數字身份認證已有20多年的歷史。作爲互聯網金融界的老前輩,它還具有很強的生命力,以至於它頻繁成爲網絡罪犯的開發目標。利用被盜的信用卡信息網購商品或服務,或者直接套取現金,這種老方法仍然奏效。當然,這個過程當然不像10年前那麼容易,但不幸的是,雖然複雜許多,它仍然是可行的。
現代網絡中風行的金融詐騙工具既包括數百個銀行木馬家族,也有針對銀行的複雜攻擊例如Carbanak和Silence。這一切都始於多年前的數字身份認證論壇。數字身份認證是現代金融網絡犯罪的搖籃。和以前一樣,銀行卡、支付系統和網上銀行詐騙是犯罪分子最大的財富來源。
Juniper Research的一項研究估計,到2023年,在線支付欺詐造成的損失將從2018年的220億美元增至430億美元,這使得反欺詐和網絡安全措施成爲業界最關注的問題。這並不令人驚訝——網絡罪犯每天都在開發新的方法和工具來繞過反欺詐保護系統,他們開發惡意軟件來協助他們活動,提供在線服務甚至創建在線商城,在暗網論壇和頻道上討論破解保護機制的方法。從著名的Cardingplanet論壇到暗網商城,這些年來,金融網絡犯罪計劃並沒有消亡。它們不斷進化,變得比以往任何時候都更加危險。
數字指紋的保護
現代反欺詐系統如何保護用戶免受在線欺詐?它們採用多種技術和分析方法的各種模型和組合。但簡單地說,任何反欺詐系統都必須識別出詐騙者,阻止他試圖完成涉及銀行卡或支付系統賬戶的非法交易。反欺詐系統使用各種機制來識別詐騙者,並將他們與合法買家區分開來,以覈實用戶的數碼身份僞裝。如果系統認爲該僞裝是合法的,或該僞裝是一種全新而獨特的僞裝,便不會發出警告。因此,掩碼後面的用戶將被識別爲合法用戶,並且他的查詢(例如嘗試使用提供的銀行卡詳細信息進行購買)將被批准。如果用戶的數字身份可疑,交易將被取消或暫停,以進行額外的手動檢查。額外的身份驗證通常包括提供額外的擴展信息,如銀行卡到期日或CVV號,或者可能還包括來自在線商店或支付系統操作員的驗證電話,即語音驗證。
這樣的話,用戶的數字身份就是一個數字指紋——由每個設備獨特的系統屬性和用戶自身的個人行爲屬性組成。
第一部分,設備指紋,包括:
IP地址(外部和本地)
屏幕信息(屏幕分辨率,窗口大小)
固件版本
操作系統版本
瀏覽器插件安裝
時區
設備ID
電池信息
音頻系統指紋
GPU信息
WebRTC IPs
TCP / IP指紋
被動SSL / TLS的分析
Cookies
等等
該設備可能有超過100個用於瀏覽的屬性。
數字身份的第二部分是行爲分析。現代反欺詐解決方案分析用戶的社交網絡賬號(第三方cookie檢查)及其行爲的各個方面,包括:
花費在網上商城的時間
點擊網站的位置
利益相關行爲(感興趣的項目、典型的消費金額、數字或實物商品等)
鼠標/觸屏行爲
系統配置更改
反欺詐系統可能會對各種伎倆發出警告,但其主要目的是確保用戶收集的數字身份曾經用於合法交易,或者數字指紋是完全獨特的而且是首次使用。這就是爲什麼,如果一個網絡罪犯使用同一臺機器多次嘗試使用不同的銀行卡信息或被盜的支付系統登錄/密碼,從同一網上銀行進行購買的話,此類非法交易將被拒絕。反欺詐系統可以將用戶收集到的指紋與詐騙者設備指紋模式的本地數據庫進行比對,如果其中任何指紋與在線購買嘗試使用的指紋匹配,交易將立即被阻止。
指紋實例
但網絡罪犯總是在尋找方法來破壞反欺詐保障措施。他們深入研究反欺詐系統的工作原理,使用不同的本地分析代理工具分析瀏覽器流量,以深入瞭解保護系統腳本和查詢。他們研究從設備上收集的信息,爲用戶創建獨特的數字指紋。
接下來他們要做的就是用假指紋代替系統的真實指紋。它們試圖操縱查詢併爲來自反欺詐機制的每個查詢提供惟一的值。或者,作爲一種更高級的替代方法,它們用已經存在的值替換所請求的值——這些值是從其他人的PC上竊取的。
創世紀(Genesis)
網絡犯罪分子很快意識到,用戶個人電腦上獨特的指紋,使得許多有價值的信息對他們自己的同類有用。他們開始設計惡意軟件,從用戶的機器上竊取指紋,並將這些指紋與從同一臺機器上竊取的其他數據一起出售,這些數據包括用戶賬戶、登錄、密碼和從各種在線服務(從商店、支付系統到銀行賬戶)上收集的瀏覽器cookie。通過我們的網絡犯罪威脅情報技術,我們能夠識別和分析這類數據的最大市場——Genesis Store。
創世紀(Genesis)是一個邀請制的暗網交易市場。目前,它提供了超過60k以上被盜的數字身份資料。個人資料包括:瀏覽器指紋、網站用戶登錄和密碼、cookie、信用卡信息。價格從5美元到200美元不等,這在很大程度上取決於被盜信息的價值。例如,如果數字身份擁有在線銀行帳戶的登錄/密碼時,則價格更高。正如市場所有者在他們的Darknet論壇線程中所解釋的,價格是使用一種獨特的算法自動計算的。
創世紀(Genesis)主頁
以供出售的數字身份
創世紀(Genesis)有一個可配置的搜索面板,允許搜索特定的數字身份。可設定來自特定網站的登錄和密碼、國家、操作系統、個人資料首次出現在市場上的日期等——一切都可以搜索到。
創世紀(Genesis)搜索面板
創世紀(Genesis)的老闆們希望儘可能容易地使用被盜的個人資料,因此他們開發了一個特殊的.crx插件,適用於基於chrome的瀏覽器。該插件允許將被盜的數字檔案安裝到網絡罪犯自己的瀏覽器中,只需點擊鼠標,他就可以成爲受害者的複製品。接着,網絡罪犯只需要從受害者的位置用IP地址連接到代理服務器,就可以繞過反欺詐系統的驗證機制,假裝自己是合法用戶。
創世紀(Genesis)插件
創世紀(Genesis)插件中的指紋設置
對於不想購買真實數字指紋的客戶,也可以選擇生成獨一無二的數字指紋。指紋設置爲其客戶提供了一種使用Genesis算法和插件生成隨機數字指紋的服務,這些隨機數字指紋可用於將被盜的銀行卡信息輸入在線商店表單:這種獨特的瀏覽器指紋將被正確配置,因此反欺詐系統不會發出警告。
創世紀(Genesis)數字指紋生成器
暗網Sphere
另一個廣泛用於繞過反欺詐系統的工具是Tenebris Linken Sphere瀏覽器。它的開發人員將其定位爲匿名的完美瀏覽器,事實上,多年來它一直被用於數字身份盜竊。與Genesis插件不同,Sphere是一個功能齊全的瀏覽器,具有高級數字指紋配置功能、自動代理服務器有效性測試和使用選項等。它甚至還提供了一個用戶活動模擬器——網絡罪犯可以通過編程打開所需的網站、跟蹤鏈接、在網站上停留一定時間等等。簡單地說,就是欺騙反欺詐系統的行爲分析模塊。開發人員還創建了一個獨特的數字指紋市場,可以用於Sphere瀏覽器。
Tenebris網站
與創世紀(Genesis)不同,Sphere使用基於訂閱的許可系統。一個月的瀏覽器使用費用是100美元。加上數字指紋市場準入,價格是每月500美元。
Tenebris許可範圍
Sphere爲生成的數字指紋提供了更深入的指紋配置選項。大多數參數都是完全可調的,這樣就有機會創建一個模擬真實用戶所需的數字指紋。
配置面板-1
配置面板-2
結論
反欺詐系統發展迅速。他們引入了新的保護機制來抵禦網絡罪犯,而網絡罪犯開發了新的工具來突破保護層。數字身份盜取造成的損失是巨大的,基於如此豐厚的收益,網絡犯罪分子肯定會擴大這些惡意活動的規模。
金融機構的安全部門必須始終尋找應對這種威脅的方法。如今,對於任何使用銀行卡或支付系統發起的交易,額外的雙因素認證都是絕對必要的,即使用戶的數字資料在保護系統看來是合法的。雖然用戶每次想在網上購物時進行額外的身份驗證程序不是很方便,但這是目前最有效的防範數字身份認證攻擊的措施。
此外,必須開發新的用戶行爲分析方法,並與定製指紋技術一起實現,這些技術包括基於硬件的指紋收集安排,其操作的深度可能超過目前可用的水平。或許,也應該考慮其他生物特徵驗證。
*參考數據來源:Kaspersky Lab,青松編譯,轉載請註明來自Qssec.COM。
— E N D —
安全之道,青松知道