港府早前推出的電子消費券計劃為防止機械人濫用而增設「九宮格」CAPTCHA 真人認證步驟,本意當然是造福全民,但其驗證難度之高令大眾頗有微言。加入這類認證目的是阻截機械人程式冒認真人使用服務,但使用者體驗欠佳,讓他們對網站產生負面觀感,甚至可能放棄存取網頁。這些測試也可能會被傀儡程式愚弄,帶來更大的傷害。要迎戰變化莫測的安全挑戰,可以採取最新智能認證工具,應用人工智能技術,除能提供安全認證外,亦有效提升使用者體驗。
人類與機械人程式的攻防愈演愈烈
這次港府為刺激大眾消費支出以振興經濟推出的 5,000 港元消費計劃,需符合條件的居民才能進行電子登記,並證明登記人不是偽裝的機械人才能兌換消費券。他們採用了 CAPTCHA 測試工具進行身份驗證,但驗證難度與複雜性讓許多用戶感到沮喪,在推出短短三天就收到大量投訴。
CAPTCHA(完全自動化的公共圖片測試,以區分機械人和人類)最初是設計作為防止機械人、惡意軟件和人工智能 (AI) 冒認真人與網頁互動的工具。這個測試工具多年來廣受歡迎,其應用包括防止機械人灌爆網絡流量搶購演唱會的門票、限制註冊服務、防止虛假評論等。近年更會被用於防止更險惡的自動攻擊行為,例如憑證填充攻擊之類。
▲ 相信不少朋友都曾經被這種 CAPTCHA 難倒
欺詐多方面進化 生命週期加速
正所謂道高一尺,魔高一丈,數碼技術的創新改變了一切,也使得網絡犯罪分子發起的網絡攻擊更聰明、更快速,威脅數量每天以倍數成長。F5 Shape Security 解決方案經理 Ryan Lo 指出,從身處地下室的獨行俠到有組織的犯罪集團和有國家背景的組織,攻擊者的詐欺行為在過去十年衍生出多變的形式。他們擁有跟企業 IT 團隊同等級的技術、工具和服務,這包括使用人工智能 (AI) 和機器學習 (ML) 來建立能適應企業級防禦措施的複雜活動的能力。
過去一個簡單的 cURL 工具就可以盜取網站資料。時至今日,雖有 CAPTCHA 驗證碼、雙/多因素認證、OTP 這類防禦技術,但攻擊者一直調整他們的攻擊手法,利用驗證碼求解器和可編寫腳本的瀏覽器來模仿人類行為,透過機械人和釣魚網站來盜取個人資料。這些都是為了從目標攻擊中獲得更多的收入,不僅是銀行、金融機構,未來所有企業都會是詐騙攻擊的目標。
技術和數據主導的安全驗證難題
應用程式是推動政府、企業數碼轉型的重要元素,甚至已成為我們經濟、政府和日常生活的組成部分。數碼轉型無意間為攻擊者帶來更多的漏洞。Ryan 接著指出,隨著網上攻擊變得越來越複雜,像 CAPTCHA 這樣的傳統解決方案根本無法在可接受的誤差範圍內檢測可疑活動,使其無法發揮作用。除了誤差風險之外,CAPTCHA 測試還會令體驗增添摩擦,容易讓真人用戶覺得麻煩甚至放棄繼續使用。對提供應用程式的商家而言,很可能因為難解的 CAPTCHA,和被機械人流量拖慢用戶體驗而失去寶貴的客戶。
F5 實驗室和 Shape Security 的研究調查報告發現,憑證填充攻擊已成為一種愈來愈流行的網上欺詐手段,從 2016 年到 2020 年,帳號密碼洩漏事件從 10 億次增加到 53 億次。透過憑證填充攻擊,網絡犯罪分子使用竊取的登入資料來模擬真實的網上用戶,訓練複雜的機械人以存取數百萬個網站和流動應用程式。
▲ Ryan 分享目前市場上面對的挑戰
使用更智能的 Antibot 工具應對網絡攻擊
Ryan 指出,要在與攻擊者的攻防中取勝,主要的關鍵在於使用自動化、機器學習與 AI 技術來建立安全的防護措施。F5 應用服務調查也顯示,超過一半以上的安全管理人員將應用程式的安全性視為最大的技術挑戰。使用 AI 工具不僅可以幫助企業做出更好的決策,還可以讓他們更有效地保護應用程式,而不用採取會影響用戶體驗的安全檢查層。
Ryan 接著說明,隨著網絡攻擊的數量和複雜性急劇增加,識別和遏止網絡威脅的工作已超出了人類的範圍,針對憑證填充機械人攻擊,必須從收集網絡用戶的各種軌跡開始,然後使用機器學習對這些軌跡內容進行評分和加權,以過濾機械人存取。
Shape Security 智能反機械人系統就採用獲獎的 AI/ML 技術和超過 150 項專利,擁有強大的深度分析、行為與脈絡感知能力,同時累積每星期評估超過四十億交易數據的經驗,可以預測並分析滑鼠動作或鍵盤輸入頻率等是否為真人行為。Shape 甚至可以即時檢查登入名稱與密碼組合,從而判別它們是否是已知洩露憑證數據庫的資料。所以在搜尋航班、在手機上查看銀行餘額或透過智能語音助理訂購衣服等應用中,很大機會 Shape Security 已經在保護您的資訊安全和用戶體驗。
▲ 收集真實數據對於制定策略有很大幫助
企業對可見性需求增加 應了解技術優勢
問到目前市場對於新智能認證的普及程度,Ryan 解釋,雖然目前已有很多企業採用此技術,但仍然有一些機構未了解 Bot 帶來的潛在風險,以及新技術可以帶來的優勢。他提到幾個實際例子,例如之前有跨國咖啡品牌在中國開展了用 App 落單的優惠活動,新用戶登記就可獲得免費咖啡,後來發現雖然用戶數量大增,但大部分原來是用 Bot 登記的假用戶,而免費咖啡券則被人用來出售圖利。這樣一來,優惠所花費的成本就白白付出,更無法帶來預期的市場推廣效果。
▲ 萬物互聯的時代要精準對真人用戶提供服務相當重要
此外,目前一些創作平台是透過分析內容流量來分佣支付創作者,他們也急切需要處理 Bot 帶來的假流量,才可以更公平地按照真人觀衆流量來分配佣金。在數碼轉型變得普及的現在,確保資源可以用在真正用家而非 Bot 之上,其實相當重要。而 Shape Security 的新智能認證方案正正針對此需要應運而生,協助機構在網上精準對真人用戶提供公平而安全暢順的服務。
F5 目前為全港公司提供免費「Bot Assessment and First Aid」服務,多維度分析應用程式健康狀況,預知潛在風險。如有需要,歡迎填寫表格或致電 +852 2827 1818 聯絡 F5 香港團隊。