说完攻击手段,我们在来看检测加固手段。OCR技术目前已广泛使用,用于从图片中提取文字。基于OCR的信用卡检测方案会从设备拍摄的信用卡图片中提取文字,验证提取出的卡号与用户输入的卡号是否一致,以此来判断用户是否确实持有其输入卡号的信用卡。然而,如同上文中提到的,单独使用OCR的检测方案,甚至可以被仅包含卡号的文本图片所欺骗。有鉴于此,研究者在OCR的基础上加入了定制化的目标检测模型,进行卡号一致性检测。该模型不光能提取图片上的文字,更能识别银行卡上诸如芯片、标记、持卡人姓名栏等区域是否存在这些卡面特征(图12)。除此之外,研究者还通过大量真实信用卡的信息,构建了一个银行卡号规则库,包含如:4开头的卡号应该有VISA标记,卡号的头6个字符是否属于卡面上的发卡银行等。结合卡面特征与规则库,质量较低的伪造信用卡也会被检测出来。图12:结合OCR与目标检测的卡面特征提取(引用自【5】)接下来,研究者对通过Faguzi生成,且符合银行卡号规则的假信用卡发起了挑战。为了用较小的性能开销过滤掉直接拍摄屏幕上的照片试图绕过检测的攻击,研究者首先通过设备拍摄的照片中是否包含屏幕的边角,以及照片是否带有莫尔条纹来进行屏幕检测。如图13所示,莫尔条纹是摄像设备与被拍摄设备屏幕之间发生光学干涉的一种明显的光学现象,诸如在使用手机拍摄电脑屏幕等场景下,就能明显地在手机拍到的照片中观察到。若未通过屏幕检测,说明拍摄到的卡不是真卡,仅是卡的照片或视频。图13:屏幕上的莫尔条纹(引用自【5】)接下来就只剩下对物理假卡的检测了。由于现有的计算机视觉与机器学习技术很难对制造精良的假卡进行检测(见3.1节),因此研究者采用了基于设备信息的方式对假卡进行检测。攻击者如果使用虚拟机进行攻击,现有的虚拟机检测技术可以通过硬件特征将其检测出来(设备陀螺仪工作数据、地理位置变化情况、是否有SIM卡等);而面对使用真实设备进行攻击的攻击者,由于真实设备的成本高昂,攻击者往往会在一个设备上使用多个账号,绑定多张假卡来实施诈骗。应用开发者可以通过在该设备上账号的登录次数与绑定银行卡的个数来判断该设备是否属于攻击者。然而,由于隐私保护和合规要求,设备的唯一标识符是不能够采集的。隐私友好的设备标识符,在重装应用或恢复设备出场模式后都会被重置。由于没有严格意义上的设备唯一标识符,攻击者只要对设备进行设置,应用开发者就无法追踪该设备上应用使用的数据。有鉴于此,研究者基于IOS系统的硬件机制实现了对设备上登录行为和绑定银行卡个数的统计。IOS系统提供一个API,可以用来获取当前设备在某个服务器中的状态。DeviceCheck 允许开发者通过开发者自己的服务器与 Apple 服务器通讯,并为单个设备设置2bit 的数据,在保护用户隐私的同时,标识正在使用应用的设备。由于2bit只能表示4种状态,研究者将一定范围内的次数用一个2bit的数字表示,如图14所示。这样一来,即使攻击者即使重装应用或重置设备,被DeviceCheck编码保存的技术依然不会清空。基于该设备上的登录次数与绑定卡数的范围,应用开发者仍然可以使用设备信息来判断绑定信用卡的设备是否有攻击行为。图14:按照计数个数,分别用DeviceCheck的0,1,2,3标识(引用自【5】)
[1] 林宇俊,许鑫伶,何洋,鲁银冰,5G时代下基于大数据AI的全周期反通信信息诈骗方案研究,电信工程技术与标准化,Telecom Engineering Technics andStandardization, 编辑部邮箱 ,2019年11期[2] Butnaru, A.; Mylonas, A.; Pitropakis, N. Towards LightweightURL-Based Phishing Detection. Future Internet 2021, 13, 154.https://doi.org/10.3390/fi13060154[3]Ankit Kumar Jain, B.B. Gupta,Rule-Based Framework forDetection of Smishing Messages in Mobile Environment, Procedia ComputerScience, Volume 125, 2018, Pages617-623, ISSN 1877-0509, https://doi.org/10.1016/j.procs.2017.12.079.[4]Zhao, Q., Chen, K., Li, T. et al. Detectingtelecommunication fraud by understanding the contents of acall. Cybersecur 1, 8 (2018). https://doi.org/10.1186/s42400-018-0008-5[5]Din, Z. A., Venugopalan, H., Park, J., Li, A., Yin, W., Mai,H., Lee, Y. J., Liu, S., & King, S. T. (1970, January 1). Boxer: Preventingfraud by scanning credit cards. USENIX. Retrieved January 19, 2022, fromhttps://www.usenix.org/conference/usenixsecurity20/presentation/din 内容编辑:刘黄骁烈 责任编辑:王星凯
评论