上篇已与大家介绍了设备信息的相关变量(文末关联推荐阅读第一条配链接),本篇将给大家讲解一下机器注册的识别方法,望能帮助大家理清思路。话不多说,上案例。
欺诈场景:机器注册、批量注册行为(一般是互联网企业做拉新活动或其他营销活动时,黑产发现有羊毛可薅,短时间针对此活动的批量注册行为)。
假设平台注册流程为输入手机号,发送或回填短信验证码,然后设置登录密码后即完成注册。我们可以思考一下机器注册会有哪些特征及会用到哪些技术,先来看下机器注册的流程:
实现上述流程的步骤拆解
步骤一:黑产需要购买大量满足平台要求的手机号资源(即虚假手机号),用于完成注册使用;
步骤二:黑产需要寻找打码平台,与其合作
步骤三:寻找接码平台,迅速回填验证码,完成注册(有些打码、接码平台是合二为一的)
步骤四:设置登录密码后即完成注册
通过黑产的操作步骤及流程,可以想象到黑产可能有以下行为:
1、购买大量虚假手机号(卡商通过猫池养过的、满足平台要求的手机号)
2、使用群控系统
3、由于手机设备资源有限,故可能存在篡改设备信息的行为
4、短时间内高频注册
5、手机设备可能绝大多数为二手手机
参照以上流程,我们可以梳理出一些风控反欺诈防范策略:
1、批量手机号
黑产需要从上游卡商购买大量虚假手机号,首先能想到的就是手机号可能虚拟号段或黑名单手机号,故贷款平台一般采取以下反欺诈措施:
a) 注册手机号是虚拟号段(如171、173开头的手机号),不允许参与活动。这里需要说明的是,如注册手机号是虚拟号段,建议允许其注册,在后续参与活动时,再做阻断,如在注册环节就阻断其注册,这样黑产会及时发现,虚拟号段的手机号无法注册,会调整策略,向上游卡商购买非虚拟号段的手机号再次攻击;
b) 通过内外部黑名单过滤掉高风险手机号参与活动。建议后续环节阻断而非注册环节阻断,道理同上。
2、使用群控系统
黑产使用群控系统时,一台电脑控制几百台手机,手机的倾角仰角等传感器信息不会改变(欺诈者可能存在篡改行为,一键配置设备参数,如角度传感器0,压力传感器0,手机电量100%,)。如平台注册有两个页面,可在两个页面分别埋点,获取其传感器信息,判断同一个注册账号在两个不同页面的手机传感器信息是否发生变化,如未发生变化,即为异常。
手机电量、充电状态这两个参数也可研究一下,如欺诈者在手机没电的情况下,还有注册行为,可能动机不良。小编就发现,在手机没电且充电状态,客户申请贷款时的逾期风险高于大盘一倍,至少说明此人资金饥渴。
3、篡改设备信息行为
由于手机设备资源有限,为了规避平台的共用相同设备的规则,黑产往往存在篡改设备信息的行为,包括篡改设备识别码信息、定位信息及其他设备信息(上篇已有介绍)。故可以检测手机是否root或越狱、是否云os,是否安装Xposed框架等识别是否安装改机软件。
4、短时间内高频注册
针对短时间内高频注册行为,反欺诈策略相对比较常规,使用集中类规则防范;如
5、二手手机
黑产可能有数百台手机设备,这些手机设备考虑到成本,一般为廉价的二手手机,而二手手机一般存在刷机行为,故如手机曾恢复出厂设置,也是可考虑的一个异常因素。
6、其他特征行为
除了以上角度,黑产发现一个平台漏洞,作出薅羊毛的决定,通常是短期而迅速的,可能存在批量下载平台APP的行为,故平台APP下载时间集中且同一天下载、也是可考虑的反欺诈策略点。
以上就是机器注册的识别方法,是否需要在注册环节阻断黑产的行为,可综合考量,这里就不在赘述
973
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
