【转载】如何应对黑产批量开立银行II、III类户

释放双眼,带上耳机,听听看~!

本文转载自:紫豹科技


紫豹科技成立于2018年2月,专注于网络业务安全。基于大数据挖掘和关联知识图谱技术,通过“听风”业务威胁情报监控平台(BRIP)、“悬镜”网络犯罪公告分析平台(CWAP)两大平台,构建以用户业务安全为中心的数据特征架构,为互联网公司、金融机构和各大集团提供业务风险实时监控和公告服务;协助公检法系统打击网络犯罪和案件追踪溯源。将传统风控反欺诈策略从事中提升到事前预控,为客户提供高精准威胁监控情报与处置方案。



黑产攻击开立II、III类账户风险行为的特点

近期,全国范围内连续发生个人II、III类银行结算账户异常开户风险事件,引起央行的高度重视,一些黑产人员利用手机银行或直销银行系统漏洞非法开立虚假II、III类账户,开通的这些账户可关联第三方支付平台和金融认证机构,进而进行一些违法操作,如冒开户、恶意借贷、套现、洗钱、薅羊毛等。


 图1  开立异常II、III类户相关产业链描述



   针对此风险事件,上篇文章中已提及紫豹科技配合有关部门进行系列跟踪分析,涉及到该风险的主流银行有40余家,每家被波及的程度稍有差别,但被黑产攻击的总体趋势呈现一致性,主要特点如下:


  • 间歇性:自去年9月份关注以来,随着热点的轮动,黑产攻击对象逐步扩散,由点到面,今年2-3月再次引起关注,每家银行被关注周期一般在1-2个月。


  图2 黑产攻击开立II、III类户银行月度活跃情况



  • 脉冲式:黑产集中攻击行为一般持续2-5天,且主流打击都在1天内完成,攻击日趋势呈现脉冲式。


    图3 黑产攻击目标银行日趋势分析(2019.2.11-2019.3.11)



  • 交叉跳行:利用银行与银行间的合作,跨行(有合作的银行)开立大量虚假II、III类账户,造成账户风险交叉传染,蔓延扩大。


  图4 跳行技术交叉示意图




我们如何应对

     

基于多年的黑灰产对抗经验,从攻方的角度谈一谈如何应对批量开立II、III类户


一、业务逻辑层面提高反欺诈能力

在业务逻辑层面,通过单渠道数据验证(猫池号码),多渠道信息交叉验证(黑产邮箱、羊毛QQ群、羊毛论坛、暗网论坛等)识别黑产身份,提高反欺诈能力。

  图5 猫池号码渠道监测开立II、III类户信息


 

上图为实时情报信息:黑产账号、来源渠道、文本详情、时间、危险等级

图6 黑产QQ群交流开立异常II、III类户信息



二、批量开立II、III类户风险持续监测

通过规则模型,持续监测批量开立II、III类户风险行为。当威胁指数达到一定的阈值,触发系统进行公告,达到及时阻断,风险控制的目的。


 图7 异常II、III类户风险公告威胁示意图



三、异常II、III类风险账户核验复查

    通过6个月的追踪,我司已形成II、III类户风险账号库,可供对比核验。

    同时,该查询接口可提供同一黑产账号名下的跨行II、III类户清单。即针对同一账户(包括同一手机号码、身份证等)连续开立多个II、III类户情形进行持续监测深入关联分析。

 图8 同一手机号号开立的II、III类户情形关联分析



End





感知业务风险 捕捉价值情报

Email:business@zpower.cn 

Phone:0512-62578801

本文源自微信公众号:丁爸 情报分析师的工具箱

人已赞赏
安全工具

【资讯】新三板大数据上市公司数据堂因为侵犯公民隐私被查处!!

2019-10-15 16:09:05

安全工具

【情报】机器人在情报分析中的应用

2019-10-15 16:09:12

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索