2022年6月,Top Image Defense云商业安全情报中心监测到,某NFT平台同时遭遇“刷单”和“薅羊毛”双重商业欺诈。
基于编号为BSI-2022-140和BSI-2022-143的两条业务安全信息显示,黑灰产首先推广不达标的NFT平台用户名单和数量,帮助其快速获得平台奖励。然后用刷账号抢NFT平台发布的数字收藏,再通过社交论坛低价转卖。这给NFT平台造成了数千万的经济损失。
什么是NFT?有什么价值?
NFT的全称是不可替代的代币,通常被翻译为“非同质通行证”。2017年首次诞生的区块链游戏《加密的猫》,本质上是基于数字货币的智能合约。作为区块链的一个入口,在区块链的技术和相关协议下,NFT有一个唯一的编码,这个编码在加密上是唯一的,也是唯一的。
在物理世界中,创作者只能一次赠送或出售一件作品、一张照片或一段视频。第二次,第三次甚至很多后续的交易都与创作者无关。但是NFT世界的作品数量可以根据创作者的需求定制。无论你是创作文字、音乐、视频、图片还是绘画,都可以通过NFT平台进行选角交易。所谓铸造,就是将作品加密成区块链,使之成为唯一的、特定的资产所有权。
2021年是NFT火年,也就是广为人知的2021年。今年9月,杭州2022亚运会发行了NFT“数字火炬”,限量发行2万份。短短几天,数码火炬的价值直接翻了几百倍。
东方证券的一项数据显示,2021年1-8月,OpenSea的NFT交易额超过10亿美元,占全球NFT交易额的98.3%。2020年,这个平台的交易额不到2000万美元。
NFT的应用场景很多,比如艺术品、收藏品、时尚娱乐、游戏内物品、体育比赛、身份验证、保险、电子票等。,但最广为人知的是数字艺术和游戏。每一件艺术品都能以NFT的形式呈现,既保护了版权,也验证了所购艺术品的真实性。超宇宙加持的游戏可以记录玩家的武器、装备、角色等。在游戏中通过NFT,从而保证商品交换、交易和收购的真实性。同时,NFT很好地实现了实物的数字化资产化,更好地定价和流通数字艺术品
希望中国的NFT作为一种去金融化的数字收藏,只保留收藏功能,禁止二次交易。2022年4月,中国互联网金融协会、中国银行业协会、中国证券业协会联合发布《关于防范NFT相关金融风险的倡议书》,肯定了NFT的价值和潜力,表明了协会推动NFT向合规化发展的愿景。同时,明确防范金融风险,杜绝NFT金融证券化倾向,仍是NFT监管的重点。
NFT平台活动,黑灰产“一鱼两吃”
某NFT平台与多位知名艺术家合作收藏数码藏品,很多都是第一次创作的作品,藏品未来升值空间大空。为了扩大收藏者规模,提升平台知名度,平台开始新一轮推广活动,如果达到推广任务或者吸引到一定数量的新注册用户,可以获得三重奖励:第一重奖励是增加免费抽奖次数,可以免费领取数量有限的数字藏品;双倍奖励可获得珍贵藏品优先购买权;三重奖励可获得合作电商平台、店铺等无门槛代金券。,可以在购买数字馆藏时直接扣除。
为了快速达到推广量,部分用户通过电商、论坛、IM等方式主动接触黑灰产。,有偿帮助其伪造投票量和新用户注册量,然后获得NFT平台的奖励。
黑灰产在为部分NFT平台用户提供刷榜、作弊推广、赚取服务费的过程中,很快熟悉了平台的规则,发现NFT领域平台活动保护门槛低,营销防作弊意识薄弱,没有部署专业的业务保障体系,可以说是近乎裸奔。
于是,黑灰趁机注册了大量虚假账号,洗劫了平台上第一批稀缺珍贵的数字藏品。然后通过电商平台打折出售。
不同场景不用招数,黑灰产生几种诈骗手段。
Top Image Defense云商业安全情报中心分析发现,黑灰产在NFT平台的不同场景下采用了不同的技术工具。
注册场景中:黑灰产通过收码平台、打码平台、代理IP、脚本软件等作弊工具实现批量自动注册账号。
在投票场景上:黑灰产使用“秒拨”客户端软件,简单配置后,可自动更改IP地址,从而规避平台IP频率限制的安全策略,实现某一选项的海量投票。
交易场景中:黑灰产通过群控软件控制大量账户,短时间内完成指定商品的抢购。
半夜黑产最疯狂,IP代理地址集中。
基于黑灰产活动信息,Top Image Defense云商业安全情报中心分析发现,黑灰产活动频繁发生在深夜0点至清晨6点,尤其是午夜。
通过对NFT平台验证请求活跃IP数据的分析,发现黑灰产主要使用河北衡水、扬州、吉林通化、江苏泰州的代理IP地址。同时发现大量登录账号的拖拽轨迹明显异常,使用模拟器功能。
根据Top Image Defense云商业安全情报中心分析,NFT平台被访问页面的来源IP地址具有明显的聚合特征,大部分IP地址被识别为“二次拨号IP”。
顶像防御云商业安全情报中心还发现,黑灰产的访问频率明显聚合,单个设备24小时内的访问频率高达51.8万次,是非常明显的机器刷机行为。
另外,Top Image Defense云商业安全情报中心的统计显示,大部分请求来源href本地工具:http://localhost/xxxx/xx/。
关于云防御防控的建议
基于NFT行业特点和风险形势分析,Top Image Defense云业务安全情报中心建议NFT平台的安全体系从事前防御、事中识别和事后处理三方面入手,有效防范各类欺诈行为,确保业务健康运行。
事前预防和控制
客户端安全:NFT平台的APP和网页可分别部署客户端加固和H5混淆防护,确保客户端安全。
提前检测环境的安全性:客户端集成安全SDK后,定期检测App的运行环境,检查是否存在代码注入、钩子、模拟器、云电话、调试、代理、VPN、root、越狱等风险。
保证通信传输的安全性:在业务的通信传输过程中,通信消息中的部分数据可能会被黑灰产篡改。通过加强前端SDK,通信链路采用国密算法加密,防止终端安全检测模块的数据被篡改和冒用。
事件中的风险识别和拦截
多场景下的人机安全验证:在注册、登录、抽奖、抢购等业务场景部署top-image不敏感验证。,有效识别机器行为,拦截垃圾注册和批量登录。
结合手机号黑名单识别注册登录风险:黑灰产会用虚拟号段、串号手机号、无任何号段特征的黑产小号进行注册,通过有风险的手机号有效识别风险号。
结合IP黑名单识别刷票风险:黑灰产票时,会使用IP代理池进行“机刷”,IP风险数据库可以有效识别恶意IP地址。
结合决策引擎实现实时防控:接入实时决策引擎,基于业务数据和风险数据制定不同的安全策略,快速有效地识别和拦截注册、登录、抢购等场景下的欺诈和营销作弊。其中,风险控制维度建议:
1.设备终端的运行环境:设备的指纹ID是否合法,终端是否具有注入、调试、模拟器、VPN、代理等特性。通常情况下,大部分营销作弊设备都具有上述特征。
2.多场景行为检测:设备使用限制,如限制多个账号使用同一设备注册、多个账号使用同一设备登录、账号对应设备频繁更换、短时高频IP访问等行为维度检测。
3.风险库列表:基于风控数据和历史打卡数据,沉淀和维护相应的黑白名单数据,包括用户ID、手机号、设备黑名单等。
4.外部数据服务:对接手机号码风险评分、IP风险数据库等。
5.数据模型:业务数据积累到一定程度后,通过风控数据和业务的沉淀数据对用户行为进行建模,模型的输出可以直接用于风控策略。
风险后处置
根据实际业务需求,Top Image Defense云业务安全情报中心提供了两种处置建议。
1.风险数据的标记。注册登录场景识别风险后,不会将结果实时反馈给用户,先存放风险清单,可由抽奖、抢购场景调用。比如抽奖场景,会将风险列表列入黑名单,给用户返还不需要的奖品,或者直接授予低价值的普通奖。
2.在线实时反馈。实时拦截识别为风险的请求,直接显示请求成功或失败,恶意用户直接冻结账户。
根据处置建议,Top Image Defense云商业安全情报中心提供了两种技术解决方案。
1.顶级设备指纹+决策引擎:设备指纹可以识别端上的风险,如注入、模拟器、调试等。当与决策引擎结合使用时,可以实时发现和处理风险。
2.业务安全感知:安全感知可以识别和发现移动风险,不仅可以覆盖设备指纹产品发现的风险,还可以直接处置移动风险,无需决策引擎。但安全感知与设备指纹+决策引擎组合的区别在于,安全感知不能使用业务领域,只防控移动风险。
商业智能中心是顶级图像防御云的集成服务。顶像防御云集成了业务感知防御平台、验证码、设备指纹、末端加固等产品,以及业务安全智能、云策略等服务。拥有丰富的技术工具、数万种安全策略和数百种业务场景解决方案,具备智能、感知、分析、策略、防护和处置能力,提供模块化配置和灵活扩展,帮助企业快速、高效、低成本地构建自主可控的业务安全体系。
