Max：金融黑灰产洞察

‍

首先非常感谢君哥提供这么一个机会，然后也非常感谢大家能够在周五晚上抽出时间来参加这样的一个分享，我今天分享的议题是金融黑灰产洞察。本次的分享可以分为两个部分：第一部分会对整个互联网的黑灰产的发展情况进行整体介绍；然后第二部分会介绍近三年来，我们这边观察到的以及跟我们一起合作的这些金融机构，在情报侧洞察到的一些金融黑灰最新动向。

第一部分：互联网黑产概述

首先我们来看一下整个互联网黑灰产的一个进化的历程。

最早的话在2000年左右的炫技时代（2000－2003），早期的黑产的话相对现在来说，其实有比较大的一个区别。早期的时候黑灰产是相对比较纯粹的，他们往往说更多的是为了炫技，而不是像现在更多的是为了去获利。这里的话不得不提I LOVE YOU这个病毒。这个病毒世界上第一个引发大面积电脑中毒的一个病毒，它出现在2000年，当时主要传播途径主要通过邮件传播，传播速度非常快，大概花了几个小时的时间，就感染了超过4000多万台电脑，其中也包括美国的五角大楼、英国的议会等，都有电脑中招了。这件事经过事后的估算，大概造成的损失是高达数十亿美元。但其实事后记者对病毒制作者进行采访，了解到他做这个病毒的目的并不是为了非法获利，他当时说，如果他在那个月底仍然没法能够找到一份稳定的工作，他便要释放另外一种病毒。所以现在看来，可能与现在的黑灰产作案动机是有一个比较大的区别。可能这个病毒大家不一定熟悉。

到了第二个：盗号时代（2005－2007）。这个病毒，可能大家都听过，那就是“熊猫烧香”。当时感染这个病毒后具体的表现就是没办法打开EXE文件，并且整个电脑里面的EXE文件的图标都会变成熊猫举着三根正在燃烧的香这样一个图案。这个病毒大概出现在2006年左右，在第二个阶段是用来进行QQ盗号、游戏盗号。当时病毒的作者以大概以500－1000的成本把病毒卖给下游的一百多个人，这一百多个人把病毒进行了二次加工、改写，然后二次传播出去，导致了国内大概有超过一百万台电脑感染，最终这些被感染的用户的游戏账号、QQ账号被盗，这些账号再转手在网上去获利。

再接下来的话就到了社工时代（2009－2010）。这一块有各式各样的泄露库以及社工库在暗网进行兜售，在这先分享两个比较有趣的段子：第一个是有个朋友曾经在黑灰产手里买到了自己的一个开房记录；第二个就是另外一个朋友在暗网通过黑灰产的社工库，找回了遗忘多年的某互联网平台的密码。通过这两个段子，大家应该能够比较直观地感受到社工库的强大。

然后再往后的话，属于产业链初成阶段（2010－2013）。国内电商业务的快速做强做大之后，其实黑灰色的整个产业迎来了一个比较快速的发展阶段，也初步形成了比较完善的一个产业链，在整个产业链里面分工也是比较明确的。比如说有提供接码服务的接码平台，有打码平台，有代理IP的平台等等。其实在各个细分领域都有这类基础服务涌现出来。

接着就是2015年以来至今这样一个阶段。现在其实随着整个产业链的进一步发展和成熟的话，其实也是涌现了非常多的这种综合的服务。这里的一个特点就是它整合了不同的这些基础的资源。甚至还可以基于下游的一个具体的需求去提供相应的定制服务。比如说，以非法数据交易为例，其实我们能够在暗网上看到有非常多的黑产从事非法数据交易，甚至能够基于下游对数据的需求按需定制。这就是近些年来看到的黑灰产的发展情况。

整体总结来说，有三个方面的发展趋势。

中间这一块主要讲的是人的维度，其实我们能看到这些年类似“兼职”这样的黑灰产逐步APP化，这就导致黑灰产掌握的人口资源比以往都远远扩大了。第二是随着报单平台和发卡平台的涌现，普通人做黑灰产的门槛越来越低了。

左边主要是讲黑灰产在作恶过程中所使用到的一些资源工具，第一块是个人信息的外泄，这其实是整个互联网业务的一个痛点，这一块也是给黑灰产提供源源不断的弹药。比如说以疫情以来为例，其实国内的公安机关严厉打击电信网络诈骗，其实这里一个源头是黑灰产能够成功实施诈骗，这其中有一个很大的原因，是因为大家的个人信息被泄露了之后，然后对方可以通过这些信息进行精准诈骗。其次，有大量的正常人给黑灰产提供这些共享资源，包括我后面会讲到的手机黑卡的例子，大家也能够直观的看到，后面会详细展开，这里就不介绍了。这个情况带来的后果就是曾经防控黑产的黑名单策略，现在已经无法达到防范效果。因为现在的黑产其实是用了大量正常人的一些资源去作恶。第三块就是整个基础的工具和服务层出不穷，这一块的资源其实不像以往那样有较高的技术门槛，以往可能你必须要自己掌握做这些基础的工具，现在的工具都是通过各种服务可以获取到，所以这块的作恶门槛大大降低了。

然后右边产品这一块，我们看到各个产品之间的连接性越来越强了。比如说以银行为例，大家都推出开放银行，过往是需要在银行真正开户的客户才能够享受到银行的一些服务，但随着银行产业范围不断开放，其实有很多的银行线上APP里面，即使不是开户客户，只需要通过手机号也可以成为其用户，这就导致了一旦一处有漏洞，全局都会面临一个崩溃的局面。同时我们看到，整个的黑灰产在作恶的过程中，会利用大家的信息是共享这一情况，然后在不同平台之间进行扭转。

以诈骗场景为例，它可以从中游或上游的黑灰产直接获取到网络诈骗和电信诈骗所需要的手机号码、银行卡号以及个人隐私数据。同时，依旧以这个场景为例，它需要精准实施诈骗，比如说群发短信，那其实是有相应的黑灰产平台可以提供这样的服务。在服务这里特别要提到的就是，黑灰产的服务呈现出SaaS化的特征。以往要做就需要自己购买猫池这样一个设备，然后去批量的买卡来搭建接码平台，但现在其实门槛非常低，只需要通过线上的API接入到接码平台，然后往里面充值，就可以接入这样的服务，这就导致作恶门槛极大的降低了。

再来谈下游，下游有两种变现的方式。第一种是大家可能都相对有所了解的，它可以通过直接去搭建接码平台，然后对外提供服务。从上游购卡之后，对外提供接码服务去变现。第二种是部分黑产会通过手里的资源进行养号，然后引流推广等等，利用黑灰产的一些基础服务去变现。同一张黑卡也会在不同的黑产间进行流转，比如说一张黑卡上午在一个地区，下午就通过快递寄出到另一地区，然后在另一个黑产手里作恶。

• 第一个阶段，其手机黑卡的获取方式是比较简单粗暴的，比如直接通过线下或者一些线上的特殊渠道批量去采购；

• 第二个阶段，通常叫做拦截码。拦截码的主要来源包括了老人机、儿童手表。黑产是通过木马嵌到整个手机的主板，或是儿童手表的主板里面，然后再销售给手机厂商。但是随着前几年警方打击力度的加强，拦截码已经难以为继了；

• 第三个阶段，叫做共享码，共享码也称作先行接码平台。其本质大概是这样的一个流程：首先，用户在平台的APP上面去进行注册，注册后，它会把自己的一个短信通道出租出来，并且会对整个的APP授权。授权APP是可以去读取短信和发送短信这样一个权限，然后再运行APP通过自动接码任务赚钱。就相当于是用户通过把自己短信功能，然后出租出来去换取相应的佣金，大概是这样的一个模式。

其实从这个手机黑卡三个阶段这样一个变化，我们能看到在安全对抗和黑产对抗的过程中，确实也发生了至少三个阶段的变化：

• 第一个阶段的话主要是人机对抗，人和机器是有明显的特征区别，这个阶段的对抗难度相对要低一点；

• 第二阶段面临的现状是，他们面对的环境是真的，比如说以手机黑卡为例，其手机卡可能是一个普通用户的手机卡，但是呈现出来的这些用户行为其实是机器的行为；

• 第三个阶段，对于一些应用场景，当可获利空间更大时，黑产会冒充真人环境下真人的行为方式。比如说它可以通过线上和线下众包的方式，不管是采取怎样一个核验方式，或者是刷取相应的信息，其实看到的都是真人的行为，这一块的话可能是当前以及未来在整个的黑灰产对抗上面临的困难点。

不同的阶段其实我们也会用到不同的一些方法，比如说刚提到的真人环境和真人行为，其实我们是可以通过这种可信环境、时序异构图等方法，也包括了行为序列分析等。因为黑产的行为其实跟正常用户的一个行为还是存在一些差异的。

第二个阶段：金融黑灰产的洞察

首先今天就来给大家介绍一下，目前我们在金融行业里和黑灰产对抗，我们的战场在哪里？中间的申请欺诈战场和交易欺诈战场大家应该都比较熟悉，这些是传统的战场，但是近三年以来呈现出了新的变化，出现了两个就是比较新的领域。

第一个就是营销欺诈和广告欺诈。在这个领域对于金融机构而言，其实是相对于比较弱势的一个战场。为什么这么讲呢？因为其实金融行业介入线上化的营销广告相对其他行业是比较晚的，黑产在早些年的时候比如说像电商、出行等这些其他领域里，其实是跟这些互联网公司已经对抗多年，积累了比较丰富的经验。而对于金融行业来讲是刚涉足这一领域，这一块黑产对抗的经验相对比较缺乏，所以这块比较弱势。

举个例子：去年我们看到某国有大行在推出新版本的手机银行APP的时候，推出了一个大的营销活动，就是新用户注册或者是邀请新用户注册能够获得话费的充值券奖励。我们看到的实际情况就是凌晨12点这个活动刚推出，在当天凌晨一点的一个多小时内，它整个活动的预算就被黑灰产薅光了，因此可以看到这一块的聚集现象是非常明显的。如果想通过虚拟运营商的一些手机号码批量去接卡，通过这种工具批量注册邀请拉新，然后去薅取它整个活动的营销奖励。整个活动开始的一个预期是到月底结束，但是就在推出的一两个小时以内整个的一个营销奖励已经被黑灰产薅光了。其实这样的例子我们看到的是比较多的。所以说其实在这一块的话，金融行业是比较弱势的一个战场。

其次的话就是最右边的是“反催收及其他”呈现出了一个新的战场，大的背景一方面是疫情以来整个大的经济环境不好，同时大的金融机构在疫情之后又加强了整个的贷中和贷后政策的收紧，收紧了之后其实有大量的客户发生逾期，逾期了之后，有大量的黑灰产向这些逾期的客户提供反催收的服务，这就包括停息挂账、罚息减免，然后主张去向监管投诉，要挟金融机构进行赔偿，同时包括像征信修复等。

总结来说，根据我们在情报这一侧捕获的信息以及一直以来在情报这一侧的一个研究，发现在疫情以来，在申请欺诈环节黑灰产总共是创造出了至少是以下这五种全新的欺诈手法。这就包括了假公司、假就业、假流水、假公积金、假APP。

• 在假公司方面，多个地方都出现了这样的手法，就黑灰产通过循环注册空壳公司，然后再通过这些空壳公司招聘大量的一个大学毕业生，然后再去申请信用卡，他们招聘大学毕业生的一个本质原因就是，发卡这样一个政策都对学历要求；

• 其次是假就业，主要是通过先发布招聘，然后招聘人说对某一些职业技能有些要求，最好先报公司的一个培训，然后学员如果没有支付能力，就会通过诱导去通过信用卡或者贷款分期的方式支付培训费；

• 在假流水方面，其实跟以往的那种纸质的假流水不同，它主要是通过利用了这种不同银行之间的一个信息差，然后去制作这种假的银行的一个APP的流水，比如说如果说他去A银行线上或者线下去申请的时候，他其实是拿着B银行的这个APP。因为对A银行来说，其实B银行的流水无从核验；

• 然后就假公积金来说，主要是通过去招揽没有征信问题的白户，然后再通过不缴公积金的方式去申请其他线上的现金贷；

• 接下来的假APP，除了前面说的假银行，其实还有一些伪冒，比如说支付宝等，通过向银行提供相应的一个单位信息、社保信息等这些基本信息，然后去做一个补充的的资信证明。
  

总结来看其实是展现出这样的几个趋势：

首先，第一个是整个的黑产的产业链分工明确，整个的欺诈门槛相较以往明显降低了，前面有提到。我们这里以注册空壳公司为例，能看到上游有专门的黑产去批量注册空壳公司，也有专门去开发这类伪冒银行伪冒支付宝类的，也包括了它会提供搭建服务器，用于存储这些客户的信息。中游的黑灰产其实是会根据下游需求向上游提出相应的资源工具的具体需求，然后再把这些工具向下游进行转售，这是第一种模式。

其次，第二种模式中游的部分黑产会直接参与到整个的欺诈环节里来。这里有两种，它们的盈利模式有点不一样。第一种模式主要是通过转售工具收取一定固定的费用，比如说一套工具几千块钱。然后第二种模式是会以一个能够欺诈或能够申请信用卡或者申请申请贷款的最终的金额为一个额度，然后再按收取一定比例的费用。

我们对伪冒银行APP这种欺诈手法进行了深入的研究，如果说不懂这个作恶手法的话，其实你看到APP第一眼是看不出来什么的。这里有一个视频可以给大家看一下，可以看到这是黑产提供的一个伪冒银行应该，这是可以登录进去进行操作，然后去查询它的一个流水。通过把这个信息线上或者线下给到银行，作为资金的补充信息，这个工具刚出来时不管是线上还是线下，把这些资料提供了银行，对于线下工作人员来讲，其实没办法分辨的，有一项研究发现，其实这些伪冒的APP肉眼看都非常的逼真，其实主要是因为它是直接通过银行的H5页面封装过来的，而且现在有很多这样的平台可以直接进行封装。而且他们为了让UI更逼真，还调用了某一个开源浏览器进行渲染。然后整个的伪冒成本也是比较低的，并且上游和中游的黑产其实是可以按照客户的具体需求，把客户需要的单位信息、流水信息在整个的后台导入进去。整个下游的一个售卖成本大概在2000块钱左右，而下游的黑产拿到这样的一个APP通常可以去线上或者线下去撸贷撸卡，通常笔均贷款大概10万到30万左右，黑产在里面的抽佣大概在20%到30%。

然后第二个趋势是从以往的单方欺诈到三方欺诈，导致整个的金融机构的防范难度增加。以过去为例，更多的是非本人伪冒身份去实行欺诈，但现在我们看到的都是黑产在那个本人的背后去包装他，事后本人去教唆或者诱导他去银行申请信用卡或申请现金贷等等。但在整个金融机构的视角来看，其实看到的都是用本人的，比如说看到某个用户有工作，有不错的学历，还有公积金等，就给他进行授信和发卡。但是看到的这些信息都不是真实的信息，都是经过包装诱导之后的。所以，这一块对于银行来讲防范难度极大。然后以撸卡为例，可以看到有非常多的应届毕业生，在另一个线上的平台看到这些招聘广告后去面试入职，然后被领导以工作需要为由，套路办卡，办卡之后其实这个卡下来的时候都是在黑灰产手里，然后进行套现，这个钱其实也没有到真正的用户手里。因此这一块对银行来说，据过往的流程来看是没办法识别这块的风险。

第三个趋势就是，黑灰产有专门针对大数据的风控体系。现在线上去申请一笔贷款非常容易，基本上各家银行都推出了这种秒批秒贷的服务，只需要几秒钟就可以出额度，几分钟之内就可以到账。然后他也会通过联网查询，比如说像公积金，社保、税务的信息。然后从银行角度来讲，这里就遇到了专门针对大数据风控体系进行包装的情况，包括了前面提到的例子，在疫情刚发生初期的时候，全国范围内在收人，专业术语叫“收人吃鸡”。首先是去寻找这些有贷款意愿同时征信没有瑕疵的白户，找到这些人之后进行筛选，确定其征信没有问题，然后也通过一些其他第三方大数据进行综合评估，评估可靠之后就会提供包吃包住包机票，把客户叫到指定的地点，然后出资为客户去缴纳公积金，然后再去线上申请基于公积金的信用贷，基本在10万到20万不等。当时我们在情报圈预警了情报信息之后，大概是到年底过了不到一年的时间，就看到新闻上警方通报有三个团伙通过这样的方式在西部的一些地区去招揽白户。总共在多家银行那边累计骗了超过十亿元。

第四个趋势就是在整个申请欺诈环节，黑产的获利空间都是比较大的优势，因此也是驱使他们有比较强的作恶动机，不管是伪冒支付宝的APP还是其他。其实一方面是黑产获利很大，另外就是黑产冒用其他人身份去撸卡或者配合黑产撸卡撸贷的这类人也是获利很大。当时我们以某个黑中介为例做了测算，当时大概在一两个月里有些客户通过这种包装的方式录入了上百张卡，然后就从里面抽佣获利大概超过20万。

第五个趋势就是整个的手法在线上快速传播，而且具有明显的一个地区级的现象。以伪冒支付宝的APP撸卡为例，当时我们通过数据分析看到，整个的欺诈用户主要聚集在河南郑州地区。对于这块我们怎么去对抗？其实这当中有三道板斧。最为重要的就是风险情报，除了风险情报外，还有蓝军和数据。

这里面情报是一个主要抓手。为什么这么讲呢？我们需要去对抗风险时首先我们要知道风险在哪里发生以及风险怎么发生的，这里必须要从情报入手的，我们如果从传统银行的作业流程、放贷流程、发卡流程来讲，其实完全没有问题，他是按照他的既定流程在走。但是因为整个的黑产对抗的强对抗性，只通过这种传统方式没办法防范，所以就需要通过情报入手去看到底还有哪些风险口；

其次，我们为什么需要蓝军？蓝军主要的目的是：我们发现黑灰产的时候肯定会上一些补救的风控策略规则，那这些规则是否有效，其实是需要蓝军来直接对抗的，也就是用蓝军去演习。

然后还需要数据，我们通过情报摸清了黑灰产作恶的具体手法以及特征后，其实是需要基于数据去聚类出、扩散出、找出同类的黑灰产，或者说疑似的黑灰产，再去增加相应的风险核验以及控制的策略。其实风险情报在这里是非常重要的一环，因为它是我们了解业务风险的一个基石，如果说我们对业务的风险未知，那就无从谈起去收敛风险，管控风险。

以上是今天的分享，大家看看有没有什么问题。

----------------------------------------------------------

【问答环节】

Q1：为什么有那么多合法的空壳公司？

A1：这一块的了解的人都知道，其实各地的工商对注册公司的门槛在近些年是不断下降的，包括之前的一个新闻，某大学生被黑灰产骗子在全国各地注册了上千家的公司，最后他还要去注销这些公司都很费劲，其实主要原因还是国内工商部门为了打造一个好的营商环境，企业注册这块的门槛是非常低的，这也是大的一个政策环境导致的。另外，黑灰产一方面可以自己去批量注册，另外一方面卖公司壳也是非常普遍的，它的整个价格非常低，所以这块的可获得性是非常容易的。

Q2：刚刚您这边也说了，威胁情报是金融黑灰产对抗的一个很重要的元素。那这边威胁情报的信息一般会包括哪些黑灰产信息呢？

A2：关于一些威胁情报的话，不管是技术安全还是业务安全，现在都是一个重要抓手，也是我们能够去解释我们的整个的安全体系有没有漏洞，有没有敞口的重要手段之一。具体到业务安全这一块，这里会有几个维度，其实核心是会分几块的，第一个黑灰产的动向，具体而言就需要基于你所在行业的业务场景去看，去关注他的一个动向。比如说以金融行业为例，我们的业务可能分为公司业务，零售业务，信用卡业务。然后在这些业务下面又有着细分的场景，比方说我前面提到的交易环节，申请环节，营销广告环节等。基于这些场景下面，我们需要去看到黑灰产的一个具体动向，知道他的动向之后，本身还需要去挖掘其具体的作案手法。直白的说。我们要在知道他作案手法同时，要怎样才能真正做到了解黑产？我们能够拿着他的手法真真实实再去玩一遍，这才是真实的了解黑灰产。比方说，我们通过线报了解到某个平台注册的羊毛，那就需要去验证核实我们掌握信息的真伪，所以需要用它的手法去走一遍，我们需要掌握它这里面用到的工具，他在整个作恶链里面资源是怎样的？收益是怎样的？做黑灰产对抗大家都知道，不管是技术安全还是业务安全，其实本质都是一个成本的对抗。我们把它整个的作恶链路和收益分析清楚之后，本质是要去提升它的作恶成本。它的成本提升之后收益下降，这块的风险就自然下降了。

Q3：情报信息从哪里买的？有没有一些开放共享的威胁情报平台？

A3：目前业务安全这一块，安全圈好像还比较少有这种情报共享的平台，不过我们可以反向思维一下，就是我们的一个业务安全威胁情报的来源，其实我们这里有一个重要的点是黑产在作恶的过程中，它会通过公域或私域的圈子、社群传播他的信息。比如说以公域来讲。就会有各种各样的线报平台，黑灰产之间会彼此分享这些业务安全的漏洞。其次还有私域，比如说像一些社群和知识圈子等。这里的差异在于，从价值来讲，据我们观察，私域的业务安全情报、威胁情报的价值应该比公域要高些，因为从整个传播链路来讲，这些业务安全漏洞往往都是先在某个比较核心的私域黑灰产圈子传播，然后在公域传播。所以从价值来讲，那些比较核心的黑产私域圈，其有效性和价值会高些，但这其中的深度和难度也会大些，公域比私域相对要滞后些。

其次的话其实还是要看具体场景，比如营销或虚假注册等这些需要使用到手机黑卡场景，黑灰产的整个链路会通过接码平台进行服务，接码平台这样一个情报源就非常重要。如果我们捕获到了这些号码属于接码平台，那就算今天没有在我们这里作恶，但对于我们来说其实它也可以列入黑名单或者加入其他的管控等。然后这里的话可能主要是这几个维度。

Q4：暗网怎么访问？

A4：暗网其实是需要有专门的浏览器才能进入的，而且暗网有一个特点，它不像普通的互联网，比如说我们可以通过普通的浏览器谷歌或百度搜索到。所以暗网这一块其实是比较大的一个课题，有兴趣的话可以私下交流。

Q5：SDK数据泄露怎么防范？

A5：SDK数据泄露的话，我觉得至少有两个大的方面。第一个首先，从国内法规来讲。去年个保法之后。然后其实对数据采集提出了明确的要求。以前相对这一块其实是乱象丛生的。基本上每个APP里面都嵌了各式各样的SDK，每个SDK里面的各种权限也比较大，各种数据都采集一通之后，也会有SDK的提供方把数据采回到他自己那里去，然后用在其他用途。我觉得第一个首先是要在这个APP里面与这些SDK的提供方，从这种法律法规以及产品的层面去约束清楚。从法律层面，比方说我授权你能做什么，以银行为例，它在反欺诈的过程中会嵌入第三方SDK，但它在这块会有明确的条款约定，包括给用户披露SDK具体会采集哪些维度的用户信息、设备信息、网络信息等。同时它会限定SDK采集的数据只能用于自己，同时它也会跟SDK提供方去签一个相应的条款去约束它，这个条款是一个大的约束前提。如果说他超出了，那么他就是在违法。尤其是去年个保法出了之后，各大公司对这一块非常谨慎。除了这种就是法律层面的约束之外，其次是需要去做检测识别，前面是防君子，后面的检测是防小人，就是通过技术手段去做检测。其实从大的这两个方面来说，是能够达到管控效果的。

Q6：黑灰产对API的攻击的手法和趋势是如何的？

A6：这里笼统来说的话会有几个方面，数据这一块有越来越多的API开放给线上，这有一个比较大的风险就是数据泄露，我们之前也看到了一些API线上的实例，它没有健全或者健全有缺陷的话，可能会造成黑灰产利用这些健全的漏洞批量的拉取数据，当前对企业来说是一个比较大的风险，因为国家对个人的隐私数据保护也是提出了比较严格的要求。

其次，就API这一块的风险来讲，我可能了解的不太多。黑灰产会在一些业务安全场景里面利用API去篡改数据之后获取一些假包，进行欺骗。其实这一块其实也可能会对业务场景造成比较大的损失。这是我关注到的黑产比较集中的两个风险领域。

Q7：之前提到的撸贷款这里，银行也是有风险控制模型的，这个银行模型难道拦不住吗？很多银行拦截黑产的拦截率还是挺高的。

A7：其实前面提到了银行是有比较严密的一个贷前、贷中、贷后的防控体系。黑灰产对抗这里尤其是金融场景，它的收益是非常大的，比如说以撸贷款为例，它的单笔撸贷金额。小的话能到几万块，大的话能到十几二十万的一个金额。银行有它的一个反欺诈规则及其大数据模型。但是，它的整个反欺诈或者风控体系是依赖于你的输入信息是真实的，比如说它依赖于你的企业信息，社保信息，公积金信息等。它的模型没有问题，但是黑灰产自己或者说它帮助用户包装了之后，其实信息是不真实的，比如说前面提到的补缴公积金，可能开始那个人是没有工作的，然后把他包装到这个企业下面补缴了两年的公积金之后，从公积金信息接口查询到这个用户确实有工作，而且交了两年的公积金。从这个模型来看，其实在银行的眼里这就是他的一个优质客户。所以本质就是模型依赖的数据出了问题，数据不可信。这里一个本质原因也是因为在很多场景下面，银行方和黑产的信息不对称，银行只有一个源头，通常很难有多个源头区交叉核验这块的信息，然后同时不管你有多快的迭代速度，他银行都有一个共同的规则，黑产其实可以通过试错的方式去猜测其规则和模型，然后再通过试探来绕过整个的防控规则和模型。

Q8：有没有经验可以提高算法的准确度或者是模型？

A8：其实提高算法的准确度核心的核心还是需要依赖于数据，比如说我们现在以金融场景为例，除那些封控规则之外，都会通过这种机器学习算法，机器学习算法的算法的核心是需要有足够多的样本，然后通过带Y的样本再去迭代模型，其实本质还是样本的丰富度和样本的数量，其实这里足够多的话相对它模型的精确度来说是会有一个提升的。其次，还可以把模型跟这种传统的专家们的经验和专家规则两者进行结合。

Q9：在暗网上面发现公司的客户信息被贩卖，应该怎么去做处置？

A9：当发现了之后，首先需要做一个核验，不要轻信，绝大部分的信息贩卖很多都是通过各式各样的泄露库、社工库，还有一些陈年老库拼装起来的，所以第一步肯定是需要去核实真伪，比如说通常还会提供样例信息，或者说能不能以较低成本先买一些样例数据这样的方式去核实一下真伪，然后再去作判断。接触暗网的人会了解到，这一块真的是形形色色的人都有的。

Q10：金融行业有活体人脸识别绕过的情况吗？有的话如何防护？目前主流做人脸识别的一些公司似乎都存在一些被绕过的情况。

A10：首先从三个维度来回答这个问题。第一个首先技术上肯定能够绕过，而且确实也有成功绕过的情况发生。另外的话针对金融的动态人脸核验被黑产绕过，怎么样去防范？首先，没有永远安全的技术，在人脸核验这里也是一样的，这里需要加一些其他维度的辅助信息去综合判断的。如果只从单因素人脸核验的角度去说提升技术，提升准确性或者说是识别率，提升之后黑产也可以提升啊。比如说以三色为例，如果变成四色五色，或者动态人脸核验，把动作变复杂，一方面用户体验感下降，另外提高黑产的成本。除了人脸核验之外，我们还通过其他用户的风险维度信息，比如说信息的置信度、网络环境、位置信息以及一些行为有无异常等进行综合判断。其实是比单维做人脸核验是更容易且更有效。

Q11：很多做安全的大部分都是在做基础安全，也有一部分在做业务完全。请问从基础安全的角度怎么切入黑灰产业务完全的？

A11：其实这里要解决的第一个问题就是做业务安全一定要了解业务，就是你要了解业务是怎么玩的，业务是怎么走的。如果不了解业务，作业其实是很难开展。比如说前面我们讲到的撸贷撸卡，我们要知道整个的一个金融机构的作业流程，风控流程以及风控体系怎么样的，同时知道各个业务环节里面的一些细节，其次还需要知道整个黑灰产的手法，这里的重要一环是前面提到的情报，通过情报信息扩充整个情报的数据源，然后通过情报的CASE的研究，其实你就能够不断地了解到黑灰产的一个玩法及其关注领域，它的一整个上下游是怎样的，它的作恶链路是怎样的，这一块了解清楚后才能有针对性的，去针对业务安全这块有的放矢地去做一些策略和对抗。

‍