因而前端網頁程式廣泛地運用圖形驗證碼(CAPTCHA)等機制來判斷是真人操作或機器人(Bot)程式所為,例如Google服務為了精準辨識,要求使用者選取紅綠燈、公車等類型的街景相片,來證明「我不是機器人」,即是為了防堵惡意機器人發動憑證填充等滲透攻擊。
問題是,豐厚的非法利益正驅動著攻擊手法不斷變換更新,Shape Security近期發現最新威脅趨勢,駭客已演進到採用即時網路釣魚代理(Real-Time Phishing Proxy,RTPP)工具。盧秉權以日前多起偽冒銀行詐騙簡訊舉例,共通的特性都是當用戶點選內文連結,導向詐騙者模仿該銀行官網風格精心設計的釣魚網頁,讓用戶降低警覺心,進而輸入銀行帳密資料。此時,立即觸發RTPP工具事前撰寫的腳本,由機器人程式幫用戶把資料「代為」輸入到真實網站執行登入,讓用戶取得OTP(動態密碼),同時釣魚網頁也切換成等待輸入驗證碼的畫面,遂行盜取用戶銀行帳戶內存款。
盧秉權認為,遏制防不勝防的詐騙手法,唯有持續不斷地學習與理解攻擊活動樣貌,企業才得以跟進調整防護機制,執行有效抵禦。其首要關鍵在於蒐集大數據,藉此建立使用者行為(UBA)模式,深入分析操作輸入帳密、註冊資料的動作,以及偵測鍵盤與滑鼠移動的邏輯,來判斷是否為機器人程式所為。
Shape Security擅長於運用機器學習與人工智慧(AI)識別詐欺意圖,將應用服務操作產生的資料餵入演算模型分析,較以往採用特徵值偵測比對,可更加精準地判讀帳密登入、註冊為會員、購物車付款等操作,究竟是正常用戶或機器人程式,並且先行過濾阻擋降低潛在風險,確保數位化應用服務觸及目標客群,讓創意行銷活動達到實質效益。
先行過濾阻擋降低潛在風險,確保數位化應用服務觸及目標客群,讓創意行銷活動達到實質效益。
為了協助台灣積極發展數位化應用的企業,釐清對外營運的網站流量中,正常用戶與機器人程式的行為模式,台灣F5提供了「機器人阻擊急救」免費體檢服務。盧秉權說明,只要在企業內部虛擬化平台上掛載SPDT(Shape Passive Detection Tool),即可採以非侵入式手段擷取網路流量封包,經過解析後獲取資料,整體運行不會影響到既有應用系統運行。SPDT演算模型分析後可產生出不同維度的報告,例如正常用戶與機器人流量的比例、惡意機器人攻擊的狀態等科學化數據,F5資安專家即可藉此提出改善與緩解攻擊的建議,增強數位化應用場景防護體質。