审查:

COVID-19 大流行改变了我们的私人生活和工作生活。由于员工在家工作,它还迫使公司扩展网络边界,并全面加速数字化转型工作。后一种推动导致在企业外部匆忙采用新系统和服务,需要认真努力和深入的技术知识来保护这些新的攻击面。

数字化转型也改变了在线存在的游戏。例如,如果您正在销售实体产品,则不能再忽视数字渠道。十到十五年前,拥有在线形象意味着拥有一个包含您的电话号码和电子邮件地址的网页,也许是一个基本的网上商店。今天,数字化转型开辟了新的渠道——例如社交网络(Facebook、Twitter、Instagram、LinkedIn 等)或电子商务平台(亚马逊、eBay、全球速卖通)——使公司能够直接与客户互动。

公司使用这些数字渠道通过使用自己的资产(徽标、品牌和营销策略)和客户的活动(例如,对产品或服务的质量反馈)来提高其数字声誉。但问题是,互联网从来就不是一个安全的地方,而且很难预测它会如何被滥用。犯罪分子可能会滥用徽标、内容、优惠和合作伙伴关系来“赚钱”。公司必须采取积极措施来捍卫自己的品牌和声誉,并最大限度地减少/消除这种数字风险。

以下是一些可能增加公司数字风险的恶意行为示例:

  • 诈骗者利用其品牌承诺快速获利和/或销售带有其品牌的假冒商品
  • 声誉泄露
  • 带有公司标志的虚假合作广告
  • 网络钓鱼攻击中的品牌滥用

换句话说,这些威胁存在于您的网络边界之外,并且在公共关系和品牌损害方面可能是毁灭性的。

诈骗者的数量每天都在增加,并且对打击他们的新工具和技术的需求也在增长。此外,互联网比其直接可见的部分更大,组织应该意识到影响其声誉的欺诈活动在暗网和隐藏服务中也很常见。

在这篇评论中,我们将分析 ,一种 Al 驱动的产品,可帮助检测您的数字资产的暴露情况并保护它们免遭滥用。

数字风险保护

IB组 数字风险保护 (DRP) 是一种工具,可帮助公司在各个层面保护其知识产权——在内部、索引网站上以及暗网(具有“.onion”域的网站,可通过专用软件访问) )。这是通过监控整个在线空间的品牌提及并使用机器学习算法来确定威胁和行动的优先级来完成的。

IB组 DRP 的入职流程始于定义必须保护的公司数字资产。此步骤在 DRP 客户成功团队的支持下进行管理,该团队将指导用户完成注册公司以及评估和定义他们想要保护的数字足迹的过程。客户很快也将能够自己配置所有这些设置,但仍将提供正确调整和配置 Group-IB DRP 的帮助(如果需要)。

出于审查目的,我们完成了典型的入职流程并监控了 Facebook 的热门品牌——Instagram、WhatsApp 和 Messenger——因为它们经常遭受版权侵权和其他侵权行为,并且经常被骗子滥用。

审查

图 1 – 我们监测了 Facebook 的流行品牌(Instagram、WhatsApp 和 Facebook Messenger)

注册和入职后,用户可以开始监控其组织的数字足迹,或者可以选择由 Group-IB 分析师执行监控的许可证类型。

当用户登录 Group-IB DRP 时,他们会看到一个清晰的仪表板,其中包含公司的整体风险级别和需要注意的事件(图 1)。如果他们正在监控多个公司或品牌,他们可以在仪表板中过滤结果。

IB组数字风险保护

图 2 – (DRP) 仪表板

根据他们的品牌形象,Group-IB DRP 抓取和分析网络并跟踪公司的数字存在。它持续监控以下来源:

  • 域名及其声誉
  • 网站
  • 社交媒体
  • 移动应用商店(官方和非官方)
  • 市场、在线广告和分类广告
  • 即时通讯平台
  • The 深的暗网

IB组 DRP 每天收集和分析超过 300 万个事件。监控阶段为组织提供有关品牌提及的早期警报,并根据内容根据滥用的类型和优先级分配风险评分。 Group-IB DRP 帮助用户优先考虑如何处理和处理特定事件,并决定何时包括 Group-IB 分析师来帮助评估最困难的案例。

IB组 DRP 的主要目标是防止数据、收入和声誉损失。该平台有五个主要模块,以防止对公司数字存在的常见威胁:

  • 反诈骗:防止采取常见形式的在线滥用,如诈骗和网络钓鱼、虚假合作伙伴关系和商标滥用、虚假广告、虚假账户、社交媒体上的品牌冒充和虚假移动应用程序(图 3)
  • 防伪: 保护和检测非法销售商品或仿冒版本、侵犯版权、违反合作协议的案件(图 4)
  • 反盗版:防止以各种形式(视频、音频、软件、计算机游戏、流媒体服务、书籍、文章等)非法分发数字内容,监控种子跟踪器、流媒体服务或社交媒体和暗网上的盗版平台。盗版内容平均在 30 分钟内被检测到,大多数非法副本在 7 天内被完全封锁
  • 泄漏检测:检测暴露在互联网或暗网上的敏感数据、泄露的凭据、代码泄露或暴露的敏感数据(图 5)
  • 贵宾保护:监控和阻止 C 级高管的虚假账户、数字外观分析以及监控泄露数据。

可疑的移动应用程序

图 3 – 在非官方商店中发现的可疑移动应用程序(Android 版 Instagram)。高总体风险评分表明需要品牌所有者采取行动

IB组 DRP 可以检测域名和文本内容中的品牌提及,但它也可以检测误用徽标的图像。组织品牌的平均(一般)风险评分来自所有分析的资源。超过 90% 的品牌违规案例是通过机器学习算法自动检测到的,该算法还会计算一般风险评分并检测异常的诈骗者行为和模式。除了用作违规通知外,风险评分还有助于确定警报优先级,并定期重新检查和更新。

IB组 生态系统可以利用现有的威胁情报来丰富收集到的数据,更好地剖析犯罪分子的网络基础设施,以及使用类似资源的各种活动和团伙之间的关联。与其他 Group-IB 产品一样,例如 威胁搜寻框架诈骗追捕平台,用户可以使用实用的 Graph 网络分析来调查域和其他工件,帮助组织掌握全貌以及帮派和活动之间的相互联系(图 6)。

审查

泄漏检测示例

图 4 和图 5 – 伪造和泄漏检测示例

如果您的组织将移动应用程序用于其服务或客户支持,Group-IB DRP 可以监控潜在的滥用行为,例如在非标准市场上复制和分发虚假移动应用程序,还可以跟踪 Google Play 和 Apple Store 等官方商店的新版本。图 3 显示了检测到的虚假移动应用程序的示例。

图网络分析

图 6 – 图网络分析揭示了诈骗者在检测到的虚假 Instagram 相关域背后的基础设施

使用人工智能打击犯罪和诈骗

人工监控和手动阻止不足以击退当今众多且不断变化的骗局。很明显,为了使 Group-IB DRP 在自动检测方面具有强大的功能,并且一般来说,在保护组织的数字声誉方面已经付出了很多努力。

一般风险评分使用户能够首先查看(并解决)最重要的警报。幕后技术基于最先进的人工智能算法和 深度学习 方法,在图像识别和文本处理任务上实现高精度,并巧妙地应用于与诈骗相关的领域问题。

风险评分由 AI 算法计算得出,该算法可高效、持续地了解公司的具体情况以及背景。这是一个巨大的游戏规则改变者,因为这种自动化使各种规模的组织能够同样有效地发现真正的威胁。

IB组 DRP 经历的过程可以分为三个阶段:

  • 源头监控 包括来自合作伙伴数据馈送、爬虫以及私有和公共 API 的数据收集
  • 数据分析.人工智能算法检测图像和文本中的品牌滥用(以及在包含文本的图像中发现虚假声明)
  • 违规检测.潜在威胁、它们的类型和优先级根据一般、商标和域风险评分进行分类。在检测到威胁并采取措施消除威胁后,Group-IB DRP 会继续执行定期检查,以查看这些措施是否提供了结果以及威胁是否仍处于活动状态。 Group-IB DRP 使用其声誉数据库来丰富数据,即使用检测到的攻击者资产(IP 地址、TLS 证书、名称等)来构建围绕攻击者的上下文。该组件结合了分类算法和分析师专业知识的使用,以快速分类和解决品牌滥用案例

三种主要的分类技术计算品牌的潜在风险:

  • 采用第一分类算法检测和计算域风险评分(图7)
  • 第二种技术从文本内容中检测误用,可以直接从网页中提取,也可以从网站的图像或屏幕截图中提取。 Group-IB DRP 使用多种语言,可以理解和分类全球使用的 95% 的语言
  • 第三种技术对图像和屏幕截图进行对象检测。检测到的对象可以是品牌标志或品牌视觉识别中经常被骗子滥用的其他元素(图 8)

审查

图 7 – 基于各种特征计算域风险评分

文本分析和对象检测有助于商标风险评分,它告诉我们品牌受检测事件影响的程度。所有分类技术都参与并为最终的总体风险评分做出贡献。

除了先进的检测机制,Group-IB DRP 还提供了另一种快速响应的有效工具:用户可以为假网页定义签名(正则表达式),这样当解决方案遇到匹配时,它可以阻止资源并额外增加一般风险分数。

审查

图 8 – 检测到:滥用 Instagram 商标和高风险域

在野外解决事件并执行行动

最有趣的部分是该平台如何利用公司的能力和专业知识来帮助组织打击犯罪。

除了自己的内部专家外,Group-IB 还可以召集广泛的合作伙伴网络,其中包括事件响应和执法组织(国家 CERT、更大组织中的 IR 团队、ICAAN 等)。该公司的计算机应急响应小组 (CERT-GIB) 专门为客户提供解决事件、提供联系以及与重要利益相关者建立沟通的支持。

IB组 的分析师团队可以 24/7/365 全天候提供服务,并且分散在世界各地,这使他们能够了解他们正在监控的区域常见的特定细节和技术。这种深入的技术知识和高效的事件响应工作流程可以帮助组织开始构建他们的反欺诈和反欺诈组织防御、他们的主动能力,并帮助成熟的内部团队提高他们的能力。

IB组 建立了一个三阶段流程来保护其客户的数字足迹:

  • 通知 – 在第一阶段,基于对收集到的数据的监控,他们发现滥用并尝试确定资源所有者,与他们建立沟通并消除违规行为。这通常是与域名注册商、托管服务提供商、CERT 和 ICAAN 等协会、共享服务或可能在不知不觉中托管各种恶意内容的基础设施所有者合作完成的
  • 升级 – 对于特定用例,Group-IB 专家利用他们与内容交付平台的合作伙伴关系来消除违规行为
  • 停止并停止 – 当之前的步骤不成功时,Group-IB 专家及其律师会帮助客户获得预审令,以取消检测到的违规行为,或者根据案件的严重性,协助客户采取替代的后续步骤

审查
审查

图 9 和图 10 – 检测到基于商标滥用的可疑 Instagram 个人资料

通过这个三阶段流程,Group-IB DRP 使组织能够通过迅速消除在线品牌侵权来降低数字风险,而无需额外投资或冗长的诉讼。当无法快速删除或阻止所有有问题的内容时,Group-IB DRP 会采取行动,通过向流行的网络钓鱼数据库和黑名单添加危害指标、删除与违规相关的搜索引擎结果,将攻击和风险面降至最低,或屏蔽与案件相关的社交媒体账户。

真实案例研究:WHO 骗局

IB组 DRP 用于检测和删除 诈骗活动 2021 年 4 月冒充世界卫生组织 (WHO)。

能够检测到对 WHO 品牌的滥用,还发现了一场大规模的多阶段诈骗活动,其中包括 134 个冒充 WHO 并鼓励用户进行虚假调查的流氓网站。

骗局及相关域名成功 移除 通过 Group-IB 和联合国国际计算中心之间的合作。这个骗局很简单,并迅速传播开来,因为骗子向完成调查(要求提供个人数据)的每个人承诺 200 欧元。受害者还可以看到有关评论员据称收到的礼物的虚假 Facebook 评论。一旦用户回答了问题,他们就会被提示与他们的 WhatsApp 联系人分享链接,以确保他们的多阶段计划得到广泛传播。

IB组 使用 Graph 网络分析功能发现,WHO 诈骗活动的背后是一个被称为 DarkPath Scammers 的有组织的集体。在第一次发现后的 48 小时内,Group-IB 就能够阻止所有流氓域。进一步分析表明,这些域名与其他 500 个诈骗和网络钓鱼资源有关,这些资源冒充了 50 多个国际知名食品、运动服装、电子商务、软件、汽车和能源行业品牌。流氓网站是用诈骗工具包构建的,诈骗者可以使用相同的模板冒充多个品牌。在 UNICC 和 Group-IB 采取行动后,诈骗者停止在整个网络中使用 WHO 品牌。

审查

图 11 – DarkPath 集体在与世界卫生日相关的诈骗活动中使用了 134 个域

结论

IB组数字风险保护 是一种创新产品。它可以帮助组织主动检测虚假域、欺诈性广告和网络钓鱼页面。它涵盖网站、市场、广告、移动应用商店和社交媒体(包括 Instagram、Twitter 和 Facebook)。

由于技术要求不高,并且可以通过这些平台来欺骗客户,我们很可能很快就会看到这些攻击的扩散。

由于他们对抗的威胁行为者和策略如此不同,因此数字声誉防御解决方案与经典威胁情报产品有很大不同。 Group-IB 已经构建了一个坚如磐石的专业产品,该产品由其事件响应能力提供支持,并且随着最新攻击者的策略不断发展。

IB组 DRP 可以帮助拥有许多知名品牌的大企业和在线公开且没有时间和足够人员来处理滥用其数字足迹的严重案例的小公司。

随着诈骗活动数量的增加,Group-IB DRP 的图形网络分析功能将必不可少。您将希望找到模式并消除欺诈计划的根本原因,如果没有上下文,这将是不可能的。

由于直接通信渠道的使用增加,诈骗情报是下一个前沿领域,可以更好地关联攻击者的资产和活动。人工智能技术的使用以及针对特定地区和客户的自定义调整的可用性将使公司能够检测到经常被压力分析师忽视的误用。 DRP 配备了自动化工作流程和巧妙的算法,可以为安全和风险部门节省时间,同时发现应紧急解决的案例。

我们可以向希望保护其品牌并了解其数字足迹误用案例的组织推荐 Group-IB DRP。裁决基于我们在审查期间发现的价值和欺诈信息。




分享这个