一个风控老医生的诚意：复杂招式简单化，一个手机走天下

一天，某银行活动部门发现，今年投入的 2000 万营销费用中，1800 万被羊毛党薅走了。

银行可能经历了两个套路。

套路一： 没什么风控措施，羊毛党一拥而上，活动负责人看着火热的活动数据沾沾自喜，没想到辛辛苦苦拉的新在一个星期内就掉光了。

套路二： 有风控措施，但是银行内鬼将风控规则透露给了外部同伙，同伙根据信息调整了策略，绕过风控，事后两方分钱。

还有骗贷的。

9 月 6 日，据新闻报道，XX银行两员工参与骗贷 4200 万，原来，两名中原银行的员工在外注册了两家公司，编造虚假的贷款用途骗取银行贷款，自己申请自己审批，来了个骗贷一条龙服务。

受害的不只是银行，还有银行的客户，比如，每一个普普通通走进银行存钱、贷款、办理理财等其他金融服务的人。

这些人是怎么受害的呢？

最近有一个让人啼笑皆非的“解冻民族资产”诈骗故事。 这个故事的套路很古老，大致是“古代帝王在XXX有巨额资产，现在需要大家赞助一下，提取资产后将拿出很多扶贫资金给筹款的人”，这个受害者团队的头头马银带领团队筹集了一笔高达 80 亿元的扶贫款。

这个故事的魔幻之处在于上当受骗者的信息被层层倒卖，大家觉得“你好骗，就都来骗一下”。

“马银等人的电话信息会在诈骗者圈中倒卖，本来我在骗他，骗了几次之后，觉得再要钱可能要不过来了，就卖给你，你再冒充其他身份来骗他。 一个‘猪头’，常常有好几个人来割一刀。 ”其中一个诈骗者说。

回到前面说的银行的故事，作为某个银行客户的你是不是经常接到诈骗、推销等骚扰电话？ 一个接一个，你都不知道，到底有多少人拿到了你的信息。

在内外攻击混合双打下，个人信息不知不觉被多个黑灰产盘剥，甚至遭遇多重“宰杀”。

他们能玩的把戏不只这些，看看这份黑灰产动作清单，表格颜色越深，代表形势越严峻：

不只是银行，保险、理财、运营商、互联网等多个领域，个人与政府机构、企业一起一同遭受网络威胁。 不过，今天我要讲的故事主要还是给这些机构“治病”，而非个人。

帮我分析“病情”的老医生来自芯盾时代，他叫杜旭，有 20 多年的安全从业经验，现任芯盾时代合伙人、产品市场部副总裁。

【杜旭】

杜旭把这种“病”划分到了“业务安全”。 业务安全是指保护业务系统免受安全威胁的措施或手段，你可以理解为你去一家银行办理业务，一家保险公司帮你处理保险业务，公司职工办公所要流转的业务系统的安全。

前面的安全风险显得很复杂，但是杜旭开出的“药方”却只有一个： 搞清楚使用“业务”的人是谁，只让他使用规定动作内的业务 ，就像你约了小红去唱K，就要保证来的是小红，由于预算有限，规定动作就是 唱K，不能吃饭。 而要达到这一目的，使用的工具也超级简单——手机，21世纪最让人上头的产品。

你只需要拿出一个手机，背后的瀚海星辰由技术人员负责。

“用户是C”的B端客户的药方

刚开始，大家都学会了一种方法： 输入手机号码，拿起手机看看收到的短信验证码，填进去，这样就完成了身份认证。

有一天，狡猾的黑灰产学会了拦截短信验证码，这种验证方式突然变得不那么可靠了。 既然不那么安全，那就上人脸识别吧，至少“大部分人做不到模仿一个活人的脸”。 但是，用户要是每次使用银行的服务，除了使用短信验证码，还要再来一次人脸识别，肯定不太愉快，银行也在想： 到底应该给谁弹出人脸识别的双重认证？

为了准确判断“谁应该再赢得一次信任”，需要再上几个维度综合判断，除了用户能感受到的密码、生物等维度，技术人员（后来就是机器）在背后 从应用、时间、历史等7个维度进行判断 。

这是三年前老医生想的第一种办法，名为 MFA（多因素）认证，现在用得挺好的。 但银行又提出了新的需求，既然手机端可以这么应用，电脑端、小程序等用户能接触到的全渠道都要能用上这种身份认证，而且要保证就算黑灰产刷机也不能抹灭自己的痕迹。

黑灰产常试图让老医生看不出这些数据来自同一个机器，但是老医生自有应对之道： 利用几千个维度确认这些信息是否来自同一台机器。 “尽管可以刷新几个指标，但通过硬件指标判断，比如cpu性能、显卡性能等，每一台机器都有恒定且唯一的标记，不容更改。 甚至，还能知道机器上装了哪些应用软件，软件是什么版本等。 ”杜旭说，这就是端点核心安全（EDR）。

银行不能光凭“你说好”就相信你，它给出了 100 万条测试数据，要求大家用自己的方法来进行 POC 测试。

所谓 POC 测试，就是业界流行的针对客户具体应用的验证性测试，根据用户对采用系统提出的性能要求和扩展需求的指标，在选用服务器上进行真实数据的运行，对承载用户数据量和运行时间进行实际测算，并根据用户未来业务扩展的需求加大数据量以验证系统和平台的承载能力和性能变化。

说得更简单点， 银行用户在测试数据里混入了一些“浑水摸鱼”的高风险数据，对应现实操作，你能否全部找出来？

杜旭说，光给我这些数据，我也看不出来。

于是，他给了银行进行身份认证的 SDK，让银行的机器再跑一段时间，再拿出100万条数据进行测试。 “基于 SDK 跑的情况，我可以告诉你这 100 万条信息来自于一百部手机。 ”老医生胸有成竹。

用身份认证技术知道用户是谁还不够，还需要知道他们干了什么，这是从“行为”角度进行的二次确认。

问题来了，既然你说只要是确认是“好人”，那么“好人”进来应该不会发生“坏事”吧？ 为什么还要考察“行为”？ 杜旭告诉宅客频道，因为从单个客户看，他可能是个干净的用户，但是如果关联行为，会发现这个人有很高的风险。

比如，信用清白的 A、B、C、D、E、F 分别申请借贷 10 万，最后钱都倒了 G 的账户，说不定是黑灰产买卖了个人信息，或者以各种手段诱骗用户借贷分成，最后给平台造成追也追不回的坏账。

不过，杜旭的想法依然是，通过锁定设备身份，监控设备是否有类似的不合理的群体行为，这个方案叫做“智能行为认证 IPA ”。

发现用户是谁，能做什么，确认用户到底做了什么，这两个方案构成了老医生杜旭开给“用户是C”的B端客户的药方。

抓出内鬼和披着羊皮的狼

还有一类客户没有 C 端用户，那么，他们的业务安全就容易做了吗？ 并没有，抓披着“良人”外套的内鬼或者“攻击者”也很难。

芯盾时代曾经有个大型连锁超市的客户，它的员工遍布全国，有7万人，二级单位有1000多个，这还没有包括不同供应商，谁能保证所有人都和老板一条心？

不仅不是一条心，还可能用 AI 冒充老板指挥员工打钱。

这个价值 173 万元的诈骗就是这样发生的： 一天，英国子公司的 CEO 接到了德国母公司“老板”电话，老板操着一副德国腔的英文跟 CEO 聊起了天，原来，德国“老板”在跟“匈牙利供应商”谈生意，账要从英国的子公司走，也就是英国子公司把钱打给“匈牙利供应商”，德国的母公司后续再给英国子公司补款，德国“老板”要在一个小时之内给“匈牙利供应商”的账户打 22 万欧元，折合人民币173万元。

因为这个声音跟老板一毛一样，CEO 毫不犹豫地打钱了，直到骗子没骗够，准备再来一轮诈骗时，CEO 才发现不对劲。

一样的路径是，是否有人可以冒充老板或者员工的账号等获得相关权限？

杜旭把给“用户是 C ”的 B 端客户的“配药原理”用到了这一类他们称之为“E”端的客户上，依旧简单的是： 他们要了解用户是谁，有什么权限，干了些什么。

这一次，也是利用手机作为最简单的介质，稍微“轻松”一点的是，他们在确认用户身份时，只有一个核心路径： 确保只有 A 能做 A 做的事情，所有偏离固定路径的行为和人都被认为“有问题”。

来到第一个问题，怎么确保是“A”？

在访问操作源头就进行身份核实，把以前公司派发的“U盾”转变成手机认证，不过不同的是，还需要在手机里装一个验证 App，这个 App 在手机里有一块单独的区域，就像深处闹市中的一个跟监狱一样守卫森严的房子，如果要登陆业务系统，只有通过这个 App 发出“钥匙”，才能进入。

但身份验证只是撇开无权限用户的手段，对于找出内鬼而言，还需要核心武器： 监测、分析用户的行为。

根据常态行为，发现异常情况，这是老医生开出的“持续自适应认证”，每隔一个时间点，这个武器就会检查用户的状态是否变化，是否有越权行为。 比如，用户 IP 没有变化，但是登陆的验证方式却突然从电脑转移到手机端，“持续自适应认证”就要结合其他维度，考虑是否弹出其他验证方式，验证用户是否合法。

在这个过程中，如果用户没有任何异常的行为，这个武器像一个静默的记录者，不断地建立对用户的印象，慢慢地知道了你的常规状态，就像跟你一起生活了三年的邻居大妈，一直觉得你是个安静的小哥哥，突然发现你家有人连续一个月在深夜蹦迪，相信我，她一定会来砸门的。

不过，这个方案的核心不在于“抓住内鬼，严刑拷打”，而在于保护正常的工作流程，简单来说，你可以把它理解为保安，而非警察。

“因为这涉及到一个用户打扰率的问题，我们也不可能严格到只要你偏离了一点，就马上再次认证，还是需要经过其他维度的评分。 ”杜旭对雷锋网说。

还有一个关键问题，假如老医生真的要给有 7 万名员工的企业上这个“持续自适应认证”，难道它要根据 7万名员工的行为来生成 7 万个模型？

当然不是。

“规则发现和规则权重调整都是靠机器学习模型通过历史性算出来的，AI 会根据不同的人群生成类似的模型，并通过一定频率更改不同的验证规则。 ”杜旭对宅客频道 说。

也就是说，你可以把之前想象中的邻居大妈理解成隔壁不同的物业，负责一个个辖区，而且这个物业还挺人性，会根据小区的发展开发不同的管理策略。

这两类针对不同用户的方案看上去还挺动态和复杂，但用户能体验到的就是一项手机操作而已，这也是一个“问诊”二十年老医生的满满诚意： 复杂的招式简单化，让你一个手机走天下 。