关于网络安全:黑灰产眼中的NFT平台嗷嗷待宰用户送钱上门

45次阅读

共计 3498 个字符,预计需要花费 9 分钟才能阅读完成。

2022 年 6 月,顶象进攻云业务平安情报中心监测到,某 NFT 平台促销流动中同时遭逢“刷量”和“薅羊毛”双重业务欺诈。
 
基于编号为 BSI-2022-140 和 BSI-2022-143 的两份业务平安情报显示:黑灰产首先为不符合标准的 NFT 平台用户做刷榜刷量推广,帮忙其疾速取得平台处分。而后利用刷量的账号,哄抢 NFT 平台发行的数字藏品,再通过社群论坛高价转售。由此给该 NFT 平台造成数千万元的经济损失。

NFT 是什么?有什么价值?

NFT 的全称是 Non-Fungible Tokens,常翻译为“非同质化通证”。最早诞生于 2017 年区块链游戏“加密猫”,实质上是基于数字货币的智能合约。作为区块链的一个条目,在区款链的技术和相干协定下,NFT 领有惟一编码,有加密性、唯一性等独特性。

在物理世界里的一幅作品、一张照片、一个视频,创作者只能赠予或售卖一次。后续再有二次、三次甚至屡次的交易都与创作者无关。但 NFT 世界里的作品,能够依据创作者的需要,自定义作品的数量。无论创作的是文字、音乐、视频、图片还是绘画,都能够通过 NFT 平台进行铸造交易。所谓铸造就是把作品进区块链加密,使之成为举世无双的、特定资产的所有权。

2021 年是 NFT 大火的一年,被大家广为所知是在 2021 年。这一年的 9 月,杭州 2022 年亚运会公布了限量 20000 份的 NFT“数字火炬”。在短短几天后,数字火炬的身价间接翻了几百倍。

西方证券一项数据显示,2021 年 1 月至 8 月,OpenSea(寰球最大 NFT 交易平台)的 NFT 交易金额超过 10 亿美元,占寰球 NFT 交易规模的 98.3%。而在 2020 年,该平台的交易额有余 2000 万美元。

NFT 的利用场景很多,艺术作品、收藏品、时尚娱乐、游戏内物品,还有体育竞技、身份验证、保险、电子门票等,然而最广为人知的是数字艺术和游戏。每件艺术品都能够通过 NFT 的模式出现,不仅爱护版权,更能够验证购买艺术品的真实性。在元宇宙加持下的游戏,可能通过 NFT 记录玩家在游戏内物武器、配备、角色等,确保物品替换、交易、获取时的真实性。同时,NFT 良好实现了实物的数字资产化,对数字艺术更好的定价与流通。

国内心愿 NFT 作为一种去金融化的数字藏品,仅保留其珍藏性能,禁止二次交易。2022 年 4 月,中国互联网金融协会、中国银行业协会、中国证券业协会联结公布了《对于防备 NFT 相干金融风险的倡导》,对 NFT 所具备的价值和后劲做出了必定,表明协会推动 NFT 向合规化发展的愿景。同时明确防备金融风险仍是 NFT 监管的重点,杜绝 NFT 金融化证券化的偏向。

NFT 平台流动,黑灰产“一鱼两吃”

某 NFT 平台与多个名家单干数字藏品,很多作品是创世首发,藏品将来贬值空间较大。为了扩充藏家规模,晋升平台知名度,该平台开启新一轮推广流动,达到推广任务量或吸引到 肯定新注册的用户,就可能取得三重处分:一重处分是减少收费抽奖的次数,能够收费支付限量首发的数字藏品;二重处分可能获取宝贵藏品创世首发的优先购买权;三重处分可能取得单干电商平台、店铺等的无门槛代金券,购买数字藏品时可间接抵扣。

为了疾速达到推广量,一部分用户通过电商、论坛、IM 等形式被动分割到黑灰产,付费帮忙其伪造投票量和新用户注册量,而后支付 NFT 平台的处分。在为局部 NFT 平台用户提供刷榜刷量、舞弊推广、赚取服务费的过程中,黑灰产迅速相熟了该平台的各项规定,同时发现该 NFT 畛域平台流动防护门槛较低,营销反作弊意识单薄,未部署业余的业务平安体系,能够说近乎裸奔。
于是,黑灰产借机注册大量虚伪账号,哄抢平台上首发、稀缺、宝贵的数字藏品。而后通过电商平台折价出售。

不同场景不必手法,黑灰产几种欺诈伎俩

顶象进攻云业务平安情报中心剖析发现,黑灰产在 NFT 平台不同场景下采纳了不同技术工具。

在注册场景: 黑灰产通过接码平台、打码平台、代理 IP、脚本软件等舞弊工具,实现批量自动化账号注册。

在投票场景: 黑灰产应用“秒拨”客户端软件,进行简略配置后,就能够实现主动变换 IP 地址,以躲避平台的 IP 频次限度安全策略,实现对某一选项的海量投票刷榜。

在交易场景: 黑灰产通过群控软件,操控大量账号,短时间内实现指定商品的抢购。

黑灰产中午最疯狂,IP 代理地址很集中

基于黑灰产流动信息,顶象进攻云业务平安情报中心剖析发现:黑灰产在深夜 0 点至早上 6 点流动频繁,尤其深夜异样沉闷。

基于 NFT 平台验证申请的沉闷 IP 数据分析发现,黑灰产次要应用河北衡水、江苏扬州、吉林通化、江苏泰州等地代理 IP 地址。同时,发现大量登录账号拖动轨迹显著异样,且应用模拟器特色。

顶象进攻云业务平安情报中心剖析,NFT 平台被拜访页面的起源 IP 地址汇集特色显著,少数 IP 地址被辨认为“秒拨 IP”。

顶象进攻云业务平安情报中心还发现,黑灰产拜访频次汇集显著,单个设施 24 小时内内拜访频次高达 51.8 万次,是非常明显的机刷行为。

此外,顶象进攻云业务平安情报中心统计显示,绝大部分申请起源 href 为本地搭建工具:http://localhost/xxxx/xx/。

进攻云的防控倡议

基于 NFT 行业特色以及危险态势剖析,顶象进攻云业务平安情报中心倡议 NFT 平台在事先进攻、事中辨认、预先处理的平安体系,以无效防各类欺诈行为,保障业务衰弱运行。

事先全链路防控 

保障客户端平安:NFT 平台的 APP 和网页,能够别离部署端加固及 H5 混同防护,以保障客户端平安。

提前环境检测平安: 客户端集成平安 SDK 当前,定期对 App 的运行环境进行检测,查看是否有代码注入、hook、模拟器、云手机、调试、代理、VPN、root、越狱等危险。

保障通信传输平安: 业务的通信传输中,黑灰产可能会篡改通信报文中的一些数据,通过对前端 SDK 进行加固,在通信链路采纳国密算法进行加密,避免终端平安检测模块的数据被篡改和冒用。

事中危险辨认和拦挡 

多场景下人机平安验证: 在注册、登录、抽奖、抢购等业务场景下部署顶象无感验证,无效辨认机器行为,拦挡垃圾注册、批量登录。

联合手机号黑名单辨认注册登录危险: 黑灰产会应用虚构号段、连号手机号以及没有任何号段特色的黑产小号来注册,通过危险手机号无效辨认危险号码。

联合 IP 黑名单辨认刷票危险: 黑灰产刷票时,会采纳 IP 代理池进行“机刷”,IP 危险库可能无效辨认歹意 IP 地址。

联合决策引擎实现实时防控: 接入实时决引擎,基于业务数据和危险数据,制订不同安全策略,疾速无效辨认并拦挡注册、登录、抢购等场景欺诈行为及营销舞弊行为。 其中风控维度倡议: 

1、设施终端运行环境:设施指纹 ID 是否非法、端是否有注入、调试、模拟器、VPN、代理等特色,通常营销舞弊设施大多具备以上特色。
2、多场景行为检测:设施应用限度,如限度多账号应用同一设施注册,多账号应用同一设施登录、账号对应的设施常常变动、IP 短时间高频拜访等行为维度检测。
3、危险库名单:基于风控数据、历史打卡数据,积淀并保护对应黑白名单数据,包含用户 ID、手机号、设施黑名单等。
4、内部数据服务:对接手机号危险评分、IP 危险库等;
5、数据模型:业务据有肯定积攒当前,通过风控数据以及业务的积淀数据,对用户行为进行建模,模型的输入能够间接在风控策略中应用。

预先危险处理 

依据业务理论需要,顶象进攻云业务平安情报中心提供两种处理倡议。

1、危险数据打标。注册、登录场景辨认危险后先不实时反馈后果给用户,先积淀危险名单,供抽奖、抢购场景调用。如在抽奖场景将危险名单设置为黑名单,给用户返回未抽中,或间接发价值不高的普惠奖。

2、线上实时反馈。对辨认为危险的申请进行实时拦挡,间接显示申请胜利或者失败,歹意行为用户间接解冻账号。

基于处理倡议,顶象进攻云业务平安情报中心提供两个技术解决方案。
 
1、顶设施指纹 + 决策引擎:设施指纹能够针对端上危险进行辨认,例如注入、模拟器、调试等,配合决策引擎应用,能够实时发现危险并给予处理。

2、业务平安感知(挪动版):平安感知能够辨认发现挪动端危险,不仅能够笼罩设施指纹产品发现的危险,而且无需决策引擎,能够间接对挪动端危险进行处理,但与设施指纹 + 决策引擎组合的区别在于平安感知无奈应用业务字段,只防控挪动端层面危险。

业务平安情报中心是顶象进攻云的集成服务。顶象进攻星散成业务感知进攻平台、验证码、设施指纹和端加固等产品,以及业务平安情报、云策略等服务,领有丰盛的技术工具、数万个安全策略及数百个业务场景解决方案,具备情报、感知、剖析、策略、防护、处理的能力,提供模块化配置和弹性扩容,助企业疾速、高效、低成本构建自主可控的业务平安体系。

正文完
 0