近日,由ZJCERT主办、挖财安全应急响应中心承办、美丽联合SRC、长亭科技、网易云易盾协办的主题为“反欺诈”的安全沙龙在杭州互联网金融大厦6F成功举办。
首先,由挖财安全部安全攻防负责人黄龙玉致开场词,介绍本次安全沙龙的主题内容和背景情况,并确定主要围绕如下四个方面展开:
· ⭐️行业欺诈案例讨论
· ⭐️业务层反欺诈探讨
· ⭐️技术层反欺诈探讨
· ⭐️反欺诈建设经验交流
然后,邀请杭州企业安全沙龙主办方ZJCERT致欢迎辞,并介绍了本次沙龙活动的宗旨和目的:提供一个权威、开放、包容、紧跟行业发展需求的平台,一方面各单位和企业交流当前遇到的不同欺诈现象和手段,另一方展示各家单位成熟有效的欺诈识别经验和反欺诈模型的建设经验,使得行业内信息能更好地互通,或者从优秀的解决案例及方法中探讨可相互借鉴的手段,提升对新型欺诈的敏感程度和识别效率,将反欺诈的实战能力推向更高的层次!
互联网金融风险识别专家们首先分享了金融领域常见的欺诈手段和现有的防护模型机制,比如骗贷、恶意刷信用值、多头借贷等现象,对于不同身份特质的人识别不同的风险类型,利用生活轨迹的合理性,社交数据与金融数据相关联或者采用同第三方合作的方式建立更完善的身份信息识别机制,同时能快速学习迭代,更新反欺诈模型,从而达到全面防护的目的。
很多电商企业都存在拼团活动恶意刷单薅羊毛、网络上未实名认证手机号码带来的风险恶意注册等,如何平衡业务发展需要和安全的平衡关系是很多企业都面临的问题。与第三方单位建立数据联合分析的机制的同时,如果确保数据的及时更新及有效性,也是需要长期关注的话题。
美丽联合集团信息安全负责人bre4k分享了一个关于拼团活动恶意刷单的新型欺诈行为识别思路,通过对收货地址关键字范围的准确识别,迅速摸清了该恶意行为的主要操作套路。同时很多企业面临的短信(邮件)轰炸问题,可以从恶意消耗短信费用、用户疲劳度控制、注册手机号码遍历从而获取注册信息等多方面考虑分析,需求方、研发人员、安全人员都需要关注。
无论是互联网金融机构还是电商企业,对现有用户常用设备指纹的识别具有非常大的参考意义,通过合法的方式识别不同的协议栈及网络特征,采集并追踪设备的指纹,并用先进的数据模型分析其特性,就能更准确识别和关联设备,并可得出准确的用户画像及关系图谱,实现线上欺诈行为的识别和预警。
总体看来,各企业对于内部反欺诈系统的建立都有成熟、可靠的的模型,同时在新风险识别上也有新颖智能的机制,我们还是要不断更新反欺诈知识体系,持续地对未来欺诈的风险趋势进行分析和评估,脚踏实地走出一条逐渐递进的安全规范过程。
最后,ZJCERT 对本次沙龙做了会议总结,互联网企业、电商企业等在应对处理网络犯罪方面之间应加强协作关系,对于触犯底线的互联网安全问题,各企业需要建立合作平台,共同给予打击,并提供了网络安全威胁的举报机制,利用法律、法规和技术实力共同助力行业业务合规和安全向前发展!