我們防止帳戶盜用的措施

「信任」是共享經濟時代的準貨幣,也是 Airbnb 社群的核心價值。隨著 Airbnb 全球社群日益成長,以及網路詐騙的攻擊手法經常推陳出新,我們將會持續關注企圖利用這份信任的不肖人士。

其中一項日益受到關注的詐騙手法便是「帳戶盜用」(account takeover,簡稱 ATO)。以下我將花一些時間說明 Airbnb 對這項威脅如何嚴陣以待,以及我們採取了哪些措施來防範帳戶盜用。

帳戶盜用之所以會發生,是因為不肖人士經由下列其中一種方式成功竊取使用者的密碼,進而取得其帳戶的存取權:

  1. 密碼竊盜:過去幾年以來,曾有幾家企業的個人資訊因為出現安全漏洞,而遭到大規模竊取。對於這類眾所周知的企業資安事件,您應該早已有所耳聞。不肖人士常會經由這些安全漏洞,下載為數可觀的使用者名稱及密碼,再轉賣給黑市。接著,詐騙者便會開始比對買下的使用者名稱及密碼的是否也可用來存取其他帳戶,因為許多使用者常在不同的平台上使用相同的密碼。因此,就算我們的平台本身安全無虞,您的 Airbnb 帳戶資訊仍可能面臨風險。

  2. 網路釣魚:不肖人士會透過電子郵件或簡訊傳送一個連結給您,將您帶往某個網站,並要求您輸入帳戶憑證。此網站的外觀看起來可能與您慣常使用的網站相同,實際上卻是一個惡意網站。他們會將您提供的資訊記錄下來,並用來存取您真正的帳戶。

  3. 惡意軟體:惡意軟體在侵入您的電腦之後,便會將您在鍵盤上輸入的一切文字擷取並記錄下來,包括您的使用者名稱和密碼。不肖人士在利用這種方式收集到您的密碼之後,便能存取您的帳戶,並進行不當使用。

一直以來,我們都是透過機器學習來防範帳戶盜用事件。此模型能夠預測在用戶在Airbnb 上進行的每次登入及各項操作源自於帳戶擁有者本人的機率。一旦此模型認定該帳戶極有可能遭到盜用,就會要求使用者提供進一步的確認資訊。

此模型會藉由觀察數億個標示為「善意」或「惡意」的過往登入事件,提高自己的預測準確率。然後再同時評估數百種訊號,並在當中尋找是否有下列攻擊模式存在,以判斷帳戶遭到盜用的可能性:

  1. 從非預期的國家/地區登入
  2. 從非預期的 IP 位址、電腦或手機登入
  3. 從特定 IP 位址登入的次數過多

此模型能夠成功地攔截絕大部分的帳戶盜用事件。不幸的是,仍有少數漏網之魚僥倖逃過攔截,並讓我們的房東和住客淪為受害者。我們絕不會坐視這類情況不管。因此,我們正全力設法採取任何可能的行動,以改善我們的偵測及防範措施。機器學習模型固然是大部分線上平台慣用的安全機制,但有鑒於 Airbnb 產品的本質,加上我們對於社群成員之間相互信任的高度重視,因此我們決定進一步提高安全門檻。

我們將從今天起啟用一系列新的防範措施,來防止不肖人士盜用 Airbnb 帳戶。這些措施包括:

 

  1. 多因素驗證:當使用者從新的裝置 (例如電腦、手機或平板電腦) 登入時,我們會要求使用者進行額外的驗證。這也是網路銀行等服務常見的一種安全措施。我們會在您初次註冊 Airbnb 時,記住您當下使用的裝置。如此一來,您日後只要單憑密碼,就可以從該裝置登入 Airbnb。而當您改用其他裝置登入時,就算您擁有密碼,我們仍會要求您進行額外的驗證。此防範措施常稱為「多因素驗證」。我們會寄出一個一次性的確認碼至您帳戶登記的電話號碼或電子郵件,以確認您就是帳戶擁有者本人。只要在新的裝置上將此確認碼輸入我們的網站一次,日後就不需要再重複執行此步驟。

  2. 改進帳戶警示功能。除了原本的電子郵件以外,我們將同時透過簡訊向您發出警示。此外,我們也增列了會觸發警示的帳戶變更操作。如此一來,您便能在自己的帳戶遭到不肖人士竄改時接獲通知,並採取行動來恢復您的帳戶。

 

所幸的是,絕大部分的 Airbnb 房東和住客從未面臨帳戶盜用或其他詐騙攻擊的威脅。上述改善措施固然有助於提升 Airbnb 使用者帳戶的安全性,但我們仍希望每位社群成員都能隨時保持警戒,並恪遵良好的安全做法。若要進一步了解在使用 Airbnb 網站期間,應遵循哪些與強式密碼、安全付款等措施有關的建議做法,請按這裡

內森·布萊卡斯亞克
首席策略長兼共同創辦人