業務安全與風控

帳號安全
注冊
賬號安全要從源頭抓起，對抗垃圾注冊的手段一般包括：

圖片驗證碼
郵件驗證碼
短信驗證碼
語音驗證碼
電話語音驗證碼
逆向的協議如果經常變化或者復雜程度較高就會成為黑產的門檻，甲方安全團隊應持有各種社工庫，並隨時更新，在用戶注冊時比對社工庫內容，如個人注冊信息相同，做出風險提示或者強制修改密碼

登錄
登錄環節的問題包括：撞庫、暴力破解、盜號登錄、非常用設備登錄、黑產小號和僵屍號登錄等

使用風控系統對比用戶畫像檢測登錄地域來源、IP 屬性、可信設備、登錄頻率、代理使用習慣等從而推送不同復雜等級的驗證碼或開啟多因素認證。或根據離線數據，即一段時間內的請求（行為）異常，以及其他業務風控子系統判斷的行為異常，再調用風控的接口推送二次認證要求做人機識別

 

 

 

對於大規模的掃號、暴力破解，除了依賴於機器規則外，還應准備手工策略和應急預案。風控服務依賴很多數據，例如設備指紋、IP 信譽庫、黑產手機號等

密保/密碼找回
首先平台應提供多種密碼保護手段，應確保平台的密碼找回/密碼重置等功能不存在邏輯漏洞可以被繞過，或發生過度信息披露。賬戶展現本身不應該存在可以被爬蟲抓取聚合后用於撞庫或暴力破解的信息

在認證設備之間提供異地登錄提醒、異常登錄提醒、破解賬號提醒。對密碼找回業務進行人機識別，防止批量找回、密碼重置等接口的機器行為

多因素認證
重要的操作，例如密碼找回、密碼重置、證書安裝，必須使用雙因素認證或多因素認證（MFA）

多設備登錄
多設備同時登錄時應支持交叉認證，同時保證同平台不能“串號”

賬號共享體系
絕大多數互聯網平台都采用 SSO 的賬號共享體系，在開放平台業務上使用 Oauth 、Openid 等聯合認證協議。一方面 Oauth 等協議坑比較多，非常容易出問題，另一方面內部在對賬戶數據的使用上也容易不遵守規范，過度共享和濫用賬戶數據，這些都需要在相關的應用安全開發標准中約束

大型平台一般有很多應用，憑借一個登錄 token 直接無障礙登錄所有子應用在安全上並不是一個好的設計，一旦被XSS盜取token就相當於全線潰防。所以在功能和應用入口比較多的平台，會對業務划權重，分類分級，涉及個人認證信息、個人隱私、支付類的一般屬於高級 Web 安全域，信息發布類的歸入一般 Web 域。對高安全域的應用，登錄除了 SSO token 之外，引入第一層認證的 secure token，黑客光有一個 token 登錄不了重要應用，只有兩個 token 齊備才可以繼續登錄

 

 

 

電商類
惡意下單
高峰時段下單使用驗證碼，下單后一段時間不付款訂單自動失效，限制下單頻率，有風控數據源可以對惡意賬戶進行標記，凍結下單

黃牛搶單
對於惡意養號，風控系統一般會根據小號、僵屍號平時的行為與正常賬戶的區別標注、登錄的途徑、登錄地域、登錄設備指紋、收貨地址來分類標記，搶購開始前就能在賬號層面凍結掉

在活動開啟前如果搶單程序是針對既有頁面邏輯的，可以臨時更換業務邏輯使搶單程序失效。在搶購過程會使用驗證碼做人機識別

刷優惠券和獎勵
首先要在賬號層面根據大數據標記賬戶惡意灰度，其次優惠券跟賬號綁定，無法流通和交易。跟網游中的經濟體系數值類似，建立階梯模型，給優質賬戶高額回饋，給低信譽賬戶小額優惠

反價格爬蟲
價格爬蟲主要是競爭對手比價。但凡是爬蟲就有爬蟲的特征，比如爬蟲所在的 IP 段，同時爬蟲不是正常的瀏覽器，可能不會解析 Javascript，缺少正常的瀏覽器客戶端行為和通信，所以通過這個做人機識別跟 DDoS 中的 CC 攻擊有點類似

反欺詐
根據賬戶注冊信息的真實性、登錄設備的真實性、綁卡異常、賬號異常，結合自有或第三方歷史征信數據綜合判斷欺詐的可能性。依賴於大數據的反欺詐對數據源的要求比較高，絕大多數中小企業自建數據源不太具有可行性，初期還應該依仗大平台開放的基礎數據能力做定制分析，並逐步積累自己的業務數據，等自身業務數據積累到一定規模時再考慮自建風控機制

信息泄露
信息泄露有幾大來源，撞庫、用戶信息過度展現和披露、開放平台API濫用、供應鏈上下游信息泄露

交易風控
交易風控依賴於幾個方面：

賬戶安全
客戶端安全
反釣魚
反木馬
認證機制
證書 PKI
令牌
多因素認證
風險評估
賬戶歷史行為
賬戶歷史征信數據
交易和賬戶異常
漏洞模型篩選，機器規則+人工審核
網游類
客戶端——對於 flash 等瘦客戶端最主要的技術是代碼混淆，用於對抗反編譯后逆向游戲的邏輯和網絡協議。對於大型客戶端游戲，對抗的方式主要是加密加殼，以及各種二進制反調試手段
網絡封包——對抗重放型攻擊，具體實現方式可以參考大多數 rest API 的安全設計如何防止 packet replay 攻擊，原理基本類似
服務端校驗——把大部分邏輯驗證放在服務端，同時校驗時鍾同步等
人機識別——通過定期彈出驗證碼或回答問題實現前端的人機識別，后端根據地圖移動軌跡，鼠標軌跡，物品使用速度等做人機識別
產品內容設計——物品與賬號綁定，隨時間降低收益，內部經濟平衡數值體系，游戲內產出利益分配傾向性等對抗打金工作室對游戲內部環境的污染
運營數據監控——通過運營數據，如虛擬裝備產出數量，個人成長速度等監控發現異常行為
私服——主要的根源在於供應鏈管理，研發到運營的交付過程，研發的信息安全管理，運營平台的防黑建設，研發團隊集體跳槽的知識產權保護，主創人員敏感異動預警，競業協議，保密協議等
媒體與雲計算
媒體的主要問題是黃賭毒、輿情安全。基礎手段：敏感字過濾、設置舉報功能、人工審核，高級手段：抓取樣本、特征識別

雲平台的監管，一方面手不能伸得太長，觸及用戶隱私數據，一方面又要做治理。養雞場這類問題，純粹是一個租戶級的整體安全防護能力，基於網絡的異常流量分析