盗号攻击的横纵切分与攻防策略

admin 2024年10月10日21:50:33评论11 views字数 1194阅读3分58秒阅读模式

1、盗号攻击的横纵切分

目的:将盗号风险通过X、Y轴切分,实现该风险域的全局把控,同时通过线性划分,将盗号风险的攻防思路行成‘体系化策略’,避免单点、散点解决问题

盗号攻击的横纵切分与攻防策略

2、切分后的现状

根据现状,梳理出每一个登录因子,触发的登录风控规则「风控规则要求明确,可以有遗漏」,比如现状如表2.1所示:

X|Y

 

手机号-短信

 

手机号+密码 ***
APP
  • 滑块
  • 登录风险可控:历史订单|收获地址|身份证号|支付密码
  • 登录风险较高:人脸|身份证+银行卡
  • 滑块
  • 登录风险可控:历史订单|收获地址|身份证号|支付密码
  • 登录风险较高:人脸|身份证+银行卡

     

***
PC
  • 滑块

  • 历史订单|收获地址|身份证号|支付密码

  • 滑块

  • 历史订单|收获地址|身份证号|支付密码

***
小程序
  • 滑块

  • 身份证号|支付密码

不支持 ***
H5
  • 滑块

  • 历史订单|收获地址|身份证号|支付密码

  • 滑块

  • 短信+历史订单|短信+支付密码

***

表2.1 切分后的盗号现状

3、攻防策略

攻击方发现并暴露问题,防守方修复问题、迭代防御;修复后的防御策略又反过来影响攻击方的策略打发、促使攻击方迭代提高自己的能力

  • 攻击、防御都是基于当前各自认知构建的,攻防博弈的过程就是不断迭代各自认知、调整策略

盗号攻击的横纵切分与攻防策略

3.1、攻击策略

目标:盗号方式覆盖率***(如50%),(表2.1)盗号入口与因子覆盖率***(如70%)。

攻击策略(基于认知与现状,进行风险判断后的综合考虑):初始策略如下

  • 优先覆盖逻辑类漏洞

  • 次优覆盖Y轴(Y轴高优选择风险系数高的)

    • 如:‘手机号+密码’登录因子,在各入口登录时,风控规则有‘收获地址’,则高优对抗暴露问题(网上帐密泄露、社工库较多)

  • 在同Y轴情况下,X轴尽量选择风控水位低的覆盖

    • 如:APP盗号风控比PC强,则可以优先覆盖PC入口

3.2、防御策略

通过登录因子在各登录入口风险情况,进行认证枚举,避免认证遗漏,以手机号-短信、手机号+密码为例,每个登录入口身份认证策略可以设计为如表2.2(表中仅笔者的示列)

  • 每次攻击暴露的问题,都需要重新审视、调整策略,避免存在视野上的重大遗漏,造成巨大风险

X|Y

手机号-短信

手机号+密码

APP

  • 人机

  • 风险系数>=**(如55),需要如下验证:

    • 支付密码、人脸、银行卡+身份证等

  • 风险系数在20~55:

    • 历史订单、身份证号等

  • 风险系数<20:

    • 无二次验证

  • 人机

  • 风险系数>*,需要如下验证:

    • 支付密码、人脸、银行卡+身份证等

  • 风险系数在20~55:

    • 短信、身份证号等

  • 风险系数<20:

    • 无二次验证

PC

  • 人机

  • 风险系数>*,需要如下验证:

    • 支付密码、银行卡+身份证等

  • ***:

    • ***

不支持

小程序

  • 人机

  • ***:

    • ***

不支持

H5

  • 人机

  • ***:

    • ***

  • 人机

  • 短信+历史订单、短信+收获地址、短信+支付密码等

表2.2 登录策略表

完成每个登录因子与登录策略设定后,可以形成一张全局登录风控,对用户每次登录进行风险决策,避免盗号,形如零信任。

盗号攻击的横纵切分与攻防策略


最后,感兴趣可以交个朋友

盗号攻击的横纵切分与攻防策略

原文始发于微信公众号(馗安社):盗号攻击的横纵切分与攻防策略

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月10日21:50:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   盗号攻击的横纵切分与攻防策略https://cn-sec.com/archives/2162395.html

发表评论

匿名网友 填写信息