
”活动中,共132家金融机构提交了387个相关案例,广东南粤银行的“基于威胁情报驱动的反钓鱼主动防御体系建设与运营实践”得到评审专家的一致好评,获得了“
为落实监管部门关于反欺诈、反钓鱼的工作要求,应对银行业钓鱼攻击高发、手段迭代升级的痛点,广东南粤银行搭建基于威胁情报驱动的反钓鱼主动防御体系。体系以攻击者视角构建主动防御,覆盖全场景侦测、智能识别、快速处置等全流程,实现7×24小时监测、2小时内告警、境内钓鱼站点24小时内关停,筑牢客户资金与信息安全防线,满足监管合规,为城商行数字渠道安全防护提供可复制范本。
监管部门相继出台相关政策,明确要求银行业强化网络安全与数据安全防护,加大钓鱼攻击监测阻断力度,对反钓鱼、反欺诈主动防御能力提出更高标准。同时,随着银行业线上业务快速发展,钓鱼攻击已成为行业核心网络安全风险,攻击手段呈现智能化、产业化、跨境化特征,仿冒官网、手机银行、官方账号等欺诈行为频发,严重威胁客户资金安全与银行品牌声誉,行业内传统被动防护模式已难以应对新型攻击挑战,构建主动防御体系成为银行业的必然选择。为积极响应监管部门的政策要求,应对银行业日益严峻的网络安全形势,我行启动基于威胁情报驱动的反钓鱼主动防御体系建设项目。
结合监管要求、行业形势及我行自身发展实际,当前存在多方面核心需求。一是合规适配需求,需落实《网络安全法》《数据安全法》等法律法规,完善钓鱼攻击监测处置台账与审计日志,确保满足监管考核与合规检查要求。二是安全防护需求,我行线上业务渠道持续拓展,互联网数字资产暴露面增加,暗网数据泄露、影子资产未识别等潜在风险突出,原有防护模式存在监测场景不全、处置链路不闭环、响应不及时等短板,亟需补齐能力缺口。三是运营适配需求,作为城商行,安全运营团队人力、资源有限,需构建轻量化、高效化的防护体系,在降低运营成本的同时,实现专业级安全防护落地,支撑线上业务健康可持续发展。
①构建全场景监测能力:实现钓鱼网站、仿冒APP、欺诈公众号/社交媒体账号、假冒客服电话、互联网暴露面、暗网数据泄露全维度7×24小时常态化监测,全面消除监测盲区,实现仿冒威胁高覆盖率发现。
②打造全链路闭环处置:建立风险告警、人工核验、授权处置、效果核验、持续跟踪的标准化处置流程,实现境内钓鱼站点、境外站点、仿冒APP、欺诈账号在监管要求与服务承诺时效内完成关停、下架与冻结,处置响应时效全面满足监管要求。
③建立情报驱动主动防御:依托全球威胁情报能力,实现高危漏洞、黑产动向、新型攻击手段的提前预警,将风险防控端口前移,构建“事前预警、事中阻断、事后溯源”的立体防护体系。
④全面满足监管合规要求:落实《网络安全法》《数据安全法》等法律法规要求,完善钓鱼攻击监测处置台账与审计日志,确保监管数据上报及时、准确、规范,满足监管合规要求。
⑤切实保护客户与品牌安全:有效阻断钓鱼攻击链条,降低客户资金损失与信息泄露风险,维护我行品牌声誉与客户信任,为线上业务健康可持续发展筑牢安全根基。
突破传统反钓鱼仅聚焦网站监测的局限,构建“六维一体”全域监测矩阵,覆盖钓鱼网站、仿冒移动APP、微信/支付宝生态欺诈账号、社交媒体仿冒账号、假冒客服电话、互联网暴露面与暗网数据泄露六大核心场景。依托全球多节点分布式扫描检测集群,结合网络空间测绘引擎、多引擎协同探测技术,实现境内外全平台、全渠道监测覆盖,监测频率不低于每日1轮,针对高风险场景实现实时动态监测,彻底消除传统防护的监测盲区。
基于集成学习与对抗训练构建智能识别模型,融合多维度技术实现仿冒威胁精准识别,模型实现仿冒威胁高精准识别,大幅降低误报率。一是基于Levenshtein距离算法实现域名、账号名称变体智能生成与匹配,精准捕获高仿仿冒目标;二是采用SSIM结构相似性指数算法与TF-IDF文本相似度分析,实现页面UI、LOGO、业务文案的仿冒程度量化判定;三是通过证书MD5比对、代码特征分析、沙箱动态检测技术,实现仿冒APP、恶意文件的精准识别;四是基于RoBERTa自然语言处理模型,精准识别诱导性诈骗话术与虚假宣传内容,有效应对新型钓鱼欺诈手段。
打造“侦测-取证-核验-处置-跟踪”五步标准化闭环处置流程,建立多渠道、多层级合规处置体系。通过覆盖注册商、解析商、应用市场、社交媒体平台等处置渠道,结合ICANN合规申诉机制、监管协同上报通道,实现域名体系、主机托管、平台方、监管机构多维度协同处置。所有处置操作严格遵循《网络安全法》《数据安全法》等要求,全程留痕、全量取证,仅在我行授权后启动处置操作,确保处置行为合法合规,同时建立处置后持续跟踪机制,防范风险复活,实现处置闭环。
打破传统“事件触发式”被动防护模式,构建以威胁情报为核心的主动防御体系。一方面整合全球蜜罐网络、暗网监测节点、海量黑产灰产社群深度布控资源,实时捕获恶意IP、失陷域名、攻击组织、新型钓鱼工具等威胁情报,实现高风险攻击的提前预警;另一方面将威胁情报与我行安全防护设备深度联动实现防护规则有效升级,同时支撑我行安全运营团队深度威胁分析与溯源,全面提升主动防御能力。
针对城商行安全运营团队人力有限、资源紧张的特点,打造“平台+专家”轻量化运营模式。通过SaaS化服务平台实现资产状态、风险告警、处置进度、统计数据的可视化展示,无需行内部署软硬件设备,不影响现有业务系统运行;依托四大运营中心专业三级安全专家团队,提供7×24小时值守与应急响应服务,异常情况2小时内多渠道同步告警,30分钟内启动应急处置,同时按月输出标准化监测报告与运营分析,大幅降低行内运营人力投入,实现专业能力轻量化落地。
本项目整体架构以“一个中心、四大引擎、五大闭环、全场景覆盖”为核心,基于攻击者视角构建端到端的反钓鱼防护体系,整体技术架构如下:
体系以安全运营中心为核心,向下整合分布式探测引擎、智能识别引擎、自动化处置引擎、威胁情报引擎四大技术能力,向上支撑钓鱼网站、仿冒APP、欺诈公众号、假冒客服电话、社交媒体欺诈五大场景的全流程闭环处置,同时配套互联网暴露面监测、暗网数据泄露监测、网站安全监测三大基础能力,形成“能力-场景-运营”三位一体的完整技术体系。所有服务均采用云端SaaS化交付,无需改变我行现有网络架构与业务部署,确保不对现有网站、APP运行和业务造成任何影响。
依托网络空间测绘引擎并结合六大核心侦测技术,实现全场景仿冒威胁主动发现:
IP/反查发现技术:通过DNS反向解析、IP历史绑定记录、WHOIS信息反查,建立IP-域名映射关系库,挖掘同IP、同注册主体关联的可疑仿冒资产;
搜索/爬虫发现技术:通过国内外搜索引擎API与HeadlessChrome无头浏览器,周期检索高危关键词,抓取页面特征、下载链接、账号信息,发现可疑仿冒内容;
变体发现技术:基于Levenshtein距离算法与词向量建模,生成品牌词、域名、官方账号名称的相似变体,精准捕获高仿仿冒目标;
注册发现技术:实时监控新注册域名、新注册公众账号,匹配高风险关键词模式,实现仿冒威胁的早期发现;
日志/威胁情报协同技术:对接12321平台、国家反诈中心等渠道,结合威胁情报库,实现仿冒威胁多源协同发现;
数据融合分析技术:通过知识图谱构建域名、IP、注册人、攻击事件的实体关系图,识别钓鱼家族谱系,实现同源攻击批量发现。
初筛环节通过白名单过滤、ICP备案核验、官方证书比对,快速排除合规资产,降低无效告警;
模型分析环节通过AI相似度分析模型、NLP诱导话术识别模型、恶意代码检测模型,对可疑目标进行多维度风险量化评分,划分高、中、低三个风险等级;
人工复核环节由安全专家对中高风险目标进行100%核验,固定电子证据,确认识别结果,杜绝误报漏报,最终形成风险告警同步至我行。
针对确认的仿冒威胁,第一时间完成网页镜像、截图、源码留存、APK文件固化等电子取证工作,形成完整证据链;
经我行书面授权确认后,根据风险类型启动对应处置流程,针对钓鱼网站同步启动注册商、解析商、托管商、搜索引擎、监管机构多渠道处置;针对仿冒APP对接应用市场、下载站、托管方开展下架处置;针对欺诈账号对接平台方发起冻结与内容删除处置;
处置完成后,通过全球分布式探针开展三级效果核验,确保处置生效,同时开展持续跟踪,防范风险复活;
全流程操作日志、处置凭证、沟通记录全量留存,形成完整处置台账,满足合规审计与监管上报要求。
基础威胁情报持续更新恶意IP、漏洞、失陷域名/URL、恶意文件哈希等数据,对接我行WAF、防火墙、态势感知平台,实现恶意访问有效拦截;
高级威胁情报深度还原APT组织、黑产团伙的攻击模式、工具、基础设施,针对热点安全事件、0Day漏洞实时推送风险通告与修复方案;
提供主流威胁情报查询平台,支持服务期内不限次数的情报查询、下载与分析,支撑我行安全团队开展威胁狩猎、攻击溯源与安全运营工作。
在运营机制方面,建立了“银行-服务商”双线协同运营流程,我行负责风险事件的最终确认、授权处置与重大事项决策,服务商负责7×24小时监测、技术分析、合规处置、报告输出等落地执行工作,双方制定了标准化的SOP操作流程,明确了告警、核验、授权、处置、反馈全流程的岗位职责与时效要求,确保风险事件快速响应与闭环处置。
在监测覆盖方面,已实现我行官方域名、手机银行APP、微信/支付宝官方公众号、小程序、官方客服电话、全量互联网暴露资产的全覆盖监测,监测范围涵盖国内外主流搜索引擎、应用商店、网盘论坛、社交媒体平台、暗网交易市场与黑客论坛,完成了多轮常态化全量扫描监测。
在服务保障方面,专属服务团队7×24小时值守,持续按月输出标准化月度监测报告,针对各类专项风险事件及时发布风险告警通告,针对突发风险事件均实现2小时内告警,按承诺时效完成处置,未发生因钓鱼攻击处置不及时导致的客户资金损失事件与监管通报事件。
项目上线以来,针对监测发现的仿冒钓鱼网站、仿冒手机银行APP、欺诈公众号及社交媒体账号、假冒客服电话传播内容等各类仿冒钓鱼威胁,均严格按照既定SLA完成全流程闭环处置,各类威胁均在承买球官方网站诺时效内完成关停、下架与冻结处置,处置完成率100%。同时通过互联网暴露面与暗网常态化监测,及时发现并处置了多起影子资产、敏感数据泄露相关风险事件,实现了钓鱼威胁的早发现、早处置,从源头降低了安全事件发生概率,全面补齐了我行线上渠道仿冒威胁防护短板。
通过项目的建设,全面阻断了针对我行客户的钓鱼欺诈攻击路径,项目上线至今,未发生因仿冒钓鱼攻击导致的客户大规模资金损失事件,切实保护了客户的资金安全与个人信息安全,有效维护了我行品牌形象与市场声誉,持续增强客户对我行线上金融服务的信任度。
项目建设全面贴合《网络安全法》《数据安全法》及监管部门相关政策要求,建立了完整的钓鱼攻击监测处置台账、全流程审计日志与合规报告体系,可满足监管数据上报、合规检查的各项要求。同时进一步完善了我行网络安全与反欺诈内控管理制度,填补了线上渠道仿冒威胁防护的短板,有效推动我行网络安全防护体系从被动防御向主动防御转型。
通过SaaS化服务模式与专业团队外包运营,无需我行投入大量资金采购软硬件设备,也无需组建专属的7×24小时监测运营团队,大幅降低了安全建设的一次性投入与长期运营成本。同时通过自动化监测、AI智能识别、标准化处置流程,将安全人员从重复的人工监测、告警处置工作中解放出来,使其能够聚焦核心安全能力建设,显著提升了安全运营工作效率,实现了以轻量化投入构建高水平安全防护能力的目标。
本项目针对城商行线上业务特点与安全建设痛点,打造了轻量化、全链路、合规化的反钓鱼解决方案,有效解决了中小银行反钓鱼监测能力不足、处置渠道有限、运营人力紧张的行业共性难题,其技术架构、运营模式、处置流程均可向全国城商行、农商行等中小金融机构复制推广,为中小金融机构落实监管要求、提升数字渠道安全防护能力提供了成熟的实践参考。
面对日益产业化、智能化的钓鱼攻击威胁,传统被动防护模式已难以应对新型攻击挑战。必须转变安全建设思路,以攻击者视角构建主动防御体系,通过全场景持续监测、全球威胁情报赋能,将风险防控端口前移,实现“早发现、早预警、早处置”,才能真正掌握网络安全防护的主动权。
银行业的安全建设必须以合规为底线,所有技术手段与处置操作均需严格遵循国家法律法规与监管政策要求。本项目在技术方案设计中,始终将合规性放在首位,从电子取证、授权机制、处置渠道、台账留存等各环节严格落实合规要求,既实现了技术能力的升级,也全面满足了监管合规要求,实现了安全与合规的双向达标。
钓鱼攻击防护绝非单一的监测或拦截,必须构建“监测-识别-取证-处置-跟踪-预警”的全链路闭环。只有实现从威胁发现到最终处置的全流程管控,才能真正阻断攻击链条,消除风险隐患。同时需建立处置后的持续跟踪机制,防范风险复活,形成长效防护能力。
针对城商行、农商行等中小银行安全建设资源有限、人力不足的特点,采用“轻资产·重运营”的模式,能够快速补齐安全能力短板,以较低的成本实现专业级的安全防护效果,同时大幅降低内部运营压力,是中小银行推进数字化安全建设的高效可行路径。
钓鱼攻击已形成完整的地下黑产链条,单一银行的防护难以应对全链条攻击,必须加强与专业安全厂商、监管机构、互联网平台、同业的协同联动,整合处置渠道、共享威胁情报、形成防护合力,才能构建行业级的联防联控体系,共同抵御产业化、规模化的钓鱼攻击威胁,守护银行业网络安全与客户资金安全。