Skip to content

账户安全

通用风险分析

洗号

利用"判断用户是否存在接口",通过市面上的泄漏信息或通过用户名规则构造获取系统真实用户信息。获取到用户信息后可以进行暴力破解或者进行钓鱼攻击。

炸弹攻击

  • 短信炸弹:短信成本;用户投诉后对企业信誉的影响。
  • 邮件炸弹:降低发件邮箱的信誉度(很难上涨)。

功能模块风险

注册风险分析

  • 垃圾/批量注册:通过程序或人力注册大量的非活跃用户,这些用户不能给企业带来收益,却在一定程度上增加了企业的运营成本。除此之外,这些用户可能给用户带来部分收益,比如:活动优惠、刷单等等。

登录风险分析

  • 暴力破解:通过洗号获取用户信息,采用字典的形式对用户的密码进行暴力猜解。
  • 恶意锁定:密码错误多次后锁定账户,需要通过人工手段解锁。

找回密码风险分析

  • 找回密码逻辑漏洞

修改信息风险分析

修改信息包括:修改密码、修改手机号、修改其它信息

  • 修改信息逻辑漏洞

实名认证风险分析

  • 仅进行姓名域身份证号核对:最基础的认证手段,由于大量的身份信息泄漏,此种验证已经不具备什么意义了。
  • 身份证图片上次核对:单一上次身份证照片没有什么大用,反而容易造成图片信息泄漏。需要通过其它辅助手段来验证图片的真实性。
  • 银行卡绑定核对:相对而言安全等级较高,但是目前黑市上有成套的用户信息出售,包括:身份证、银行卡、照片等信息。
  • 人脸识别核对:人脸识别精度较低;利用修图技术绕过人脸识别;相像的人可以绕过人脸识别。

账户安全对抗措施

IP纬度对抗

代理IP

  • 利用爬虫获取互联网上的代理IP,形成黑名单库;规则非常有效、精准率高、系统消耗低。
  • 反向探测IP的端口开放情况,代理的常用端口是80和8080,如果对应IP开启了这些端口,可能是不正常的,一个家用IP地址普通情况下是不会开放这些端口的。
  • 看HTTP的XFF,这个字段只有在使用了HTTP代理时才会添加。
  • 查看源端口,通过经验判断,大于10000的源端口只有两种情况,不是代理就是大型机构。
  • 看keep-alive,带有Proxy-Connection;Keep-Alive的报文,毫无疑问是代理。

恶意IP

  • 来自于业务产生,如果某IP曾经作恶,那么安全有理由认为它下次还可能继续作恶,这种IP要带标签观察。
  • 高危区域,根据历史和行业数据来看,安溪、龙岩、莆田、泉州、电白、宾阳等,这些地方的IP先打上标签。
  • 威胁情报,通过购买获得,知道IP最近是否有木马病毒,黑客攻击行为。这部分恶意IP需要数据新鲜,因为IP变化非常快。

IP的其它属性

  • 一个to c的业务,访问IP来自IDC或者云服务器,这是不正常的。

持续更新~~~

验证码纬度对抗

对抗小号与接码平台

  • 接码平台手机号库:通过爬虫爬取各大接码平台的手机号码,形成黑名单库,凡是命中,一律加标签。

备注:爬不全,而且接码平台也会有很多对抗爬虫的技术。

通过获取手机权限进行二次验证

  • 针对金融行业,可以爬取你的运营商网上营业厅信息,如:爬取通话记录。

备注:合规调整;运营商也具有反爬措施;影响用户体验。

合作数据验证

  • 与运营商合作,难度很大。
  • 第三方购买。

语音验证码提高难度

  • 一定程度避免了验证码泄漏,但是大规模的语音通告会形成昂贵的费用。

人机识别提高门槛

进行人机识别更多是为了防止批量行为,一般这种批量行为都是由特殊接口、特定工具进行的。所以我们需要对工具的运行模式进行分析,才能不断对抗。

手机模拟器

  • 设备MAC、型号。

虚拟机

  • 虚拟机网卡一般以000569、000c29、005056开头。
  • USB和声卡特征。
  • 内存、进程、服务、注册表等。

其它方式

  • 两次登录时间和距离的异常。
  • 无法正常获取设备信息。

坏账户识别

这里的账户一般由:手机号、邮箱、QQ等所代表。

账户信息是否被标记过

  • 类似手机号被举报次数过多、第三方平台标记。

账户信息是否有特殊含义

  • test、hacker、admin0、pentest、attack、杂乱无序的随机字符、有规则的随机字符等。

用户行为分析(UEBA)

常见的行为有如下:

  • 键盘敲击频率
  • 鼠标移动速度与轨迹:针对Web
  • HTTP Referer
  • 屏幕触摸对压力:针对APP
  • 点击位置

持续补充~~~

场景分析-撞库

最简单的方法是看IP和账号的频率,但是黑客也会利用代理IP池或降低撞库的频率,所以单单从IP与账号频率,只能启到一定的作用。

想要更好的防护,需要通过更多的行为来判断,行为分析取决于你能够获得的行为数据有多少。比如设备指纹在这里就大有用武之地,通过抓取用户设备信息,形成一个画像作为基线。当环境产生变化而不可信时,推出二次校验等挑战,另外也可以通过页面点击流、击键行为来做判断。

目前来看,通过行为判断的防盗号,或者说对可信环境判断的防盗号,是一个比较综合的手段。

场景分析-坏账户本身行为分析

  • 账户信息是否完整:在金融体系中,账户是需要实名的,如果实名认证未通过,则代表可能存在信息虚假。
  • 账户的活动情况:注册以后是否有登录过,是否有过正常操作,如果注册后从而登录过,某一天(这天搞活动)突然登录可能是异常的。

参考资料