近日,顶象联合中国信通院发布了《业务安全白皮书—数字业务风险与安全》。系统对业务安全风险的发展态势和关键技术要求进行分析,帮助企业梳理数字化转型浪潮下将面临的业务安全风险以及相应的防控技术,为企业建设更完备高效的业务安全能力体系提供策略指导。
《白皮书》认为,随着数字化的发展,企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患;同时,以大规模牟利为目的网络黑灰产,熟悉业务流程以及防护逻辑,能够熟练运用自动化、智能化的新兴技术,不断开发和优化各类攻击工具。
《白皮书》重点分析了薅羊毛、刷单炒信、刷量、虚假账号、恶意爬虫、团伙骗贷、养卡套现、洗钱、山寨App、虚假考勤等十类典型业务欺诈行为。
十大业务欺诈行为之薅羊毛
薅羊毛是黑灰产借助技术手段,批量抢夺原本属于用户的优惠和福利,并给平台或主办方带来经济损失。
2018年12月,某品牌发起“注册新人礼”活动。凡通过App成功注册新会员,均可获得一份优惠券,凭借此券可以在国内门店免费兑换任意一份礼物。据监测显示,一天内,“羊毛党”就注册了近40万个虚假账号去领取该品牌的优惠。按照每张优惠券可以兑换一份30-35元的礼物估算,价值千万的特惠券被“羊毛党”们领走。
十大业务欺诈行为之刷单炒信
刷单炒信为一种不正当的竞争手段。店方通过假扮顾客或使用软件,用虚假违规的购物方式提高网店的排名和销量,为自身填写虚假好评的行为,来增加商品的信用度,从而误导用户购买选择,影响平台和市场管理部门统计与决策。
2017年,某消费者在某大型电商平台上下单2000多人好评的牛肉,收货后却发现商品与宣传严重不符。该网店通过“刷单”制造虚假销量,进而炮制虚假好评,把一些质量不高的商品包装成“爆款”,从而误导消费者购买。
十大业务欺诈行为之刷量
刷量是利用程序自动化或组织人工等不正当手段制造虚假的数量,实现重复投票、增加点击率、伪造读者阅读、提升榜单排名的造假行为。这类行为都破坏了公平、公正、公开的“三公”规则,给用户造成误导,影响客户决策,给企业数字业务带来经济损失,也影响企业品牌形象。
2020年11月,某专场直播,某商家缴纳10万元开播费后,当天成交1300余台,直播后退款1000余台,退款率高达76.4%。直播中出现大批多台退款单的刷单行为,导致店铺收到平台的虚假交易警告。
十大业务欺诈行为之虚假账号
虚假账号是黑灰产通过技术手段批量注册、并盗用他人信息激活认证的账号。不仅给企业和消费者带来财产损失,甚至给用户带来生命健康威胁。
2020年10月,某粉丝沉溺于某明星账号的视频。此类账号为利用视频剪辑配音等技术手段做出的虚假账号。该账号骗取粉丝信任后,再向粉丝兜售虚假商品、骗取钱财等。
十大业务欺诈行为之恶意爬虫
恶意网络爬虫是按照一定的规则、自动地抓取网络信息的程序或者脚本。恶意爬虫爬取、盗用、盗取的爬取行为,不仅造成企业直接的经济损失,更消耗了平台服务和带宽资源。
2019年10月,某网站被曝光“数据造假”。该网站的2100万条真实点评中,有1800万条是通过机器人从其他平台抄袭而来。在该网站上发现了7454个抄袭账号。
团伙骗贷。团伙骗贷是指有预谋的一人或多个人,有组织有计划的虚构生产经营项目、交易、大额商品、抵押物,伪造各类资料,向金融机构申请经营贷款、消费贷款、抵押贷款,给金融机构直接带来资金损失。
2018年1月,某派出所接到银行工作人员报警,称某贷款人在银行办理了购车信用贷款,但一直处于断供状态,且该贷款人的工作证明经系伪造。警方调查发现,这是一个专门骗取银行贷款的诈骗团伙。该团伙中,部分负责游说贷款人,让其同意向银行骗取车贷;部分负责伪造贷款材料,指导贷款人申请贷款;部分负责联系买家,快速将新车倒卖套现,共同构建起一条完整的“购车骗贷”犯罪链。
十大业务欺诈行为之养卡套现
养卡套现是指信用卡的卡持有人利用不法商户或刷卡设备制造虚假刷卡消费交易,以少量的手续费把信用额度全部转化为个人的现金。套现的方式有“他人消费刷自己的卡”,与商家或某些“贷款公司”、“中介公司”合作套现,或者是利用一些网站或公司的服务等套现。
2020年6月,某地警方破获7处POS机恶意刷卡套现、非法支付结算等经营窝点,抓获8名涉案人员,查获POS机157台,银行卡1200余张和大量信用卡账单、POS机账单。该团伙通过张贴小广告、发送短信、微信群内发布广告等方式向社会宣传信用卡代还、套现等业务。然后为他人刷卡套现、非法支付、结算等违法犯罪活动,收取高额手续费,牟取不正当利益,涉案流水资金高达3000余万元。
十大业务欺诈行为之洗钱
洗钱是一种将非法所得合法化的行为,主要指将违法所得及其产生的收益,通过各种手段掩饰、隐瞒其来源和性质,使其在形式上合法化。洗钱不仅包含将贩毒、走私、诈骗、贪污、贿赂、逃税非法收益通过各种手段使其合法化的过程,也包含将合法资金通过多种方式转变成以达到个人占有、逃避监管、转移到境外等目的。
十大业务欺诈行为之山寨App
山寨App是指通过盗用制作企业数字业务信息、名称、图标等,诱导用户下载,却并不提供正常的服务,反而窃取用户通讯录、照片等隐私、资金等信息,给用户带来隐私风险与经济损失。
2020年6月,我国在西昌卫星发射中心用长征三号乙运载火箭将最后一颗北斗三号组网卫星成功送入预定轨道。与此同时,多个App市场出现了带有“北斗”字样的导航,这些App不但功能缺乏,设计粗糙,且要求用户付费。诱骗消费者。
十大业务欺诈行为之虚假考勤
虚假考勤是破解入侵官方App,通过屏蔽摄像头影像采集、拦截无线网络检测,并对GPS劫持,伪造虚假的LBS地理位置,已达到绕过核验、达成验证的目的。
2021年12月,某职员每天无需到公司上班,在家中即可完成每日打卡并拿到全勤奖。分析发现,该职员使用的是一个黑灰产作弊工具。该工具能够屏蔽摄像头影像采集、拦截无线网络检测,并对GPS劫持,伪造虚假的LBS地理位置。在进行相关设置后,该员工输入自己的工号,上传自己的照片即完成“考勤打卡”。该类工具在电商平台上也有大量销售,买家只需要花费少量费用即可以购买。
《白皮书》还重点剖析了业务欺诈的特性,主流的业务安全技术及应用实践效果,并对业务安全未来发展和前沿技术进行了分析。免费下载:
https://user.dingxiang-inc.com/user/register?back_url=http://www.dingxiang-inc.com/uploads/business-security-white-paper.pdf#/
07-01 11:51
07-01 11:50
07-01 11:39
07-01 11:38
07-01 11:18
07-01 11:08
07-01 10:56
07-01 10:56
07-01 10:56
07-01 10:53