信用卡上的攻防博弈（二）

反观银行的被动境地

然而，对于银行的信用卡中心来说，肖禾眼中的诱人生意却教人欲除之而后快。

由于信用卡的主要业务集中在手机App和微信公众号上，为了提升用户的业务体验，很多银行都将相关促销活动放在H5页面上。但很快安全管理人员就察觉到，几乎每次H5页面推广，都会遭遇大量通过自动化攻击发起的虚假信用卡申请、抢促销与秒杀、短信轰炸等业务威胁。

从商业角度来说，这些攻击行为扰乱了申请数据、转化率、毛利率等商业分析指标，歪曲了业务增长的真实水平，可能会误导后续的商业决策。从用户体验来说，真实用户很难在与自动化工具的较量中胜出，总是抢不到促销优惠的结果，就是用户不再有继续参与、使用的热情，导致部分客户的流失。而从信用卡部门本身来说，除了会大大增加银行人工审核成本，影响正常用户申请的处理效率，最刻骨的影响大概就是动辄百万千万的投入打了水漂。

雪上加霜的是，当批量信用卡申请、薅羊毛、撞库、账户盗用、积分盗用这些新兴交易欺诈行为不断挑战银行业务系统和IT系统时，依赖特征库、规则及阀值机制进行防护的传统安全防御机制已经有心无力，无法提供有效防御，令信用卡部门承担着巨大的业务风险及商誉损害。

也正因如此，肖禾和他的同伙们才能在与银行的对决中一次次占据上风。

这一次，银行终于打了翻身仗

第二天一早，肖禾提交完用户信息，信心满满地等待着又一波分红。然而随着时间一分一秒地过去，肖禾却逐渐焦躁起来。因为往常刚过9点，他就能收到群主的大额红包——这是他们为又一次将银行玩弄于股掌之上的惯例庆祝。但现在时针已经指过11点，微信却仍然毫无动静。肖禾终于沉不住气发了一个问号，过了半天，对方才回了一条：自动化程序没用，没法提交申请。

其实，这一天，同时失手的还有成千上万个类似肖禾的组织，以往屡屡得逞的攻击者们，这次却在银行面前吃了闭门羹。

肖禾和其他攻击者们可能想不到，面对黑产的海量应用攻击，银行信用卡中心终于选择绝地反击，及时调整安全防护策略，打了一个漂亮的翻身仗。究其原因，正是该信用卡中心决定与瑞数信息展开合作，采用瑞数动态应用防护系统(RAS)，对H5页面建立全新的安全防御体系。

以新信用卡开放申请的这一天为例，在早上九点至九点半的短短半小时内，经过瑞数动态应用防护系统(RAS)的识别，78.6%的开户申请都被认定为自动化工具提交的虚假申请，并被实时过滤和拦截。在随后9小时的定时监测中，由于自动化工具失效，恶意流量在全站访问总量中的占比也从78.6%急剧下降至不足1%，使得整体业务系统持续平稳运行。