面对愈发多样的市场需求,威胁猎人一直在优化产品能力及服务模式,帮助用户有效应对复杂多变的黑产攻击风险。2024年第一季度,威胁猎人帮助客户发现风险事件累计超33000起,季度环比风险识别能力提升22.8%。
2024年,威胁猎人继续深入营销欺诈、数据泄露、钓鱼仿冒等不同业务风险场景,进一步提升了反欺诈情报平台、钓鱼仿冒情报平台、数据泄露情报平台及风险画像产品的核心能力及服务模式,期望通过产品能力的拓展和细化,服务模式优化和升级,助力构建主动防御能力。
威胁猎人全系列产品1-3月能力提升详情如下:
一、反欺诈情报平台
产品能力上:新增主流社交平台等特定渠道的情报监测能力
当前,黑灰产团伙不仅仅出现于各类隐蔽的论坛、群组中,同样活跃在各大主流社交平台、二手商品交易平台。例如在各大主流社交平台发布欺诈招募、广告等信息,在二手交易平台进行交易,将薅羊毛获取的福利商品进行转卖等。
对此,威胁猎人新增大型社交平台、二手交易平台等特定渠道的黑灰产情报监测能力,捕获黑灰产相关作弊手法、工具传播等风险情报,以及黑灰产售卖企业相关福利/商品的交易情报等,及时监测黑产在大型社交平台、二手交易平台等平台套取优惠券、薅羊毛变现等攻击风险。
服务模式上:新增“主动运营服务”,提供准确可读的欺诈情报事件
在交流攻击手段、买卖恶意资源、传播业务漏洞、招募真人作弊时,黑灰产通常会使用各类黑话进行交流以躲避风控检测,例如“桃丹=逃单”、“大肉=较大利润”等等,导致未经过分析的黑灰产消息不具备较好的可读性,情报运营效率较低。
近期威胁猎人对情报服务模式进行调整优化,结合大模型与专家经验分析,对降噪后的海量的情报数据进行实体识别、有效线索分析,结合情报运营专家经验进行风险研判,及时告警并主动输出准确、可读的情报事件,包含业务欺诈行为、攻击工具分析等内容,帮助用户降低运营成本,有效提升情报数据可读性。
二、钓鱼仿冒情报平台
仿冒事件24小时内下架成功率提升至93.93%
2022年12月,《中国反电信网络诈骗法》正式实施,将反诈责任从金融领域逐渐推到了“泛互联网”领域。
与此同时,中国证券监督管理委员会明确要求,证券基金经营机构对假冒证券基金经营机构等网络诈骗活动加强防御。
截至目前,威胁猎人为服务客户发现数百起仿冒社交媒体事件。预计在4月底,威胁猎人钓鱼仿冒情报平台将实现对各类主流社交媒体平台的仿冒监测,通过社媒账号是否进行官方认证、是否发布过侵权/欺诈类信息等方法进行鉴别,帮助客户及时发现仿冒社交媒体事件。
此外,威胁猎人推出针对各个渠道仿冒违规内容、账号的处置服务,帮助客户在24小时内针对仿冒事件进行处置下架,及时避免客户利益及品牌口碑受损。
2024年1-3月,威胁猎人钓鱼仿冒情报运营团队共处置仿冒事件1026起(已确认需要被处置),其中3月处置仿冒事件280起,24小时内下架成功率达93.93%,对比2月下架成功率提升26.8%,目前该数据仍在持续提升中。
三、数据泄露情报平台
产品能力上:监测渠道及情报覆盖数量进一步增加
**(1)**较上一季度新增3123个黑产渠道
暗网和匿名群聊工具是黑产进行数据交易和分享信息的主要场所,威胁猎人发现的90%以上的数据泄露事件都发生这类黑产活跃的平台。
威胁猎人数据源分析团队针对暗网和匿名群聊进行专项调研和拓源,避免黑产情报源失效或过期,进一步提升情报捕获的及时性和准确性。
2024年1-3月,威胁猎人累计监测暗网、私密群聊等42529个黑产渠道,较上一季度新增3123个黑产渠道,通过情报源的实时动态更新,建立覆盖更广、更全面的数据泄露风险情报库,帮助企业全面、及时地感知数据泄露风险。
此外,威胁猎人新增国内某大型中文社区的监测渠道,帮助企业及时感知该渠道数据泄露风险并采取相应措施。
该国内大型中文社区是不少黑灰产发布售卖数据的聚集地,因用户数量庞大、传播快,该渠道的情报传播及数据交易存在较大的数据泄漏风险。
**(2)**真实性验证引擎的历史数据识别能力提升
黑产交易市场数据资源冗杂,“黑吃黑”现象愈演愈烈,部分黑产会将历史泄露数据进行组合包装,摇身一变为新数据进行售卖,通过“炒冷饭”的方式来牟利,大量历史数据极大影响企业内部风险识别、数据验证及溯源处置效率。
此前,威胁猎人推出真实性验证引擎,有效识别黑产发布的伪造数据及历史数据。
近期威胁猎人情报运营团队针对真实性验证引擎进行了优化,实现不同文件类型的个人要素提取和比对。
同时可以对图片OCR结果中的要素进行提取及验证,有效判断该图片内容中是否含有历史泄露数据,进一步增强了数据可信度评估的全面性,帮助企业快速排除旧数据及过期情报的干扰,提升数据验证的效率及风险识别的准确性。
服务模式上:新增“帮助企业主动获取样例服务”
黑产交易市场上,存在不少黑心买家骗取数据的情况,黑话叫做“骗料子”,这类黑产交易情报存在潜在数据泄露风险,但企业需要对数据真实性进行验证,从而进行风险处置。
威胁猎人DRRC团队针对黑产交易情报进行主动运营跟进,基于多年情报运营沉淀的社工技巧、对黑产交易模式的深入了解,以及在黑产交易内部的良好信誉度,可以从黑产手中及时获取一定量级的测试样例,帮助企业完成内部数据验证和溯源分析。
四、风险画像产品
威胁猎人IP风险画像能力大幅提升,期望通过丰富的风险IP数据库及更加细分的风险IP标签,满足企业在不同业务场景下的安全需求,帮助企业有效识别鱼龙混杂的风险IP,在互联网业务安全对抗中占据优势面。
上线“好坏共用”风险标签,实现识别能力翻倍
2024年1月,威胁猎人IP风险画像在原有标签的基础上,新增4个IP风险标签:“好坏共用-代理”、“好坏共用-云函数”、“搜索引擎爬虫”、“VPN”,以丰富的产品标签有效提升IP风险画像能力,帮助客户识别更多场景下可能出现的风险IP。
“好坏共用-代理”IP风险标签上线是威胁猎人IP风险画像能力提升的一大重点,上线“好坏共用-代理”风险标签后,威胁猎人国内风险IPv4数量实现翻倍增长。此外,威胁猎人IP风险画像产品还新增了“好坏共用-云函数”、“搜索引擎爬虫”、“VPN”三个IP风险标签。
2024年2月,威胁猎人在识别“VPN”类型IP的能力基础上,进一步提升IP的VPN标签覆盖能力,新增【回国加速器】类型的VPN软件覆盖,共新增20+个海外回国加速器软件,帮助用户有效识别海外用户使用国内IP进行请求的行为,助力辨别海外恶意攻击风险。
此外,手机号风险画像产品优化了风险手机号risk9清洗策略,基于用户反馈的risk9手机号二次入网造成的误报情况,对risk9清洗规则进行优化,调整判分阈值,历史误报数据均在优化范围,经验证后续没有新增误报,有效提升风险手机号risk9的识别准确率。
2023年1月5日,永安在线进行品牌焕新,正式更名为**“威胁猎人”**(详见:成立6周年,威胁猎人焕新回归)。
