2024電商和O2O行業(yè)詐騙分析_第1頁
2024電商和O2O行業(yè)詐騙分析_第2頁
2024電商和O2O行業(yè)詐騙分析_第3頁
2024電商和O2O行業(yè)詐騙分析_第4頁
2024電商和O2O行業(yè)詐騙分析_第5頁
已閱讀5頁,還剩4頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

電商和O2O行業(yè)詐騙分析(上)安全小課堂第八期電商公司、O2O企業(yè)發(fā)展迅速,給你我生活增添不少便利,但刷單泛濫致大數(shù)據(jù)污染,信息安全隱患逼近電商平臺。例如,電商的詐騙電話、冒充客服、釣魚網(wǎng)站、O2O的刷單現(xiàn)象等著實讓人頭疼。為了更有效的、全方位的交流電商詐騙防護,本次我們特意邀請不同行業(yè)領域的專家來和大家分享電商和O2O行業(yè)詐騙分析。鼓掌歡迎唯品會高級安全研究員森尼、大眾點評業(yè)務安全負責人紀東、攜程高級安全研究員小胖胖要減肥~??1豌豆妹電商和O2O行業(yè)的詐騙行為有哪幾類呢?為了更有效的、全方位的交流電商詐騙防護,本次我們特意邀請不同行業(yè)領域的專家來和大家分享電商和O2O行業(yè)詐騙分析。鼓掌歡迎唯品會高級安全研究員森尼、大眾點評業(yè)務安全負責人紀東、攜程高級安全研究員小胖胖要減肥~??1豌豆妹電商和O2O行業(yè)的詐騙行為有哪幾類呢?哆啦A夢主要分兩塊:1、不知曉用戶詳細信息。類似于快遞費的詐騙,寄送一個無效電話卡等,騙取到付快遞費;2、知曉用戶詳細信息。(1)針對訂單取消、退貨,如航空故障,問題商品等;(2)銀行卡、信用卡類的欺詐,獲取用戶短信,盜用用戶相關錢財。這類是當前影響較大的,如之前曝出拿到用戶一個綁定手機驗證碼,可以將用戶所有卡余額取完。小丸子小丸子在團購類網(wǎng)站,除了銀行卡盜卡詐騙,目前比較典型的是以花唄套現(xiàn)為名的詐騙。在QQ群發(fā)布套現(xiàn)信息,在團購網(wǎng)站下一個訂單,讓受害人用花唄支付,支付完后不進行兌付。下的訂單一般是容易變現(xiàn)的如電話卡,超市儲值卡之類,或者是虛假商戶團單。小新我們遇到比較多的還是基于訂單和物流信息的詐騙,這些都可以通過黑市去購買,用來套取用戶的銀行卡信息,實施詐騙。當前各種新型詐騙手法凸顯,也需要不斷提高購物人的安全意識,包括購物后的短信提示,用戶中心的下單提示等。2豌豆妹詐騙的種類很多,針對惡意者來說,他們的目的和利益點分別是什么?2豌豆妹詐騙的種類很多,針對惡意者來說,他們的目的和利益點分別是什么?葫蘆娃最終獲利的主要還是基于兩點:1、獲取用戶更多信息實行另外的詐騙;2、直接通過該點進行獲利。小丸子當前損失比較多的一般都是銀行卡、信用卡類詐騙。詐騙多是為了獲取一定的收入,不同詐騙團伙獲利方式不一樣。有的基于隱私數(shù)據(jù)、有的基于賬戶財產(chǎn)、有的基于信購能力等。33豌豆妹豌豆妹如何有效防御行業(yè)內(nèi)的相關詐騙行為呢?小新1、用戶自身方面,進行相關詐騙信息的提示和預警;2、網(wǎng)站方面,從各個環(huán)節(jié)排查信息泄漏點,進行用戶信息各層保護,包括物流、第三方系統(tǒng)等;3、各個重要業(yè)務模塊方面,包括卡類支付、余額、信貸,都需要嚴格進行風控和用戶信息校驗,進行相關風險防護。4、從業(yè)人員方面,安全人員需要不斷了解新的攻擊手法,同時也要深入到敵后,提前部署相關防御。哆啦A夢贊,補充一點。從B端,要加強對商戶、商品的審核和管控。杜絕虛假商戶、限制易變現(xiàn)商品的信用支付等。4豌豆妹甲方的小伙伴能給介紹下電商和O2O行業(yè)方面風控平臺的搭建么?4豌豆妹甲方的小伙伴能給介紹下電商和O2O行業(yè)方面風控平臺的搭建么?小丸子以下系統(tǒng)架構(gòu)圖可以參考。以下系統(tǒng)架構(gòu)圖可以參考。小新小新風控系統(tǒng)主要分幾方面:1、規(guī)則引擎;2、底層數(shù)據(jù);3、api接口服務。同時業(yè)務人員需要對數(shù)據(jù)進行分析,提煉相關規(guī)則進行設定,同時底層數(shù)據(jù)這塊可以進行聚類擬合等模型算法。當前輸出大多平臺都是以api服務模式,當然也有進行直接流量層的防護。風控是一個復雜的系統(tǒng)工程,會用到各類大數(shù)據(jù)技術,高并發(fā),還有模型算法等,來支撐惡意行為的防護。葫蘆娃我們的風控平臺由規(guī)則服務,處罰中心,數(shù)據(jù)中心組成。規(guī)則服務主要用于定制風控的規(guī)則,處罰中心處理觸發(fā)的規(guī)則事件,這里分為人工和自動處理。數(shù)據(jù)平臺是挖掘用戶數(shù)據(jù),構(gòu)建模型,優(yōu)化規(guī)則的平臺。當然,風控識別離不開和業(yè)界其他團隊合作。豌豆妹不覺明厲?。?!聊了那么久,大家想必都累了吧,休息~休息~一會兒~我們下期再見,接著聊“電商和O2O行業(yè)詐騙分析”。??安全小課堂往期回顧:1、論安全響應中心的初衷;2、安全應急響應中心之威脅情報探索;3、論安全漏洞響應機制擴展;4、企業(yè)級未授權訪問漏洞防御實踐;5、淺談企業(yè)SQL注入漏洞的危害與防御;6、信息泄露之配置不當;7、XSS之攻擊與防御。電商和O2O行業(yè)詐騙分析(下)安全小課堂第九期本期,我們接著和小伙伴——唯品會高級安全研究員森尼、大眾點評業(yè)務安全負責人紀東、攜程高級安全研究員小胖胖聊聊電商和O2O行業(yè)詐騙分析~1豌豆妹請問如何防范電商和O2O刷單情況的出現(xiàn)呢?本期,我們接著和小伙伴——唯品會高級安全研究員森尼、大眾點評業(yè)務安全負責人紀東、攜程高級安全研究員小胖胖聊聊電商和O2O行業(yè)詐騙分析~1豌豆妹請問如何防范電商和O2O刷單情況的出現(xiàn)呢?小丸子從c端b端兩側(cè)進行考慮。c端對用戶的注冊、登錄、下單、支付等事件進行風控掃描和異常攔截。對b端識別作弊聚集的商家、商品,識別虛假商戶。大額的優(yōu)惠建議僅限app,可以利用設備信息。小新1、針對單賬戶的惡意識別,包括行為和維度數(shù)據(jù);2、針對行為點的惡意控制,包括業(yè)務控制,和惡意防護過濾;3、針對事后的數(shù)據(jù)分析以及業(yè)務反饋,進行離線攔截,同時數(shù)據(jù)反推到1和2,進行事件閉環(huán)。同時自身數(shù)據(jù)外,還可以結(jié)合外部數(shù)據(jù),包括一些大公司的服務和行業(yè)黑數(shù)據(jù)進行綜合應用。葫蘆娃我們會從注冊,登錄,下單過程結(jié)合ip,手機號,用戶行為等多維度判斷是否為惡意用戶,通過安全大數(shù)據(jù)系統(tǒng)進行關聯(lián)分析判斷用戶是否在刷單,針對刷單用戶會有下單攔截,取消,甚至凍結(jié)賬號等措施。包括security@也提供相關惡意接口服務。哆啦A夢針對活動的防刷,我們在上線前會做安全評審,根據(jù)不同的活動類型給出不同的防刷策略,比如短信,用戶ip等等維度?;顒由暇€后會進行安全監(jiān)控,同時會分析異常刷單的用戶,進行相應的處置。2豌豆妹如何有效地監(jiān)測刷單異常?2豌豆妹如何有效地監(jiān)測刷單異常?小新1、下單維度數(shù)據(jù)聚合;2、用戶手機號,地址信息異常匹配(比如某些高危區(qū)域);3、分類訂單異常監(jiān)控,比如某個價格訂單或者某類商品訂單突增;4、維度數(shù)據(jù)的層級關聯(lián),如一個人訂了一個外賣,可能這個人也是一個送貨員,進行多層級數(shù)據(jù)關聯(lián),可以看到更廣的信息。3豌豆妹能聊聊乙方風控平臺的優(yōu)勢以及共享黑數(shù)據(jù)的調(diào)用么?3豌豆妹能聊聊乙方風控平臺的優(yōu)勢以及共享黑數(shù)據(jù)的調(diào)用么?小丸子乙方在某些領域的數(shù)據(jù)會更加的專業(yè),比如代理ip的精準檢測等,我們可以通過他們的接口進行查詢,把結(jié)果作為用戶信用的評判因素之一,加入到風控系統(tǒng)進行評分。葫蘆娃聚合類的策同意。乙方的優(yōu)勢在于對接了多個平臺,平臺之間的黑名單數(shù)據(jù)可以共享。但是乙方提供的黑名單也不能直接使用,準確率較難保證,而且不穩(wěn)定,只能用于聚合類的策略。哆啦A夢哆啦A夢共享黑數(shù)據(jù)是建立生態(tài)圈比較好的方式,當然要互信互利,同時自身業(yè)務應用也需要對數(shù)據(jù)進行一定的把控,數(shù)據(jù)是否能起到很大的效果或者數(shù)據(jù)質(zhì)量的保證需要進行大量的實踐。豌豆妹三人行必有我?guī)?。感謝三位小伙伴和核心白帽子陪伴我們聊聊電商和O2O行業(yè)詐騙那些事兒~大家如有感興趣的話題也可發(fā)至JSRC官方微信公共號,讓我

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論