行卡數據、交易數據等。讓后將這些數據進行分析整合，類似就形成了一個“用戶畫像”。社工庫是社會工程學社會工程學的簡稱，是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等等心理陷進進行諸如欺騙、傷害等危害的手段取得自身利益

22、的手法，是一種黑客攻擊的手法。社工庫社工庫何為明網、深網和暗網？何為明網、深網和暗網？明網（明網（Surface Web），），是指能被普通搜索引擎檢索到的網絡，約占整個互聯網的 4%。舉個例子，網站內容可以用普通搜索引擎（比如 Google、百度、搜狗）檢索到的網站，比如新華網、微博、知乎等，被稱為明網。我們的大部分上網時間，都是停留在明網上。深網（深網（Deep Web），），與明網相對的，被稱為是指內容不能被普通搜索引擎檢索到的網絡，約占整個互聯網的 96%。深網里的內容，需要賬號密碼、訪問權限等才可以訪問。比如說，我們郵箱里的內容，存儲在云服務里面的內容，公司的數據庫，學術論文數據庫等

23、等，都屬于深網的范疇。我們的一部分上網時間，停留在深網上。暗網（暗網（Dark Web），），在深網這個大范疇下的其中一部分網絡，需要通過特定的瀏覽器、特殊授權或者特殊設置才能鏈接上的網絡，普通的瀏覽器和搜索引擎無法進入。暗網的一個特點是經過加密后隱秘性強，不容易追蹤到真實的地理位置和使用者的身份。這也導致了暗網上充斥著許多非法交易，比如販賣軍火、毒品、身份護照信息等等。簡單總結簡單總結：整個互聯網可以分為明網和深網，區別在于內容能否被普通的搜索引擎檢索整個互聯網可以分為明網和深網，區別在于內容能否被普通的搜索引擎檢索到，其中占了到，其中占了 96%份額的深網中還有一小部分被稱為暗網，需要特定

24、的瀏覽器、特殊授份額的深網中還有一小部分被稱為暗網，需要特定的瀏覽器、特殊授權或是特殊設置才能訪問，隱秘性強且大部分都是非法的內容。權或是特殊設置才能訪問，隱秘性強且大部分都是非法的內容。黑產在暗網中的主要交易市場示例黑產在暗網中的主要交易市場示例欺詐的最大威脅在哪里？欺詐的最大威脅在哪里？除了在除了在業務流程存在業務流程存在的的缺陷缺陷及技術存在的漏洞因素之外及技術存在的漏洞因素之外，信息泄露、復合型誘信息泄露、復合型誘導導涉詐涉詐安全過程中的最薄弱環節，大部分都是安全過程中的最薄弱環節，大部分都是人的因素人的因素。攻擊者直接對目標發起社會工程攻擊，敏感信息泄露、多賬戶使用同一密碼導攻擊者直

25、接對目標發起社會工程攻擊，敏感信息泄露、多賬戶使用同一密碼導致的漏洞，以及賬戶使用弱密碼帶來的安全就是最大挑戰。致的漏洞，以及賬戶使用弱密碼帶來的安全就是最大挑戰。人性是最大的威脅！人性是最大的威脅！目前，人均常用的密碼一般不超過目前，人均常用的密碼一般不超過5個，平均個，平均3個左右，這也是人腦中長期個左右，這也是人腦中長期記憶的一個規律所在。記憶的一個規律所在。右圖中的右圖中的TIME TO CRACK IT：是破解密碼所需時間，：是破解密碼所需時間，count是使用人數。是使用人數。這個是密碼服務商這個是密碼服務商NordPass公布的公布的2021年研究數據。年研究數據。以常見的登錄以

26、常見的登錄/交易密碼來看，賬戶及密碼的獲取難度不大交易密碼來看，賬戶及密碼的獲取難度不大信息售賣5件套1、身份證號、身份證號2、手機號、手機號3、銀行卡號、銀行卡號4、U盾盾5、外加持證照、外加持證照基礎資料工具申請多個聯通、電信、移動、虛擬運營商號碼；申請多個聯通、電信、移動、虛擬運營商號碼；申請多個銀行卡號建行、招商、民生；申請多個銀行卡號建行、招商、民生；各種場景下的持證照，用于電商實名認證；各種場景下的持證照，用于電商實名認證；不同角度的照片，用于合成人臉識別視頻；不同角度的照片，用于合成人臉識別視頻；各種信息儲備申請淘寶、京東、拼多多等電商資源；申請淘寶、京東、拼多多等電商資源；申請

27、微信、抖音、快手等；申請微信、抖音、快手等；批量注冊各種批量注冊各種APP賬號；賬號；注冊公司，申請商標等；注冊公司，申請商標等；各種變現渠道資金轉移賬號，洗錢工具；資金轉移賬號，洗錢工具；信貸欺詐資料，無法查實；信貸欺詐資料，無法查實；各種僵尸粉、刷票、刷榜賬號；各種僵尸粉、刷票、刷榜賬號；售賣個人信息到下一環節；售賣個人信息到下一環節；黑產獲取及使用物料信息的方式黑產獲取及使用物料信息的方式涉詐黑卡倒賣與資金流銀行卡開卡銀行卡層層倒賣詐騙實施環節涉詐資金轉移惡意開卡團伙可疑開卡群眾連續開卡伴隨開卡缺錢、被忽悠、法律意識淡薄卡商團隊收集大量用于詐騙的銀行卡售賣個人信息四件套提供銀行卡信息給一

28、線詐騙人員詐騙團伙運營人員詐騙受害人被騙轉錢詐騙團伙一線客服水房團隊匯兌錢莊取款團隊跑分平臺涉詐黑卡發送卡號誘導轉賬涉詐事前感知難轉賬多是跨行，缺少完整交易信息和涉詐背景洗錢速度快，涉詐資金轉移路徑復雜，涉詐卡活躍時間短對接詐騙團伙，提供銀行卡給他們用于收贓款、洗黑錢以網賺等名義在社交網絡廣撒網，尋找卡農層層倒賣除手機卡外，涉詐銀行卡的來源路徑是什么？除手機卡外，涉詐銀行卡的來源路徑是什么？銀行卡多沉默、低活躍，難以感知被倒賣流轉信息涉詐事中識別難涉詐事后凍結難黑產攻擊工具及物料的層級結構黑產攻擊工具及物料的層級結構30貓池/黑卡云手機短信嗅探群控設備設備篡改更多 欺詐手段從常規的人肉組織和操

29、作，轉向專業工具化的批量操作欺詐手段從常規的人肉組織和操作，轉向專業工具化的批量操作黑產欺詐主流武器庫黑產欺詐主流武器庫群控現場群控-真人群控-操作指令復制（后臺）在欺詐攻擊巨大的利益驅動下，專業黑產規模不斷擴大，應用的技術手段越來越高在欺詐攻擊巨大的利益驅動下，專業黑產規模不斷擴大，應用的技術手段越來越高涉詐團伙的技術能力持續演進，已實現涉詐團伙的技術能力持續演進，已實現BTaaS（黑產工具即服務）體系（黑產工具即服務）體系涉詐黑產新工具涉詐黑產新工具新一輪黑產巡檢，涉及虛擬定位、多開分身、自動化工具、新一輪黑產巡檢，涉及虛擬定位、多開分身、自動化工具、VPN、虛擬系統、虛擬系統5個方面的多

30、款工具個方面的多款工具模擬人臉的深度偽造技術模擬人臉的深度偽造技術3D臉臉紙片臉紙片臉一體化工具一體化工具靜圖改動圖靜圖改動圖一鍵生成手持身份證一鍵生成手持身份證重點關注重點關注瞬時位置移動瞬時位置移動技術加持：身份憑證攻擊的高效化和聚焦性，也在不斷攻擊現有的防控手段技術加持：身份憑證攻擊的高效化和聚焦性，也在不斷攻擊現有的防控手段A（Advanced）：）：即高級入侵手段。單點隱蔽能力強、攻擊空間空間路徑不確定防御難點：防御難點：傳統的基于特征匹配的邊界防御技術難以生效弱變量組合及增幅、數據埋點及標簽傳導P（Persistent）：）：即持續性攻擊。攻擊時間時間上具有長持續性，一旦入侵成功則

31、長期潛伏，尋找合適的機會外傳敏感信息，而在單個時間點上卻無明顯異常。防御難點：防御難點：基于單環節、單時間點的實時檢測技術難以應對錯位時空（利用信息的不對稱）錯位時空（利用信息的不對稱）、時間序列化、CEP鏈式特征APT：Advanced Persistent Threat 高級持續性威脅（潛伏）高級持續性威脅（潛伏）路由器核心交換機防火墻/IPS接入交換機郵件服務器接入交換機AC/AP終端Internet文件服務器社會工程釣魚郵件惡意文件遠控服務器遠控服務器（C&C）發送木馬鏈接或釣魚郵件給客戶發送木馬鏈接或釣魚郵件給客戶或通過或通過U盤等存儲介質傳遞盤等存儲介質傳遞 客戶被感染后連接遠控服

32、務器客戶被感染后連接遠控服務器 建立據點，長期潛伏和伺機擴散建立據點，長期潛伏和伺機擴散 竊取或破壞數據竊取或破壞數據黑產復合攻擊：黑產復合攻擊：APT攻擊的時空屬性更進一步導致傳統安全防御失效攻擊的時空屬性更進一步導致傳統安全防御失效對于欺詐攻防的思考對于欺詐攻防的思考機器預測能力會大大提升，未來預防會重于打擊，大部分欺詐會在事前或機器預測能力會大大提升，未來預防會重于打擊，大部分欺詐會在事前或者事中被阻止者事中被阻止大模型逐步興起，大部分事務性的工作都將被機器所取代，比如：文件和大模型逐步興起，大部分事務性的工作都將被機器所取代，比如：文件和圖像的自動生成，代碼的編寫等圖像的自動生成，代碼

33、的編寫等利用人工智能技術，欺詐者的深度造假能力會大幅度提升，人類需要重新利用人工智能技術，欺詐者的深度造假能力會大幅度提升，人類需要重新反思人工智能所帶來便捷生活的同時，也帶來更加深度的隱患和危害，并采取反思人工智能所帶來便捷生活的同時，也帶來更加深度的隱患和危害，并采取相應措施相應措施如何和如何和AI互動和交流，從而引導互動和交流，從而引導AI向善而不是去從事欺詐，會是一門新的向善而不是去從事欺詐，會是一門新的研究領域，因為高科技的欺詐分子會誘導研究領域，因為高科技的欺詐分子會誘導AI去從事欺詐，而不是自己本人去做去從事欺詐，而不是自己本人去做未來影響的思考未來影響的思考欺詐攻防的決定因素是

34、什么？欺詐攻防的決定因素是什么？人是決定因素，技術永遠是手段！人是決定因素，技術永遠是手段！技術沒有善惡之分，但人有！其實，還有一句話，在技術面前，不是人人平等的。相比于組織化、專業化的黑灰產欺詐團伙，公眾及個體的防護能力整體偏弱?；貧w本質：反欺詐就是在解決信息差問題，區分行為是好是壞回歸本質：反欺詐就是在解決信息差問題，區分行為是好是壞客戶客戶/交易交易人人/群群機器本人非本人本人被電詐本人可疑涉詐者信息買賣涉詐者涉詐者物料租借涉詐者參與欺詐受害者核心目標：核心目標：區分是人還是機器區分是本人還是非本人識別行為是慣用可信還是存在風險識別客戶主體（人/群）是好是壞，以及好與壞的邊界本人可信常態

35、正常人好好壞壞他山之石他山之石-如何有效構建欺詐防御體系如何有效構建欺詐防御體系欺詐犯罪欺詐犯罪態勢：態勢：涉詐團伙掌握了海量的公民隱私信息、黑手機號和代理IP等作案資源，通過團伙化、眾包等方式運作，形成了人數眾多的欺詐產業鏈。利用手機系統漏洞，使用鼻子就能破解指紋認證、佩戴特殊的眼鏡或通過化妝即可突破人臉識別和活體驗證。在巨大利益的誘惑下，犯罪組織可能掌握著眾多黑科技，也是最有動力去提升技術能力的團體?！澳阌袕埩加?，我有過橋梯”?？此评尾豢善频恼J證及防御手段，在黑灰產面前只不過是一層紙。解決之道：解決之道：對抗黑產及外部欺詐，需要借助產業的力量和法制的力量?！澳Ц咭怀吣Ц咭怀?道高一丈道高一

36、丈”面對高技術、高智商、高度自律、高度組織的對手，必須革新戰法，“以技術對抗技術，用以技術對抗技術，用AI來升級武器來升級武器”，不然等待我們的只有慘敗。PK面對越來越面對越來越“高能高能”的黑灰產欺詐犯罪組織，需要升級武器，革新戰法的黑灰產欺詐犯罪組織，需要升級武器，革新戰法核心要素：虛核心要素：虛 實實 真真 假假 善善 惡惡主要識別：人機、非本人、本人異常主要識別：人機、非本人、本人異常欺詐攻防的層級梯度欺詐攻防的層級梯度-誘敵深入、縱深打擊誘敵深入、縱深打擊一點出險，多點布控，全面布防一點出險，多點布控，全面布防數據要素數據要素算力算力/工具工具場景場景/算法算法盡小者大、積微者著，整

37、合多維盡小者大、積微者著，整合多維度數據，補充數據短板，加強內度數據，補充數據短板，加強內外部數據融合使用，解決數據孤外部數據融合使用，解決數據孤島問題島問題通過終端態勢感知平臺、智能決通過終端態勢感知平臺、智能決策平臺、模型平臺、知識圖譜平策平臺、模型平臺、知識圖譜平臺等先進的算力臺等先進的算力/工具，實現反工具，實現反欺詐體系的能力支撐欺詐體系的能力支撐深度了解欺詐攻防場景深度了解欺詐攻防場景標簽沉淀標簽沉淀/規則發現規則發現機器學習模型機器學習模型/自學習自學習策略及模型持續優化策略及模型持續優化/自迭代自迭代大模型應用大模型應用實現欺詐風險防控的關鍵三要素實現欺詐風險防控的關鍵三要素設

38、備特征欺詐場景特征欺詐場景特征團伙挖掘團伙挖掘監督模型監督模型異常聚類異常聚類無監督機器學習算法挖掘異常特征無監督機器學習算法挖掘異常特征特征庫有監督算法精準區分欺詐和正常事件有監督算法精準區分欺詐和正常事件數據特征AI應用決策時間特征頻率特征金額特征衍生特征SVM、LR、GDBT數據埋點數據埋點領域專家規則領域專家規則模型風險預測模型風險預測43數據數據是基礎，是基礎，特征特征是關鍵，融合是關鍵，融合多元多元AI技術技術可以很好地識別欺詐行為可以很好地識別欺詐行為知識圖譜增強關聯分析能力知識圖譜增強關聯分析能力不同欺詐識別手段可應用于反欺詐的不同成熟度階段，可以組合應用以偵測復雜的欺詐風險不

39、同欺詐識別手段可應用于反欺詐的不同成熟度階段，可以組合應用以偵測復雜的欺詐風險實現多元化風險偵測能力集合實現多元化風險偵測能力集合大模型大模型加持加持風險解釋風險解釋風險點1:該設備27日一天內切換賬號多達13次，其中高峰時間段內(10至11點前后監測到該設備高頻切換賬號，切換速度約為 30秒1次；在2月27 日3月1日一共使用了9個賬號，維持相近的操作規律。風險點2：設備內網IP 地址固定為 192.168.*.*，外網IP地址均為 124.207.*.*，從地址規律來看這是一個固定的設備，而非一個隨身攜帶的手機。風險點3：該設備偽造了自身的制造商、型號、地址信息，偽造規律與切換賬頻率一致，

40、試圖欺騙后端系統，但該設備未能隱藏更多的指紋特征，仍被識別。風險點4：該設備安裝了“猴子分身”，“分身大師”。設備編碼設備編碼06*ae單日切換賬號次數13切換賬號高峰時段10:00-11:00高頻切換賬號速度30秒/次七日內設備關聯賬號數9設備內網ip地址數1設備外網ip地址數1設備信息是否偽造是已安裝的作弊軟件“猴子分身”，“分身大師”案例實踐案例實踐1：線上貸款申請環節遭遇黑灰產機器申請風險案例：線上貸款申請環節遭遇黑灰產機器申請風險案例案例實踐案例實踐2：屏幕共享、麥克風占用、：屏幕共享、麥克風占用、AI合成臉攻擊合成臉攻擊行業實踐案例行業實踐案例 背景與目標背景與目標 應對客戶被詐騙

41、分子誘導通過視頻會議軟件共享屏幕或語音通話進行申請貸款的新風險，軟開按照“主動防、智能控、全面管”路徑，運用設備反欺詐技術監測“屏幕共享”和“麥克風占用”狀態，實現對電詐風險特征精準定位，風險交易實時攔截；防控方案防控方案 1）實時檢測戶正處于屏幕共享、麥克風占用情況，交易前風險彈窗提示，同時會做延遲到賬、24小時人工觸達確認；2）挖掘已知臉定制ROM特征，對攝像頭圖像流相關函數進行HOOK檢測，輸出CAMERA_FAKE標簽，在前端SDK進行防控策略識別和攔截2023年年6月投產后月投產后百余百余涉案數量從800余起下降至百余起80%涉案數量和投產前比下降8成4000萬萬每月減少的資金損失9

42、月月11日，日，銀行銀行接到行內投訴電話，被告知行內某一個客戶，在接到行內投訴電話，被告知行內某一個客戶，在9月月9號，號，被電信詐騙。在被電信詐騙。在9月月9日日11:48:12到到11:50:45期間進行期間進行3筆跨行轉賬，筆跨行轉賬，4分鐘分鐘內累計轉出金額內累計轉出金額145998元。元。經調查經調查客戶確實因為跨行轉賬被騙大額錢財，客戶確實因為跨行轉賬被騙大額錢財，且詐騙人員屬于詐騙關注區域云南且詐騙人員屬于詐騙關注區域云南。登錄事件轉賬事件案件涉及事件類型、行為特征修改事件01.短時內切換設備登錄短時內切換設備登錄02.短時間內切換短時間內切換ip03.連續兩次登錄設備不一致連續

43、兩次登錄設備不一致04.連續兩次登錄連續兩次登錄ip歸屬省份不一致歸屬省份不一致05.新設備登錄新設備登錄06.新設備首次出現且狀態為失敗新設備首次出現且狀態為失敗01.短時間內（短時間內（1h）頻繁關鍵信息修改）頻繁關鍵信息修改02.新設備修改關鍵信息新設備修改關鍵信息03.修改修改ip歸屬省份與上一次成功修改歸屬省份不一致歸屬省份與上一次成功修改歸屬省份不一致04.短時間內多短時間內多ip修改關鍵信息修改關鍵信息01.短時間內多短時間內多ip轉賬交易轉賬交易02.段時間內多設備轉賬交易段時間內多設備轉賬交易03.轉賬轉賬ip歸屬省份非常用歸屬省份非常用ip歸屬省份歸屬省份04.非常用設備轉

44、賬交易非常用設備轉賬交易05.連續多筆接近限額交易連續多筆接近限額交易06.新設備單筆接近限額交易新設備單筆接近限額交易07.非常用設備及環境下登錄失敗交易后短事件內關鍵信息修改非常用設備及環境下登錄失敗交易后短事件內關鍵信息修改08.新設備登錄成功后頻繁修改賬戶關鍵信息新設備登錄成功后頻繁修改賬戶關鍵信息09.新設備登錄后頻繁發生單筆接近限額的轉賬交易新設備登錄后頻繁發生單筆接近限額的轉賬交易10.大額交易當日存在新設備登錄失敗現象大額交易當日存在新設備登錄失敗現象案例實踐案例實踐3：某金融機構涉及資金電詐案件：某金融機構涉及資金電詐案件2023.09電信詐騙電信詐騙穩定可靠的量化決策穩定可

45、靠的量化決策穩態決策穩態決策即時分析，實時決策即時分析，實時決策敏態決策敏態決策交互式風控交互式風控自適應、可量化自適應、可量化多模式的動態決策多模式的動態決策動態決策動態決策實現反欺詐決策體系的三態設計：穩態、敏態、動態實現反欺詐決策體系的三態設計：穩態、敏態、動態歸因分析歸因分析漏點分析漏點分析意圖分析意圖分析鏈路分析鏈路分析時序分析時序分析行為分析行為分析反欺詐分析模式設計反欺詐分析模式設計業務場業務場景景環境環境感知感知知識知識構建構建對未來狀態的投影對未來狀態的投影趨勢趨勢預測預測對當前形式的分析，梳理對當前形式的分析，梳理感知對事件影響的元素構成感知對事件影響的元素構成態勢感知態勢

46、感知+持續對抗持續對抗-實現對于欺詐風險濃度的準確度量實現對于欺詐風險濃度的準確度量偏移指數偏移指數提前感知提前感知欺詐態勢感知欺詐態勢感知風險歸因分析風險歸因分析“春江水暖鴨先知春江水暖鴨先知”欺詐分子（我們的對手）在如何利用先進的欺詐分子（我們的對手）在如何利用先進的AI技技術從事欺詐活動方面，永遠比我們投入更大，更術從事欺詐活動方面，永遠比我們投入更大，更富有創造力，且更加專注，因為可以獲取到巨大富有創造力，且更加專注，因為可以獲取到巨大的難以想象的利益。的難以想象的利益。成立專門的技術組織去研究和對抗來自全球的欺詐活動成立專門的技術組織去研究和對抗來自全球的欺詐活動從政策和資金層面支持

47、一批反欺詐的高科技公司不斷突破從政策和資金層面支持一批反欺詐的高科技公司不斷突破創新，積極拓展中國及全球市場創新，積極拓展中國及全球市場鼓勵建立持續對抗黑灰產的社會生態聯盟鼓勵建立持續對抗黑灰產的社會生態聯盟欺詐攻防領域欺詐攻防領域-未來面臨的一個挑戰未來面臨的一個挑戰同盾的角色同盾的角色-決策智能為主線，以技術反制技術，體現科技企業的責任擔當決策智能為主線，以技術反制技術，體現科技企業的責任擔當以社會責任為己任，同盾體現科技企業的責任擔當，為配合有關機構有效打擊電詐犯罪，斬斷涉詐資金鏈，“以技術反制技術以技術反制技術”，面向金融行業及公安條線輸出反欺詐相關技術與服務；是科技部認定的全國范圍內

48、金融風控、隱私計算領域金融風控、隱私計算領域唯一唯一獲批的開放創新平臺企業通過“情報情報+數據數據+咨詢咨詢+平臺平臺+運營運營”綜合服務，構建一站式反欺詐解決方案，目前已在頭部國有行業、股份制銀行、代表性地方城商行、各地公安、地方性金融監督管理機構等多個行業近百家機構落地攻擊模式剖析攻擊模式剖析剖析欺詐最新的攻擊模式、手法、鏈路，欲剖析欺詐最新的攻擊模式、手法、鏈路，欲知己之所防，先知彼之所攻知己之所防，先知彼之所攻02欺詐攻防思考欺詐攻防思考本質問題的探討，核心在于如何解決信息差本質問題的探討，核心在于如何解決信息差03黑灰產欺詐態勢黑灰產欺詐態勢黑灰產欺詐的最新態勢分析及趨勢預黑灰產欺詐的最新態勢分析及趨勢預測，風已起，需要及時應對測，風已起，需要及時應對01體系設計與實踐體系設計與實踐反欺詐體系的構建邏輯以及行業的實踐分享反欺詐體系的構建邏輯以及行業的實踐分享04小小總結小小總結TakeAway欺詐風險總是存在的。欺詐風險總是存在的。沒有完美的策略或者模型，無論是沒有完美的策略或者模型，無論是風控，還是產品訴求。攻擊永遠存在，我們要做到的是風控，還是產品訴求。攻擊永遠存在，我們要做到的是欺詐風險可控與業務有效經營欺詐風險可控與業務有效經營反欺詐而言，反欺詐而言，自適應、可量化的動態決策自適應、可量化的動態決策才是關鍵！才是關鍵！