線上欺詐是通常發(fā)生在應(yīng)用層上的一種網(wǎng)絡(luò)犯罪形式。傳統(tǒng)詐騙往往與尼日利亞王子求助信之類(lèi)騙局、虛假交易和身份盜竊相關(guān)，但最近幾年，隨著消費(fèi)級(jí)線上服務(wù)與應(yīng)用變現(xiàn)方式的增加，欺詐的“潛力”被大幅開(kāi)發(fā)。

　　以下幾種常見(jiàn)的欺詐攻擊：

　　刷虛假銷(xiāo)量與評(píng)論來(lái)促銷(xiāo)或提升賣(mài)家等級(jí)
　　創(chuàng)建虛假賬戶攫取新用戶促銷(xiāo)優(yōu)惠/禮券
　　虛列仿貨或低價(jià)引誘買(mǎi)家私下交易(可能不安全)  
　　用機(jī)器人程序制造虛假點(diǎn)擊量、安裝量和訂閱量
　　交易或重復(fù)交易網(wǎng)絡(luò)游戲虛擬物品獲利
　　虛假交易   　　
　　以被盜/假身份開(kāi)設(shè)虛假信用卡及銀行賬戶   　　
　　線上欺詐形式列都列不完。但與獲取非法權(quán)限黑進(jìn)某網(wǎng)絡(luò)或系統(tǒng)的其他網(wǎng)絡(luò)犯罪形式不同，此類(lèi)新的欺詐攻擊只需簡(jiǎn)單注冊(cè)用戶賬戶并濫用線上服務(wù)及應(yīng)用提供的產(chǎn)品功能即可。線上服務(wù)本身成為了攻擊平臺(tái)的一部分。對(duì)網(wǎng)絡(luò)罪犯而言，既然能在社交網(wǎng)絡(luò)和點(diǎn)對(duì)點(diǎn)市場(chǎng)上匿名自由發(fā)布內(nèi)容，何苦還去花費(fèi)時(shí)間精力打造和維護(hù)托管主機(jī)？   　　網(wǎng)絡(luò)罪犯普遍放棄攻擊用基礎(chǔ)設(shè)施，這一轉(zhuǎn)變表明，以往黑名單和信譽(yù)列表的檢測(cè)方式正在變得實(shí)效。騙子們不再需要維護(hù)托管惡意內(nèi)容或發(fā)起攻擊的專(zhuān)用服務(wù)器，攻擊行動(dòng)變換自如。DataVisor最新一期《欺詐指標(biāo)報(bào)告》指出，虛假I(mǎi)P地址的中位生存時(shí)間僅為3.5天。只要網(wǎng)絡(luò)罪犯可以通過(guò)匿名代理、點(diǎn)對(duì)點(diǎn)VPN通信甚至直接從窩點(diǎn)接入互聯(lián)網(wǎng)的方式訪問(wèn)線上服務(wù)及應(yīng)用，他們就可以發(fā)起攻擊。   　　

應(yīng)用層攻擊   　　

　　應(yīng)用層攻擊給了騙子極好的偽裝，讓他們可以成功混入普通用戶當(dāng)中。分辨HTTP連接是真實(shí)人類(lèi)還是機(jī)器人程序腳本發(fā)起的，與區(qū)分虛假用戶賬戶和真實(shí)賬戶一樣難。   　　

　　應(yīng)用層支持多種通信協(xié)議和接口，堪稱(chēng)最廣攻擊界面。除了應(yīng)用代碼，訪問(wèn)控制和Web/移動(dòng)API中都可能藏有漏洞。涉及已登錄授權(quán)用戶的攻擊是最難以預(yù)防與檢測(cè)的，比如利用了線上服務(wù)用戶賬戶的欺詐攻擊。   　　
　　根據(jù)在線服務(wù)或應(yīng)用的動(dòng)作和功能，虛假賬戶可以通過(guò)執(zhí)行一系列溫和的操作來(lái)規(guī)避常規(guī)檢測(cè)。很多欺詐攻擊會(huì)等待數(shù)周、數(shù)月甚至數(shù)年才開(kāi)始發(fā)動(dòng)攻擊。舉個(gè)例子，金融騙子會(huì)用偽造身份開(kāi)設(shè)多張信用卡，累積信用歷史后套現(xiàn)信用額度一去不返。社交網(wǎng)站上還有虛假賬戶創(chuàng)建3年之后才開(kāi)始活躍，在資料信息中更新網(wǎng)絡(luò)釣魚(yú)URL。   　　此類(lèi)攻擊即便用機(jī)器學(xué)習(xí)模型都很難檢測(cè)。原因之一出現(xiàn)在模型“學(xué)習(xí)”發(fā)現(xiàn)虛假活動(dòng)或惡意行為的方式上。很多流行機(jī)器學(xué)習(xí)應(yīng)用中，比如圖像識(shí)別或自然語(yǔ)言處理，標(biāo)簽都是確定性的；小雞的圖像顯示的就是小雞，不會(huì)是鴨子。向模型饋送大量“小雞”樣本，模型便能學(xué)會(huì)識(shí)別小雞。
　　然而，欺詐或虛假行為卻沒(méi)有確定性定義。因而將機(jī)器學(xué)習(xí)應(yīng)用到欺詐檢測(cè)上，標(biāo)簽的噪音就太大了。   　　

動(dòng)態(tài)攻擊

　　困難之二是攻擊的動(dòng)態(tài)性。沒(méi)了專(zhuān)用攻擊基礎(chǔ)設(shè)施的限制，騙子就能更快速地變換攻擊方法利用應(yīng)用中的漏洞。依靠以往攻擊樣本意味著模型總是基于過(guò)時(shí)信息執(zhí)行檢測(cè)，對(duì)未來(lái)攻擊的檢測(cè)有效性相當(dāng)有限。   　　
　　想要對(duì)付快速進(jìn)化的高級(jí)線上攻擊，解決方案應(yīng)納入多層防御，構(gòu)建堅(jiān)實(shí)的防御基礎(chǔ)，比如采用強(qiáng)身份驗(yàn)證系統(tǒng)，審核所有API訪問(wèn)，執(zhí)行自動(dòng)化代碼測(cè)試等。另外，公司企業(yè)應(yīng)對(duì)開(kāi)發(fā)人員及第三方應(yīng)用進(jìn)行審查，留意通過(guò)非標(biāo)準(zhǔn)化接口的訪問(wèn)，了解自身服務(wù)或應(yīng)用面對(duì)的攻擊類(lèi)型，在解決方案實(shí)現(xiàn)上做出明智的選擇。   　　
　　為進(jìn)一步解決設(shè)已授權(quán)用戶的濫用問(wèn)題，可以采用高級(jí)行為分析對(duì)用戶行為執(zhí)行全面探查。線上欺詐攻擊往往批量執(zhí)行，一次涉及成百上千個(gè)虛假賬戶。這些“機(jī)器人”賬戶一般表現(xiàn)出與普通用戶相異的行為特征。應(yīng)探索注重?cái)?shù)據(jù)分析和新洞見(jiàn)發(fā)現(xiàn)的技術(shù)解決方案，而不僅僅是檢測(cè)反復(fù)出現(xiàn)的已知攻擊模式。   　　
　　對(duì)待線上欺詐不能一味追趕，如果僅僅是跟在后面追，永遠(yuǎn)慢攻擊者一步。