“本银行信用卡，手续简单额度高，活动丰富可免年费，更有积分换大礼。明早九点，网络在线申请，无需预约，极速办理，最快3秒审核！“

肖禾的手机响了，他低头一看，是银行微信公众号的一条新推送。

当下信用卡市场竞争日趋白热化，很多银行都在发行新的卡产品，为了抢夺客群，高额度、免年费、快审核、多优惠的新卡活动一波接着一波。黑产从业者们也自然盯上了这块肥肉。

不过20出头的肖禾，已经是信息搜集届小有名气的人物。信用卡欺诈产业链的重要环节，他都参与其中。这不，银行推广信息还没来得及分享，他就被一位微信群主@了。内容很简单：三百人，具体身份信息，要真的。肖禾略微思索了一下，回了四个字：一人六十。对方秒回：成交。

将手机揣回兜里，肖禾笃信，明早9点，他的上游黑客就能利用自动化程序软件，将他提供的三百条个人信息批量提交到申请页面，在短短几分钟内完成信用卡的在线申请。

至于如何获取身份信息，肖禾这种“高端玩家”已经不满足于在网上购买，除了和黑客合作，通过撞库、洗库的方式提炼筛选信息，他还选择了一种更隐蔽、回报率更高的方式：以公司招工、问卷调查等名义，低价换取或骗取大量真人的详细信息和身份证复印件，再为他们凭空造出各种收入证明、房产证明、学历证明。因为这些身份信息确实真实，所以不必过于担心银行的审核，通过率更高。况且如今部分银行“极速办理”的理念使得审核时间非常有限，即使需要短信或语音验证码，自动打码平台也能够轻松对付。

等成功领到信用卡，利用银行开卡即赠刷卡金、实体大礼包等活动，肖禾和伙伴们只需要一台电脑，就能将银行精心策划的信用卡推广活动一抢而空；更别说有了这一批新信用卡之后，以卡养卡，恶意透支、薅羊毛、套现，甚至洗钱能带来的巨额收益了。悄无声息之中，这条黑色产业链上的每个人都能赚得盆满钵满。

反观银行的被动境地

然而，对于银行的信用卡中心来说，肖禾眼中的诱人生意却教人欲除之而后快。

由于信用卡的主要业务集中在手机App和微信公众号上，为了提升用户的业务体验，很多银行都将相关促销活动放在H5页面上。但很快安全管理人员就察觉到，几乎每次H5页面推广，都会遭遇大量通过自动化攻击发起的虚假信用卡申请、抢促销与秒杀、短信轰炸等业务威胁。

从商业角度来说，这些攻击行为扰乱了申请数据、转化率、毛利率等商业分析指标，歪曲了业务增长的真实水平，可能会误导后续的商业决策。从用户体验来说，真实用户很难在与自动化工具的较量中胜出，总是抢不到促销优惠的结果，就是用户不再有继续参与、使用的热情，导致部分客户的流失。而从信用卡部门本身来说，除了会大大增加银行人工审核成本，影响正常用户申请的处理效率，最刻骨的影响大概就是动辄百万千万的投入打了水漂。

雪上加霜的是，当批量信用卡申请、薅羊毛、撞库、账户盗用、积分盗用这些新兴交易欺诈行为不断挑战银行业务系统和IT系统时，依赖特征库、规则及阀值机制进行防护的传统安全防御机制已经有心无力，无法提供有效防御，令信用卡部门承担着巨大的业务风险及商誉损害。

也正因如此，肖禾和他的同伙们才能在与银行的对决中一次次占据上风。

这一次，银行终于打了翻身仗

第二天一早，肖禾提交完用户信息，信心满满地等待着又一波分红。然而随着时间一分一秒地过去，肖禾却逐渐焦躁起来。因为往常刚过9点，他就能收到群主的大额红包——这是他们为又一次将银行玩弄于股掌之上的惯例庆祝。但现在时针已经指过11点，微信却仍然毫无动静。肖禾终于沉不住气发了一个问号，过了半天，对方才回了一条：自动化程序没用，没法提交申请。

其实，这一天，同时失手的还有成千上万个类似肖禾的组织，以往屡屡得逞的攻击者们，这次却在银行面前吃了闭门羹。

肖禾和其他攻击者们可能想不到，面对黑产的海量应用攻击，银行信用卡中心终于选择绝地反击，及时调整安全防护策略，打了一个漂亮的翻身仗。究其原因，正是该信用卡中心决定与瑞数信息展开合作，采用瑞数动态应用防护系统（RAS），对H5页面建立全新的安全防御体系。

以新信用卡开放申请的这一天为例，在早上九点至九点半的短短半小时内，经过瑞数动态应用防护系统（RAS）的识别，78.6%的开户申请都被认定为自动化工具提交的虚假申请，并被实时过滤和拦截。在随后9小时的定时监测中，由于自动化工具失效，恶意流量在全站访问总量中的占比也从78.6%急剧下降至不足1%，使得整体业务系统持续平稳运行。

瑞数让银行说“NO”

瑞数动态应用防护系统（RAS）旨在混淆和干扰攻击工具对于目标系统的认知，在银行反欺诈及风控系统识别和审核之前的业务逻辑流程之初，及业务操作的执行中就进行实时的人机识别，将风控前置，关口前移。其之所以能帮助银行信用卡部门成功逆转攻防态势，主要得益于以下几点：

1. 动态算法生成：每次会话访问中网页代码参数的封装、令牌生成等算法及检查逻辑都不同，而且其有效时间能够随整体访问量动态调整。黑客必须在极短时间内完成逆向破解才能继续攻击，从而大幅提升了攻击的难度。
2. 真实环境检查：通过对客户端环境与操作行为的动态验证，严密监察运行环境，防止恶意终端的访问，有效识别了访问网页的客户端是“人”还是“自动化工具”，从而过滤大量的自动化攻击噪音。
3. 攻击行为模式分析：基于人机互动的理论，通过鼠标移动轨迹、页面停留时间等分析终端操作的行为模式，有效识别非人为的操作行为，有效防止低频率、模拟真人的操作攻击。

除了能够有效阻止各种自动化工具的攻击，帮助银行信用卡中心避免批量申请及后续养卡、薅羊毛、套现、洗钱的风险，保障银行的资金、用户和整体业务外，从应用安全效益角度看，瑞数动态应用防护系统（RAS）还可以大大降低安全运维成本。无需修改应用代码、无需进行特征库及策略库的升级维护工作，不仅节省了带宽、服务器等资源，而且令银行每年在应用安全方面的投入，包括安全评估、安全事件应急和安全运维，大幅降低。

“过去的武器，赢不了未来的战争“。随着黑灰产业不断的规模化、市场化，攻击手段也在向自动化和工具化演进，银行等金融机构绝不能仅仅依靠单一被动的传统模式进行安全防护，而应当利用瑞数“动态安全”的新技术，建立一张360度全方位的动态防护网，以动制动，确保银行信用卡及其他业务的安全运行！