F5 安全专栏 | 合谋欺诈:合谋操纵系统的艺术
过去几年里,采用平台商业模式的公司(如Uber、Airbnb、PayPal等)如雨后春笋般涌现,他们将服务提供商(如餐厅和司机)与消费者进行匹配并向用户隐藏幕后复杂的处理流程(如支付)。这种商业模式的快速兴起正中欺诈者的下怀,他们擅长隐秘地操纵系统,并利用合法的业务流程,从中非法获利。F5 Labs发现,攻击者与扮演平台不同角色的其他参与者相互勾结进行数字系统欺诈。我们将这种现象称为合谋欺诈,本文将对其进行讨论。
什么是合谋欺诈?
合谋欺诈是指两个或多个参与者在多个参与者群体参与的数字业务交易中,合谋欺诈另一个参与者。随着越来越多的数字化企业开始采用可提供多种服务的平台,这种类型的欺诈日渐猖獗。
举例来说,在线电子商务提供商的数字平台可支持消费者选择卖家和商品,并提供商品配送服务。该平台上的单一业务交易提供在线处理、付款、备货、物流和配送。完成这些活动需要来自不同领域的多个提供商的服务,处理过程有时会脱离平台的控制。
为完成这些涉及多个操作步骤的业务交易而开展的多个服务提供商协作,给欺诈者提供了可乘之机。欺诈者设计黑客手段,以便可以快速牟利,将作为主交易的副产品产生的回报收入囊中,例如返现奖励(消费者因使用某个系统而获得的奖励,例如申请或使用信用卡或小费)。这些副产品通常与主交易分开管理,如果消费者或其他参与者已经使用了它们,则通常很难通过欺诈后检测得以挽回。
合谋欺诈实例
任何垂直行业都可能会发生合谋欺诈事件。F5 Labs和Shape Security研究人员追踪了两起欺诈事件,这些事件揭示了合谋欺诈的典型方式。在这两起事件中,欺诈者以酬金和积分返现的形式获利。
案例一:领先的餐饮公司
第一起欺诈事件涉及一家领先的餐饮(F&B)公司,合谋欺诈表现为小费滥用。该公司的数字平台通过整合餐厅网点、物流需求和在线支付,为客户提供了便捷的服务。图1为完成包含小费的在线交易的合法过程。
图1.餐饮提供商平台上的订单流程。
在该事件中,消费者欺诈者和外卖员相互串通,将盗取的信用卡变现。他们的合谋欺诈步骤是:
1.欺诈者使用盗取的信用卡下达金额超过300美元的订单,并慷慨给予小费(通常超过订单金额30%)。
2.根据标准合法流程完成订单,如图1所示。
3.信用卡所有者发现该交易并就费用问题向银行提出异议。餐饮平台对该订单进行全额退款(银行对有争议的欺诈性交易进行的交易撤销),包括小费。
4.外卖员的小费无法退还。
Shape安全数据显示,短短三个月的时间里,仅该餐饮在线平台便接收到近3,000份合谋欺诈订单,累计价值150万美元,小费金额约350,000美元。
案例二:领先的在线支付钱包
第二起欺诈事件涉及一个领先的在线支付钱包,合谋欺诈形式是返现奖励。图2记录了由消费者发起的合法交易流程。
图2.消费者赚取和消费返现奖励的流程。
在该事件中,消费者和商家X通过以下方式合谋骗取支付钱包平台的奖励积分:
1.消费者使用支付钱包平台从商家X购买商品。
2.如图2所示,消费者赚取奖励积分,然后使用积分从商家B购买商品。返现奖励消费完成后,商家X将以缺货等原因全额退还给用户。
3.支付钱包将奖励积分全部退还给用户,但返现奖励无法收回。
结语
随着数字服务和平台业务的发展,消费者将被返现奖励以外的各种奖励措施所吸引。欺诈者总能找到办法合谋利用这些奖励措施,进而导致产生更多类型的合谋欺诈。
建议
合谋欺诈难以检测,需要利用人工智能技术大规模滤除此类交易。F5建议采用以下安全控制措施:
·使用人工智能驱动的分析模型、聚类组和事务检测合谋欺诈行为。
·随着欺诈技术的演变,不断训练AI模型。
关于作者
Shahnawaz Backer
Shahnawaz Backer是F5 Labs的首席安全顾问。他对现代应用开发、数字身份和欺诈向量有着浓厚的兴趣,专注于在解决方案中构建安全智能,并对实现自动化主动防御抱有坚定信心。
Yiing Chau Mak
Mak是Shape/F5的数据科学团队主管。他负责监督Shape AI Fraud Engine(SAFE)等各种数据驱动产品的分析和算法。他喜欢摆弄数据和构建工具,以提高数据的可视化和可访问性。在加入Shape/F5之前,他参与建立了新加坡国家网络安全机构。