在汽車行業(yè)互網(wǎng)聯(lián)化的風(fēng)口下,汽車品牌的私域流量意識覺醒。如今車企從拼規(guī)模、降本增效的階段轉(zhuǎn)向了“用戶共創(chuàng)”階段,紛紛推出專屬App/小程序,開啟私域流量運(yùn)營。
為了增加用戶的活躍度、粘合度,車企會不定期在APP/小程序上推出“積分換好禮”“搶積分紅包”活動,通過積分免費兌換價值不菲的商品。由于參與門檻低、回報價值高,車企線上營銷活動啟動后,吸引了大批用戶。但同時,黑產(chǎn)也聞風(fēng)而動,進(jìn)行了大規(guī)模的“薅羊毛”。
最近,某知名新能源汽車就遭遇了黑產(chǎn)“洗劫”——原本面向用戶投放的積分紅包,卻被黑產(chǎn)外掛工具秒搶。黑產(chǎn)“薅羊毛”不僅讓用戶無法享受應(yīng)有的福利,讓車企遭受巨大的經(jīng)濟(jì)損失,更讓重視用戶體驗的車企在用戶信賴方向受到了挑戰(zhàn)。
黑產(chǎn)“薅羊毛”手段升級
車企面臨業(yè)務(wù)風(fēng)控挑戰(zhàn)
事實上,黑產(chǎn)“薅羊毛”并不是一件新鮮事。在過去十幾年,擁有線上營銷、電商、游戲等業(yè)務(wù)的企業(yè)幾乎都遭遇過黑產(chǎn)攻擊。隨著汽車行業(yè)的逐漸互聯(lián)網(wǎng)化,車企的線上營銷也正成為黑產(chǎn)“薅羊毛”的新目標(biāo)。
不同于過去黑產(chǎn)慣用“人肉作假”,現(xiàn)在黑產(chǎn)更多采用自動化工具的技術(shù)手段,如:注冊大量虛假賬號,并使用自動化作弊工具進(jìn)行養(yǎng)號、積攢積分,進(jìn)一步提升欺詐效率。
同時,黑產(chǎn)手法更加擬人化、隱蔽化,可以模擬正常用戶的行為、設(shè)備、身份等一系列特征,通過豐富IP、使用肉雞、設(shè)備root、手機(jī)群控等手段,繞過車企現(xiàn)有安全風(fēng)控機(jī)制,讓企業(yè)防不勝防。
從外部環(huán)境看,車企的線上營銷業(yè)務(wù)快速增長,產(chǎn)生了APP、小程序、H5、微信等多種業(yè)務(wù)接入渠道,以及大量的API接口調(diào)用。這種開放性帶來了巨大的敞口風(fēng)險,也為黑產(chǎn)創(chuàng)造了理想的攻擊條件。
比如,小程序這類新興線上渠道被攻擊者逆向難度很低,只要調(diào)取代碼就可以直接獲取微信用戶身份認(rèn)證信息,完成登錄、下單、查詢等用戶行為。
再比如,API接口天然就是公開且暴露的,由于攜帶大量重要數(shù)據(jù)和認(rèn)證信息,一旦攻擊者成功突破API,就可直達(dá)核心系統(tǒng),因此也被“薅羊毛”、數(shù)據(jù)竊取的黑產(chǎn)高度關(guān)注。
瑞數(shù)“動態(tài)安全+AI”技術(shù)
助力車企風(fēng)控前置、主動防御
車企線上營銷易被黑產(chǎn)攻擊,很大程度上與攻防雙方技術(shù)力量不對等有關(guān)。
當(dāng)下黑產(chǎn)分工專業(yè)、技術(shù)快速迭代,但很多車企仍在采用傳統(tǒng)風(fēng)控/安全產(chǎn)品,這類產(chǎn)品主要依賴于賬號、IP、設(shè)備信譽(yù)及固定規(guī)則,需要頻繁地更新數(shù)據(jù)庫和規(guī)則來應(yīng)對黑產(chǎn)攻擊。但當(dāng)黑產(chǎn)行為已無限接近真人用戶行為時,傳統(tǒng)風(fēng)控/安全產(chǎn)品甚至無法察覺黑產(chǎn)的存在。
過去的武器,贏不了未來的戰(zhàn)爭。正因如此,車企線上業(yè)務(wù)風(fēng)控應(yīng)徹底轉(zhuǎn)換防護(hù)思路,采用更新的技術(shù)方案對抗黑產(chǎn)。
作為自動化bots攻擊防御領(lǐng)域的絕對領(lǐng)導(dǎo)者,瑞數(shù)信息以獨創(chuàng)的“動態(tài)安全+AI”技術(shù),徹底變革了傳統(tǒng)安全基于攻擊特征與行為規(guī)則的被動式防御技術(shù),為應(yīng)用和業(yè)務(wù)提供主動防御能力,能夠有效打擊各類網(wǎng)絡(luò)欺詐包括:偽裝成正常交易的業(yè)務(wù)作弊、利用合法賬號竊取敏感數(shù)據(jù)、假冒終端應(yīng)用等。
動態(tài)變化,防代碼分析
通過對網(wǎng)頁底層代碼的持續(xù)動態(tài)變化,每次變化的內(nèi)容均不相同,達(dá)到代碼加固效果,讓攻擊者無法預(yù)測應(yīng)用服務(wù)器的行為,提高網(wǎng)頁代碼分析和攻擊難度;從而實現(xiàn)規(guī)避各種安全風(fēng)險,防止漏洞嗅探、零日漏洞攻擊、業(yè)務(wù)欺詐、薅羊毛等各種自動攻擊的防護(hù)。
人機(jī)識別,防非法客戶端
通過動態(tài)驗證技術(shù),實現(xiàn)對訪問客戶端的“人機(jī)識別”。其自動在網(wǎng)頁內(nèi)加載動態(tài)安全檢查代碼,通過采集設(shè)備指紋、驗證瀏覽器類型及分析用戶端操作行為模式等方式,建立完整的終端安全態(tài)勢感知能力,且每次均隨機(jī)選取檢測項目與數(shù)量,增加應(yīng)用的不可預(yù)測性,提升攻擊者或自動化工具假冒合法客戶端的難度。
主動防御,降低運(yùn)維壓力
采用動態(tài)防御技術(shù),不需要更新簽名和防護(hù)規(guī)則,可有效防御傳統(tǒng)安全手段無法有效防御的已知攻擊、未知攻擊及新興安全威脅,實現(xiàn)實時動態(tài)安全防御,無防護(hù)空窗期;同時通過機(jī)器學(xué)習(xí)和大數(shù)據(jù)技術(shù),全面探測和分析各種異常請求,分析用戶行為及特征,對攻擊行來源進(jìn)行跟蹤,將采集數(shù)據(jù)進(jìn)行可視化處理,以及多維度數(shù)據(jù)統(tǒng)計分析,輔助管理者進(jìn)行安全決策。
那么,瑞數(shù)動態(tài)安全+AI技術(shù)如何助力車企對抗黑產(chǎn),保護(hù)業(yè)務(wù)安全?
實時人機(jī)識別,防非法客戶端訪問
新能源車企的營銷活動都是面向最終用戶的,大多在APP/小程序上推出,用戶需要通過真實的手機(jī)APP/小程序進(jìn)行業(yè)務(wù)訪問,動態(tài)技術(shù)對訪問客戶端的真實性進(jìn)行識別,從而保證業(yè)務(wù)的合法訪問,能夠?qū)I(yè)務(wù)異常行為,尤其是模擬合法操作的異常行為,進(jìn)行實時識別和攔截,在安全防護(hù)方面將更主動和靈活。
削減自動化攻擊效率,提升攻擊成本
通過瑞數(shù)動態(tài)安全技術(shù),可以做到大幅削減自動化工具的攻擊效率,提升攻擊成本。當(dāng)黑產(chǎn)要想逃避動態(tài)安全技術(shù)的防守,就需要不斷更換IP,或花錢購買不同的帶寬和工具,付出更多的時間成本,最終導(dǎo)致攻擊成本過高,倒逼黑產(chǎn)放棄攻擊。
全渠道覆蓋,風(fēng)控前置
相比與傳統(tǒng)安全廠商,瑞數(shù)信息的數(shù)據(jù)采集點更加豐富,可同時覆蓋Web、H5、APP、小程序、API等多種業(yè)務(wù)渠道,實現(xiàn)線上業(yè)務(wù)全渠道訪問客戶端的合法性識別。通過對數(shù)據(jù)的全量采集,補(bǔ)充安全威脅數(shù)據(jù)與人機(jī)識別數(shù)據(jù),并融合AI算法模型,瑞數(shù)信息能夠為車企提供針對已知和未知自動化攻擊的防御能力,將業(yè)務(wù)風(fēng)控前置。
例如,某知名新能源車企在APP和小程序中,全流量接入瑞數(shù)動態(tài)安全 Botgate(機(jī)器人防火墻),很快就攔截到早期猖狂自動搶紅包的腳本。經(jīng)過一段時間的運(yùn)行,瑞數(shù)動態(tài)安全 Botgate后臺顯示,在日均請求數(shù)1.1億+的基礎(chǔ)上,異常請求數(shù)高達(dá)1800w+ ,攔截已識別工具請求數(shù)100w+。
在瑞數(shù)Botgate的助力下,該車企實現(xiàn)了APP不被逆向、APP請求響應(yīng)報文不被截獲篡改,維護(hù)了用戶搶積分紅包的公平公正環(huán)境。同時,瑞數(shù)為該車企配置了多條策略,通過組合不同的移動端異常情況條件,對被鎖定的異常請求場景以及指定的異常賬號進(jìn)行軟攔截,大大提升了正常用戶體驗,為車企創(chuàng)造了業(yè)務(wù)價值。
基于優(yōu)秀的防護(hù)效果,未來該車企計劃將多款A(yù)PP/小程序等應(yīng)用全流量接入瑞數(shù)防護(hù),持續(xù)提升業(yè)務(wù)安全能力和用戶使用體驗。
結(jié)語
在網(wǎng)絡(luò)黑產(chǎn)活動專業(yè)化、自動化程度不斷提升、技術(shù)對抗越發(fā)激烈的今天,汽車行業(yè)必須直面挑戰(zhàn),加強(qiáng)業(yè)務(wù)安全防護(hù)技術(shù)能力。瑞數(shù)信息作為業(yè)務(wù)反欺詐領(lǐng)域的代表性廠商,將被動防御轉(zhuǎn)變?yōu)橹鲃影踩?,將靜態(tài)特征分析轉(zhuǎn)變?yōu)樯疃绕墼p行為分析和溯源,正在幫助更多車企對抗黑產(chǎn),提升業(yè)務(wù)安全能力的整體性建設(shè)。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<