数字身份认证已有20多年的历史。作为互联网金融界的老前辈,它还具有很强的生命力,以至于它频繁成为网络罪犯的开发目标。利用被盗的信用卡信息网购商品或服务,或者直接套取现金,这种老方法仍然奏效。当然,这个过程当然不像10年前那么容易,但不幸的是,虽然复杂许多,它仍然是可行的。
现代网络中风行的金融诈骗工具既包括数百个银行木马家族,也有针对银行的复杂攻击例如Carbanak和Silence。这一切都始于多年前的数字身份认证论坛。数字身份认证是现代金融网络犯罪的摇篮。和以前一样,银行卡、支付系统和网上银行诈骗是犯罪分子最大的财富来源。
Juniper Research的一项研究估计,到2023年,在线支付欺诈造成的损失将从2018年的220亿美元增至430亿美元,这使得反欺诈和网络安全措施成为业界最关注的问题。这并不令人惊讶——网络罪犯每天都在开发新的方法和工具来绕过反欺诈保护系统,他们开发恶意软件来协助他们活动,提供在线服务甚至创建在线商城,在暗网论坛和频道上讨论破解保护机制的方法。从著名的Cardingplanet论坛到暗网商城,这些年来,金融网络犯罪计划并没有消亡。它们不断进化,变得比以往任何时候都更加危险。
数字指纹的保护
现代反欺诈系统如何保护用户免受在线欺诈?它们采用多种技术和分析方法的各种模型和组合。但简单地说,任何反欺诈系统都必须识别出诈骗者,阻止他试图完成涉及银行卡或支付系统账户的非法交易。反欺诈系统使用各种机制来识别诈骗者,并将他们与合法买家区分开来,以核实用户的数码身份伪装。如果系统认为该伪装是合法的,或该伪装是一种全新而独特的伪装,便不会发出警告。因此,掩码后面的用户将被识别为合法用户,并且他的查询(例如尝试使用提供的银行卡详细信息进行购买)将被批准。如果用户的数字身份可疑,交易将被取消或暂停,以进行额外的手动检查。额外的身份验证通常包括提供额外的扩展信息,如银行卡到期日或CVV号,或者可能还包括来自在线商店或支付系统操作员的验证电话,即语音验证。
这样的话,用户的数字身份就是一个数字指纹——由每个设备独特的系统属性和用户自身的个人行为属性组成。
第一部分,设备指纹,包括:
IP地址(外部和本地)
屏幕信息(屏幕分辨率,窗口大小)
固件版本
操作系统版本
浏览器插件安装
时区
设备ID
电池信息
音频系统指纹
GPU信息
WebRTC IPs
TCP / IP指纹
被动SSL / TLS的分析
Cookies
等等
该设备可能有超过100个用于浏览的属性。
数字身份的第二部分是行为分析。现代反欺诈解决方案分析用户的社交网络账号(第三方cookie检查)及其行为的各个方面,包括:
花费在网上商城的时间
点击网站的位置
利益相关行为(感兴趣的项目、典型的消费金额、数字或实物商品等)
鼠标/触屏行为
系统配置更改
反欺诈系统可能会对各种伎俩发出警告,但其主要目的是确保用户收集的数字身份曾经用于合法交易,或者数字指纹是完全独特的而且是首次使用。这就是为什么,如果一个网络罪犯使用同一台机器多次尝试使用不同的银行卡信息或被盗的支付系统登录/密码,从同一网上银行进行购买的话,此类非法交易将被拒绝。反欺诈系统可以将用户收集到的指纹与诈骗者设备指纹模式的本地数据库进行比对,如果其中任何指纹与在线购买尝试使用的指纹匹配,交易将立即被阻止。
指纹实例
但网络罪犯总是在寻找方法来破坏反欺诈保障措施。他们深入研究反欺诈系统的工作原理,使用不同的本地分析代理工具分析浏览器流量,以深入了解保护系统脚本和查询。他们研究从设备上收集的信息,为用户创建独特的数字指纹。
接下来他们要做的就是用假指纹代替系统的真实指纹。它们试图操纵查询并为来自反欺诈机制的每个查询提供惟一的值。或者,作为一种更高级的替代方法,它们用已经存在的值替换所请求的值——这些值是从其他人的PC上窃取的。
创世纪(Genesis)
网络犯罪分子很快意识到,用户个人电脑上独特的指纹,使得许多有价值的信息对他们自己的同类有用。他们开始设计恶意软件,从用户的机器上窃取指纹,并将这些指纹与从同一台机器上窃取的其他数据一起出售,这些数据包括用户账户、登录、密码和从各种在线服务(从商店、支付系统到银行账户)上收集的浏览器cookie。通过我们的网络犯罪威胁情报技术,我们能够识别和分析这类数据的最大市场——Genesis Store。
创世纪(Genesis)是一个邀请制的暗网交易市场。目前,它提供了超过60k以上被盗的数字身份资料。个人资料包括:浏览器指纹、网站用户登录和密码、cookie、信用卡信息。价格从5美元到200美元不等,这在很大程度上取决于被盗信息的价值。例如,如果数字身份拥有在线银行帐户的登录/密码时,则价格更高。正如市场所有者在他们的Darknet论坛线程中所解释的,价格是使用一种独特的算法自动计算的。
创世纪(Genesis)主页
以供出售的数字身份
创世纪(Genesis)有一个可配置的搜索面板,允许搜索特定的数字身份。可设定来自特定网站的登录和密码、国家、操作系统、个人资料首次出现在市场上的日期等——一切都可以搜索到。
创世纪(Genesis)搜索面板
创世纪(Genesis)的老板们希望尽可能容易地使用被盗的个人资料,因此他们开发了一个特殊的.crx插件,适用于基于chrome的浏览器。该插件允许将被盗的数字档案安装到网络罪犯自己的浏览器中,只需点击鼠标,他就可以成为受害者的复制品。接着,网络罪犯只需要从受害者的位置用IP地址连接到代理服务器,就可以绕过反欺诈系统的验证机制,假装自己是合法用户。
创世纪(Genesis)插件
创世纪(Genesis)插件中的指纹设置
对于不想购买真实数字指纹的客户,也可以选择生成独一无二的数字指纹。指纹设置为其客户提供了一种使用Genesis算法和插件生成随机数字指纹的服务,这些随机数字指纹可用于将被盗的银行卡信息输入在线商店表单:这种独特的浏览器指纹将被正确配置,因此反欺诈系统不会发出警告。
创世纪(Genesis)数字指纹生成器
暗网Sphere
另一个广泛用于绕过反欺诈系统的工具是Tenebris Linken Sphere浏览器。它的开发人员将其定位为匿名的完美浏览器,事实上,多年来它一直被用于数字身份盗窃。与Genesis插件不同,Sphere是一个功能齐全的浏览器,具有高级数字指纹配置功能、自动代理服务器有效性测试和使用选项等。它甚至还提供了一个用户活动模拟器——网络罪犯可以通过编程打开所需的网站、跟踪链接、在网站上停留一定时间等等。简单地说,就是欺骗反欺诈系统的行为分析模块。开发人员还创建了一个独特的数字指纹市场,可以用于Sphere浏览器。
Tenebris网站
与创世纪(Genesis)不同,Sphere使用基于订阅的许可系统。一个月的浏览器使用费用是100美元。加上数字指纹市场准入,价格是每月500美元。
Tenebris许可范围
Sphere为生成的数字指纹提供了更深入的指纹配置选项。大多数参数都是完全可调的,这样就有机会创建一个模拟真实用户所需的数字指纹。
配置面板-1
配置面板-2
结论
反欺诈系统发展迅速。他们引入了新的保护机制来抵御网络罪犯,而网络罪犯开发了新的工具来突破保护层。数字身份盗取造成的损失是巨大的,基于如此丰厚的收益,网络犯罪分子肯定会扩大这些恶意活动的规模。
金融机构的安全部门必须始终寻找应对这种威胁的方法。如今,对于任何使用银行卡或支付系统发起的交易,额外的双因素认证都是绝对必要的,即使用户的数字资料在保护系统看来是合法的。虽然用户每次想在网上购物时进行额外的身份验证程序不是很方便,但这是目前最有效的防范数字身份认证攻击的措施。
此外,必须开发新的用户行为分析方法,并与定制指纹技术一起实现,这些技术包括基于硬件的指纹收集安排,其操作的深度可能超过目前可用的水平。或许,也应该考虑其他生物特征验证。
*参考数据来源:Kaspersky Lab,青松编译,转载请注明来自Qssec.COM。
— E N D —
安全之道,青松知道
2524
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
