为什么验证码防不住所有黑产?

为什么验证码防不住所有黑产?前言 2002 年 路易斯 冯 安发明了通过字母和数字验证用户身份的验证码 CAPTCHA Completely Automated Public Turing test to tell Computers and Humans Apart

欢迎大家来到IT世界,在知识的湖畔探索吧!

前言:2002年,路易斯·冯·安发明了通过字母和数字验证用户身份的验证码(CAPTCHA,Completely Automated Public Turing test to tell Computers and Humans Apart:全自动区分计算机和人类的图灵测试),用来解决黑产自动化注册邮箱进行网络诈骗的问题。

2012年,极验首创了使用AI技术分析用户行为的滑动验证码,用来应对大部分由计算机自动化产生的安全问题,并因而开创了智能验证码的新时代。

自此,验证码融入了人们数字化生活的方方面面。当你注册登录开始使用某个软件、购买一张回家的机票、用会员积分兑换某个商品、在某个游戏社区签到、换绑某个银行APP的联系方式……随着数字化生活的不断深入,验证码作为互联网防护的一种基础工具,始终保护着各行各业的业务场景安全,企业也更加依赖它。

作为国内最早的验证码服务商,尽管极验已经和黑产对抗了12年,给市场头部56.2%的企业都提供过技术支持,却发现单方面依赖验证码并不能防住所有黑产

验证码的困境

为什么验证码防不住所有黑产?为什么验证码会被激活成功教程?那验证码还有用吗?

其实,这是由验证码的产品性质决定的。一般情况下,想要提高验证码的防御能力最简单直接的方式就是调整验证形式的难度。在极验行为验证后台,企业可以一键设置验证形式,比如一键通过、滑动验证、图标点选验证等8种验证形式。但验证形式难度的提高不仅作用于黑产还作用于企业的C端用户,这样一来,就会影响这些用户的使用体验。这是验证码的第一个局限性——衡量验证码的安全与体验。

为什么验证码防不住所有黑产?

在线体验:https://gt4.geetest.com/

其次,作为一种基础的安全防护工具,常规的验证码防御手段比较单一。在整个验证流程中验证码无法获取业务数据,仅获取环境检测数据和行为处理数据。由于这些数据与业务之间缺乏关联,这也就导致验证码的防护效果会有所降低。与此同时,为了满足数据合规性的要求,一部分验证技术也受到合规的限制,无法发挥出最大的效果,也就无法全面应对复杂化的黑产攻击。

面对有备而来的黑产,他们采用了多样化、复杂化的攻击工具和手段,那么仅靠单一的验证码工具可能就没办法100%防住黑产流量。

为什么验证码防不住所有黑产?

行为验证产品能力通讯流程图

D游戏公司是一家日活可达数百万,黑产盈利空间极大的企业,需要极验帮助其解决黑产自动化完成游戏抽卡与游戏任务的问题。在与黑产对抗的过程中,我们发现黑产投入了大量的工具资源,并且至少操纵着500万个账号

极验通过图片答案校验的基础策略和POW、IP限制等深度策略,对遏制黑产的自动化操作有了立竿见影的效果。经过一段时间的观察发现,我们定期更新图片验证样式与形式,每次更新后黑产就会停止攻击,这时后台验证请求量就会趋于正常。但防御效果在一周左右会有所减弱,数据开始出现异常,更新的策略无法做到一劳永逸。我们掌握了对方训练模型周期的时间就是一周左右,这也说明黑产已经投入了代理 IP池、环境信息伪造、硬件资源、图形的深度学习模型等多样化、复杂化的攻击工具和手段。

黑产对抗本质上是一个双方博弈的过程,我们的目标是尽可能提高黑产的攻击成本,让他们的收益无法覆盖投入成本,从而促使黑产放弃攻击。然而,如果业务场景的收益足够高,黑产往往会形成团伙,投入更多成本,持续攻击。

怎么实现防御效果1+1>2 ?

面对黑产多样化、复杂化的进攻方式,我们应对的策略也会随之变化,单打独斗往往很难高效地解决问题。在常年与黑产对抗的经验中,我们总结出在这种情况下就需要结合业务的角度去处理问题,但是验证码产品的整个工作流程无法获取业务数据,这就需要验证码服务商和业务方双方合作应对

即业务方结合极验行为验证的CT功能或风险返回标签,在业务端侧针对黑产的操作调整对应的业务规则。比如,加大被CT命中或对返回风险标识的黑产账号抽卡中奖的难度。

注释:CT为“captcha token”,极验首创的异常标记功能;极验通过12年以来对异常数据的记录分析形成了专业的黑产IP库、黑产轨迹库和黑产设备标识库。后台黑产记录库做为识别黑产的网状引擎,通过多维度,交叉比对给异常验证请求打上异常标识,并结合前端的蜜罐、JS 混淆等技术实现对异常数据的实时标记功能。即使在极端的情况下,遭受黑产打码平台的攻击,标记数据仍然可以以接口形式传输给业务方,业务方可根据接口标记进一步做业务风控处理。

双方合作在业务层面进行处理主要具有以下几个优势:

1.由于我们在行为验证的基础上结合业务规则进行黑产对抗,在这个过程中行为验证的CT功能只提供判断依据,而不直接对用户进行拦截,用户处理在业务阶段控制,所以黑产无法从验证码上找到突破口,也很难在短时间内找到业务设定的规则,加大了其激活成功教程难度。

2.与黑产博弈对抗的本质其实是黑产对于ROI的考量。因此,我们会从提高黑产ROI的角度去进行黑产对抗。也就是说通过CT功能,提高黑产抽中稀有卡的难度,也就间接提高了黑产的ROI,久而久之,黑产就会放弃攻击。

3.通过CT功能区别黑产与正常C端用户,可以通过风控融合模式,分别设置不同难度的验证形式,降低对正常用户的打扰。对正常用户设置弹出简单的滑动验证或无感验证;对CT命中的黑账号设置弹出高难度的图标验证,同时加快验证形式的更新速度。

从以下的后台可视化数据统计中能看到18日时黑产发起的验证请求量达到最高峰。从验证交互量与验证成功量可以分析出尽管此时验证码图片答案校验、POW和IP限制等策略已经生效,虽然请求量级持续下降,但是黑产仍未放弃攻击。

当客户将极验行为验证与业务规则结合后,凡是被CT命中过的IP均无法进入验证交互流程,尽管黑产多次更换IP,但是因反复尝试后均无法进入验证交互流程最终放弃了攻击。3月1日起,收到的验证请求次数恢复了正常水平。经计算,当日验证请求数较18日黑产攻击最高峰时减少了93.7%

为什么验证码防不住所有黑产?

如果不共享业务数据,还有什么办法提高防御效果呢?

既然黑产使用了多样化的攻击手段和工具,我们也可以运用多种产品能力解决。例如极验最新推出的业务规则决策引擎能力,可以直接在业务层面进行业务风控。将行为验证能力和业务规则决策引擎能力搭建成一个全新的解决方案,可以更科学、更精准、更高效实现黑产对抗。

结语

历经十二年与黑产对抗的实战经验,极验总结出面对复杂多变的黑产攻击,技术方和业务方应该合作应对。双方的合作不仅是应急之策,还需要在策略上不断进行更新升级。未来,极验将继续探索创新的安全防护策略,帮助企业实时应对新型的黑产威胁。

立即注册试用:「链接」

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/97821.html

(0)
上一篇 2024年 12月 16日 下午4:15
下一篇 2024年 12月 16日 下午4:55

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们YX

mu99908888

在线咨询: 微信交谈

邮件:itzsgw@126.com

工作时间:时刻准备着!

关注微信