全文約4000字，閱讀約11分鐘

世界上各地的金融交易機(jī)構(gòu)一直以來都是網(wǎng)絡(luò)犯罪的首選目標(biāo)。近年來，復(fù)雜的僵尸網(wǎng)絡(luò)和其他不良的攻擊方式讓惡意黑客能夠加快對該領(lǐng)域的攻擊速度。黑客部署僵尸網(wǎng)絡(luò)最常見的四種方式是信用卡欺詐、賬戶接管（ATO）攻擊，DDoS攻擊以及從金融服務(wù)網(wǎng)站抓取內(nèi)容。每一種攻擊方式都會對金融機(jī)構(gòu)造成非常嚴(yán)重的后果。

在《2021年惡意機(jī)器人報告》名單中，排名前五的惡意機(jī)器人都曾攻擊過金融服務(wù)機(jī)構(gòu)。機(jī)器人通過在互聯(lián)網(wǎng)上惡意運行帶有自動化任務(wù)的應(yīng)用程序，從事犯罪活動，如欺詐和直接盜竊。它們會引導(dǎo)網(wǎng)站、移動應(yīng)用程序和API的濫用、誤用和攻擊甚至可以模仿人類行為，那將更難被發(fā)現(xiàn)和阻止。自2021年初以來，金融服務(wù)網(wǎng)站遭受的所有惡意攻擊中，只有37%是人為攻擊，而有31%是惡意機(jī)器人造成的。

在這篇文章中，我們將介紹網(wǎng)絡(luò)犯罪分子通常用來攻擊金融服務(wù)機(jī)構(gòu)的四種惡意機(jī)器人攻擊方法，以及如何預(yù)防它們的攻擊！

01

信用卡欺詐

犯罪分子常使用卡破解技術(shù)用于信用卡欺詐，通過卡破解，攻擊者很容易獲得一個私人信用卡賬號（PAN）和賬戶戶主名字。犯罪分子可以通過多種方式獲取 PAN：在暗網(wǎng)上購買 PAN 清單；通過在零售或餐館工作的同伙對外暴露信用卡信息；以及通過網(wǎng)絡(luò)釣魚詐騙等。然后在信用卡刷卡器中添加設(shè)備，使未經(jīng)授權(quán)的各方能夠讀取卡片信息和PIN。

在大規(guī)模操作中，典型的攻擊手法是：

1、獲取PAN列表信息。

2、設(shè)置自動化機(jī)器人，發(fā)布指令讓機(jī)器人嘗試在大量的交易網(wǎng)站上進(jìn)行小額交易。機(jī)器人通過在網(wǎng)站上進(jìn)行交易，提交信用卡信息，并且每次嘗試不同的CVV、有效期和郵政編碼組合。

3、部署機(jī)器人在30個支付站點上并行運行，以避免限額。

攻擊者通過這個流程基本每四秒鐘就可以破解一張信用卡，如果擴(kuò)大自動化機(jī)器人部署，每天能破解多達(dá)21600張信用卡。信用卡欺詐造成的經(jīng)濟(jì)損失是非常大的。

如何預(yù)防信用卡欺詐

設(shè)備指紋識別

指紋識別結(jié)合了用戶的瀏覽器和設(shè)備，以了解連接到服務(wù)的用戶或內(nèi)容。嘗試信用卡欺詐的惡意機(jī)器人必須多次嘗試，并且不能每次都更改其設(shè)備。他們必須切換瀏覽器、清除緩存、使用私有或匿名模式、使用虛擬機(jī)或設(shè)備模擬器，或使用FraudFox或MultiLogin等高級欺詐工具。設(shè)備指紋識別有助于識別在會話之間保持不變的瀏覽器和設(shè)備參數(shù)，表明同一實體正在反復(fù)連接。指紋識別技術(shù)可以創(chuàng)建一個獨特的設(shè)備、瀏覽器和cookie標(biāo)識符，如果由多個登錄名共享，可以及時發(fā)現(xiàn)惡意機(jī)器人的攻擊。

瀏覽器驗證

一些惡意機(jī)器人假裝運行特定的瀏覽器，然后通過用戶代理循環(huán)以避免被檢測到。瀏覽器驗證確保每個用戶瀏覽時都以該瀏覽器預(yù)期的方式進(jìn)行調(diào)用，并以用戶預(yù)期的方式進(jìn)行操作。

機(jī)器學(xué)習(xí)行為分析

訪問網(wǎng)站的真實用戶通常會表現(xiàn)出典型的行為模式。惡意機(jī)器人的行為通常與此模式非常不同，但您無法總是提前定義或識別。您可以使用行為分析技術(shù)來分析用戶行為并檢測異常情況（異常或可疑的用戶或特定交易）。這有助于識別惡意機(jī)器人程序并防止被破解，作為行為分析的一部分，通常要嘗試分析盡可能多的數(shù)據(jù)，包括訪問的URL、鼠標(biāo)移動和移動刷卡行為等。

信譽(yù)分析

有許多已知的軟件機(jī)器人具有可預(yù)測的技術(shù)、行為模式和原始IP。訪問已知機(jī)器人模式的數(shù)據(jù)庫可以幫助您識別訪問您網(wǎng)站的惡意機(jī)器人。通過交叉引用已知的惡意機(jī)器人指紋，可以很容易地識別穿著真實用戶馬甲的惡意機(jī)器人。

漸進(jìn)式挑戰(zhàn)

當(dāng)您的系統(tǒng)懷疑用戶是機(jī)器人時，您應(yīng)該有一個漸進(jìn)機(jī)制來“檢驗”用戶并測試他們是否是機(jī)器人。漸進(jìn)式測試意味著您首先嘗試侵入性最小的方法，盡量減少對實際用戶的干擾。以下是您可以使用的幾個方法：

Cookie挑戰(zhàn)–對真實用戶透明

JavaScript挑戰(zhàn)–略微降低用戶體驗

驗證碼-最具侵入性

多因素認(rèn)證

電子商務(wù)網(wǎng)站可以要求用戶使用密碼或者他們最常使用的設(shè)備登錄。雖然這并不能阻止被破解，但它使犯罪分子更難創(chuàng)建大量假帳戶，并使他們幾乎不可能接管現(xiàn)有帳戶。

API安全性

電子商務(wù)網(wǎng)站通常使用信用卡API，如PayPal或Square提供的API，以促進(jìn)交易。如果沒有一定的安全性，這些API可能容易受到攻擊，例如JavaScript注入。為了防止這些攻擊，電子商務(wù)站點可以結(jié)合使用傳輸層安全（TLS）加密、強(qiáng)大的身份驗證和授權(quán)機(jī)制，如OAuth和OpenID提供的機(jī)制。

02

ATO攻擊

ATO攻擊a.k.a.憑證填充，攻擊者獲取大量用戶名和密碼（通常來自公司的重大漏洞），并嘗試將這些憑據(jù)"stuf"放入其他數(shù)字服務(wù)的登錄頁面。該攻擊使用機(jī)器人實現(xiàn)自動化和擴(kuò)展，可以部署機(jī)器人跨多個服務(wù)器大量重用用戶名并嘗試密碼。統(tǒng)計數(shù)據(jù)顯示，嘗試的憑證填充中，約有0.1%的登錄成功率。

憑證填充威脅與日俱增，主要原因有兩個：

1、大量違規(guī)憑證數(shù)據(jù)庫的廣泛可用性，例如，“Collection#1-5”，它使220億個用戶名和密碼組合以明文形式向黑客社區(qū)公開。

2、復(fù)雜的機(jī)器人程序，來自不同的IP地址。這些機(jī)器人通?？梢岳@過簡單的安全措施，比如禁止-登錄失敗次數(shù)過多的IP地址。

在大規(guī)模憑據(jù)填充攻擊中，攻擊者常用的攻擊方式：

• 設(shè)置一個機(jī)器人，該機(jī)器人能夠并行自動登錄多個用戶帳戶，同時偽造不同的IP地址。
• 自動化運行流程，檢查被盜憑證是否在許多網(wǎng)站上有效，跨多個站點并行運行該流程可以減少重復(fù)登錄單個服務(wù)的需要。
• 監(jiān)控成功登錄，并從受損賬戶獲取個人身份信息、信用卡或其他有價值的數(shù)據(jù)。
• 保留帳戶信息以備將來使用，例如，網(wǎng)絡(luò)釣魚攻擊或其他由受損服務(wù)啟用的交易。

如何預(yù)防

除了設(shè)備指紋識別、多因素身份驗證和CAPTCHA，您還可以使用：

IP黑名單

攻擊者通常擁有有限的IP地址池，因此另一種有效的防御措施是阻止沙箱嘗試登錄多個帳戶的IP。您可以監(jiān)視登錄特定帳戶的IP，并將它們與可疑的IP進(jìn)行比較，以減少誤報。

限速非住宅流量

很容易識別來自Amazon Web服務(wù)或其他商業(yè)數(shù)據(jù)中心的流量。這種流量幾乎肯定是機(jī)器人流量，應(yīng)該比常規(guī)用戶流量更仔細(xì)地對待。應(yīng)用嚴(yán)格的費率限制，可以阻止或禁止行為可疑的IP入侵。

阻止無指紋瀏覽器

無指紋瀏覽器（如PhantomJS）可以使用JavaScript調(diào)用輕松識別。阻止對無指紋瀏覽器的訪問，因為它們不是合法用戶，并且大概率存在可疑行為。

不允許電子郵件地址作為用戶ID

憑據(jù)填充依賴于跨服務(wù)重用相同的用戶名或帳戶ID。如果ID是電子郵件地址，則更可能發(fā)生這種情況。通過阻止用戶將其電子郵件地址用作帳戶ID，您可以極大減少他們在其他站點上重復(fù)使用相同用戶/密碼對的機(jī)會。

03

DDoS攻擊

黑客經(jīng)常部署僵尸網(wǎng)絡(luò)，通過對聯(lián)網(wǎng)的設(shè)備，注入惡意軟件，從遠(yuǎn)程位置對其進(jìn)行控制，以實施DDoS攻擊。Layer 7 (application layer) DDoS攻擊的目標(biāo)是OSI模型的頂層或應(yīng)用層，這有助于促進(jìn)通過internet協(xié)議的連接。其目的是通過向服務(wù)器發(fā)送大量的連接請求，從而使服務(wù)器無法承受和響應(yīng)。每秒請求數(shù)（RPS）越高，攻擊越激烈。

據(jù)相關(guān)數(shù)據(jù)顯示，自2021年4月以來，針對金融服務(wù)目標(biāo)的Layer 7 (application layer) DDoS攻擊中的每秒請求數(shù)（RPS）顯著增加。這與CTI風(fēng)險評分一致，CTI風(fēng)險評分也顯示從4月開始威脅風(fēng)險激增。

如何預(yù)防

緩解技術(shù)

部署易于使用、經(jīng)濟(jì)高效且全面的DDoS防護(hù)，推動了基于云的緩解技術(shù)的發(fā)展。

按需和常開解決方案

通過按需和常開解決方案的組合，這是一個全球網(wǎng)絡(luò)，提供近乎無限的可擴(kuò)展性和過濾解決方案以實現(xiàn)透明的緩解，完全保護(hù)客戶免受DDoS攻擊。

04

內(nèi)容抓取

網(wǎng)頁抓取是使用機(jī)器人從網(wǎng)站中提取內(nèi)容和數(shù)據(jù)的過程。與屏幕抓取不同，屏幕抓取只復(fù)制屏幕上顯示的像素，web抓取提取底層HTML代碼，并通過它提取存儲在數(shù)據(jù)庫中的數(shù)據(jù)。然后，scraper可以將整個網(wǎng)站內(nèi)容復(fù)制到其他地方。這對于金融服務(wù)機(jī)構(gòu)來說是一個大問題，因為黑客竊取你的內(nèi)容（例如公布的貸款利率、產(chǎn)品收益等）會損害你的SEO排名。內(nèi)容抓取有可能導(dǎo)致網(wǎng)站減速，而激進(jìn)的抓取者可能會造成設(shè)備停機(jī)。

有幾個關(guān)鍵點可以幫助網(wǎng)管區(qū)分合法和惡意內(nèi)容抓取機(jī)器人。

合法的機(jī)器人程序由其所屬組織標(biāo)識。例如，Googlebot在其HTTP頭中將自己標(biāo)識為屬于Google。

相反，惡意機(jī)器人程序通過創(chuàng)建虛假的HTTP用戶代理來模擬合法流量。

合法的機(jī)器人遵守站點的robot.txt文件要求，該文件列出了機(jī)器人允許訪問和不能訪問的頁面。而惡意機(jī)器人，盡管網(wǎng)站運營商對有些內(nèi)容限制訪問，惡意的爬蟲都會對網(wǎng)站進(jìn)行抓取。

如何預(yù)防

為了對抗惡意機(jī)器人攻擊，可以使用粒度流量分析。它確保所有進(jìn)入你網(wǎng)站的流量，無論是人還是機(jī)器人，都是完全合法的。該過程涉及因素的交叉驗證，包括：

HTML指紋

過濾過程從對HTML標(biāo)題的粒度檢查開始，通過對標(biāo)頭簽名與不斷更新的超過1000萬個已知變體的數(shù)據(jù)庫進(jìn)行比較，可以發(fā)現(xiàn)訪問者是人類還是機(jī)器人、惡意還是安全的。

IP信譽(yù)

通過收集所有攻擊的IP數(shù)據(jù)，可以及時發(fā)現(xiàn)有攻擊歷史的IP，并做進(jìn)一步審查。

行為分析

跟蹤訪問者與網(wǎng)站互動的方式可以及時發(fā)現(xiàn)異常，如可疑的攻擊性請求與不合邏輯的瀏覽模式。這有助于識別冒充人類訪客的機(jī)器人。

漸進(jìn)式挑戰(zhàn)

可以部署一系列挑戰(zhàn)，包括cookie支持和JavaScript執(zhí)行，以過濾掉機(jī)器人程序并最小化誤報。作為最后的手段，驗證碼挑戰(zhàn)可以清除那些試圖冒充人類的機(jī)器人。

通過對惡意機(jī)器人的分析研究，不難看出，應(yīng)對大規(guī)模的惡意機(jī)器人攻擊，選擇部署擁有自動化、智能化的智慧機(jī)器人-以毒攻毒，才能保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全，讓金融交易業(yè)務(wù)持續(xù)健康高效的運行！

|來源：https://www.imperva.com/blog/the-4-most-common-bad-bot-attack-methods-targeting-financial-services/