作者:石文轩 苏宁美国硅谷研究院研究员
来源:苏宁财富资讯(ID:SuningWealthInsights)
近日,美国出现了历史上最大规模的网络攻击事件,美国Paypal、Twitter和Netflix等诸多知名互联网企业遭到三波“分布式拒绝服务(DDos)”攻击后域名出现瘫痪,用户无法访问和登录网站。类似这样的恶意攻击让美国商家损失惨重的事件屡有发生:比如2013年,零售商塔吉特将近7千万账户信息被盗;2014年,门户网站雅虎将近7亿个账户信息被盗,夸张的是雅虎直到2016年才对此事有所察觉。
值得警醒的是,中国商户已经慢慢发展成为全球网络不法分子眼中的“肥羊”——网络安全解决方案供应商ThreatMetrix公司最新监测数据显示,“中国现已成为英美网络黑客攻击的主要对象之一”(参见下图)。
就此,苏宁美国硅谷研究院深入调查分析发现,现阶段发生在商家身上的欺诈或恶意攻击案件呈现出三个趋势:
(1)在地域方面,商家在跨境交易上遭受欺诈并造成损失的案件比境内交易高出2.5倍。
(2)在渠道方面,O2O商家在线上线下面临的双重安全挑战显得更为棘手。
(3)在场景方面,零售和互联网金融等交易频发行业成为网络不法分子的主要攻击目标。
数一数网络欺诈或恶意攻击的常见类型
就调查结果来看,目标锁定在商家身上的网络欺诈或恶意攻击主要有3种常见类型:身份盗窃、交易平台欺诈和安全漏洞攻击,作案手段上是越来越隐蔽。下面做一个具体介绍:
常见类型1:身份盗窃。 “身份盗窃”主要窃取目标是商家网站上的用户个人信息和银行卡。在零售领域,最常见的身份盗窃手段有“钓鱼网站/链接”或者“木马病毒”等恶意软件。这些年屡屡爆出大型零售商家成为身份盗窃案被害者的消息,比如2013年年底美国零售巨头塔吉特的支付网络上被安装了恶意软件,最后导致7000万的用户个人信息和4000万的信用卡数据被盗,涉及用户名、电话号码、电子邮箱和信用卡信息等隐私数据(参见下图)。据估计,目前塔吉特的损失已达1.48亿美元,并最终可能达到10亿美元。
常见类型2:交易平台欺诈。“交易平台欺诈”的主要目标是构造虚假交易平台。围绕C2C电商平台出现的“三边交易欺诈”就具有很强的蒙蔽性,它通过三个步骤来实施:(1)骗子在电商平台注册虚假网店,销售低价高需商品从而吸引消费者来网店购买下单,这样网店就可以收集到消费者的个人信息;(2) 骗子用别处盗来的银行卡去真正的网店下单,然后把收货地址填成自己假网店下单的消费者地址;(3)再用假网店盗取的信用卡账号购买其他商品(参见下图)。通过这三个步骤,消费者收到商品后并不会察觉自己的个人信息被盗取,发现被盗后再追究责任和挽回损失也非常困难。
常见类型3:安全漏洞攻击。“安全漏洞攻击”目标是寻找商家网站系统安全策略上存在的缺陷从而进行攻击,例如上文提到的DDoS攻击,也叫拒绝式服务攻击,其攻击方式相当的简单粗暴,通过堆砌大量的垃圾数据,使得用户的正常登录被“堵塞”,从而造成大面积的网络瘫痪,导致企业业务中断(参见下图)。今年10月21日这次美国历史上最严重、最大规模的恶意攻击事件就是一个典型案例,美国域名服务器管理服务提供商Dyn遭遇严重的DDoS攻击,造成包括Twitter、PayPal和Spotify在内的公司客户断网。根据《DDoS攻击商业破坏力研究报告》,目前全球DDoS攻击次数惊人,2015年全年监测到的全球网络DDoS攻击2700多万次,被攻击网站数量多达77万个,平均每个被攻击的网站遭遇DDoS攻击35.4次。
如何防范网络交易欺诈或恶意攻击?
面对网络安全问题的愈趋复杂,国内外的行业巨头纷纷开始在零售、金融等行业积极部署风险控制技术体系,目前这些先行者普遍采用的策略是“多层次 + 全渠道 + 跨境防御”的安全防护体系。
“多层次”是指对用户真实身份验证、授权和交易风险评估等各个环节,根据不同应用场景采用恰当的技术解决方案。应用场景涉及的交易风险越高,那么身份验证解决方案就应该越严格,比如用户登录账户时可以采用九宫格等验证方式,当用户进行支付确认时增添指纹验证等安全度更高的技术方案。
“全渠道”是指在不同渠道实施不同的监测、评估和预防体系。在创新支付风险防控方面,中国银联正在联合各方推动“线上+线下”全渠道风险欺诈拦截,实施风险信息共享、实时欺诈交易拦截、货物拦截和资金暂缓清算等多重措施。
“跨境防御”是指有效拦截国际业务中产生的交易欺诈行为。数据显示,跨境交易欺诈案件中采用IP地址欺骗的比例比境内案件高出60%。由于这些交易欺诈难以察觉,很多平台选择了“宁可错杀一千,也不放过一个”的策略,导致跨境拒单率是境内交易的2.5倍,严重破坏了用户体验。所以,如何平衡拦截率和误杀率,如今成为了风控专家们的新课题。
需要提醒的是,虽然“多层次+全渠道+跨境防御”是未来风险控制技术体系的大方向,但是不管是过去还是未来,反欺诈和欺诈永远是一个“道高一尺,魔高一丈”的相互博弈过程。如果正义的一方要想在这场博弈中抢得先机,一方面需要消费者的警惕性,另一方面需要监管部门提高不法分子的犯案成本,更重要的一点是需要商家提高重视程度,因为他们是用户账户安全最重要的一道防线。