当前位置:首页 >  IDC >  安全 >  正文

某金融征信平台遭爬虫疯狂“洗劫”,金融机构如何“反爬”?

 2023-01-03 17:13  来源: 互联网   我来投稿 撤稿纠错

  【推荐】海外独服/站群服务器/高防

大数据时代,数据是市场竞争的重要资源,因此利用网络爬虫恶意爬取数据的事件频繁发生。今年上半年,某银行电子结算中心承建的线上征信平台“某某融”,就遭到了恶意爬虫的疯狂“洗劫”。

某金融征信平台疑似遭爬虫疯狂“洗劫”

“某某融”平台是中小微企业信用信息和融资对接平台,目的是实现资金供需双方线上高效对接,提高企业金融服务的可得性、覆盖率和满意度,目前已接入207家银行机构的1.3万个网点,注册企业155万家。

根据相关规定,“某某融”平台向辖内各商业银行免费提供信息查询服务,但只允许商业银行以人工访问方式进行逐条信息查询。然而,“某某融”平台的技术人员却发现,每天一到凌晨,系统后台就出现了大量的查询请求,并持续整个后半夜,但到底是谁在查询却对不上号。

很显然,这并不是正常的用户行为,更像是利用自动化工具的恶意爬虫行为。一旦被恶意爬虫盯上,平台很可能会遭遇敏感数据泄露,导致大量企业和用户利益受损,影响金融机构的公众威望。此外,大量爬虫恶意数据请求会不断霸占业务服务器性能,影响平台的正常运行,从而导致用户体验下降,为平台的安全运营带来了极大的挑战。

为此,“某某融”平台火速搬来了救兵——业内知名的Bots自动化攻击防护专业厂商瑞数信息,誓要抓出潜伏在黑暗中的恶意爬虫。

瑞数信息“反爬虫”之战

瑞数信息第一时间为“某某融”平台部署了一款“反爬虫利器”——瑞数动态应用保护系统 Botgate。

此系统以瑞数信息独创的“动态防护”技术为核心,不基于任何特征、规则及阈值的方式进行防护,能够有效识别和防御自动化攻击。具体而言,有4大技术能力:

动态令牌:对当前页面内的合法请求地址授予一定时间内有效的动态令牌,并为每个客户端生成不依赖于设备特征的唯一标识。令牌的动态变换,加上客户端唯一标识,就如同身份证一样难以伪造,可以阻拦非法的自动化攻击请求。

人机识别:通过动态令牌、客户端环境检测、客户端行为识别等方式,验证浏览器/APP的真实性,检查动作的真实性,实现对访问客户端的人机识别,从而阻拦自动化攻击行为。

代码混淆封装:灵活运用Web代码混淆、JS混淆、前端反调试、Cookie混淆、中间人检测等多种功能,对页面逻辑、代码、内容关键元素等进行混淆封装,对自动化攻击进行动态干扰,防止业务被逆向分析。

威胁透视:利用独有的全程式业务威胁感知和智能分析技术,以及内置的通用自动化威胁模型,准确透视细粒度的机器人行为,为精准判定自动化攻击提供有效威胁数据。

基于动态应用保护系统Botgate,瑞数信息很快发现“某某融”平台的不动产、备案等系统,在一个月的时间内遭遇了570多万起自动化恶意爬虫行为,已占据了正常请求的近1/4。

进一步分析发现,恶意爬虫为了登录账号,利用了弱密码、暴力破解等方式,并大量使用自动化工具,非法查看敏感数据。

检测数据显示,爬虫账号高达172个,异常IP有90个。其中,涉及简单脚本的IP 90个,重放攻击的IP 72个,破解行为的IP 48个,调试行为的IP 25个,高级自动化工具的IP 13个。

从非工作时间业务查询行为看,凌晨0点至6点期间存在产权查册发起页面加载、发起产权查册查询、产权查册历史查询记录、查看产权查册明细的行为。

总体而言,“某某融”平台已被恶意爬虫“洗劫”,面临着账号滥用、自动化工具滥用、非工作时间高频访问、业务逻辑被逆向分析、敏感数据被滥用等多重业务安全问题。

对此,瑞数信息根据“某某融”平台业务需求,定制了灵活的防护策略:既可以针对异常IP和行为进行自动化拦截、按比例拦截,也可以对频繁访问请求做延迟,或发起二次动态挑战,还可以限定特定IP超过一定时间不能访问等等,在保护数据安全的同时也不影响业务的正常运转。

整治金融爬虫需要“动态安全”新技术

“某某融”平台爬虫事件其实并非个例。恶意数据爬虫攻击是自动化攻击请求中占比最大的一类,金融、互联网、政企、医疗卫生、教育等行业,都遭受着持续不间断的爬虫访问。瑞数信息《2022 Bots自动化威胁报告》显示,2021年根据瑞数信息监测到的恶意爬虫攻击达到1000亿+以上。

近年来,随着互联网金融服务体系的快速增长,越来越多的金融业务构建在Web、H5、App、API、微信和小程序等多种业务渠道上,应用敞口风险暴露面随之增大,各类变化多端的爬虫攻击也趁虚而入,导致企业数据泄露风险加剧。

据瑞数信息技术专家介绍,在金融行业,交易、支付、信贷、营销等业务场景都是爬虫攻击的重灾区。比如,爬取企业征信报告,盗取用户个人网银、交易支付记录、信用卡账单等,都是为了获取敏感数据以博取高额利润。

尽管爬虫带来了巨大的业务安全风险,但为何金融行业的恶意爬虫屡禁不止?

瑞数信息技术专家表示,爬虫技术多年来一直在不断演进,不仅精通各种代码语言,甚至在使用机器学习等AI技术,不断挑战着现有防护体系,由此带来了三大防护难点:

第一,恶意爬虫使用了大量高级自动化工具,能够不断变化自身来源,以多源低频的方式,绕过传统规则库;

恶意爬虫能够伪造UA信息,不断变化环境信息,骗过传统特征库;

第三,恶意爬虫使用了高度拟人化的武器库,通过资源链接、相互调用,能够发起模拟真人的操作行为,迷惑现有的风控规则。

瑞数信息技术专家指出,爬虫技术的快速迭代升级,导致依赖规则、特征的传统安全技术和风控技术都无力应对,金融机构必须寻求新的技术方案才能对抗新的爬虫技术。正因如此,“动态安全”作为一种颠覆传统安全被动式防御的新技术,创新地提出动态防御、主动防御概念,成为新时代反爬虫的理想选择。

作为“动态安全”技术的首创者,瑞数信息推出的第一款产品就是“瑞数动态应用保护系统Botgate”,由于能够高效甄别伪装和假冒正常行为的各类已知和未知自动化攻击,并能够进行有效的阻断防护,因此Botgate称得上是一款高效反爬虫的利器。

除此之外,瑞数信息还将“动态安全”技术和AI技术融合起来,涵盖了机器学习、智能人机识别、智能威胁检测、全息设备指纹、智能响应等AI技术,对客户端到服务器端所有的请求日志进行全访问记录,持续监控并分析流量行为,实现精准攻击定位和追踪溯源,并对潜在和更加隐蔽的攻击行为进行更深层次的分析和挖掘,这将更加精准、持续的对抗恶意爬虫带来的自动化攻击。

结语

金融服务数据正受到空前的关注,对数据的争夺所引发的安全对抗也愈加激烈。面对恶意爬虫技术的不断升级,金融机构亟需转向以“动态安全”为核心的新安全技术,提高对自动化工具访问的识别能力,提升自身系统的数据安全能力,建立起数据反爬的铜墙铁壁。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
数据安全

相关文章

  • 从“毕业生盗取学生信息”事件,看高校数据安全的六个问题、三个关键

    这两天,一则#盗学生信息人大毕业生被刑拘#新闻冲上热搜,引发热议。中国人民大学毕业生马某,在读硕士研究生期间通过非法技术手段,盗取了近几届学生的个人信息,并制作成网页供任何人随意浏览,甚至能够给该校女学生的颜值打分。*据网上爆料,这个名叫“RUCIRFACE”的颜值打分网站疑似包含了该校从2014级

    标签:
    数据安全
  • 2023美创科技百城巡展|首站北京迎来新老朋友,百家聚势共拓数安蓝海

    “新起点新战略共赢数安蓝海”2023年4月在首届渠道高峰论坛上美创通过一系列革新之举传递了坚定渠道化战略的决心2023年5月步履不停,加速渠道战略下沉与全国各地伙伴更深入沟通,互信赋能美创2023百城巡展正式启航5月23日,美创2023百城巡展·北京首站成功举办,100余家北京区域合作伙伴相聚,同奏

    标签:
    数据安全
  • 瑞数信息加入UOS主动安全防护计划(UAPP),构筑可信可控的数字安全屏障

    近日,由统信软件与龙芯中科联合主办,电子工业出版社华信研究院与北京信息化协会信息技术应用创新工作委员会支持的“2023通明湖论坛信息技术基础底座创新发展分论坛”在北京正式举办。会上,UOS主动安全防护计划(UAPP)2023授牌仪式正式举行,瑞数信息正式成为UAPP成员单位。UAPP授牌仪式当前,以

    标签:
    数据安全
  • 海泰方圆《数字政府密码应用与数据安全合规性建设指南》顺利通过评审

    近日,海泰方圆《数字政府密码应用与数据安全合规性建设指南》(以下简称《指南》)顺利通过专家评审。会议邀请来自中国信息协会、北京电子科技学院、中国电子技术标准化研究院、中国科学院信息工程研究所、水利部信息中心的专家对该《指南》进行评审。作为牵头编写企业,海泰方圆高级副总裁Zoe柳及数据安全事业部总经理

    标签:
    数据安全
  • 数字中国丨闪捷信息受邀出席,全栈数据安全能力广受关注

    4月27日,由国家网信办、国家发改委、工信部、福建省人民政府主办的第六届数字中国建设峰会在中国福州举办。该峰会旨在通过政策发布、经验交流、成果展示等方式,推动交流互鉴,促进开放合作。闪捷信息受邀出席本届峰会发表主题演讲,全面展示全栈数据安全技术与服务能力。【主题展区】本次闪捷信息的主题展区以云·管·

    标签:
    数据安全

热门排行

信息推荐