腾讯安全大破东南亚银行“假脸”诈骗危机

确认过眼神，真的是黑产。

当坏账率连续3个月持续走高时，东南亚的一家大型银行还有点“侥幸”——可能是用户真的还不上了?但不管怎么更新放款时的风控策略，坏账率仍然降不下来，银行这下知道是遇到了专业的黑产团伙。

靴子落地，银行的风控经理纷纷叹息。

黑灰产较为集中的东南亚地区、客户群体广泛的银行、新颖的欺诈攻击方式，这些标签交织起了金融安全前线攻防的一起非典型欺诈案例。

薛定谔的用户

作为当地的头部银行，该银行积极拥抱数字化，当地的居民依托全线上流程即可开通账户，体验与线下一致的金融服务。为了吸引用户注册，银行豪掷出千万级的营销预算推广，新注册用户立马就能领到一笔不菲的福利金。这极大刺激了用户的热情，仅仅是一个月就完成了一年的用户推广目标。

但好日子并没有持续多久，用户规模攀升的背后，银行慢慢发现“叫好不叫座”，活跃用户不仅一天比一天少，坏账率还居高不下。虽然刚开始银行还能用金融APP打开率不高来安慰自己，但看到各项指标均离当时测算的标准相差甚远时，银行猜想“群众里可能有坏人”。

谁是真实用户，谁是虚假用户?谁是冲着福利薅一把就走的羊毛党?谁是见到线上贷款就来的“撸口子”?可能还有专业的黑灰产团队攻击?

面对着百万新增的用户池，银行风控经理现在觉得异常又陌生。看每一个用户都觉得好像是真的，好像又是假的，比薛定谔的猫都难验证状态。

无奈之下，这家银行找到腾讯云寻求帮助。作为曾全力支持这家银行发展线上金融的伙伴，腾讯云的风控能力在亚太地区颇受信赖，曾在2021年第四季度被Forrester评为亚太风控反欺诈市场的“领导者”。

银行风控经理自豪地向腾讯云风控安全专家logan介绍到用户量急剧上升时，logan的“肌肉记忆”已经触发了——又是一个“三高”客户。

高用户规模量、高福利刺激拉新、高速发展的线上业务。“三高”型业务是典型的增长方式，更是风险洼地，黑灰产的天堂。

logan介入之后，没有单单从放款环节的风控措施着手。在国内和黑灰产交手的经验，让他养成了从全流程看待问题的习惯。logan认为，不同国家地区的金融环境可能会有不同，但黑灰产的目标和手段反而会大同小异。全局风控思维是logan和众多金融客户久经风控战线沉淀下来的战术素养。

而整个风控流程始于注册环节，也就是一个人是如何成为银行的用户的。经过腾讯云天御团队全面排查之后，一个消费习惯的差异吸引了大家注意。

当地用户换手机卡很频繁，甚至同时拥有多张电话卡也屡见不鲜。一方面不同的运营商往往具有不同的折扣资费套餐，办理不同的卡，就可以享受更加优惠的网络/通话套餐;另一方面，在该国电话办理和更换电话卡成本很低，“路边随便一个便利店就能买到电话卡”，银行的风控经理补充了细节。

电话卡的实名制能很大程度在源头阻拦欺诈行为的发生，但当地这种随手可见的电话卡，让用户注册过程中的必经之路——人脸识别系统承担了更多的压力。

Logan常用洪峰过境来比喻黑产侵袭，“每一道防线都能卸掉一点压力，但一旦有一关没有发挥作用，下一关的压力就会成倍增加，甚至决堤。

现在，logan要和行内专家开始重新审视人脸这道防线。

高端的黑客往往用朴素的攻击方式……

人脸安全系统在银行内有一个专业称谓，EKYC, Electronic Know Your Customer，电子身份认证，是指利用AI技术远程完成自动化核实用户身份认证的过程。这往往被认为是线上金融业务的标配技术，一旦用户通过了这道验证，基本会被认定是一个“真人”——用自己的身份信息、用自己的手机、拥有真实的金融需求。

围绕人脸安全的攻防对抗一直都没有停止过，从早期通过社交工程学诈骗，通过不法手段获取个人的信息，再进行加工处理进行欺诈;而现在演变为可以实时模拟人脸的同时，将嘴型和眨眼等动作进行合成，极大地提升了迷惑性。近年来，生成式AI的发展又将这一领域的对抗推向更高层次的战场。

“如果黑产真的用高精尖的AI技术突破人脸系统，那我们的防御就难了，我们没有太多AI安全相关的专家。”银行风控经理担心这次来犯的对手可能超出了预想。

“可能不一定”，logan和同事通过定向回溯坏账率集中的用户特征，发现他们注册时的人脸信息都是真实的视频资料，没有融合生成的特征。“他们可能没有直接通过人脸系统，而是绕过了人脸系统”。

logan继续分析，单纯依靠“AI变脸”闯过EKYC的技术要求非常高，如果黑客真的掌握了这项技术，可能损失的就不仅仅是一些坏账了。大部分变脸攻击往往伴随着受害者手机设备系统的攻破，通过植入木马软件远程控制受害者手机，在银行的视角里，一切都是真实用户跟我的互动。

但真相可能从用户点击了一条“带毒”的短信或者邮件时，就发生了偏移——黑产利用恶意木马软件侵入受害者手机，并利用其盗取用户设备和包括人脸照片在内的个人信息。借助这些被窃取的数据，黑产可以通过云手机等“假机”模拟受害者手机并进行欺诈活动。

具体而言，在人脸认证过程中，黑产通过劫持系统的摄像头并注入事先制作的欺诈性人脸视频，以绕过人脸认证系统的检测，从而实现非法的访问和欺骗行为。

梳理清楚攻击脉络后，腾讯云天御利用人工智能技术针对定制ROM攻击的监控识别模型，通过机器学习模型对黑灰产定制ROM攻击及正常客户设备的特征进行模型训练，从大量攻击特征中提炼出有效特征，实现了黑灰产攻击设备的分类识别，成功杜绝了黑产用类似手段劫持用户，绕过人脸系统。

除了定制ROM的识别，天御针对人脸欺诈场景提供了全方位的解决方案。这些解决方案包括虚拟摄像头、摄像头劫持、沙箱劫持、定制ROM劫持和相机指纹等识别方法，以应对各种不同的攻击手段，确保人脸系统的安全性和可靠性。

现在，谁是猎物?

EKYC绕过的口子止住了，但已经混杂在庞大用户群中的“坏人”如何找出来?

设备指纹的价值远不止于此，除了非常规调用摄像头的风险对抗经验之外，针对篡改手机设备标识的欺诈手段，天御同样经验丰富，针对设备端的安全风险，天御通过多维风险标签，能高效识别各种设备、账号、环境、行为等等全链路的异常情况。

基于多维度的设备信息，通过数据分析、AI智能算法，为每一台移动设备计算生成唯一的可信设备ID标识，在此基础上加上智能风控系统的使用，可有效对抗设备伪造、机控、薅羊毛等恶意的行为。

通过模型和专家经验，效果显著，很快就发现了隐匿在用户中的坏人，高达10%。行方立马决定马上清除这些虚假用户。

但logan 建议先缓缓，丰富的黑灰产对抗实践让他知道，工具和技术是基础，更重要的是要掌握攻防的主动。他没有立即打草惊蛇，如果立马清退，黑灰产团伙就会知道自己的伎俩失效，转而立马迭代新的攻击武器。

“风控的本质不是要风险清零，而是要将风险控制在可接受范围内”。logan认为，风控对抗本质上就是一场攻防博弈，越晚让对手知道你的布局，就能占据更久的攻防主动。

最终，在不到一周的时间里，天御和该海外银行，经过联合运营，实现了eKYC核验场景下保障用户体验核验通过率99.8%，同时保障劫持攻击拦截率高达99.9%，整体设备可信id保证高达99.8%的指纹唯一性，且低于0.06%指纹冲突率高可用的方案认证，填补了行内对用户风险分层业务安全高可用的风控空白。

这是一次非典型的金融欺诈，也是利用中国风控科技护航海外银行的大规模实践。

但风控战争远没有结束，logan在从东南亚回国的路上已经接到了另一个求助，这次是大模型层面的较量。

原创文章，作者：lishengli，如若转载，请注明出处：http://www.lishengli.com/lee/3445.html

腾讯安全大破东南亚银行“假脸”诈骗危机

相关推荐

发表回复