“本銀行信用卡，手續(xù)簡單額度高，活動豐富可免年費，更有積分換大禮。明早九點，網(wǎng)絡在線申請，無需預約，極速辦理，最快3秒審核！“

　　肖禾的手機響了，他低頭一看，是銀行微信公眾號的一條新推送。

　　當下信用卡市場競爭日趨白熱化，很多銀行都在發(fā)行新的卡產(chǎn)品，為了搶奪客群，高額度、免年費、快審核、多優(yōu)惠的新卡活動一波接著一波。黑產(chǎn)從業(yè)者們也自然盯上了這塊肥肉。

　　不過20出頭的肖禾，已經(jīng)是信息搜集屆小有名氣的人物。信用卡欺詐產(chǎn)業(yè)鏈的重要環(huán)節(jié)，他都參與其中。這不，銀行推廣信息還沒來得及分享，他就被一位微信群主@了。內(nèi)容很簡單：三百人，具體身份信息，要真的。肖禾略微思索了一下，回了四個字：一人六十。對方秒回：成交。

　　將手機揣回兜里，肖禾篤信，明早9點，他的上游黑客就能利用自動化程序軟件，將他提供的三百條個人信息批量提交到申請頁面，在短短幾分鐘內(nèi)完成信用卡的在線申請。

　　至于如何獲取身份信息，肖禾這種“高端玩家”已經(jīng)不滿足于在網(wǎng)上購買，除了和黑客合作，通過撞庫、洗庫的方式提煉篩選信息，他還選擇了一種更隱蔽、回報率更高的方式：以公司招工、問卷調(diào)查等名義，低價換取或騙取大量真人的詳細信息和身份證復印件，再為他們憑空造出各種收入證明、房產(chǎn)證明、學歷證明。因為這些身份信息確實真實，所以不必過于擔心銀行的審核，通過率更高。況且如今部分銀行“極速辦理”的理念使得審核時間非常有限，即使需要短信或語音驗證碼，自動打碼平臺也能夠輕松對付。

　　等成功領到信用卡，利用銀行開卡即贈刷卡金、實體大禮包等活動，肖禾和伙伴們只需要一臺電腦，就能將銀行精心策劃的信用卡推廣活動一搶而空；更別說有了這一批新信用卡之后，以卡養(yǎng)卡，惡意透支、薅羊毛、套現(xiàn)，甚至洗錢能帶來的巨額收益了。悄無聲息之中，這條黑色產(chǎn)業(yè)鏈上的每個人都能賺得盆滿缽滿。

　　然而，對于銀行的信用卡中心來說，肖禾眼中的誘人生意卻教人欲除之而后快。

　　由于信用卡的主要業(yè)務集中在手機App和微信公眾號上，為了提升用戶的業(yè)務體驗，很多銀行都將相關促銷活動放在H5頁面上。但很快安全管理人員就察覺到，幾乎每次H5頁面推廣，都會遭遇大量通過自動化攻擊發(fā)起的虛假信用卡申請、搶促銷與秒殺、短信轟炸等業(yè)務威脅。

　　從商業(yè)角度來說，這些攻擊行為擾亂了申請數(shù)據(jù)、轉化率、毛利率等商業(yè)分析指標，歪曲了業(yè)務增長的真實水平，可能會誤導后續(xù)的商業(yè)決策。從用戶體驗來說，真實用戶很難在與自動化工具的較量中勝出，總是搶不到促銷優(yōu)惠的結果，就是用戶不再有繼續(xù)參與、使用的熱情，導致部分客戶的流失。而從信用卡部門本身來說，除了會大大增加銀行人工審核成本，影響正常用戶申請的處理效率，最刻骨的影響大概就是動輒百萬千萬的投入打了水漂。

　　雪上加霜的是，當批量信用卡申請、薅羊毛、撞庫、賬戶盜用、積分盜用這些新興交易欺詐行為不斷挑戰(zhàn)銀行業(yè)務系統(tǒng)和IT系統(tǒng)時，依賴特征庫、規(guī)則及閥值機制進行防護的傳統(tǒng)安全防御機制已經(jīng)有心無力，無法提供有效防御，令信用卡部門承擔著巨大的業(yè)務風險及商譽損害。

　　也正因如此，肖禾和他的同伙們才能在與銀行的對決中一次次占據(jù)上風。

　　第二天一早，肖禾提交完用戶信息，信心滿滿地等待著又一波分紅。然而隨著時間一分一秒地過去，肖禾卻逐漸焦躁起來。因為往常剛過9點，他就能收到群主的大額紅包--這是他們?yōu)橛忠淮螌�銀行玩弄于股掌之上的慣例慶祝。但現(xiàn)在時針已經(jīng)指過11點，微信卻仍然毫無動靜。肖禾終于沉不住氣發(fā)了一個問號，過了半天，對方才回了一條：自動化程序沒用，沒法提交申請。

　　其實，這一天，同時失手的還有成千上萬個類似肖禾的組織，以往屢屢得逞的攻擊者們，這次卻在銀行面前吃了閉門羹。

　　肖禾和其他攻擊者們可能想不到，面對黑產(chǎn)的海量應用攻擊，銀行信用卡中心終于選擇絕地反擊，及時調(diào)整安全防護策略，打了一個漂亮的翻身仗。究其原因，正是該信用卡中心決定與瑞數(shù)信息展開合作，采用瑞數(shù)動態(tài)應用防護系統(tǒng)（RAS），對H5頁面建立全新的安全防御體系。

　　以新信用卡開放申請的這一天為例，在早上九點至九點半的短短半小時內(nèi)，經(jīng)過瑞數(shù)動態(tài)應用防護系統(tǒng)（RAS）的識別，78.6%的開戶申請都被認定為自動化工具提交的虛假申請，并被實時過濾和攔截。在隨后9小時的定時監(jiān)測中，由于自動化工具失效，惡意流量在全站訪問總量中的占比也從78.6%急劇下降至不足1%，使得整體業(yè)務系統(tǒng)持續(xù)平穩(wěn)運行。

　　瑞數(shù)動態(tài)應用防護系統(tǒng)（RAS）旨在混淆和干擾攻擊工具對于目標系統(tǒng)的認知，在銀行反欺詐及風控系統(tǒng)識別和審核之前的業(yè)務邏輯流程之初，及業(yè)務操作的執(zhí)行中就進行實時的人機識別，將風控前置，關口前移。其之所以能幫助銀行信用卡部門成功逆轉攻防態(tài)勢，主要得益于以下幾點：

　　除了能夠有效阻止各種自動化工具的攻擊，幫助銀行信用卡中心避免批量申請及后續(xù)養(yǎng)卡、薅羊毛、套現(xiàn)、洗錢的風險，保障銀行的資金、用戶和整體業(yè)務外，從應用安全效益角度看，瑞數(shù)動態(tài)應用防護系統(tǒng)（RAS）還可以大大降低安全運維成本。無需修改應用代碼、無需進行特征庫及策略庫的升級維護工作，不僅節(jié)省了帶寬、服務器等資源，而且令銀行每年在應用安全方面的投入，包括安全評估、安全事件應急和安全運維，大幅降低。

　　“過去的武器，贏不了未來的戰(zhàn)爭“。隨著黑灰產(chǎn)業(yè)不斷的規(guī)�；�、市場化，攻擊手段也在向自動化和工具化演進，銀行等金融機構絕不能僅僅依靠單一被動的傳統(tǒng)模式進行安全防護，而應當利用瑞數(shù)“動態(tài)安全”的新技術，建立一張360度全方位的動態(tài)防護網(wǎng)，以動制動，確保銀行信用卡及其他業(yè)務的安全運行！