今天,Cloudflare 推出全新的防詐騙功能套件,旨在於帳戶濫用行為發生之前就加以阻止。我們多年來致力於協助 Cloudflare 客戶保護他們的應用程式免受自動化攻擊,但威脅情勢已經演變。人機混合 (hybrid automated-and-human) 的濫用行為已產業化,這對網站擁有者構成了複雜的安全挑戰。舉例來說,想像一個帳戶在短短五分鐘內,分別從紐約、倫敦和舊金山被存取。這種情況下的核心問題不再是「這是自動化的嗎?」,而是「這是真實的使用者嗎?」
網站擁有者需要強大的工具來阻止網站上的濫用行為,無論其來源為何。
在 2024 年的生日週期間,我們向所有客戶(包括所有免費套餐用戶)贈送了洩漏認證偵測功能。在那之後,我們將帳戶盜用偵測 ID 新增到我們的機器人管理解決方案中,以協助識別攻擊登入頁面的機器人。
現在,我們將這些強大工具與全新功能結合。拋棄式電子郵件檢查與電子郵件風險評估,協助您針對使用拋棄式電子郵件地址註冊的使用者(這通常是建立假帳戶與促銷濫用的常見伎倆)或者針對那些基於電子郵件模式與基礎架構被判定為高風險的使用者執行安全偏好設定。我們也很高興地推出 Hashed User ID(透過對使用者名稱進行加密雜湊產生的每個網域專屬識別碼),讓客戶能更深入掌握可疑的帳戶活動,並在不犧牲終端使用者隱私的前提下,更有效緩解潛在的詐欺流量。
我們今天宣布的新功能不僅限於自動化,還能辨識人類使用者和機器人中的濫用行為和高風險身分。Account Abuse Protection 功能目前開放提前存取,所有 Bot Management Enterprise 客戶均可在限定時間內免費使用這些功能,直至 Cloudflare Fraud Prevention 功能在今年晚些時候正式發布。如果您想瞭解更多關於此提前存取功能的資訊,請在此處註冊。
從事詐欺行為的門檻極低,特別是在取得大量資料集以及能大規模實施帳戶詐欺的自動化工具後。網站擁有者面對的不僅是個別駭客,而是工業化規模的詐欺行為。去年,我們強調了全網路上有 41% 的登入行為使用了已外洩的認證。在一個擁有 160 億筆記錄的資料庫遭曝光,以及後續多起備受矚目的資料外洩事件被揭露之後,這個數字只會更高。
不僅如此,使用者會在多個平台重複使用密碼,這意味著多年前的一次外洩,至今仍可能被用來解鎖高價值的零售通路,甚至是銀行帳戶。我們的外洩認證檢查是一項免費功能,會檢查該密碼是否曾在網際網路上其他服務或應用程式的已知資料外洩事件中洩漏。這是一項保護隱私的認證檢查服務,旨在協助保護我們的使用者免受外洩認證的危害,這意味著 Cloudflare 在執行這些檢查時,不會存取或儲存純文字的終端使用者密碼。密碼會經過雜湊處理(即使用密碼演算法轉換成一串隨機字元),以便與外洩認證資料庫進行比對。如果您尚未開啟外洩認證檢查功能,請立即啟用,以保護您的帳戶免受簡易的駭客攻擊!
只有當攻擊者能夠快速遍歷多個網站上的外洩認證資料庫,從而識別哪些帳戶由於密碼重複使用而仍然處於易受攻擊狀態時,存取大型外洩認證資料庫才真正有用。在我們 2024 年的黑色星期五分析中,我們觀察到,我們網路中超過 60% 的登入頁面流量是自動化的。這意味著有大量的機器人試圖入侵。
為了幫助客戶保護其登入端點免受持續攻擊,我們新增了專門針對帳戶盜用 (ATO) 的偵測功能,以突出顯示可疑的流量模式。這是我們近期專注於「每個客戶專屬偵測」的一部分,我們為每位 Bot Management 客戶提供獨特的行為異常偵測。現今,Bot Management 客戶可以直接在「安全性分析」儀表板中,看到並緩解其登入請求中嘗試進行的 ATO 攻擊。
在「安全性分析」儀表板左側的卡片中,您可以檢視並處理嘗試中的帳戶盜用攻擊。
過去一週,我們的 ATO 偵測機制在全網路範圍內,平均每天總共攔截了 69 億次可疑的登入嘗試。這些 ATO 偵測功能,連同我們 Bot Management 解決方案中的許多其他偵測機制,共同構成了針對 ATO 和其他惡意自動化攻擊的多層次防禦。
究竟是要辨識自動化,還是要辨識意圖和身分?這是一個問題。我們的答案是:兩者都要,因為兩者都是建立強大安全狀態的關鍵要素。攻擊者如今的規模已遠超以往企業級服務:他們利用大規模認證洩露,使用人工操作的欺詐陣列偽造裝置和位置資訊,並建立合成身分來維護成千上萬甚至數百萬個虛假賬戶,用於推廣和平台濫用。擁有自動化工具的人可能正在竊取帳戶資金、濫用推廣活動、實施支付欺詐,或同時進行以上所有行為。
不僅如此,自動化的可及性達到了前所未有的程度,特別是隨著使用者越來越熟悉使用 AI 智慧體,甚至長久存在的「傳統」瀏覽器也逐漸朝向預設具備代理能力的方向發展。無論是使用 AI 智慧體的單獨行動者,還是一場協調性的詐騙活動,威脅都不僅僅是一個簡單的指令碼——它可能涉及「人為意圖」配合「自動化執行」。
以下是我們從客戶那裡瞭解到的一些情境:
這些問題無法僅透過評估自動化來解決;它們需要檢查真實性與完整性。這就是我們專用防詐騙功能所要填補的缺口。
讓我們從評估潛在帳戶濫用的源頭開始:帳戶建立。虛假或大量建立帳戶是網站詐欺討論中最熱門的話題之一,因為它可能為攻擊者打開存取應用程式甚至整個商業模式的大門。
Cloudflare 為客戶提供工具,透過兩種方式從源頭評估可疑帳戶建立行為:
拋棄式電子郵件檢查:偵測使用者何時使用臨時或拋棄式的電子郵件地址進行註冊,這類地址通常用於促銷濫用和建立假帳戶。這些拋棄式電子郵件服務讓攻擊者能夠在不維護真實基礎架構的情況下,快速註冊數千個「獨特」帳戶,特別是那些提供無需建立帳戶即可立即存取的未經驗證拋棄式電子郵件,或是提供免費無限別名的服務。客戶可以使用這個二元欄位來建立規則,以執行他們的安全偏好設定,例如選擇直接封鎖所有拋棄式電子郵件,或者對任何嘗試使用拋棄式電子郵件建立帳戶的人發出質詢。
電子郵件風險評估:Cloudflare 分析電子郵件的模式與基礎架構,供風險等級(低、中、高)供客戶在安全性規則中使用。我們深知並非所有電子郵件地址都具有同等風險。格式為 firstname.lastname@knowndomain.com 的地址,與 xk7q9m2p@newdomain.xyz 具有不同的風險特徵。電子郵件風險評估允許客戶在帳戶建立階段,表達他們對風險與流程阻礙的容忍度。
拋棄式電子郵件檢查與電子郵件風險評估現已可在安全性分析與安全性規則中使用,讓網站擁有者能夠保護他們的帳戶建立流程。這些偵測機制解決了一個根本性問題:當帳號開始進行濫用行為時,往往為時已晚。網網站擁有者已支付了使用者獲取成本,詐欺使用者已消耗了促銷點數,而後續修復還需要人工審核。緩解可疑電子郵件的風險,意味著在註冊這一最關鍵時刻,加入適當的流程阻礙。
要理解濫用模式,必須具備可見性:不僅是網路層面,更要深入帳戶活動。傳統上,安全防護意味著透過 IP 和個別 HTTP 請求的視角來發現自動化活動,但網站擁有者不僅僅考慮網路訊號;他們也同時考量他們的使用者和已知帳戶。這就是為什麼我們正在擴展我們的緩解工具集,以比對應用程式的實際結構,專注於基於使用者的詐欺活動偵測。
攻擊者可以毫不費力地輪換 IP 來隱藏他們的行蹤。但若強迫他們重複建立新的可信帳戶,將會引入巨大的摩擦阻力,尤其是在結合帳戶建立保護措施的情況下。當我們跳過網路層,將詐欺行為對應到特定的遭入侵或濫用帳戶時,就能發現與單一持久行為者相關的針對性行為,並制止這種濫用。如此一來,我們將防禦策略轉移至「帳戶層級」,而不再只是與輪換的 IP 位址和住宅代理玩「打地鼠」遊戲。這意味著我們的客戶可以根據其應用程式區分身分的方式,來緩解濫用行為。
為了讓網站擁有者具備此能力,Cloudflare 推出了 Hashed User ID,供客戶在安全性分析、安全性規則與受管理轉換中使用。使用者 ID 是針對每個網域、將使用者名稱欄位中的值進行加密雜湊處理後的版本,每個使用者 ID 都是針對客戶應用程式中的特定使用者名稱所產生的一個加密、唯一且穩定的識別碼。重要的是,在此服務的過程中,Cloudflare 不會記錄或儲存實際的使用者名稱。與外洩認證檢查與 ATO 偵測(先識別登入流量再加密認證進行比對)一樣,我們在優先考慮終端使用者隱私的同時,也賦予客戶對抗詐欺行為的能力。
透過存取 Hashed User ID,網站擁有者可以:
查看熱門使用者:哪些帳戶的活動最頻繁?
查看特定使用者何時從他們通常不會登入的國家/地區登入——或一天內從多個國家/地區登入!
基於唯一使用者進行流量控制,例如封鎖具有可疑歷史活動的使用者。
結合不同欄位來查看哪些帳戶正成為外洩認證的攻擊目標。
查看與唯一使用者關聯的網路模式或訊號。
在安全性分析儀表板中,單一 Hashed User ID 的展開檢視畫面,顯示該特定使用者的活動細節,包括他們的登入位置和瀏覽器。
這種使用者層級的可見度,徹底改變了網站擁有者調查與緩解流量的方式。我們的客戶不再需要孤立地檢查個別請求,而是能看到攻擊者如何鎖定目標並隱藏在合法使用者之中。
若您想瞭解更多關於此提前存取功能的資訊,請在此處註冊。所有 Bot Management Enterprise 客戶皆有資格立即加購這些新的帳戶濫用防護功能,我們也非常樂意與任何潛在的 Bot Management 客戶展開對話。
機器人偵測將繼續解答自動化和意圖的問題,而詐欺偵測則深入探討真實性的問題。兩者結合,為網站擁有者提供了全面的工具,來對抗全方位的帳戶濫用行為。這套功能是我們持續投資以保護整個使用者旅程(從帳戶建立、登入,到安全結帳以及每一次互動的完整性)中的一部分。