Karma重磅升级 | 永安在线推出业内首个业务情报搜索引擎

一

反欺诈攻防现状和痛点

• 新活动上线总是心里没底，我被黑产盯上了吗？

• 怎样从每天海量业务数据中，高效分析出可疑流量？

• 上午封号，下午就被投诉解封，为什么我拿不出确凿证据？

以上是永安在线在服务客户的过程中，困扰很多业务风控/安全团队的问题。即使是头部互联网公司，他们处理已知风险已经驾轻就熟，但面对未知风险时依然如履薄冰。

明明搭建了业务风控决策引擎，防御仍然失效的原因是什么？

其实答案很简单：风控系统的核心能力在于规则，而规则的产生是后验的。即必须先有攻击，然后再分析、提炼特征，经过一段时间的灰度测试和观察后，才会上线生效。

其实，风控决策引擎和设备指纹中预置的规则都是这么来的。我们站在前人的肩膀上，但前方依然迷雾重重。

也就是说，风控决策引擎应对常见手段的攻击（已知风险）是靠谱的，但狡猾的黑灰产一旦找到一种全新的方法，或者找到绕过现有识别规则的方法，已知风险就会变成未知风险，于是空门大开，直到防御方重新找到识别未知风险的办法。攻防对抗循环往复，如果单纯依赖防御方视角，防御将永远落后于攻击。

有没有办法让风控规则的更新领先黑产攻击一步？

二

Karma业务情报搜索引擎重磅升级

永安在线曾在2017年推出「Karma业务情报风险监测平台」，作为业内首个业务情报产品，旨在为客户提供黑灰产的攻击方视角，帮助客户感知未知风险。

经过2年多的产品打磨，10余家一线客户的使用反馈，团队对业务情报认知的升级，以及对多个产业链和黑产核心节点研究的深入，我们终于推出v2.0版本。同时，产品也正式升级为「Karma业务情报搜索引擎」。

我们将产品的主交互集中于搜索引擎上。现在，你可以搜索工具情报、IP及手机号的风险。

未来，我们的搜索引擎还会连接开源情报和闭源情报，力图还原主流黑灰产作恶场景，给客户提供全景的上帝视角。

核心价值1：工具情报搜索

你可以通过新版Karma发现最新黑灰产工具，通过样本分析找到攻击接口和流量特征，然后应用到风控决策引擎中去。

使用方法如下：

• tool_target="产品/业务名"，如"淘宝"、"抖音"等。 Karma将搜索攻击目标可能为输入业务的所有黑产工具，除基础的基于工具名称匹配外，还将深入到工具内置字符串、工具截图等，搜索该输入业务的关键词和相关域名。

• tool_path="URL"，如"signup.live.com/signup"等。 可以尝试搜索任何你认为有风险的接口，包括但不限于注册接口、登录接口、抢券接口、领红包接口、投票接口等。Karma将从工具内置的字符串文件中，深度搜索该URL并返回结果。当然，您也可以搜索黑产供应链平台URL，比如接码平台、打码平台、IP代理软件等URL。

• tool_title="工具名称关键词"，如"Uber扫号"、"ins注册"等。 Karma将会通过工具名称匹配您输入的关键词。

  
  

• tool_string="任意字符串"，如"改定位"等。 Karma将在工具的字符串文件中搜索您输入的字符串。

情报最关键的还是可否落地，我们选取工具情报作为第一个价值落地点，并且坚决地做到了闭环能落地。核心价值如下：

• 覆盖最全、更新最及时： 基于永安在线的蜜罐网络及第三方渠道合作，我们布控了黑灰产工具的核心攻击和传播节点，平均每天可捕获近万余工具样本。工具类型包含：PC端破解协议类工具、移动端模拟点击脚本，以及各类改机、IP代理、群控客户端等通用类工具。

  
  

• 工具处理流程可闭环 ： 发现只是第一步，Karma的智能分析可以提取出工具内置域名等字符串信息、工具运行截图及工具作恶场景标签。同时，Karma还提供工具样本分析增值服务，由永安在线安全团队帮助客户分析作弊原理，提取特征和识别建议，真正做到“发现-分析-处理”的闭环。

• 搜索引擎支持深度搜索： 很多黑产工具无法从名字上推断攻击目标。Karma在搜索前会将业务名自动关联域名一起作为搜索条件；搜索时除匹配工具名称等表层信息外，还会深度搜索工具字符串文件及工具截图信息。

• 自定义订阅规则： 支持客户自定义订阅规则，比如新上线的活动接口，当Karma发现符合条件的新工具后将自动更新推送给客户。

核心价值2：手机号搜索

接下来我们来看看手机号搜索，搜索语法很简单：

• 国内手机号：phoneno="139xxxxxxxx"

• 海外手机号：phoneno="+1xxxxxxxxxx"

  
  

新版Karma返回的结果却不是返回手机号画像结果那么简单。

如果您已经在用一些手机号黑名单产品，比如永安在线的手机号画像，那么可以识别并拦截掉黑产持有的猫池卡。但是，对于业务数据中占比更高的可疑数据，却往往不在黑名单范围内，还需要结合更多外部数据和业务数据综合分析判断。

当您查询一个手机号时，

• 支持返回卡类型 ：手机号背后到底是普通电话卡，还是物联网卡、虚拟小号、VoIP网络电话，甚至还是永安在线独家发现的“拦截卡”，都给你查得明明白白。

  
  

• 支持返回实时的号码状态： 号码状态也是风控团队判断账号风险的重要依据之一。比如：一个从业务行为看明确作恶的账号，号码状态也是忙线或关机，大概率可能是手机号黑名单漏报了。又比如：号码存在于黑名单中，但有人正常接听，有一种可能是该号码可能已被运营商回收，流入正常用户手中，而黑名单还未洗白导致。

  
  

• 支持返回撞库风险： 黑产可能通过撞库，登录正常用户账号实施作恶，这时风控方可能出现误杀。新版Karma可供风控团队核实手机号是否存在撞库风险，非常好用。

备注：

1）卡类型字段暂时只支持返回虚拟小号、VoIP网络电话及拦截卡。将在后续版本中支持区分普通卡、物联网卡。

2）拦截卡是永安在线鬼谷实验室于2019年发现的一种新型手机号资源获取方法。黑产通过在手机（山寨机为主）植入SDK的方式，获取正常用户短信收发权限，并利用正常用户手机号作弊。

核心价值3：IP搜索

IP搜索，搜索语法依然简洁：

• ip="1.1.1.1"

当然，返回结果也不仅仅IP风险这么简单。一个有追求的业务情报搜索引擎，致力于提供更全面的IP基础信息。能用Karma搞定的，就不必打开一大堆各种各样的搜索框了。

当你查询一个IP时，

• 支持返回IP风险标签： 新版Karma将按照时间线顺序，把一个IP生命周期内所有的作恶标签排列出来。

  
  

• 支持返回IP的地理位置： 精确到区县级，并提供经纬度。从市级下沉到区县，精度的提高让数据分析的颗粒度可以更细。

  
  

• 支持返回ASN： AS代表代表自治系统，ASN就是这个系统的编号。

  
  

• 支持返回其他IP信息： 如时区、行政区划代码（国内IP）、国家编码、大洲等。

三

客户案例

1.某出行客户活动接口被滥用导致黑产恶意扫号： 扫号往往是黑产对业务发起攻击（虚假注册、撞库、盗号等）的第一个环节。为了应对黑产恶意扫号，有经验的甲方客户都会对注册、登录、找回密码等接口做严格限制，然而百密也有一疏。

• 【发现工具】 我们通过搜索该客户的业务域名，发现了一款针对该客户的扫号工具。

• 【找出缺陷】 通过分析从工具中提取出来的被攻击接口，发现该工具执行批量扫号时，并没有访问注册、登录、找回密码等接口，而是访问该客户的一个活动接口。这个活动接口会返回是否为新老用户，从而可以判断某个账号是否注册过，从而完全绕过了既有防线。

• 【反制手段】 客户直接对活动接口进行了调整，不再返回是否为新老用户。

  
  

• 【最终效果】 之后再未发现针对该客户的扫号工具。

2.某长视频客户活动被刷榜： 某长视频App上线一部自制综艺选秀节目，并发起为idol打榜活动。

• 【发现工具】 活动上线后第三天，通过搜索该活动域名，Karma已发现数款攻击活动接口的工具。