1.4 企業數字業務安全風險的成因

企業數字業務安全風險是伴隨著數字化的普及和發展而產生的。企業業務轉型線上實現數字化后，新的商業模式帶來了全新的業務環節，而由于企業內部在技術、管理、思想上存在著種種不足，導致企業數字業務的各個環節之間存在著若干安全隱患；隨著技術門檻的降低，掌握各種攻擊手段也不再困難，企業面臨的外部攻擊和欺詐愈加專業，手段多樣，攻擊成本日益降低，企業數字安全風險產生的原因如圖1-3所示。

1.4.1 新的商業模式帶來風險

企業數字化業務的發展離不開移動互聯網的推動。移動通信技術的迅猛發展、智能終端的廣泛應用，推動著移動互聯網的飛速發展。人們可以隨時隨地通過移動互聯網快捷地獲取各種網絡服務。移動互聯網催生的移動支付，讓隨時隨地的在線交易成為可能。共享出行、共享單車、網約車、外賣平臺、移動互聯網金融等一大批新的商業新生態隨之而生，如圖1-4所示。

伴隨著新的商業模式的誕生，新的風險也開始顯現。一方面，線上與線下的環境、邏輯、用戶距離上差異很大，例如，數字化業務是一種隨時隨地、7×24小時不間斷提供服務的模式，讓用戶與企業的距離更近，業務邏輯更短，讓下單、交易、核銷、個人信息傳遞等關鍵業務流程直接在線上進行，由此產生了一大批新的漏洞隱患。另一方面，企業的管理者和運營者缺乏系統的數字化業務運營經驗和安全意識，對數字業務的風險意識淡薄，相應的數字業務安全措施并沒有系統規劃和準備，由此為遭遇風險攻擊埋下了隱患。

2013年如雨后春筍般出現的O2O服務，商家為了拓新拉客占領用戶手機，紅包、優惠券、免單券、折扣券、禮品、試吃試用、返利等企業推廣手段層出不窮。鼎盛時期，在北京朝陽區望京SOHO樓下的“O2O推廣一條街”轉一圈，領取到的各種優惠夠一個成年人足吃足喝一整天。

2014年，互聯網金融公司成為推廣新主角。無門檻的加息券、返利券、現金和豐厚推廣禮品吸引了大批參與者。

就在這一年，一部分人開始利用社群或社區有組織、有計劃、大規模地領取商家優惠，并通過多種平臺進行轉售獲利。由于收益可觀，“薅羊毛能賺錢”的理念迅速流行并擴散。惡意薅羊毛的業務欺詐參與者逐步呈現職業化、團伙化特征，創造出更多薅羊毛的方法和工具，并形成了信息竊取、賬號倒賣、工具制作、攻擊實施、商品轉售的完整產業鏈條，業內稱之為“黑灰產”（后續章節會對黑灰產進行詳細解讀）。

1.4.2 風險攻擊手段越來越專業，成本越來越低

業務安全風險與技術發展緊密關聯。移動互聯網、云計算、人工智能等技術在企業數字化業務中取得顯著應用成效的同時，由新技術驅動的業務安全風險也正在形成。技術在助力生產的同時，也正在成為黑灰產發動風險攻擊的工具，并降低了風險攻擊的門檻和成本。

2018年，警方抓獲某高科技犯罪團伙。該犯罪團伙使用基于神經網絡模型的深度學習技術，訓練了多個驗證碼圖片識別模型，能快速識別當前網上80%以上的驗證碼。在突破驗證碼安全防護策略后，嫌疑人就可獲取網站后臺的數據、網友敏感信息。

此外，該犯罪團伙還制作出很多“技術先進”的智能牟利工具，用于其他犯罪手段。例如，利用自動售貨機器人販賣各類被盜的賬號，利用人工智能技術批量解封被封賬號等。

黑灰產的技術應用不僅自用，還會通過各種方式出售或租賃給其他非法組織、個人使用。

在黑灰產業鏈中有明確的分工。以上面的犯罪團伙為例，是典型的上游基礎組，主要是提供各類破解工具、打碼平臺、偽造工具、代理工具；中游信息組主要是提供社工庫、垃圾注冊、盜號、洗號、信息盜取、數據爬蟲、交易交流平臺；而下游變現組，主要實施騙貸、欺詐、刷單、刷粉、薅羊毛等攻擊行為。

通過上下游分工明確黑灰產業鏈，普通人已經可以輕易購買到各類黑灰產工具，對企業的數字業務發起攻擊。

1.4.3 企業數字業務存在若干隱患和漏洞

企業數字化業務通常隨時隨地、7×24小時不間斷地提供服務，這在提升用戶使用體驗的同時，也對業務的風險管理、運營管理提出了更高要求，然而眾多企業在數字化浪潮中并沒做好相應的準備。

例如，企業在業務規則上設計不合理或門檻過低，黑灰產可以反復領取優惠福利；在App等服務平臺上存在各類系統漏洞，黑灰產能夠針對這些漏洞開發各類惡意程序實施攻擊；在業務模式上，企業缺乏對線上環境的預估，業務模式生搬硬套，導致業務邏輯出問題，被黑灰產鉆空子；管理思路上沒有跟上24小時在線的業務形態變化，忽略了非工作時間的安全運維，產生安全風險。這一系列問題，導致業務存在種種隱患，成為黑灰產攻擊的入口。

某運營商為回饋老用戶，新上線一個App，主要為會員提供各類活動。其中一個活動是，為使用一定年限的老用戶提供500MB的免費流量。由于領取規則過于簡單，一晚上被狂薅數百TB網絡流量，損失慘重。該運營商第二天早上才發現問題，緊急關閉活動。在修改領取規則、部署風控系統后，活動才二次上線，但損失已無可挽回。

該風險事件非常典型，直接暴露出了三個漏洞：首先，規則設置簡單，例如，一個號碼可以短時間內反復領取；其次，利用其App存在潛在漏洞，黑灰產制作了批量薅羊毛的軟件大肆“薅取”福利；再就是依舊按照朝九晚五的實體營業模式，未基于數字化業務特點，實行24小時的運維值班服務，以致反應遲緩，問題處置不及時。