快递员预防运输欺诈

客户： 前 5 名快递

一家年收入超过 500 亿美元的全球五大快递公司（“提供商”）希望保护其客户免遭账户盗用并防止创建欺诈性账户。

挑战＃1： 账户接管

该提供商希望保护其网络和移动applications上的客户登录免受撞库攻击攻击。 撞库攻击是一种攻击方式，犯罪分子会在登录applications上大量测试从第三方窃取的凭证，以进行账户接管。 攻击者获得大量被盗凭证列表，并且通常会发现其中约 0.1%–2% 在目标网站上有效，因为用户重复使用密码。

在八个月的时间里，除了持续的自动化流量外，该提供商还经历了三波大容量自动化高峰。 在某些情况下，一天的攻击流量就超过 100,000 个 POST，比合法流量高出 50％。 该提供商还于 2017 年秋季发布了重要的本机移动 API 升级，该升级频繁成为攻击者的攻击目标。

这些攻击给提供商带来了巨大的损失，提供商必须偿还从客户那里窃取的资金以及使用与账户关联的信用卡进行未经授权交易的任何退款费用。 即使是撞库攻击攻击本身也会给提供商带来高昂的成本。 客户会向服务台大量投诉包裹丢失或账户被锁定（由于攻击者多次登录失败导致账户被锁定）。

挑战＃2： 欺诈性账户创建

该提供商还面临着两种基于欺诈性账户创建的不同方案的挑战。 在第一个方案中，犯罪分子通过编程使用富裕邮政编码的地址创建虚假账户，并使用公开的个人数据正确回答基于知识的身份验证问题。 然后，他们使用提供商的免费服务来跟踪包裹并在包裹发货时收到通知。 这使得窃贼能够追踪包裹并拦截货物，其中许多货物包含他们可以转售的商品。

在第二种方案中，攻击者创建虚假账户并将偷来的信用卡附加到其中。 然后，他们在非法市场上宣传折扣运输和包裹转运等服务，并使用虚假账户购买运输标签。 如果信用卡盗窃受害者发现了欺诈行为，快递员将不得不退还运费，并可能向信用卡发行商支付退款费用。

解决方案

该提供商首先尝试构建自己的解决方案来应对这些挑战。 它结合使用了 Web应用防火墙、负载均衡器和分析工具，试图通过将帮助台票据与客户投诉关联起来并强制重置密码来解决问题。 这种 DIY 方法无法有效减轻自动攻击，欺诈行为仍然存在。

由于无法自行解决问题，该提供商转向 F5 分布式云机器人防御，并决定在其 Web 和移动设备上的登录和帐户创建applications中部署该解决方案。

结果

典型的分布式云机器人防御部署有两个阶段：观察模式和缓解模式。 在观察模式下，F5 会分析应用的所有传入请求，以定制其防御并标记自动流量。 在缓解模式下，F5 根据自动化的性质和提供商的需求采取编程措施。

观察模式

一旦分布式云机器人防御进入观察模式，提供商就可以立即看到并了解其登录流量的全部性质。 如图 1 所示，该服务在观察模式下区分登录应用上的合法人工流量（绿色）和不必要的自动化流量（红色）。

分布式云机器人防御还向提供商提供了高级威胁情报报告，其中包括对自动流量来源的洞察。 例如，该服务发现一半的自动化活动是良性的，而提供商之前并未意识到这一点。

此外，在观察模式下，分布式云机器人防御确定了三个独立的自动化活动，在图表中标记为 1、2 和 3。 这些群体占整个观察期内自动交易的近一半。 如果攻击组试图通过重新装备来绕过分布式云机器人防御，例如利用新的代理来路由其流量或模仿不同类型的浏览器，该服务仍然能够根据其他信号识别攻击组。

F5 还仔细审视了每个活动。 图 2 是向提供商提供的活动 #2 的焦点视图。 此次活动是一次高度分布式的撞库攻击攻击，从超过 25,000 个 IP 地址发起。 在为期三天的活动期间，这些攻击占了所有流量的 50% 以上。 这次活动的另一个引人注目的地方是攻击者试图在登录流程之外导航工作流。

缓解模式

经过近六个月的观察期，提供商将分布式云机器人防御转变为缓解模式。 该服务立即阻止了撞库攻击攻击，防止了数千次账户被盗用。 该提供商估计，使用 F5 保护其消费者登录和帐户创建applications，每年可节省至少 350 万美元的欺诈损失。

* F5 将活动定义为一组来自同一来源的自动请求，通过数百个专有信号进行识别。

未来计划

由于分布式云机器人防御在保护其网站和移动应用程序上的消费者登录方面取得了成功，该提供商正在扩大部署范围，以保护商业客户的新帐户注册以及其他商业applications，包括商业登录、运输、支付和跟踪服务。

该提供商还与 F5 合作，有效地允许商业客户使用合法（良性）自动化，这些客户正在使用消费者登录应用上的自动化来有效地运送他们的产品。