隆重推出Cloudflare Fraud Detection

過去幾年當(dāng)中，隨著新冠疫情（COVID-19）爆發(fā)，世界也隨之發(fā)生了變化。一切都轉(zhuǎn)移到了線上：學(xué)校，工作，令人意外地，還有欺詐。盡管某種程度的網(wǎng)絡(luò)欺詐已經(jīng)存在了數(shù)十年，但美國聯(lián)邦貿(mào)易委員會（Federal Trade Commission）報(bào)告稱，消費(fèi)者在2022年因欺詐而損失接近88億美元（較2019增長逾400%），且這一令人不安的趨勢仍在延續(xù)。疫情期間人們獨(dú)處的時(shí)間比以往任何時(shí)候都要多，不僅讓他們更容易被盯上，也更容易受到欺騙。與個(gè)人一樣，企業(yè)也成了這些趨勢的受害者：根據(jù)普華永道（PWC）的全球經(jīng)濟(jì)犯罪和欺詐調(diào)查，收入在100億美元以上的公司中半數(shù)都經(jīng)歷過某種程度上的數(shù)字欺詐。

機(jī)器人攻擊方面存在相似的情況。Cloudflare Bot Management幫助客戶識別在線詐騙背后的自動化工具，但需要注意的是，并非所有詐騙都是由機(jī)器人實(shí)施的。如果目標(biāo)具備足夠的價(jià)值，惡意行為者就會通過真實(shí)的人來實(shí)施對在線應(yīng)用的利用。安全團(tuán)隊(duì)必須要意識到需要關(guān)注的不僅僅是機(jī)器人，才能更好地保護(hù)在線應(yīng)用程序，并應(yīng)對現(xiàn)代在線欺詐。

今天，我們隆重推出Cloudflare Fraud Detection（欺詐檢測）。Fraud Detection將為您提供精確、易于使用的工具，可以在幾秒鐘內(nèi)部署到Cloudflare網(wǎng)絡(luò)上的任何網(wǎng)站，以幫助檢測和分類欺詐。對于我們在網(wǎng)站上檢測到的每種欺詐行為，您將能夠選擇對您來說最合理的操作。雖然一些客戶希望在我們的邊緣阻止欺詐性流量，但其他客戶可能希望通過標(biāo)頭傳遞此信息，以便與他們自己的應(yīng)用程序構(gòu)建集成，或使用我們的Cloudflare Workers平臺針對高風(fēng)險(xiǎn)用戶僅提供加載了較少功能的在線體驗(yàn)以降低受到侵害的風(fēng)險(xiǎn)。

今天的在線欺詐形勢

當(dāng)我們與受到復(fù)雜在線欺詐影響的企業(yè)及組織交談時(shí)，我們從沮喪的安全團(tuán)隊(duì)那里聽到的第一件事是，他們知道他們可以做些什么來阻止欺詐：他們建議在注冊時(shí)要求電子郵件驗(yàn)證，對所有登錄強(qiáng)制執(zhí)行雙因素身份驗(yàn)證，或者阻止來自匿名VPN或發(fā)現(xiàn)異常高比例退款的國家或地區(qū)的在線購買行為。所有這些措施無疑會減少欺詐，但它們也會讓用戶體驗(yàn)變得更糟。每家公司都同樣會擔(dān)心糟糕的用戶體驗(yàn)會造成用戶流失、進(jìn)而導(dǎo)致收入下降，而對于大多數(shù)普普通通的在線欺詐來說，這個(gè)代價(jià)就太高了。

對于那些選擇保留無障礙用戶體驗(yàn)并承擔(dān)欺詐成本的公司來說，我們看到了兩大影響：基礎(chǔ)設(shè)施成本增加，員工效率下降。濫用帳戶創(chuàng)建端點(diǎn)或服務(wù)可用性端點(diǎn)的不良行為者通常使用大量高度分布式的HTTP請求來進(jìn)行此操作，這些請求在基于IP的速率限制規(guī)則下快速通過民用代理。如果沒有確定的方法來識別欺詐性流量，公司就會被迫擴(kuò)大其基礎(chǔ)設(shè)施，以便能夠服務(wù)于請求流量的新峰值，即使他們知道這些流量的大部分是非法的。而工程、信任和安全團(tuán)隊(duì)則會面臨一項(xiàng)全新的職責(zé)：定期禁止可能永遠(yuǎn)不會再使用的IP地址，定期從超過極限的數(shù)據(jù)庫中清除欺詐數(shù)據(jù)，有時(shí)甚至?xí)坏靡炎兩沓蔀槊逼鋵?shí)的“欺詐調(diào)查專員”。結(jié)果，組織產(chǎn)生了更大的成本，卻沒有給客戶帶來更大的價(jià)值。

減少現(xiàn)代欺詐同時(shí)不必犧牲用戶體驗(yàn)

組織已經(jīng)明確地告訴我們，有效的欺詐管理解決方案需要在惡意行為者創(chuàng)建欺詐帳戶、使用被盜信用卡或竊取客戶數(shù)據(jù)之前有效地阻止他們，同時(shí)確保真實(shí)用戶的用戶體驗(yàn)順暢無阻。我們正在構(gòu)建具有創(chuàng)新性且高度精準(zhǔn)的檢測方案，以此來應(yīng)對我們從世界各地的企業(yè)所了解到的四種最常見的欺詐手段：

·欺詐帳戶創(chuàng)建：惡意行為者注冊許多不同的帳戶以獲得促銷獎勵，或獲得比單個(gè)用戶能夠獲取的更多的資源。

·帳戶接管：通過使用從其他網(wǎng)站竊取的用戶名和密碼組合、猜測弱密碼或?yàn)E用帳戶恢復(fù)機(jī)制等方式，未經(jīng)授權(quán)訪問合法帳戶。

·信用卡測試和欺詐交易：測試被盜信用卡信息的有效性，或使用這些信息購買商品或服務(wù)。

·加速：通過繞過正常的用戶流程，以比正常情況下更快的速度完成訂單，從而獲得限量供應(yīng)的商品或服務(wù)。

企業(yè)及組織必須充分了解欺詐檢測背后的一系列決策及預(yù)測的背景依據(jù)，才能確保防御欺詐管理解決方案足夠安全有效。這被稱為可解釋性。例如，僅僅知道一個(gè)注冊嘗試被標(biāo)記為欺詐是不夠的。例如，您需要知道，如果注冊是欺詐性的，用戶提供的哪個(gè)字段使我們認(rèn)為構(gòu)成問題，為什么構(gòu)成問題，以及其是否屬于一個(gè)更大的模式。當(dāng)我們發(fā)現(xiàn)欺詐行為時(shí)，我們將傳遞以上級別的詳細(xì)信息，以便您可以確保我們只將惡意行為者拒之門外。

應(yīng)對現(xiàn)代網(wǎng)絡(luò)欺詐時(shí)，每一家企業(yè)對可接受的風(fēng)險(xiǎn)都有不同的想法，一旦發(fā)現(xiàn)欺詐，處理欺詐的偏好也存在差異。為了給客戶最大的靈活性，我們正在構(gòu)建Cloudflare的欺詐檢測信號以供單獨(dú)使用，或以最適合每個(gè)客戶的風(fēng)險(xiǎn)狀況和用例的方式，讓大家可以在比較熟悉的Cloudflare防火墻規(guī)則管理界面與其他Cloudflare安全產(chǎn)品及功能結(jié)合使用。我們將提供模板化的規(guī)則和建議來提供指引，幫助客戶熟悉新功能，但每個(gè)客戶都可以選擇完全定制他們想要保護(hù)每個(gè)互聯(lián)網(wǎng)應(yīng)用程序的方式?？蛻艨梢栽谶吘壸柚?、限制速率或質(zhì)詢請求，也可以在請求標(biāo)頭中將這些信號發(fā)送到上游，以觸發(fā)自定義的應(yīng)用內(nèi)行為。

Cloudflare為數(shù)百萬個(gè)站點(diǎn)提供應(yīng)用性能和安全服務(wù)，我們平均每秒處理4500萬個(gè)HTTP請求。這種龐大的多樣性和流量的規(guī)模使我們處于一個(gè)獨(dú)特的位置，能夠分析和挫敗在線欺詐。我們已經(jīng)構(gòu)建了Cloudflare Bot Management來運(yùn)行我們的機(jī)器學(xué)習(xí)模型，該模型可以在我們處理的每個(gè)請求中檢測自動化流量。為了更好地解決更有挑戰(zhàn)性的用例，如在線欺詐，我們將本已閃電般快速高效的機(jī)器學(xué)習(xí)性能做了進(jìn)一步提升?，F(xiàn)在的機(jī)器學(xué)習(xí)模型執(zhí)行時(shí)間基本不會超過0.2毫秒，這為我們提供了一個(gè)可并行運(yùn)行多個(gè)特定的機(jī)器學(xué)習(xí)模型的架構(gòu)，且同時(shí)不會減慢內(nèi)容交付速度。

阻止虛假帳戶創(chuàng)建，

加強(qiáng)Cloudflare的縱深防御

客戶要求我們解決的第一個(gè)問題是檢測虛假帳戶創(chuàng)建。Cloudflare完全有能力解決這個(gè)問題，因?yàn)槲覀兛吹降膸魟?chuàng)建頁面比其他任何公司都多。使用來自客戶的虛假帳戶攻擊采樣數(shù)據(jù)，我們開始研究注冊提交數(shù)據(jù)，以及我們的Cloudforce One團(tuán)隊(duì)編制的威脅情況能如何提供幫助。我們發(fā)現(xiàn)，Cloudflare One產(chǎn)品中使用的數(shù)據(jù)已經(jīng)能夠識別72%的虛假帳戶，這是基于惡意行為者提供的注冊詳細(xì)信息，比如他們在攻擊中使用的電子郵件地址或域名。我們正在繼續(xù)增加更多特定于虛假帳戶的威脅情報(bào)數(shù)據(jù)來源，以使這一數(shù)字接近100%。除了這些基于威脅情報(bào)的規(guī)則之外，我們還使用這些數(shù)據(jù)訓(xùn)練新的機(jī)器學(xué)習(xí)模型，這些模型將根據(jù)我們在Cloudflare網(wǎng)絡(luò)中看到來自數(shù)百萬個(gè)域的情報(bào)，發(fā)現(xiàn)各種趨勢，例如流行的欺詐性域名。

通過加速檢測來降低欺詐效率

客戶要求我們優(yōu)先考慮的第二個(gè)問題是加速。提醒一下，加速意味著比普通用戶更快地訪問一系列網(wǎng)頁，有時(shí)為了有效地利用資源，會跳過網(wǎng)頁的順序。

例如，假設(shè)您有一個(gè)帳戶恢復(fù)頁面，該頁面正在被一群老練的惡意行為者濫用，尋找他們可以竊取重置令牌的易攻擊用戶。在這種情況下，欺詐者可以訪問大量有效的電子郵件地址，他們正在測試哪些地址可能用于您的網(wǎng)站。為了防止您的帳戶恢復(fù)過程被濫用，我們需要確保和真實(shí)的用戶行為相比，沒有人可以更快地完成帳戶恢復(fù)過程，或者以與真實(shí)用戶行為不同的順序完成帳戶恢復(fù)過程。

為了在您的網(wǎng)站上完成有效的密碼重置操作，您可能知道用戶應(yīng)該執(zhí)行以下操作：

·發(fā)送GET請求來顯示登錄頁面

·向登錄頁面發(fā)送一個(gè)POST請求（收到登錄頁面HTML后至少1秒）

·發(fā)送GET請求來顯示帳戶恢復(fù)頁面（收到POST響應(yīng)后至少1秒）

·向密碼重置頁面發(fā)送POST請求（在收到帳戶恢復(fù)頁面HTML后至少1秒）

·完成以上過程的總時(shí)長不到5秒

為了解決這個(gè)問題，我們將依靠用戶存儲在令牌中的加密數(shù)據(jù)，以幫助確定用戶是否在合理的時(shí)間內(nèi)訪問了在網(wǎng)站上執(zhí)行敏感操作需要的所有頁面。如果帳戶恢復(fù)過程被濫用，我們提供的加密令牌將作為VIP通行證，僅允許授權(quán)用戶成功完成密碼恢復(fù)過程。如果用戶沒有按照正確的順序和時(shí)間通過正?；謴?fù)流程，他們將被拒絕進(jìn)入以完成密碼恢復(fù)。通過迫使惡意行為者必須像合法用戶一樣操作，使得他們檢索哪些被入侵的電子郵件地址可能在您的網(wǎng)站上進(jìn)行了注冊這一任務(wù)變得極其緩慢，進(jìn)而被迫放棄、轉(zhuǎn)移到其他目標(biāo)。

以上只是我們用于識別和阻止欺詐的第一批技術(shù)中的兩項(xiàng)。我們還在構(gòu)建帳戶接管和信用卡濫用檢測，我們將在未來的博客中討論。隨著在線欺詐的不斷演變，我們將繼續(xù)構(gòu)建全新且獨(dú)特的檢測方法，利用Cloudflare的獨(dú)特優(yōu)勢來幫助維持互聯(lián)網(wǎng)安全。

如何參與試用？

Cloudflare的使命是幫助構(gòu)建更美好的互聯(lián)網(wǎng)，其中包括應(yīng)對現(xiàn)代網(wǎng)絡(luò)欺詐的演變。如果您在遭到欺詐后花費(fèi)數(shù)小時(shí)進(jìn)行善后，或者厭倦了向惡意行為者服務(wù)Web流量，歡迎在這里提交聯(lián)系信息，以參加2023年下半年的Cloudflare Fraud Detection功能優(yōu)先體驗(yàn)。參與優(yōu)先體驗(yàn)的客戶可以選擇提供訓(xùn)練數(shù)據(jù)集，使我們的模型對其用例更有效。同時(shí)還將有權(quán)限測試我們的最新模型，以及后續(xù)推出的更多欺詐保護(hù)功能。