全文约4000字，阅读约11分钟

世界上各地的金融交易机构一直以来都是网络犯罪的首选目标。近年来，复杂的僵尸网络和其他不良的攻击方式让恶意黑客能够加快对该领域的攻击速度。黑客部署僵尸网络最常见的四种方式是信用卡欺诈、账户接管（ATO）攻击，DDoS攻击以及从金融服务网站抓取内容。每一种攻击方式都会对金融机构造成非常严重的后果。

在《2021年恶意机器人报告》名单中，排名前五的恶意机器人都曾攻击过金融服务机构。机器人通过在互联网上恶意运行带有自动化任务的应用程序，从事犯罪活动，如欺诈和直接盗窃。它们会引导网站、移动应用程序和API的滥用、误用和攻击甚至可以模仿人类行为，那将更难被发现和阻止。自2021年初以来，金融服务网站遭受的所有恶意攻击中，只有37%是人为攻击，而有31%是恶意机器人造成的。

在这篇文章中，我们将介绍网络犯罪分子通常用来攻击金融服务机构的四种恶意机器人攻击方法，以及如何预防它们的攻击！

01

信用卡欺诈

犯罪分子常使用卡破解技术用于信用卡欺诈，通过卡破解，攻击者很容易获得一个私人信用卡账号（PAN）和账户户主名字。犯罪分子可以通过多种方式获取 PAN：在暗网上购买 PAN 清单；通过在零售或餐馆工作的同伙对外暴露信用卡信息；以及通过网络钓鱼诈骗等。然后在信用卡刷卡器中添加设备，使未经授权的各方能够读取卡片信息和PIN。

在大规模操作中，典型的攻击手法是：

1、获取PAN列表信息。

2、设置自动化机器人，发布指令让机器人尝试在大量的交易网站上进行小额交易。机器人通过在网站上进行交易，提交信用卡信息，并且每次尝试不同的CVV、有效期和邮政编码组合。

3、部署机器人在30个支付站点上并行运行，以避免限额。

攻击者通过这个流程基本每四秒钟就可以破解一张信用卡，如果扩大自动化机器人部署，每天能破解多达21600张信用卡。信用卡欺诈造成的经济损失是非常大的。

如何预防信用卡欺诈

设备指纹识别

指纹识别结合了用户的浏览器和设备，以了解连接到服务的用户或内容。尝试信用卡欺诈的恶意机器人必须多次尝试，并且不能每次都更改其设备。他们必须切换浏览器、清除缓存、使用私有或匿名模式、使用虚拟机或设备模拟器，或使用FraudFox或MultiLogin等高级欺诈工具。设备指纹识别有助于识别在会话之间保持不变的浏览器和设备参数，表明同一实体正在反复连接。指纹识别技术可以创建一个独特的设备、浏览器和cookie标识符，如果由多个登录名共享，可以及时发现恶意机器人的攻击。

浏览器验证

一些恶意机器人假装运行特定的浏览器，然后通过用户代理循环以避免被检测到。浏览器验证确保每个用户浏览时都以该浏览器预期的方式进行调用，并以用户预期的方式进行操作。

机器学习行为分析

访问网站的真实用户通常会表现出典型的行为模式。恶意机器人的行为通常与此模式非常不同，但您无法总是提前定义或识别。您可以使用行为分析技术来分析用户行为并检测异常情况（异常或可疑的用户或特定交易）。这有助于识别恶意机器人程序并防止被破解，作为行为分析的一部分，通常要尝试分析尽可能多的数据，包括访问的URL、鼠标移动和移动刷卡行为等。

信誉分析

有许多已知的软件机器人具有可预测的技术、行为模式和原始IP。访问已知机器人模式的数据库可以帮助您识别访问您网站的恶意机器人。通过交叉引用已知的恶意机器人指纹，可以很容易地识别穿着真实用户马甲的恶意机器人。

渐进式挑战

当您的系统怀疑用户是机器人时，您应该有一个渐进机制来“检验”用户并测试他们是否是机器人。渐进式测试意味着您首先尝试侵入性最小的方法，尽量减少对实际用户的干扰。以下是您可以使用的几个方法：

Cookie挑战–对真实用户透明

JavaScript挑战–略微降低用户体验

验证码-最具侵入性

多因素认证

电子商务网站可以要求用户使用密码或者他们最常使用的设备登录。虽然这并不能阻止被破解，但它使犯罪分子更难创建大量假帐户，并使他们几乎不可能接管现有帐户。

API安全性

电子商务网站通常使用信用卡API，如PayPal或Square提供的API，以促进交易。如果没有一定的安全性，这些API可能容易受到攻击，例如JavaScript注入。为了防止这些攻击，电子商务站点可以结合使用传输层安全（TLS）加密、强大的身份验证和授权机制，如OAuth和OpenID提供的机制。

02

ATO攻击

ATO攻击a.k.a.凭证填充，攻击者获取大量用户名和密码（通常来自公司的重大漏洞），并尝试将这些凭据"stuf"放入其他数字服务的登录页面。该攻击使用机器人实现自动化和扩展，可以部署机器人跨多个服务器大量重用用户名并尝试密码。统计数据显示，尝试的凭证填充中，约有0.1%的登录成功率。

凭证填充威胁与日俱增，主要原因有两个：

1、大量违规凭证数据库的广泛可用性，例如，“Collection#1-5”，它使220亿个用户名和密码组合以明文形式向黑客社区公开。

2、复杂的机器人程序，来自不同的IP地址。这些机器人通常可以绕过简单的安全措施，比如禁止-登录失败次数过多的IP地址。

在大规模凭据填充攻击中，攻击者常用的攻击方式：

• 设置一个机器人，该机器人能够并行自动登录多个用户帐户，同时伪造不同的IP地址。
• 自动化运行流程，检查被盗凭证是否在许多网站上有效，跨多个站点并行运行该流程可以减少重复登录单个服务的需要。
• 监控成功登录，并从受损账户获取个人身份信息、信用卡或其他有价值的数据。
• 保留帐户信息以备将来使用，例如，网络钓鱼攻击或其他由受损服务启用的交易。

如何预防

除了设备指纹识别、多因素身份验证和CAPTCHA，您还可以使用：

IP黑名单

攻击者通常拥有有限的IP地址池，因此另一种有效的防御措施是阻止沙箱尝试登录多个帐户的IP。您可以监视登录特定帐户的IP，并将它们与可疑的IP进行比较，以减少误报。

限速非住宅流量

很容易识别来自Amazon Web服务或其他商业数据中心的流量。这种流量几乎肯定是机器人流量，应该比常规用户流量更仔细地对待。应用严格的费率限制，可以阻止或禁止行为可疑的IP入侵。

阻止无指纹浏览器

无指纹浏览器（如PhantomJS）可以使用JavaScript调用轻松识别。阻止对无指纹浏览器的访问，因为它们不是合法用户，并且大概率存在可疑行为。

不允许电子邮件地址作为用户ID

凭据填充依赖于跨服务重用相同的用户名或帐户ID。如果ID是电子邮件地址，则更可能发生这种情况。通过阻止用户将其电子邮件地址用作帐户ID，您可以极大减少他们在其他站点上重复使用相同用户/密码对的机会。

03

DDoS攻击

黑客经常部署僵尸网络，通过对联网的设备，注入恶意软件，从远程位置对其进行控制，以实施DDoS攻击。Layer 7 (application layer) DDoS攻击的目标是OSI模型的顶层或应用层，这有助于促进通过internet协议的连接。其目的是通过向服务器发送大量的连接请求，从而使服务器无法承受和响应。每秒请求数（RPS）越高，攻击越激烈。

据相关数据显示，自2021年4月以来，针对金融服务目标的Layer 7 (application layer) DDoS攻击中的每秒请求数（RPS）显著增加。这与CTI风险评分一致，CTI风险评分也显示从4月开始威胁风险激增。

如何预防

缓解技术

部署易于使用、经济高效且全面的DDoS防护，推动了基于云的缓解技术的发展。

按需和常开解决方案

通过按需和常开解决方案的组合，这是一个全球网络，提供近乎无限的可扩展性和过滤解决方案以实现透明的缓解，完全保护客户免受DDoS攻击。

04

内容抓取

网页抓取是使用机器人从网站中提取内容和数据的过程。与屏幕抓取不同，屏幕抓取只复制屏幕上显示的像素，web抓取提取底层HTML代码，并通过它提取存储在数据库中的数据。然后，scraper可以将整个网站内容复制到其他地方。这对于金融服务机构来说是一个大问题，因为黑客窃取你的内容（例如公布的贷款利率、产品收益等）会损害你的SEO排名。内容抓取有可能导致网站减速，而激进的抓取者可能会造成设备停机。

有几个关键点可以帮助网管区分合法和恶意内容抓取机器人。

合法的机器人程序由其所属组织标识。例如，Googlebot在其HTTP头中将自己标识为属于Google。

相反，恶意机器人程序通过创建虚假的HTTP用户代理来模拟合法流量。

合法的机器人遵守站点的robot.txt文件要求，该文件列出了机器人允许访问和不能访问的页面。而恶意机器人，尽管网站运营商对有些内容限制访问，恶意的爬虫都会对网站进行抓取。

如何预防

为了对抗恶意机器人攻击，可以使用粒度流量分析。它确保所有进入你网站的流量，无论是人还是机器人，都是完全合法的。该过程涉及因素的交叉验证，包括：

HTML指纹

过滤过程从对HTML标题的粒度检查开始，通过对标头签名与不断更新的超过1000万个已知变体的数据库进行比较，可以发现访问者是人类还是机器人、恶意还是安全的。

IP信誉

通过收集所有攻击的IP数据，可以及时发现有攻击历史的IP，并做进一步审查。

行为分析

跟踪访问者与网站互动的方式可以及时发现异常，如可疑的攻击性请求与不合逻辑的浏览模式。这有助于识别冒充人类访客的机器人。

渐进式挑战

可以部署一系列挑战，包括cookie支持和JavaScript执行，以过滤掉机器人程序并最小化误报。作为最后的手段，验证码挑战可以清除那些试图冒充人类的机器人。

通过对恶意机器人的分析研究，不难看出，应对大规模的恶意机器人攻击，选择部署拥有自动化、智能化的智慧机器人-以毒攻毒，才能保护网络数据安全，让金融交易业务持续健康高效的运行！

|来源：https://www.imperva.com/blog/the-4-most-common-bad-bot-attack-methods-targeting-financial-services/