2022年6月,顶象防御云业务安全情报中心监测到,某NFT平台促销活动中同时遭遇“刷量”和“薅羊毛”双重业务欺诈。

基于编号为BSI-2022-140和BSI-2022-143的两份业务安全情报显示:黑灰产首先为不符合标准的NFT平台用户做刷榜刷量推广,帮助其快速获得平台奖励。然后利用刷量的账号,哄抢NFT平台发行的数字藏品,再通过社群论坛低价转售。由此给该NFT平台造成数千万元的经济损失。

NFT是什么?有什么价值?

NFT的全称是Non-Fungible Tokens,常翻译为“非同质化通证”。最早诞生于2017年区块链游戏“加密猫”,本质上是基于数字货币的智能合约。作为区块链的一个条目,在区款链的技术和相关协议下,NFT拥有唯一编码,有加密性、唯一性等独特性。

在物理世界里的一幅作品、一张照片、一个视频,创作者只能赠予或售卖一次。后续再有二次、三次甚至多次的交易都与创作者无关。但NFT世界里的作品,可以根据创作者的需求,自定义作品的数量。无论创作的是文字、音乐、视频、图片还是绘画,都可以通过NFT平台进行铸造交易。所谓铸造就是把作品进区块链加密,使之成为独一无二的、特定资产的所有权。

2021年是NFT大火的一年,被大家广为所知是在2021年。这一年的9月,杭州2022年亚运会发布了限量20000份的 NFT “数字火炬”。在短短几天后,数字火炬的身价直接翻了几百倍。

东方证券一项数据显示,2021年1月至8月,OpenSea(全球最大 NFT 交易平台)的NFT交易金额超过10亿美元,占全球NFT交易规模的98.3%。而在2020年,该平台的交易额不足2000万美元。

NFT的应用场景很多,艺术作品、收藏品、时尚娱乐、游戏内物品,还有体育竞技、身份验证、保险、电子门票等,但是最广为人知的是数字艺术和游戏。每件艺术品都可以通过NFT的形式呈现,不仅保护版权,更可以验证购买艺术品的真实性。在元宇宙加持下的游戏,能够通过NFT记录玩家在游戏内物武器、装备、角色等,确保物品交换、交易、获取时的真实性。同时,NFT良好实现了实物的数字资产化,对数字艺术更好的定价与流通。

国内希望NFT作为一种去金融化的数字藏品,仅保留其收藏功能,禁止二次交易。2022年4月,中国互联网金融协会、中国银行业协会、中国证券业协会联合发布了《关于防范NFT相关金融风险的倡议》,对 NFT 所具有的价值和潜力做出了肯定,表明协会推动NFT向合规化发展的愿景。同时明确防范金融风险仍是NFT监管的重点,杜绝 NFT 金融化证券化的倾向。

NFT平台活动,黑灰产“一鱼两吃”

某NFT平台与多个名家合作数字藏品,很多作品是创世首发,藏品未来升值空间较大。为了扩大藏家规模,提升平台知名度,该平台开启新一轮推广活动,达到推广任务量或吸引到 一定新注册的用户,就能够获得三重奖励:一重奖励是增加免费抽奖的次数,可以免费领取限量首发的数字藏品;二重奖励能够获取珍贵藏品创世首发的优先购买权;三重奖励能够获得合作电商平台、店铺等的无门槛代金券,购买数字藏品时可直接抵扣。

为了快速达到推广量,一部分用户通过电商、论坛、IM等方式主动联系到黑灰产,付费帮助其伪造投票量和新用户注册量,然后领取NFT平台的奖励。

在为部分NFT平台用户提供刷榜刷量、作弊推广、赚取服务费的过程中,黑灰产迅速熟悉了该平台的各项规则,同时发现该NFT领域平台活动防护门槛较低,营销反作弊意识薄弱,未部署专业的业务安全体系,可以说近乎裸奔。

于是,黑灰产借机注册大量虚假账号,哄抢平台上首发、稀缺、珍贵的数字藏品。然后通过电商平台折价出售。

不同场景不用手法,黑灰产几种欺诈手段

顶象防御云业务安全情报中心分析发现,黑灰产在NFT平台不同场景下采用了不同技术工具。

在注册场景:黑灰产通过接码平台、打码平台、代理IP、脚本软件等作弊工具,实现批量自动化账号注册。

在投票场景:黑灰产使用“秒拨”客户端软件,进行简单配置后,就可以实现自动变换IP地址,以规避平台的IP频次限制安全策略,实现对某一选项的海量投票刷榜。

在交易场景:黑灰产通过群控软件,操控大量账号,短时间内完成指定商品的抢购。

黑灰产半夜最疯狂,IP代理地址很集中

基于黑灰产活动信息,顶象防御云业务安全情报中心分析发现:黑灰产在深夜0点至早上6点活动频繁,尤其深夜异常活跃。

基于NFT平台验证请求的活跃IP数据分析发现,黑灰产主要使用河北衡水、江苏扬州、吉林通化、江苏泰州等地代理IP地址。同时,发现大量登录账号拖动轨迹明显异常,且使用模拟器特征。

顶象防御云业务安全情报中心分析,NFT平台被访问页面的来源IP地址聚集特征明显,多数IP地址被识别为“秒拨IP”。

顶象防御云业务安全情报中心还发现,黑灰产访问频次聚集明显,单个设备24小时内内访问频次高达51.8万次,是非常明显的机刷行为。

此外,顶象防御云业务安全情报中心统计显示,绝大部分请求来源href为本地搭建工具:http://localhost/xxxx/xx/。

防御云的防控建议

基于NFT行业特征以及风险态势分析,顶象防御云业务安全情报中心建议NFT平台在事前防御、事中识别、事后处置的安全体系,以有效防各类欺诈行为,保障业务健康运行。

事前全链路防控

保障客户端安全:NFT平台的APP和网页,可以分别部署端加固及H5混淆防护,以保障客户端安全。

提前环境检测安全:客户端集成安全SDK以后,定期对App的运行环境进行检测,检查是否有代码注入、hook、模拟器、云手机、调试、代理、VPN、root、越狱等风险。

保障通讯传输安全:业务的通信传输中,黑灰产可能会篡改通信报文中的一些数据,通过对前端SDK进行加固,在通讯链路采用国密算法进行加密,防止终端安全检测模块的数据被篡改和冒用。

事中风险识别和拦截

多场景下人机安全验证:在注册、登录、抽奖、抢购等业务场景下部署顶象无感验证,有效识别机器行为,拦截垃圾注册、批量登录。

结合手机号黑名单识别注册登录风险:黑灰产会使用虚拟号段、连号手机号以及没有任何号段特征的黑产小号来注册,通过风险手机号有效识别风险号码。

结合IP黑名单识别刷票风险:黑灰产刷票时,会采用IP代理池进行“机刷”,IP风险库能够有效识别恶意IP地址。

结合决策引擎实现实时防控:接入实时决引擎,基于业务数据和风险数据,制定不同安全策略,快速有效识别并拦截注册、登录、抢购等场景欺诈行为及营销作弊行为。其中风控维度建议:

1、设备终端运行环境:设备指纹ID是否合法、端是否有注入、调试、模拟器、VPN、代理等特征,通常营销作弊设备大多具备以上特征。
2、多场景行为检测:设备使用限制,如限制多账号使用同一设备注册,多账号使用同一设备登录、账号对应的设备经常变化、IP短时间高频访问等行为维度检测。
3、风险库名单:基于风控数据、历史打卡数据,沉淀并维护对应黑白名单数据,包括用户ID、手机号、设备黑名单等。
4、外部数据服务:对接手机号风险评分、IP风险库等;
5、数据模型:业务据有一定积累以后,通过风控数据以及业务的沉淀数据,对用户行为进行建模,模型的输出可以直接在风控策略中使用。

事后风险处置

根据业务实际需求,顶象防御云业务安全情报中心提供两种处置建议。

1、风险数据打标。注册、登录场景识别风险后先不实时反馈结果给用户,先沉淀风险名单,供抽奖、抢购场景调用。如在抽奖场景将风险名单设置为黑名单,给用户返回未抽中,或直接发价值不高的普惠奖。

2、线上实时反馈。对识别为风险的请求进行实时拦截,直接显示请求成功或者失败,恶意行为用户直接冻结账号。

基于处置建议,顶象防御云业务安全情报中心提供两个技术解决方案。

1、顶设备指纹+决策引擎:设备指纹可以针对端上风险进行识别,例如注入、模拟器、调试等,配合决策引擎使用,可以实时发现风险并给予处置。

2、业务安全感知(移动版):安全感知可以识别发现移动端风险,不仅可以覆盖设备指纹产品发现的风险,而且无需决策引擎,可以直接对移动端风险进行处置,但与设备指纹+决策引擎组合的区别在于安全感知无法使用业务字段,只防控移动端层面风险。

业务安全情报中心是顶象防御云的集成服务。顶象防御云集成业务感知防御平台、验证码、设备指纹和端加固等产品,以及业务安全情报、云策略等服务,拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案,具有情报、感知、分析、策略、防护、处置的能力,提供模块化配置和弹性扩容,助企业快速、高效、低成本构建自主可控的业务安全体系。

标签智能推荐:

风控要略:互联网业务反欺诈之路》一万字读后详细总结

取名“新的战场”,应是作者对未来风控的一个展望与关注。这部分内容主要包括物联网时代的风控、内容安全与合规、风控与数据合规使用与海外风控公司介绍。内容与数据安全方面,更多是从数据规范化方面阐述,整体比较枯燥,可以理解成,风控领域已经从野蛮生长进入到一个合法合规的时代,在这样一种大环境下,更需要注重法律规范。物联网风控方面的阐述,作者似乎在预测着风控时代一个更大市场规模的出现,物联网打通虚拟和现实世界

阿里安全图灵实验室再次刷新世界顶级算法比赛成绩

于计算机视觉、自然语言处理、机器学习和深度学习等领域的技术研发,已先后申请了50多项专利,并多次在国际权威评测中刷新世界纪录(今年3月,在ICDAR2017CompetitiononMulti-lingualscenetextdetection(MLT)自然场景多语言文本检测竞赛中就已经刷新了世界最佳成绩内容安全 阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部

黑灰产眼中的NFT:平台嗷嗷待宰,用户送钱上门

顶象防御云业务安全情报中心提供两个技术解决方案。1、顶设备指纹+决策引擎:设备指纹可以针对端上风险进行识别,例如注入、模拟器、调试等,配合决策引擎使用,可以实时发现风险并给予处置。2、业务安全感知(移动版):安全感知可以识别发现移动端风险,不仅可以覆盖设备指纹产品发现的风险,而且无需决策引擎,可以直接对移动端风险进行处置,但与设备指纹+决策引擎组合的区别在于安全感知无法使用业务字段,只防控移动端层

浅谈电商系统的风控设计

风控,即风险控制,存在于各行各业中。作为一个风控方面的门外汉,风控在我心里的位置却是极其重要的,对于电商系统,我会把风控放在命门的位置上,也就是没有一定的风控能力,整个系统将岌岌可危,我甚至觉得没有上线的必要,反正迟早都要被搞垮。我这么觉得是因为知道有大量黑灰产、羊毛党的存在,这些人已不是单打独斗的形式,早就与时俱进地团队作战了。如果系统不针对这些人的行为进行防范,随时有可能因为被恶意使用而导致系

入职新公司2020年9月

国内出行领域头部公司,在新公司主要做风控相关的工作,与之前的营销有关系(我之前会调用风控接口),但是关系不大。对自己来说是个新的挑战。感觉之前的营销工作属于轻业务形式,可能也是偏向于C端的缘故,一直想找一个重业务的系统,对自己能有一些业务上的积累,对自己今后的发展也会有好处,毕竟如果业务相符,对自己的加成还是很高的。先写这么多,有挺多要写的,晚上再来~~~

如何帮助金融客户“用好云”?

理者面前核心问题。以往华泰证券都是基于运维视角定义运营指挥中心,对业务发展缺乏系统认识与支撑;而如今基于阿里云混合云共建“数字华泰”运营指挥中心,实现了以业务为视角,重新梳理业务和场景,建立业务、技术团队协同流程与机制,通过业务与信息流融合与共享,使管理者全面掌握业务运行态势;通过监测预警、运营分析、指挥调度,实现超过14个业务场景构建与支撑、6条业务链路梳理与落地,1000+核心业务指标采集与分

NTP网络时间服务器助力金融网络系统安全

也是重要的信息泄露点,因此对终端电脑的安全管控必须向金融机构的强度对标,但手段上可以不同。这里涉及到DLP、终端杀毒防木马、BYOD、邮件、上网行为管理、准入、透明加密等多方面内容,不再一一解释。(4)业务安全在业务安全上,根据不同的业务特点会有不同的风险。刷库和倒卖是征信业务特有的风险,而账户安全则是所有业务都关心的风险,信贷风控又属于信贷类风险。我想表达的是,安全一直以来受重视程度不足,究其原

京东618:Docker扛大旗,弹性伸缩成重点 (2015-06-23)

性调度,一是Web类应用,二是接入内部SOA框架的服务程序。大规模容器的自动化智能调度,我们仍在进一步做研究与开发。Q:目前主要有哪些业务使用了Docker?业务的选择方面有什么建议? 刘海锋:目前有1000个应用已经接入弹性云,涵盖京东各个业务线,包括很多核心应用。目前我们主要支持计算类业务,存储类应用主要应用到了缓存。数据库云服务也将通过Docker进行部署和管理。特别强调的是,业务

极客时间每日一课(十八)

计细节日志故障平台通用技术方案19-05-27(06-03补)新微视短视频之路上的技术挑战及应对_钟雨业务背景,一件事情无法评估就无法优化监控系统架构,质量数据化播放器架构,音量均衡背景工程落地:跨平台通用转码方案,音量均衡:整体效果模型选定,模型参数训练过程,终端机器学习方案19-05-28(06-03补)Flutter&Dart全栈开发_陈新新Flutter快速开发——HotReloa

数据资产管理实践纲要

基础,根据业务条线、业务事项、业务流程、业务场景的需要,设计的面向业务实现的数据模型。物理模型:是一种面向计算机物理表示的模型,描述了数据在储存人质上的组织结构。数据模型管理是指在信息系统设计时,参考业务模型,使用标准化用语、单词等数据要素来设计企业数据模型,并在信息系统建设和运行维护过程中,严格按照数据模型管理制度,审核和管理新建数据模型,数据模型的标准化管理和统一管控,有利于指导企业数据整合,