Cloudflare 今天推出一套全新的欺诈预防功能,旨在防患于未然,从源头阻止账户滥用行为。多年来,Cloudflare 一直致力于帮助客户保护其应用免受自动化攻击,但威胁形势已经发生了显著变化。混合型自动化与人为滥用行为的普遍化,给网站所有者带来了复杂的安全挑战。例如,假设一个账户在五分钟内分别被纽约、伦敦和旧金山的用户访问。在这种情况下,核心问题不是“这是自动化访问吗?”,而是“这是真实访问吗?”。
网站所有者需要相应的工具来阻止其网站上的滥用行为,无论由谁发起。
在 Cloudflare 2024 年生日周期间,我们向所有客户(包括所有 Free 计划用户)赠送了泄露凭证检测功能。从那时起,我们在机器人管理解决方案中添加了帐户接管检测 ID ,以帮助识别攻击客户登录页面的机器人。
现在,我们将这些强大的工具与新工具相结合。一次性电子邮件检查与电子邮件风险评估有助于强制执行安全策略,尤其是针对那些使用一次性邮箱地址注册的用户(这是创建虚假账户和滥用推广的常见手段),以及那些根据邮件模式和基础设施被判定为存在风险的邮箱。我们也很高兴推出哈希用户 ID(它是指通过对用户名进行加密哈希处理生成的每个域名的标识符),这让客户能够更好地了解可疑账户活动,以及更有效地缓解潜在的欺诈流量,且不损害最终用户的隐私。
我们今天宣布推出的新增功能超越了自动化,能够识别真人用户和机器人中的滥用行为和风险身份。Account Abuse Protection目前处于提前体验阶段,所有 Bot Management Enterprise 客户都可以在限定时间内免费使用该功能,直至今年晚些时候正式发布 Cloudflare Fraud Prevention 为止。如需进一步了解提前体验功能的相关信息,请在此处注册。
欺诈行为的进入门槛低得危险,尤其是在海量数据集和可大规模实施账户欺诈的自动化工具唾手可得的情况下。网站所有者面对的不仅仅是个人黑客,还有普遍化的欺诈行为。去年,我们重点指出,Cloudflare 网络上有 41% 的登录使用了泄露的凭证。随着一个包含 160 亿条记录的数据库被曝光,以及多起引人注目的数据泄露事件的发生,这个数字仍在不断攀升。
更糟糕的是,用户在多个平台上重复使用密码,这意味着几年前的一次泄漏,仍然可以解锁如今的高价值零售账户,甚至是银行账户。我们的泄露凭证检查是一项免费功能,用于检查密码是否在已知的其他服务或应用程序的数据泄露事件中被泄露。这是一项保护用户隐私的凭证检查服务,有助于保护用户免受凭证泄露的侵害。这意味着 Cloudflare 在执行这些检查时不会访问或存储最终用户的明文密码。为了将密码与泄露凭证数据库进行比对,密码会进行哈希处理,即:使用加密算法将其转换为随机字符串。如果您尚未启用我们的泄露凭证检查功能,请立即启用,以保护您的帐户免受轻易黑客攻击!
只有当攻击者可以快速遍历多个网站,识别哪些帐户由于密码重复使用而仍然处于易受攻击的状态时,访问大型泄露凭证数据库才有用。在对 2024 年黑色星期五的分析中,我们观察到 Cloudflare 网络中超过 60% 的登录页面流量是自动化流量。这表明有很多机器人试图入侵。
为了帮助客户保护其登录端点免受持续攻击,我们添加了帐户接管 (ATO) 特定检测功能,以高亮显示可疑的流量模式。这是我们近期专注于客户级检测的一部分,我们为每个 Bot Management 客户提供独特的行为异常检测。如今,Bot Management 客户可以直接在安全分析仪表板上查看并缓解登录请求中出现的 ATO 攻击尝试。
在安全分析仪表板左侧的卡片中,可以查看并处理帐户接管攻击尝试。
过去一周内,ATO 检测平均每天在 Cloudflare 网络上发现 69 亿次可疑登录尝试。这些 ATO 检测结果,以及 loudflare Bot Management 解决方案中的许多其他检测机制,共同构成了多层防御体系,有效抵御 ATO 和其他恶意自动化攻击。
究竟是为了识别自动化流量,还是为了识别意图和身份?这才是问题所在。我们的答案是:两者都是,因为两者都是构筑强大安全态势的关键要素。攻击者如今的规模已远超以往的企业级服务:他们利用大规模凭证泄露,使用人工操作的欺诈农场来伪造设备和位置信息,并创建合成身份来维护成千上万甚至数百万个虚假账户,用于推广和平台滥用。拥有自动化工具的真人用户可能正在盗取账户资金、滥用促销活动、实施支付欺诈,或者同时进行以上所有行为。
除此之外,自动化工具变得比以往任何时候都更容易获取,特别是随着用户越来越熟悉如何使用 AI 智能体,甚至一些长期使用的“传统”浏览器也开始默认启用智能体功能功能。无论单独行为者使用 AI 智能体或精心策划的欺诈活动,威胁都不仅仅是单一脚本那么简单。它可能涉及人为意图,并且通过自动化程序执行。
以下是我们从客户那里了解到的一些场景:
本月新增了 1000 名用户,但其中超过一半是虚假身份,他们利用免费试用期便消失了。
攻击者使用正确的密码登录,我如何判断这不是真实的用户?
实体以真人用户的速度进行操作,并且不断盗取账户资金。
仅通过评估自动化无法解决这些问题;还需要检查真实性和完整性。这正是我们专用的欺诈预防功能要解决的问题。
我们从评估潜在帐户滥用的初始环节,也就是帐户创建开始。虚假或批量创建账户是网站欺诈讨论中最热门的话题之一,因为它可能为攻击者打开访问应用程序乃至整个商业模式的大门。
Cloudflare 为客户提供工具,通过两种方式从源头评估可疑的帐户创建行为:
一次性电子邮件检查:检测用户何时使用一次性邮箱地址注册,这些地址通常用于促销滥用和创建虚假账户。这些一次性电子邮件服务让攻击者无需维护实际基础设施即可创建数千个“唯一”账户,尤其是未经身份验证的一次性邮箱,它们无需创建账户即可提供即时访问权限,或者提供免费的无限量邮箱别名。客户可以在构建规则时使用这个二进制字段来强制执行安全偏好,例如选择完全阻止所有一次性邮箱,或者对任何试图使用一次性邮箱创建账户的用户发出质询。
电子邮件风险评估:Cloudflare 分析电子邮件模式和基础设施,以提供风险等级(低、中、高)供客户在安全规则中使用。我们知道,并非所有电子邮件地址享有相同的权利;格式为 firstname.lastname@knowndomain.com 的地址与 xk7q9m2p@newdomain.xyz 地址具有不同的风险特征。电子邮件风险等级允许客户在创建账户时表达对风险和操作难度的容忍度。
一次性电子邮件检查与电子邮件风险评估现已集成到安全分析和安全规则中,使网站所有者能够保护其账户创建流程。这些检测解决了一个根本问题:当发现帐户滥用行为时,往往为时已晚。网站所有者已支付了获客成本,欺诈性用户已消耗了促销积分,而补救措施却需要人工审核。降低可疑邮件的风险,意味着在注册时(也是最关键的时刻)增加适当的操作难度。
了解滥用模式需要可见性:不仅要了解网络状况,还要了解账户活动。过去,安全措施是通过 IP 地址和孤立的 HTTP 请求来识别自动化活动,但网站所有者不只是关注网络信号;他们还会考虑用户和已知账户。因此,我们正在扩展缓解工具箱,使其与应用程序的实际结构相匹配,侧重于基于用户的欺诈活动检测。
攻击者可以轻松轮换 IP 地址来隐藏踪迹。但迫使他们反复生成新的、可信账户会带来巨大的阻力,尤其是在与账户创建保护措施结合使用时。当我们超越网络层,将欺诈行为映射到特定的被入侵或滥用账户时,我们可以发现与单个持续行为者相关的目标行为,并阻止滥用行为。通过这种方式,我们将防御策略转移到账户级别,而不是像玩打地鼠游戏一样疲于应对不断轮换的 IP 地址和住宅代理。这意味着,我们的客户可以根据其应用程序的身份隔离方式来缓解滥用行为。
为了让网站所有者拥有这种能力,Cloudflare 将发布哈希用户 ID,客户可以在安全分析、安全规则和托管转换中使用它。用户 ID 是每个域名的用户名字段值的加密哈希版本,每个用户 ID 都是为客户应用程序上的给定用户名生成的加密、唯一且稳定的标识符。重要的是,Cloudflare 不会在此服务中记录或存储实际用户名。与泄露凭证检查和 ATO 检测(识别登录流量,然后加密凭证进行对比)一样,我们优先考虑最终用户的隐私,同时让客户能够采取措施打击欺诈行为。
使用哈希用户 ID,网站所有者能够:
在安全分析仪表板中可查看单个哈希用户 ID 的扩展视图,其中显示了该特定用户的活动详情,包括其登录位置和使用的浏览器。
这种用户级别的可见性彻底改变了网站所有者调查并缓解流量的方式。客户无需单独检查单个请求,即可全面了解攻击者如何锁定目标并隐藏在合法用户之中。
如需进一步了解提前体验功能的相关信息,请在此处注册。所有 Bot Management Enterprise 客户均可立即添加新的账户滥用防护功能,我们也期待与所有潜在的 Bot Management 客户展开对话。
机器人检测将继续回答自动化和意图的问题,而欺诈检测则深入探究真实性的问题。两者结合,共同为网站所有者提供全面的工具,以应对各种账户滥用行为。这套解决方案是 Cloudflare 持续投资保护用户全程体验的重要一步,从账户创建和登录到安全结账以及每一次交互的完整性。