黑灰产欺诈分析及欺诈风险对抗模型体系研究

作者：中国民生银行零售质量控制部/消费者权益保护部 吕博良

随着金融科技的快速发展，互联网金融业务种类日益丰富，与此同时，金融企业的欺诈风险暴露面也不断扩大。目前，黑灰产的欺诈手段更具多样性、伪装性，在攻击和欺诈形式上与业务流程紧密结合，欺诈交易混杂在正常交易中。随着黑灰产形成从信息收集到资金变现的完整产业链闭环，金融企业往往因风险防控缺乏主动性和预测性而处于被动防守态势，急需构建一套完备的欺诈风险对抗体系，将流量侧、端侧、行为侧、服务侧、产品侧的风险识别做实做牢。

一、黑灰产欺诈行为及手段分析

所谓“未知攻、焉知防”，黑灰产欺诈风险对抗需要贯彻“知己知彼”的攻防相长理论，既要了解企业面临哪些欺诈风险，更要知悉黑产的攻击及欺诈手段方法，这样才能从根源上践行对抗理论，并将之用于设计模型策略。从企业角度来看，不论B2C、B2B还是B2E流量带来的欺诈攻击威胁，均可根据技术手段和行为目标的不同进行拆解。黑灰产欺诈行为及手段方法分类如图1所示。

图1 黑灰产欺诈行为及手段方法分类

黑灰产欺诈行为多以业务逻辑、产品功能为依托，以企业和客户为攻击对象，以直接获取利益和数据为目的，针对交易渠道及操作流程展开攻击，具有隐蔽性、逐利性、团伙化的特点。根据欺诈场景、渠道和目标的不同，黑灰产欺诈大致可以分为互联网业务、资金额度、纯骗话术三大类(不包含员工内部及合作方欺诈行为)。为使欺诈行为更具欺骗性并形成逻辑闭环，黑灰产团队中会设置场景构建、心理推导、技术支撑、话术编排、“口子”研究等多种角色。

为了绕过风控、认证等防护措施，黑灰产拥有多种技术攻击手段和方法，可分为逻辑绕过、篡改整容、伪装仿冒、要素劫持、自动操作、认证伪造、变现洗白七个大类，每一大类中又包含多个小类以聚焦具体的技术手段，这些技术手段覆盖设备、网络、人脸识别、密码等多个风险防护及认证要素。以人脸识别认证为例，黑灰产采用的照片活化、深伪视频和万能人脸等攻击手段，无疑是对企业反欺诈风控的正面宣战。

二、欺诈风险对抗模型体系研究

欺诈风险对抗模型体系的核心思想是“数据驱动、技术防控”。只要是攻击行为就会留下痕迹，就会与正常交易存在差异，通过对欺诈行为种类和手段方法的研究，笔者提出覆盖客群、流量、设备、行为、交易、关系的六边形欺诈风险对抗框架，以进一步提升企业对欺诈行为的识别精度、防控力度和响应速度。

打造欺诈风险对抗模型体系，需围绕各类业务的特性，从数据埋点与质量把控、风险识别与建模、威胁响应与管控三方面着手，有针对性地梳理业务全生命周期的客群、流量、设备、行为、交易及关联关系数据，利用数据进行事前管控、事中监控、事后分析，建立并选取适合业务风险容忍度的模型策略，以构建欺诈行为告警与处置能力，并逐步加以完善。欺诈风险对抗模型体系如图2所示。

图2 欺诈风险对抗模型体系

1.数据埋点与质量把控

利用大数据技术对欺诈行为进行监控，首先要从客群、流量、设备、行为、交易、关系六个维度进行数据采集，并根据监控需求将采集到的原始数据进行清洗与加工，其中客群数据包含消费数据、征信数据、通信数据等；流量数据包含Web日志、Access日志、app.log等；设备数据可通过在客户端植入探针进行采集，以发现设备风险；行为数据包含用户的鼠标轨迹、击键频率、触屏速度等行为信息，用于识别攻击者的异常行为；交易数据包含交易日志、协议数据、账户数据等，用于对异常交易进行溯源及分析；关系数据包含共借人、交易对手、账户附属人等信息。

除完备的数据埋点方案和规划外，随着业务流程的变化以及客户端、服务端的更新迭代，风控人员还需要定期回溯和梳理数据质量，以确保数据的可用性和有效性，进一步保证模型的准确性。

2.风险识别与建模

(1)流量风险识别

传统的安全及欺诈风险防护有明显的网络边界，主要关注南北向流量风险。如今网络边界变得越来越模糊，除南北向流量外还要兼顾东西向流量，不能放过任何可疑流量(包括B2C、B2B、B2E流量)。通过收集大量正常应用流量数据和欺诈攻击流量数据，可分析其在会话、协议、载荷、连接、时序窗口等方面的特征差异，排查OSI模型中第二层到第七层的潜在威胁。例如，利用自然语言处理技术对正常流量样本和欺诈流量样本进行分片表示，并通过无监督模型识别孤立流量；又如利用傅立叶变换将时域数据转换成频域数据以识别定时流量，排查第三方API接口欺诈或内部数据窃取等异常行为。

(2)设备风险识别

欺诈设备往往有别于正常客户设备，利用设备数据识别设备风险，有助于提升风险监控的预测性与准确性。可在客户端植入设备风险探针采集、分析包括设备型号、制造商、屏幕分辨率、Canvas数据、CPU信息、时钟信息、系统版本、驱动、配置等在内的100余项设备数据。

首先，利用设备指纹技术生成设备唯一标识，精准定位访问互联网金融业务的设备；其次，根据攻击设备特征采用分类、聚类等算法构建设备风险模型，发现设备的潜在安全威胁，并根据模型判别结果对设备风险情况进行评分及画像。针对标签化的高风险设备，应对其进行重点布控，为后续的行为风险识别和交易风险识别提供设备风控依据。

(3)行为风险识别

黑灰产欺诈除在设备维度具有明显特征外，在行为维度也和正常用户操作具有较大差异。风控人员可利用机器学习方法分析用户在页面操作过程中的鼠标轨迹、击键频率等，有效识别机器人攻击风险;交易访问序列分析可区分正常访问的序列特征和攻击访问的序列特征，攻击者在进行攻击操作时会尝试破坏业务逻辑，改变正常业务流程顺序，而且操作时间间隔也与正常交易存在差异。

具体来看，页面操作行为分析主要基于用户和机器的操作习惯差异性，正常用户在页面进行点击、拖拽等操作时具有一定的随机性，每个人的操作习惯都是独一无二的，很难模仿复制;而机器自动化操作往往不存在页面操作或仅基于规则进行一些简单模拟，具有很强的规律性和重复性。因此，当用户加载Web页面或客户端界面后，风控人员可以通过JS或ActiveX控件采集用户在页面操作过程中的操作行为信息，并进行坐标、频率、角度、速度、加速度等数据统计，使用SynchroTrap等算法识别贯序欺诈风险。互联网操作异常行为分析如图3所示。

图3 互联网操作异常行为分析

(4)交易风险识别

以欺诈风险识别为例，银行除可通过设备、行为、请求序列的“云—管—端”层面进行欺诈攻击差异化识别外，还应关注黑灰产欺诈行为在交易账户上留下的痕迹。风控人员可通过研究黑灰产行为模式和团伙欺诈方法，复现欺诈全过程，在账户层面提取养卡、诈骗、“跑分/水房”、“车手”等不同阶段的欺诈账户交易特征并进行分析，更加精确地对欺诈账户进行细分，提升欺诈账户识别精度;或从对手、时段、试卡、高频等多维度特征出发，建立整套账户欺诈特征体系，从而对处于静默期的账户进行识别与管控。

(5)风险图谱分析

不同于上述从单一维度进行风险识别的方法，欺诈图谱分析综合前文获取的流量、设备、行为、交易、关系等信息，通过广泛挖掘风险间的关联属性，可将知识图谱和机器学习算法结合，利用多维度属性特征构建攻击图谱，发现离散攻击行为的共性特征。这种分析模式避免了单维度风险分析的限制，从更高视角以点带面分析攻击行为间的关联，打破外部风险与内部威胁间的壁垒，对外部访问用户和内部操作人员等主体开展协同分析，为风控人员进行决策提供全面性分析支持。

以黑灰产攻击团伙识别为例，由于欺诈者的行为惯性和团伙的趋同性，虽然欺诈目标和场景不断变化，但方法和底层信息方面高度相似。对此，欺诈图谱分析以风险账户作为实体，将从流量风险识别、设备风险识别、行为风险识别和交易风险识别中提取的风险特征作为风险关系属性，同时将设备ID、手机号、地理位置等业务信息作为基本关系属性，构建风险图谱，通过关联信息反查，识别潜在的欺诈风险。

3.威胁响应与管控

面对当前层出不穷的欺诈行为和攻击手段，在识别相关风险后如何做到快速响应成为互联网反欺诈领域面临的重大挑战。传统“亡羊补牢”式的补救措施具有一定的滞后性，应对多变的欺诈攻击往往力不从心。本文基于上述风险识别方法，从流量管控、设备管控、行为管控、账户管控、交易管控和人工触达六个维度探索风险快速响应和智能处置方法，以实现对潜在风险的主动防控。

(1)流量管控

网络流量是攻击行为的载体，流量管控旨在主动拦截带有攻击及欺诈特征的流量，并基于IP、MAC进行封禁或导流。此外，在风险较高的业务场景下可通过流量数据加密等方式预防攻击。

(2)设备管控

设备是攻击行为的工具，风控人员可对高风险设备进行重点布控，如对使用高风险设备进行操作的客户进行风险提示，或对发起多笔重复交易的单一设备进行限流或封禁等。

(3)行为管控

风控人员可对疑似自动化操作行为进行多级验证，如构建验证资源池，根据行为风险识别结果对疑似自动化行为进行动态展现等;对疑似欺诈的交易行为采用柔性认证方式或进行实时阻断。

(4)账户管控

账户是资金的载体，针对疑似高风险账户的管控尤为重要。通过引入人脸识别、声纹识别等生物识别手段可对疑似高风险账户持有人进行额外的身份核验，或限制账户访问及执行重要业务功能，以及直接对账户进行封禁等。

(5)交易管控

引入“交互式反欺诈”理念，在全业务生命周期中设置欺诈风险识别的功能节点，运用交易冷静、延迟转账等方式为客户提供交易缓冲地带，如此既能满足业务时效性又可确保风险可控。

(6)人工触达

在绝大多数欺诈事件中，受害者均陷入黑灰产编造的欺诈情景中无法自拔，为有效保护客户资产，金融机构应投入大量人力物力向客户提供远程见证、人工电核以及转线下等“唤醒服务”，力争把住欺诈风险防控的最后一关。

互联网金融欺诈风险对抗需要贯彻“知己知彼”的攻防相长理论，在洞察黑灰产发展态势、了解外部攻击强度和技术手段的基础上，有针对性地定制对抗策略与手段。模型体系的建设不能闭门造车，金融机构风控人员应运用大数据、机器学习等技术剥茧抽丝，从客群、流量、设备、行为、交易、关系六个维度建立多层次、立体化的全业务流欺诈风险对抗模型体系;分析发现数据与欺诈行为之间的关系，并通过事前管控、事中监控、事后分析有效识别并响应风险，精准拦截、干扰欺诈行为，从而达到稳增长、保客户资产安全的长远目标。

本文刊于《中国金融电脑》2023年第8期

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。