预计到 2028 年,线上账户开立数量将以每年超过 13% 的速度增长,这增加了新账户欺诈的风险。虚假账户创建是指使用伪造或盗用的身份信息开设账户的过程。这看似是注册系统的问题,但本质上是一个经济问题。攻击者大规模创建账户,是因为其成本低而潜在回报高。成功的防御措施需要为攻击者提高这一成本,直到此类操作对他们而言有利可图。
下面,我们将探讨如何检测虚假账户、为何注册环节是攻击者的首选入口,以及注册层面的检测如何融入更广泛的欺诈防御体系。
要点
虚假账户通常是为下游滥用行为提供入口的基础设施,例如薅免费试用羊毛、应用程序编程接口 (API) 数据爬取以及支付欺诈等。
虚假账户检测在很大程度上依赖于关联注册过程中的设备、网络、行为以及身份等多维度信号。
能够检测虚假账户创建的系统可以增加恶意注册所需付出的努力。此类系统可以与注册后的监控相结合,以捕获那些漏网或之后转变为欺诈行为的账户。
什么是虚假账户创建?
虚假账户创建是一种欺诈行为,涉及使用虚假或被盗信息开设账户。这些信息可能包括生成的电子邮件地址、VoIP(网络电话)号码(即通过虚拟号码而非固定电话进行通话)、虚构的姓名,或者将不属于同一真实个人的数据组合在一起使用。
虚假账户与正常账户的主要区别在于意图。真实用户注册是为了使用您的产品。而虚假账户的创建,则是为了从平台攫取价值,或是为了实现某种形式的滥用。
虚假账户创建的动机是什么?
创建虚假账户很少是最终目的。它通常是实现其他形式滥用的基础设施。
以下是攻击者创建虚假账户的原因。
免费试用和促销滥用
任何注册激励措施都可能成为攻击目标:免费试用、额度赠送、推荐奖励或注册红包等。攻击者会大规模创建账户以反复领取这些福利。一次有组织的攻击行动可能在数小时内耗尽整个推广预算。
垃圾信息与平台操纵
在交易市场、社交平台和点评网站上,虚假账户是进行操纵的原材料。它们可用于发布虚假评论、刷高粉丝数、制造协同互动以及其他形式的虚假活动。
API 和数据抓取
网络爬虫利用 API 来提取网站数据。通常情况下,已认证的用户比匿名流量享有更高的 API 速率限制。攻击者借助虚假账户,可以将爬取活动分散到多个已认证的会话中,从而绕过单个账户的速率限制。
凭证填充攻击的基础设施
实施凭证填充攻击的攻击者需要相应基础设施。注册流程可被用来验证邮箱格式、测试哪些域名可以接收邮件,或创建账户以便后续用于测试被盗凭证。在某些情况下,新创建的账户还会被出售,或作为更大规模欺诈活动的一部分被重复使用。
支付欺诈的准备工作
在金融或电商平台环境中,虚假账户可用于测试被盗的卡号、进行小规模的盗卡试探,或者建立一个暂时看似合法的商业身份,以争取足够的时间来处理欺诈交易。
在注册过程中,有哪些可用于识别虚假账户创建的警示信号?
没有任何单一信号可以可靠地识别出虚假账户。检测需要通过结合多种信号来实现,这些信号综合在一起后,很难被解释为正常用户行为。
以下是一些可能表明存在恶意意图的警示信号。
电子邮件信号
一次性电子邮件域:临时收件箱服务常被滥用,因为使用它们可以轻松创建账户而无需维护长期访问权限。一些知名的临时邮箱服务商容易封禁,但较小的服务商会持续轮换域名以规避黑名单。
生成的别名模式:批量创建账户往往会产生可预测的模式,并采用序列化变体,例如“user1@”、“user2@”等,或者使用长串的随机字符。
非常新的域名:真实用户很少会使用几天前才注册的域名来注册账户。使用近期注册域名的账户应受到更严格的审查。
设备和网络信号
设备指纹重用:即使在 IP 地址和身份信息发生变化的情况下,由同一自动化系统创建的账户之间,其浏览器配置、屏幕分辨率、已安装字体以及图形指纹也常常是重复的。
数据中心或代理 IP 地址:来自云服务商、虚拟专用网络 (VPN) 或 Tor 出口节点的流量,其风险高于来自住宅互联网服务提供者 (ISP) 的流量。
注册速度:来自同一 IP 段、同一自治系统编号 (ASN) 或同一设备指纹的新账户出现突发性增长,可能是协同攻击的早期指标。
行为信号
不切实际地快速完成表单填写:真人需要花时间阅读并填写各项内容。如果注册表单在零点几秒内就完成了提交,自动化操作很可能是其解释。
完美的输入模式:人类在输入时会犹豫、打错字并自我修正。如果输入过程干净、线性,没有任何停顿或删除操作,往往暗示着这是脚本化的填表行为。
机械鼠标移动:机器人要么完全没有光标移动,要么其移动轨迹呈直线、均匀的路径,而不像人类交互那样具有不规则性。
身份一致性信号
VoIP 电话号码:通过 VoIP 服务获取的号码,其获取成本更低,也更易于批量获取,因此它们在虚假账户的创建活动中很常见。
区域设置不一致:语言设置、地址格式、货币偏好以及所声称的地理位置应当大致吻合。如果这些信息不匹配,那么该账户背后的身份可信度就较低。
如何通过信号关联来检测虚假账户创建?
在注册环节检测多账户欺诈时,单一信号固然有用,但最有效的检测来自于跨账户的信号关联。即使攻击者变换姓名、邮箱和 IP 地址,其他一些模式仍然会存在。许多系统不再逐一评估注册行为,而是根据共享属性将账户分组聚类,然后判断这个聚类是否看起来像正常行为。
常用于聚类的信号包括:
设备指纹相似性:共享的浏览器配置、屏幕尺寸或图形指纹
网络模式:IP 地址的邻近性、ASN 归属,以及流量是来自住宅网络还是云基础设施
行为序列:注册过程中操作顺序和时机,这可以用来为自动化工具生成指纹特征
身份重叠: 相似的邮箱根域、复用的手机号码或部分匹配的地址
速率与加速度:之前从未产生过流量的基础设施突然出现活动激增
有哪些策略可以有效防止虚假账户创建,同时不阻碍真实用户?
防止虚假账户创建的有效防御措施应当是分层的。同时,这些措施也应当与实际观察到的风险信号相匹配。
具体而言:
速率限制与频次控制:对每个 IP 地址、设备指纹或邮箱域名设置注册数量限制,是阻止自动化操作的第一道简单防线,且不会影响真实用户。
行为式机器人检测:通过不可见的行为分析,例如鼠标移动轨迹、键入模式以及交互时间,可以在不对人类用户呈现任何可见挑战的情况下过滤机器人。硬性的全自动区分计算机和人类的图灵测试 (CAPTCHA) 最好仅用于模糊难判的情况,而不是普遍应用。
渐进式验证:与其让每个用户都经历同样的验证流程,不如仅在风险增加时才升级验证措施。例如,一个来自住宅网络、交互行为正常的用户可能无需任何阻碍就能通过注册;而来自数据中心 IP 地址且使用临时邮箱的用户则可能会触发手机号验证。
将验证视为风险信号:邮箱和手机号验证不应仅仅被视为障碍。使用合法的移动运营商号码完成验证可以降低风险,才能提高大规模创建虚假账户的成本。
基于风险的受限状态:当信号不明确时,可以先创建受限状态的账户,例如限制 API 访问权限、不提供试用额度或缩减功能。只有当账户在一段时间内表现出合法行为后,再逐步扩展其功能。
检测软件:有一些智能工具可以减少注册过程中的欺诈行为,例如用于检测虚假账户创建的软件。您也可以考虑使用能够在虚假账户创建后标记可疑行为的工具,比如 Stripe Radar。它利用基于全球数百万家企业数据训练而成的人工智能 (AI),能够更准确地识别欺诈。
仅在注册环节拦截虚假账户就足够了吗?
注册环节的控制措施是必要的,但仅靠它们还不够。攻击技术也在不断演变。当攻击者转向 用户身份模块 (SIM) 卡池时,VoIP 检测的有效性就会下降。随着自动化工具的改进,设备指纹识别的能力也会被削弱。任何静态的检测方法最终都会被绕过。
注册检测的强项在于提高攻击的准入门槛。原本只需极少精力就能发起的攻击活动,现在每个账户可能需要更多的基础设施、更多的时间和更多的资金。对于那些低利润的滥用行为(例如薅免费试用的羊毛),如果成本增加,就可能导致这类攻击活动变得无利可图。
有决心的欺诈者很可能会不断调整适应,因此,一个有效的系统会将注册防御视为更宏观策略中的一个环节。
以下是一个切实可行的深度防御模型的构成:
注册管控:通过信号关联、速率限制和渐进式验证,在虚假账户被创建之前就减少其生成数量。
注册后监控:异常行为、非典型的支付模式、可疑的 API 使用情况以及协同操作,都能揭示那些逃过初始检测的滥用行为。
随时间积累的账户信誉:有些账户在数月内表现正常,然后突然转为滥用行为,这需要依赖专注于行为漂移而非注册信号的检测模型。
完全阻止虚假账户是不现实的。目标应当是让大规模的滥用行为变得成本高昂、易于检测且不可持续。
Stripe Radar 如何提供帮助
Stripe Radar 使用 AI 模型来检测和预防欺诈,这些模型是根据 Stripe 全球网络的数据训练而成的。它基于最新的欺诈趋势不断更新这些模型,随欺诈手段演变实时保护您的业务。
Stripe 还提供 Radar 风控团队版,该版本允许用户添加自定义规则,以应对特定于其业务的欺诈情境,并支持获得高级欺诈洞察。
Radar 可以帮助您的企业:
避免欺诈损失:Stripe 每年处理超过 1 万亿美元的支付交易。这种庞大的规模赋予了 Radar 独特的能力,使其能够精准地检测并预防欺诈行为,为您节省资金。
增加收入:Radar 的 AI 模型基于真实的争议数据、客户信息、浏览数据等多维度信息进行训练。这使得 Radar 能够识别高风险交易并减少误报,从而提升您的收入。
节省时间:Radar 内置在 Stripe 中,无需编写任何代码即可启用。您还可以在同一个平台上监控反欺诈表现、编写规则等,从而提高效率。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。