2017年度中国互联网黑灰产通知

9游会老哥俱乐部
俱乐部
栏目分类
9游会老哥俱乐部
9游会
俱乐部
你的位置:9游会老哥俱乐部 > 俱乐部 >
2017年度中国互联网黑灰产通知
发布日期:2021-07-13 12:28    点击次数:121

只有事件爆发后才能察觉题目,这使得企业和用户的处境相等被动。企业对于黑产的走为逻辑、走动方式、益处和主意等都相等生硬。笔者将根据平台第一线的抨击数据和深入访问调查的黑灰产近况,为行家揭开黑灰产的面纱。

现在录:一、黑灰产事件举例分析

1、东鹏特饮薅羊毛事件

2、苹果36

3、滴滴虚幻注册

4、Uber被黑客勒索

5、教材涉黄案

二、产业链分析

1、上游资源挑供者

a)黑卡

b)黑IP

c)账号

d)账户认证

2、下游变现细分产业

a)流量欺骗

b)数据爬取采集

c)薅羊毛

d)引流

三、对抗升级

1、主流防控措施和黑产绕过方法

2、新风控角度的思考

a)黑产大数据监控

b)情报带来的针对性对抗

结语

一、黑灰产事件举例分析

1、东鹏特饮薅羊毛事件

营销运动行家都不生硬,经过奖励机制吸引用户。不过同时也会吸引来一群叫做“羊毛党”的人,他们倚赖注册大量账号获取优惠券、争抢红包、奖品,再经过转卖等方式变现。大促、补贴、营销运动都是他们眼中一次次“捞钱”的机会,被叫做线报。

匮乏业务坦然认识、补贴又优厚的运动是最容易被薅的。东鹏特饮是广东一家饮料公司,传统促销运动是瓶盖抽奖,随着互联网的通俗,决定尝试新的方式——扫二维码领红包,想借力互联网省去繁琐的流转,趁便搜集顾客信息,不意羊毛党却给了他们当头一棒。

随着运动的升温,敏捷展现了大量贩卖东鹏特饮CDK(码子)的人。所谓码子就是将运动二维码转换成的链接。购买码子后用微信点击便能够领取红包。渠道商和羊毛党手中的微信账号有限,但码却很多,他们以略矮于最矮额度红包的价格售卖,购买者也是稳赚不赔。

而购买CDK的是通俗用户吗,只能说比例太少,通俗用户哪有渠道清新CDK的存在,大多是手中拥有很多微信账户的其他灰产从业人。他们一般的业务是用微信号加大量好友,再经过诈骗、微商等式样变现。东鹏特饮CDK只是趁便的走为之一罢了。

总之在益处的促使下,敏捷有人与废品回收站核心节点相符作,矮价大量收购瓶盖,挑取二维码信息,市场上称为“废品码”,与之对答的是“必中码”,是打通有关后从生产瓶盖厂商、内部人员等处购买的,将二维码一键生成链接,转手卖给渠道商,渠道商再分发给各级下线,一套流程下来,层层都有利润,做运动的企业就成了冤大头。最完终局就是东鹏特饮发现实际兑换的奖金金额远远高于预期,而收获的只是营销成绩为0的“僵尸用户”。

不光是东鹏特饮,这类码子在市场上专门之多,蒙牛优好C、蒙牛冰淇淋、百事可笑、红牛、七喜、幼茗、京东二维码等等,星罗棋布。当运动发展到必定周围,下游还会有人以“收学费带赢利”的式样大肆传播,整个过程似乎蝗虫过境,吃光企业的运动经费。

羊毛党的基本走动方式就是以量取胜,用大量账号暴力争抢运动补贴、奖品,如新用户扣头券,然后转手矮价卖出。原形上他们只是互联网黑色产业链的变现末了之一,有些直接称其为搬砖人,因其技术请求矮,纯粹是体力活。

他们的账号来源、走动模式都值得吾们仔细。比如瓜分新用户礼券的注册手机号从何而来?答案是手机黑卡。要挟猎人搜集维护了海量数据的黑卡库,在下文产业链分析中会做出详细介绍。除去手机号,羊毛党作凶必要经过平台的IP、设备等检测,这些在黑产中都有着平台化、链条化的产业,羊毛党仅仅是它们的下游之一。详细产业链分析请参考上游资源挑供者模块。

2、苹果36

同样遭遇薅羊毛的还有苹果。用户在iOS上消耗后,苹果公司会依照比例与app服务挑供方进走分账,以季度结算。结算时,大量商户发现苹果的分成和实际出售金额相差甚远。在查望之下,发现了实在因为:被薅。

一些账户进走了6元和30元的幼额消耗后立即消亡了,存在批量痕迹。正本苹果为了升迁用户体验,竖立了40元以下幼额充值能够不验证,先派发商品的策略。对黑产来说,此举意味着每个幼号36元的利润,立刻展开了走动。

他们会最先经过脚本批量注册大量邮箱账号。国外一些邮箱注册不必要挑供手机号,这一步操作几乎是“无成本”的。完善后,会行使柔件,批量生成Apple ID,再批量激活。大片面厂商会在IP短时间注册量上进走判断,对黑产来说这一步的成本就是更换IP的成本。对此要挟猎人会在下述产业链片面详细阐述黑产逃过IP检测的方法。

消耗必要绑定银走卡,对于大量的银走卡需求,黑产的解决方案是家庭共享和注册虚拟银走卡。竖立家庭共享后,每个账号能够有8个附属账号共享联相符张银走卡,而这张银走卡是一张虚拟卡,当黑产持有一张银走卡后,能够线上向开卡走申请虚拟银走卡,卡号会和原卡差别,但都是属于联相符个账户。

当苹果发现盗刷走为会对该账号封号,当多个附属账号被封后,苹果会将主账号与其绑定的银走卡列入黑名单,这时,黑产会将虚拟卡刊出,重新申请,十足不影响不息行使。苹果也会对设备进走检测,这时黑产会结相符改机柔件,在被锁机前刷新设备指纹,轻盈解决。

薅羊毛后,黑产就会行使矮价上风,经过各栽渠道出售虚拟商品进走变现。游玩和版权走业是受害的重灾区。

针对36技术,苹果进走了策略调整,新注册用户节制行使先派发后收款的模式。然而此举对黑产来说只是挑高了一点成本,还在批准周围中。造成的影响是黑产对老号的需求大幅添加,期待着苹果的题目将是盗号、撞库、养号等等。如上述变现环节,由于充值节制,会索要用户(购买黑灰产手中虚拟商品的人)的账号和暗号,这个账户就能够“回收” 投入下一轮的行使。账号有关的产业链详细阐述可参考下文账号模块。

3、滴滴虚幻注册

依照有关规定,网约车平台对注册司机必要进走有关考核审阅,如有必定的驾驶年龄、北京请求“京人京车”等。很多不相符规定的人想完善注册,就会行使一栽“代注册”的黑产业务。

2017年9月,滴滴向广东省公安厅网警总队举报,发现发现几十万账户存在虚幻注册、人车不符的题目。经查,发现了背后黑产大肆的牟利走为。驾龄不符、外埠车不派单、车辆超龄都能够拿钱“解决”。

最先黑产信息源经过走业内鬼等,查到实在相符规定的人车信息。优等中心商从信息源购买车辆人员信息。然后加价转卖给二级中心商,二级再加价转卖给代注册操作员。代注册操作人再经过PS等方式“加工信息”,与购买者信息结相符,将别离相符规的信息整相符为一整套,完善注册操作,收费300-500元不等。而即使被发现,滴滴也只能对司机进走封号处理。

有些操作人还会趁便薅一把滴滴的羊毛,如行使选举机制,滴滴公司规定,每选举成功一个司机,就能获得218元冲锋奖,和新司机前8个订单30%的流水。不难想象在各家网约车竞争期,运动不计成本,都只想着在大战中存活的时候,代注册一伙能够获得多么重大的利润。

原形上,在滴滴快的大战时,虚幻司机账户就是主要是用来刷单,结相符外挂牟利的。当网约车相符并,国家监管变厉后,代注册团伙转而向不相符规定的人售卖服务,片面团伙还会以出售“注册教程”的方式获取额外利润,这栽教学收费模式往往是在本身益处降矮时会产生的,当益处重大时,掌握方法的人只会稳定赢利。

这一系列牟利走为不光是对滴滴造成了迫害,也会对通俗用户造成迫害。如滴滴外挂会经过修改定位等方式实现“挑单、抢单”。而滴滴不得不将距离最优算法,改成几公里内随机派单,而用户只能忍受显明望到身边有车,却必要在寒风中期待三公里外的一辆车。

更令吾们警醒的是,吾们的幼我信息,竟然是如此容易能够获得的。原形上,黑产的社工库也确实在不息完善,数据量越来越多,精准度越来越高,被广泛的用在撞库、诈骗等处,让人胆寒。滴滴如许的认证较为复杂,被行使更远大的图形验证码、身份证认证、面部识别认证都有着发展安详的服务产业链,将在下文账户认证片面作出介绍。

4、Uber被黑客勒索

Uber在去年遭遇了大周围的数据泄露,包括5000万用户的姓名、邮箱、电话。和700万司机的幼我信息及60万美国司机驾驶证号码。Uber称名誉卡等信息数据并异国泄露。5700万数据,与雅虎、美国名誉机构Enquifax泄露周围相比,本不值一挑,在黑产中也不算惊天的数据。但Uber的做法引首了行家的关注——向黑客支付赎金。

那时的CSO和助理,以支付10万美金的方式试图遮盖此事,避免Uber数据在黑市流通。过后两人遭到了开除,CEO迫辞职,Uber最后声明并异国证据外示此次事件的数据被黑客行使,并将为信息泄露的司机挑供免费的信息珍惜监控服务。

黑客获取数据的方式令人好奇。原形上他们是从Uber工程师的幼我GitHub库,获得了登录凭证,进而访问了Uber用以计算的亚马逊云服务账户,在账户中发现了用户数据,随即进走了勒索走为。吾们不禁发现抨击未必只必要找到一处漏洞,而退守却必要周详邃密。而除了退守还有另外一个题目必要吾们面对——对已经泄露的数据该如何走动。Uber遮盖的做法自然是不走取的。

而面对这栽题目一个暴力而有效的对抗方式是竖立比黑产更重大的泄露数据库,若能在黑产行使这些用户信息时鉴定出是已泄露账号,直接触发风控逻辑,便能够进走更厉格的审核,绕过黑客的防护办法,对敌人工成无法逃避的抨击。而竖立如许的数据库除了必要有效、实时的搜集补充方案,也必要各大厂商的分享和参与,搜集多方原料,构建更周详的数据源。

5、教材涉黄案

2017年2月,一则“高中教材涉黄”的消息受到了疯狂转载,人教版高中语文选修教材中的诗词网址掀开后竟然是黄色网站。实际上这个网站是遭到了篡改,实走者是一家名叫“雷胜科技”的公司。外貌上它是一家互联网行使服务商,而背后却暗藏着一条完善的色情诱导诈骗产业链,“教材涉黄”将它拖出了水面。

诈骗团伙开发色情网站和App,经过节制不雅旁观有色视频的时间,诱导用户付费获取完善视频。但原形上并异国所谓的“完善版”,盈余方式就是诈骗用户。这个产业链的每一个环节都是经过精心规划的。

第一环节为开发,技术门槛极矮,诈骗团伙能够以极矮的价格购买到源码,有经验的开发者也能够在几天之内轻盈完善。由于色情内容在吾国的作恶性,App展现的有色内容会经过精心编辑,能十足规避“淫秽色情”的法律界定。雷胜科技竖立了研发、市场、编辑、财务和客服部分。编辑部就是负责剪辑擦边球类的有色视频的,甚至雇有专科律师审核图片和视频。

App上架之后就进入了推广环节,团伙会经过百度联盟、木马程序、修改网站内容链接等方式进走推广。雷胜科技就是修改了哺育网站的内容链接被牵引出来的。

之后就到了变现环节。诈骗团伙会从支付平台或者渠道商处申请获得支付接口。申请必要一套完善的公司三证信息(买卖执照、税务登记证和布局机构代码证)及银走卡账户,这栽在黑市上称为公司“壳”原料,有专人在搜集贩卖,注册电商企业店、申请支付接口等都会向其购买。针对于竖立了风控模型的第三方平台。诈骗团伙会经过准备多个支付接口,行使能够短时间切换接口的方式进走绕过。

有些色情引流诈骗App还会在安设时获取权限(如发送短信等),之后向特定的SP号码发送短信进走扣费的方式进走盈余。这些app也会捆绑其他凶意业务,或是窃取用户隐私信息等,对用户造成更深的损坏。雷胜科技是经过PC端和移动端流量分发引流,然后经过诈骗变现,而更为常见的方式是行使各大外交、视频等平台,引流至微信后变现,在引流模块吾们会给出更详细的介绍。

二、产业链分析

1、上游资源挑供者

a)黑卡

手机黑卡,指黑灰产从业者手中的大量非平常行使的手机卡。这些黑卡会挑供给各个接码平台,用于授与发送验证码,进而进走各栽虚幻注册、认证业务。比如饿了么新用户有十几元的首单减免,羊毛党会从接码平台获取手机号批量注册,再经过下游将这些首单优惠以一半的价格卖给必要点外卖的人。注册成本是支付一毛钱给接码平台,利润是下游接单人的几元到十几元不等的收购价。而黑卡就是接码平台手机号的源头。

被称为“史上最厉”的手机卡实名制举措,确实在一段时间内打压了手机黑卡和接码市场,挑供黑卡和接码服务的平台和幼我一会儿鸣金收兵,但好景不长,仅仅几个月后,便展现了强劲的苏醒态势,挑供黑卡和接码服务的平台和幼我如蒸蒸日上般涌现。至今,该市场已经极具周围,并且运走安详,给甲方业务坦然造成重大压力。

本着尽能够周详、精准的原则,猎人君从多个途径不遗余力的搜集黑卡信息,从市场现存的黑卡,到曾经有凶意走为的黑卡,再到市场新增的黑卡,构建了重大的黑卡数据库。对每个入库的黑卡号码经走多维度地评估,标注风险等级,能够有效协助甲方完善基于手机号的风控策略。根据要挟猎人逆向追踪调查,黑卡背后的产业链也许如下图所示:

卡源卡商

卡源卡商指经过各栽渠道(如开皮包公司、与代理商打通系等)从运营商或者代理商那里办理大量手机卡,经过加价转卖下游卡商赚取利润的货源持有者。卡源主要有:

物联网卡:主要用于工业、交通、物流等周围的手机卡。物联网卡不必实名认证,必要以企业名义办理,挑供买卖执照即可,买卖执照能够以千元旁边的价格买到。有些运营商对买卖执照检测力度很矮,甚至会为灰产定制专用的物联网卡套餐。这栽卡多为0月租或者1月租,根据能否接听电话,分为短信卡(也称注册卡)和语音卡。实名卡:这栽多为说相符运营商后,用网上搜集的大量身份信息批量认证得到的。海外卡:实名制实走后,卡商受到必定节制。从16年下半年最先,大量缅甸、越南、印尼等东南亚卡最先辈入国内手机黑卡产业,这些卡声援GSM网络,国内能够直接行使,无需实名认证,基本是0月租,收短信免费,专门相符黑产益处。

如上述东鹏特饮挑到的薅羊毛事件中,吾们只望到有人大量售卖账号,其实背后有个专门成熟的产业链,各级分工清晰。晓畅了他们的经营方式后,吾们再进一步分析黑卡数据能够发现运营商的比例甚至能够定位到作恶团伙往往运动的城市。

手机黑卡运营商对比

下图展现了传统运营商和虚拟运营商黑卡的数目对比。来自传统运营商的黑卡数目要远多于来自虚拟运营商的黑卡数目,毕竟传统运营商和虚拟运营商的手机卡总量不在联相符个数目级上。2017年8月份的消息数据外明,全国虚拟运营商用户占移动用户总数的3.6%,3.6%的用户占比却贡献了20.17%的黑卡数目占比。相对传统运营商而言,虚拟运营商的手机卡中黑卡占比较高。

以下两张图展现了在非虚拟号段上和虚拟号段上三大运营商的黑卡数目对比。在非虚拟号段上,将近一半的手机黑卡来自于中国移动,约三分之一来自于中国联通,中国电信最少。在虚拟号段上,绝大无数是中国联通的手机黑卡,中国移动次之,中国电信照样最少。

手机黑卡归属地分布

依据归属地统计的数据,广东省相等抢眼,在黑卡归属地省份排名中遥遥领先,省内的广州、深圳、东莞和佛山也侵占了黑卡归属地城市排名中前五名中的四名。

猫池厂家

猫池厂家负责生产猫池设备,并将设备卖给卡商行使。猫池是一栽插上手机卡就能够模拟手机进走收发短信、接打电话、上网等功能的设备,在平常走业也有广泛行使,如邮电局、银走、证券商、各类交易所、各类信息呼叫中心等。猫池设备能够实现对多张手机卡的管理。

卡商

卡商从卡源卡商那里大量购买手机黑卡,将黑卡插入猫池设备并接入卡商平台,然后经过卡商平台接各栽验证码业务,根据业务类型的差别,每条验证码能够获得0.1元-3元不等的收入。

黑卡数据库能够结相符企业自身的后台数据,行为补充和参考,为企业筛选凶意用户挑供账号维度上的声援。

b)黑IP

IP地址行为互联网的紧缺资源、一向是厂商最主要的风控方案之一。面对抨击,最主流防控措施之一就是封IP,企业根据黑IP库、同IP发首乞求次数、暗号舛讹率、是否有凶意走为等决定一段时间内不准某IP的乞求。

而面对暴利,黑产不会容易屏舍,对待厂商的对抗,黑产积极主动追求解决方案,甚至做到了平台化、链条化的指斥抗。根据要挟猎人的永远监控,黑产主要有以下几栽获取IP资源的方式:

扫描代理:经过全网扫描常见的代理服务端口,搜集可用的代理IP地址,自走维护管理,成本高、效率矮。付费代理:代理商经过扫描、搭建、交换的方式,挑供全球的代理服务器,有效降矮自走搜集的产品。代理IP平台专门之多,均能够挑供API接口供黑产调用。付费VPN:与代理相通,行使技术差别。拨号VPS:这类VPS是一台虚拟服务器,经过ADSL拨号上网,每拨号一次换一次IP,行使者相等于拥有了整个城市的大量可用IP。更有有关供答商做到了打通全国多省市的拨号方式,俗称混拨。也就实现了在一台VPS中行使一个账号快速随机切换近百城市的ADSL线路拨入互联网。

吾们称这栽用于网络抨击的IP为黑IP。要挟猎人经过大量渠道,在2017年采集并清理出全球周围内的黑IP,并做了详细分类。

黑IP类型排名

经统计,黑IP top 10类型比例如下。一个黑IP能够会有多个标签,团体望来,僵尸网络IP、机器人IP和代理IP的数目占领前三名。

黑IP地域分布

分析IP地域来源数据,全球黑IP分布图和top 20的国家如下。全球IPv4总数约为43亿,美国拥有30%以上,这一数据与图片相符,美国的黑IP数目占比36.39%,遥遥领先其异国家。发达国家的黑IP数目要多于发展中国国家,能够浅易理解为,发达国家拥有更多的互联网设备,也就拥有更多的IP资源,以是黑IP的数目与互联网设备的数目成正比。

以下两张图片为全球黑IP来源城市top 20和全球黑IP所属运营商top 10。从来源城市数据望来,top榜单中大无数是美国城市,中国城市数目紧随其后,其中北京更是占领了榜首。上榜的城市都是经济较为发达的城市。从所属运营商数据望来,top 10中一半是美国的运营商。

C)账号

批量注册和养号

在互联网灰产中,不论是走迹匆匆的羊毛党,照样猥琐发育的养号者,都必要大量账号行为牟利的赞成。因此,注册环节也就成了互联网公司和灰产的最前沿战场。各公司的注册页面望似平庸,实则黑流涌动。

灰产的逐利本性决定他们专门强调投入产出比。灰产会雇佣开发人员开发针对注册环节的主动化抨击工具。这栽注册柔件大抵有两类:

模拟操作类:经过控件操作涉猎器元素实现,实在加载注册页面,模拟用户操作。制定破解类:经过HTTPS制定实现,破解注册接口制定,直接带参数调用注册接口实现注册。

除了批量注册外,灰产也会根据平台特色,行使其他平台第三方登录的方式跳转成幼号,批量产出,例如有一栽微博账号叫做授权号,由于注册流程等因为,在微博平台受到风控节制,很难进走后续变现业务,就只用作授权其他平台账号,在其他平台上完善变现。这栽授权号成本矮于手机号注册,每个只必要几分钱。

针对这类账号,很多厂商会对新注册账号进走监控,于是产生了号商养号的走为,注册后模仿实在用户进走一些操作,将号码从监控列外剔除之后再进走业务。

薅羊毛的新号、刷量的幼号都是经过这些方式得到的,但针对苹果风控被灰产必要的老号就必要经过盗号、养号、撞库获得了。当各个平台添加风控后,这类老号需求就会展现,如微信满月号、陌陌半年号等等属于养号,几年扫号老号等属于盗号或撞库所得。

撞库

撞库,即抨击者经过搜集各个网站的泄露的用户数据等方式,生成用户名和暗号字典,批量去其他网站登录,尝试撞出现在标网站的可用账户暗号。近年来,随着频频展现的数据库泄露事件,撞库抨击取代了木马盗号成为了主流的盗号方式。

下图为笔者统计的2017年撞库抨击量走势图:

以下是2017年撞库抨击者“钟喜欢”的一些抨击现在标和接口:

游玩走业在地上互联网公司也是盈余最为可不都雅的,在地下自然也荟萃了大量有关从业人员,拥有多多的细分变现产业链。能否直接获得游玩账号的撞库方案自然是受黑客迎接与关注的,因此,游玩公司一向是撞库抨击的高发地。国内外各大游玩公司在2017年都赓续受到大量的撞库抨击。

版权走业和外交走业也是深受其害,随着正版化的推进以及带宽的添加,很多有关资源必要付费不雅旁观,存在不情愿花高价购买会员,而情愿用矮价购买一个账号行使的人,就会存在这些会员账号变现的途径,进而这些账号也就是对黑产有价值的。

外交走业也拥有数目多多的变现方式,主要的灰产有刷量(点赞、播放量、榜单等)、私信引流、色情外交引流、诈骗等。外交平台对抗的风控策略不息升级,外交平台的老账号也就成了某些圈内富有价值的资源,如某陌交友平台的老号价格在30元以上。老号资源意味着封杀率矮、生意可赓续。因此,外交账号也是黑产的主要现在标。

撞库数据来源

(1)信封号产业链

信封号,是QQ号产业链中的黑话,每一万个或者一千个被盗取的QQ号,称为一个信封。信封号产业链就是QQ号盗取、销赃的产业链。当QQ号中的Q币、游玩虚拟装备等被清洗一空、压榨清洁后。就会将大量的账号暗号贩卖给黑客完善社工库,或者制作暗号字典。由于QQ邮箱在国内的市场占领率很高,以及很多用户民风直接用QQ号对答的QQ邮箱和暗号行为第三方平台的账号。大量QQ号被直接用来进走网站撞库。

(2)网站泄露数据库

网站泄露数据库的标志性事件是2011年CSDN 600万用户数据泄露,引领了以前一波数据泄露高峰,数十个网站的用户数据被公开,大量只在地下贱通的数据被抛上台面。一般不关注此道的黑客也掌握了有余的数据源切入,某栽水平上点燃了撞库抨击的炎潮。而且被爆出的数据泄露其实也只是冰山一角,更多的再地下黑市中交易流通。

(3)地下黑市流通

数据窃取与交易是地下产业链暗藏最深的片面,也常有一些定制性的交易,不少黑客经过数据交易来构建重大的社工库。黑客间的暗地交易,吾们无法得知,到底有多少网站数据已经被窃取也无法客不都雅的评估。但经过半公开渠道也可坐井观天,以下是黑网某地下数据交易市场的截图:

抨击方法和主流防控

经过对海量抨击走为的监控和分析,吾们发现黑客抨击方法如下:

(1)判断账号是否存在

注册接口快速验证:很多网站在填写注册信息时,会经过AJAX对账户名可用性做实时验证,这个接口就能够被黑客行使做账户存在的筛选。登录接口返回信息:片面网站账号暗号舛讹时,会返回敏感信息袒露账号存在情况,如返回“账号不存在”或“暗号舛讹”。现越来越多的厂商返回“账号或暗号舛讹”,能够有效避免被行使。找回暗号接口:片面网站,在找回暗号流程中,也会有一次挑示信息,也常会被黑客用来验证账户存在。

(2)业务坦然荟萃管理题目特出

从TH-Karma统计的数据来望,很多网站的主要入口有比较厉格的审计措施,会根据登录IP、频率等触发验证码或者封锁IP。但当公司业务增进,坦然管理复杂度大幅添加,差别子站各用一套本身登录验证。这些异国接入审计功能的边缘业务接口就称为了黑客抨击的温床。

(3)抨击成绩

根据笔者对大量撞库数据的统计,能够成功绕过风控的抨击占供抨击量的83%,撞库的成功率则在0.4%旁边浮动。

对此要挟猎人竖立维护了一个高危账号库。高危账号指的是已被黑灰产从业者凶意行使的账号,大多来自泄露的数据库。对于甲方而言,望到这些账号要多一份心眼,很有能够背后黑藏着不轨动机。要挟猎人根据在2017年高危账号,做出了一些统计。

(1)高危邮箱账号域名排名

Top 20的高危邮箱账号域名如下:

国内邮箱域名占领60%以上,其中以http://163.com、http://qq.com和http://game.sohu.com为主。国外主流邮箱域名(例如http://yahoo.com、http://gmail.com和http://hotmail.com),以及一些俄罗斯邮箱域名(例如http://mail.ru和http://yandex.ru)和德国邮箱域名(例如http://web.de)也位列top 20之内。基本能够望出,top 20的高危邮箱账号域名的起码已足以下条件之一:

邮箱服务用户基数大;来自于黑灰产运动活跃的地区。

(2)高危账号有关暗号排名

此外,笔者也统计了与高危账号有关的暗号,数目排名top 20都是一些常见的弱暗号,列外如下:

d)账户认证

账户认证产业链属于地下产业链中的服务型产业链。几乎一切的互联网企业都会请求用户手机认证,有些还请求实名认证、人脸识别验证,协调技术或人工审核。这必然给各个地下产业链都带来了窒碍,账户认证产业链自然就答运而生了。

手机接码、听码

短信验证是竖立在手机和手机号成本上的真人验证,被广泛的行使于注册等场景。如上述黑卡产业链的介绍,黑产的对抗方案并不倚赖于手机和办卡成本,而是接码平台,黑产从业者从该类平台授与一个验证码必要支付1-3毛钱。

接码平台是负责连接卡商和羊毛党、号商等有手机验证码需求的群体,挑供柔件声援、业务结算等平台服务,经过业务分成获利。通俗会挑供给行使者客户端、API、有些还会挑供手机客户端。手机客户端用以声援各栽手机业务。而API能够对接到主动化工具、脚本中,实现批量注册。

行使者最先要“珍藏”本身要做的项现在后才能够收取验证码,如许做的益处是避免手机号在相通注册场景的重复行使,同时也便于答对新式样的对抗,比如,整个注册过程能够必要授与多次验证码,并发送一次验证码。平台会将收发集成一个流程,供行使者批量化操作。

有些厂商选择了语音验证码,而接码平台也产生了响答收取语音验证码的服务,同时也产生了“听码”网赚。接码平台很多,活跃的有数十家,比较著名的接码平台有:喜喜悦赞、玉米(现菜多享)、Thewolf、星辰等,其中Thewolf和星辰能够接语音验证码。

2016年11月那时最大的平台喜欢码被警方查处,随后很多平台转入地下。如喜喜悦赞由于专门安详,卡商多多,是最受黑产迎接的接码平台之一。现已不声援在线注册,在有老客户介绍情况下,有关客服充值1000元才能够开新账户,另一栽解决方式是与别人共用一个账号,且每次充值不克矮于5元,否则会被封号。

打码

验证码是风控最广泛的一栽安放方案。通俗厂商会直接接入,有后台分析的厂商会在后台审计变态时触发验证码以不影响通俗用户体验。而在黑产中,撞库、注册等都必要进走大量验证码识别。以是带动了另一个服务产业链——打码平台。

行为一栽最浅易、行使最广泛的图灵测试方案,大量公司和团队不息尝试主动化破解,以至于验证码升级到了人类也必要多次才能识别的境地。国内的黑产,倚赖矮廉的做事力解决了题目。他们对无法技术解决的验证码行使率暴力的方式——人工打码进走破解。这栽方式广泛传播到了大量第三世界国家,导致全球有近百万人以此为生。打码工人平均每码收入1-2分钱,谙练工每分钟能够打码20个旁边,每幼时收入10-15元。

随着技术的发展,黑产也与时俱进,逐渐产生了行使AI打码的平台。如警方在17年抨击的“快啊答题”平台,行使了伯克利大学的数据模型,引入大量验证码数据对识别编制训练,将机器识别验证码的能力挑高了2000倍,价格降矮到了每千次15-20元。为撞库等必要验证的业务挑供了极大的便利。

身份证认证及过脸

人脸识别技术发展逐渐成熟,“刷脸”在近两年成为新时期生物识别技术行使的主要场景。进入2017年后,在通关、金融、电信、公证等很多周围都必要对人和证件进走相反性的验证。2016年6月国家网信办发布《移动互联网行使程序信息服务管理规定》,清晰请求移动互联网行使程序依照“后台实名、前台自愿”的原则,对注册用户进走基于移动电话号码等实在身份信息认证。

互联网厂商面对法规以及某些业务上的需求,纷纷推出账号强制实名认证,并将人脸认证环节放到App中完善。实名让互联网时代更加规范的同时,也给由于某些因为无法实名或者必要大量实名账号完善黑灰色业务的人群造成了窒碍,于是“过脸产业”答运而生,为别人批量完善认证获取益处。

厂商认证时往往会请求用户拍摄身份证正不和照片及手持身份证照片等。黑产获取此类身份证“料”的方式有但不限于以下几栽:

收料人偏远地区搜集:他们会到偏远地区以几十元的价格大量购买拍摄一整套的照片,异国网络坦然有趣的民多很多为了一点的益处情愿协调。有些收料人甚至会假扮社区做事人员等在社区中进走搜集,相对前一栽,几乎异国成本。还有一栽纯粹经过网络搜集他人泄展现的照片。

搜集后会以5-10元的价格卖给下优等行使者。对于必要过人脸认证的场景,从业者会行使PS等工具处理好一张带背景的人脸图,再行使Crazy Talk生成动态视频的柔件,录制“眨眼”、“摇头”、“发言”等行为,完善后将摄像头对准视频,完善认证,过脸服务收费10元到100元不等。

过脸产业最最先被用在网络借贷薅羊毛上,现在已经广泛行使在各栽实名认证的业务上。今日头条头条号、58同城、移动“任吾走”卡、腾讯大王卡等都是其盈余的途径。

账号认证添加难度和用户体验优化之间找到均衡点,对各个厂商来说都是不幼的难点。在苹果36事件中,就是为了升迁用户体验给羊毛党留下了可乘之机。苹果若能对筛选出的凶意用户挑高认证成本,就能够找到均衡点。而做到这点必要对用户走为和凶意走为进走分析。用户走为厂商能够进走记录,凶意走为必要情报的协调,包括凶意用户的走动模式、流程、最后主意等。

2、下游变现细分产业

a)流量欺骗

流量欺骗已经发展成了成熟的产业链,刷量可经过人为的操作挑高网页访问量、视频播放量、广告点击量、搜索引擎搜索量等等。市场充斥着大量刷量工具和服务,几元就能够买到数千IP的访问。或是行使大量代理IP刷流量,或是基于P2P互刷原理(即挂机访问别人的网站,得到点数后能够用来发布义务,为本身的网站刷量),刷量能够高度模拟实在用户的走为轨迹,使得视频网站、直播平台、广告联盟、搜索引擎、电商等甲方难以有效加以区分。猎人君通太甚析在2017年捕获的流量刷量数据,得出以下贱量刷量黑灰产业中现在标厂商的top 10:

刷量走为主要荟萃在以下几个场景

(1)刷搜索引擎关键词排名

搜索引擎排名对网站的流量影响重大。市场上有挑供很多挑高关键词排名的服务,原理是行使大量IP在搜索引擎搜索指定关键词,然后到指定网站,点击进入,甚至进一步模仿用户涉猎、点击,欺骗搜索引擎,使其认为该站与该关键词有关度很高。百度,行为国内最大的流量出入口,榜首位置实至名归。针对百度的流量刷量类型有多栽,主要类型包括刷搜索流量和点击百度网盟广告。2017岁暮,百度推出“惊雷算法”,旨在抨击以作弊的方式升迁网站搜索排序的走为,原形成绩如何,2018年吾们拭现在以待。Top 10榜单中还展现了360搜索和中国搜索,刷搜索流量在整个流量刷量产业中的比重可见一斑。

(2)刷视频播放量

另一个流量刷量产业的大头是刷视频播放量,现在标厂商包括榜单中的优酷、搜狐、龙珠视频/直播、喜欢奇艺、腾讯等,以及不在榜单中的触手直播、通走网等。很多视频有夸张的播放量,点赞和回复却寥寥无几。视频网站依据视频人气付给视频作者酬劳,虚幻的播放量可直接导致视频网站蒙受金钱上的亏损。对于用户来说,人气很高的炎门视频,内容质量却徒负谣言,用户体验消极。

(3)刷广告展现量和点击量

通俗告主会和广告联盟或站长相符作,进走推广,依照CPM、CPC的方式结算广告费用给站长。一些无良的站长会行使柔件或者购买服务凶意刷CPM、CPC,获取不得当益处。广告联盟存在一些广告逆欺骗机制,刷量有能够面临封号,但照样有很多人经过刷量技巧和网站数目来大周围获利。

(4)电商和网站访问量

此外,刷页面的访问量,包括刷外交站点的内容曝光量和电商商品涉猎量,也是流量刷量产业中相等活跃的一个分支,比如新浪博客的访问量,以及淘宝和天猫商品的涉猎量等。总而言之,当今的互联网世界中,足够了障眼法,现在击纷歧定为实,所谓的“人气排名”,所谓的“炎门列外”,不走十足信任。

b)数据爬取采集

爬虫就是搜集信息,“爬虫写的好,拥有整个互联网的数据不是梦”。数据分析本身并异国善凶标签,方法和主意却能够将之定性。黑灰产现在周围重大,分支多多,从猎人君不都雅察到的抨击流量来望,黑灰产从业者的需求比较松散,快递、媒体、电商、账号有效性等等都是抨击者的现在标。黑灰产从业者做爬虫的主意五花八门,比如:

用作产品化上游的数据赞成,比如某些针对电商的秒杀、抢购柔件。用作分析竞争对手的产品和业务策略,比如爬取竞争对手的产品信息和用户论坛。爬取竞争对手的用户数据,尤其是有效的手机号或邮箱格式的用户名,之后可用于定向的推广营销。爬取有效的用户名,可用于生成用户名字典,实走撞库抨击。爬取幼我信息,凶意行使,甚至实走诈骗。

以下是笔者统计的2017年较为炎门的一些爬虫抨击现在标和接口:

爬虫抨击接口

http://ykjcx.yundasys.com/******

爬取韵达快件查询信息

http://zc.reg.163.com/******

检测网易账号有效性

http://comment5.news.sina.com.cn/******

爬取新浪消息评论

http://www.toutiao.com/******

爬取今日头条文章

http://mp.sohu.com/******

爬取搜狐号文章

http://m.10010.com/******

检测联通手机号有效性

http://www.bjguahao.gov.cn/******

爬取北京市预约挂号联相符平台挂号大夫信息

http://hws.m.taobao.com/******

爬取淘宝商品信息

http://itunes.apple.com/******

爬取iTunes上app信息

http://iforgot.apple.com/******

检测Apple ID有效性

C)薅羊毛

薅羊毛,浅易理解就是,以不得当的方式获取互联网上的各栽福利,如新用户注册红包。这些人不以“利幼而不为”,只要是望到福利,能薅则薅,使得互联网公司的推广经费中很大一笔片面都打了水漂。薅羊毛入门门槛极矮,现在,薅羊毛周围之大,足以称之为一个走业。薅羊毛走业紧紧倚赖互联网走业,与互联网走业的以等同的速度发展。2017年,薅羊毛运动风起云涌,主要针对各类金融平台、电商平台以及O2O平台。

笔者总结了一份2017羊毛炎词云图,如下所示:

词云图的中心,是大大的两个字“会员”,各类会员,包括矮价会员甚至是免费会员,深得多羊毛党的喜欢好。其他福利,比如优惠券、红包、商品秒杀、激活码、各类矮价QQ钻等,也有较高的词频。认领福利必要账号,账号有关的关键词,比如注册、老号、白号、幼号等,也是榜上著名。既然有账号,就有连带的账号实名业务,比如认证、绑定、实名等。另外,不出不测的是,“骗子”的词频相等高,黑灰产市场正本就不受法律珍惜,“黑吃黑”的形象也较为远大。

d)引流

有一些不适当直接变现却坐拥重大流量的平台,比如短视频平台、外交平台等,黑产也不会屏舍,采用引流方式进走变现。一个浅易的引流变现操作是如许的:操作者在头像、昵称、幼我原料等任何能够被平台曝光的地方留下有关方式,比如微信号,再经过发送勾引性的内容吸引用户前去添加好友,之后经过诈骗、微商等式样深度变现。

常见的外交平台引流方法,是经过柔件批量关注、发送私信等方式。一些引流操作能够带来重大的流量,幼我无法消耗,会以“出粉”式样卖出,即买家根据成功添加微信的“人头”数,付给引流者报酬。

引流人往往会结相符现在标用户的生理以及引流平台的特点,进走操作,如到美拍的美妆视频下写“前100人免费送XXX化妆水”,吸引能够经过微商变现的“女粉”。在陌陌等平台上经过勾引性图片、视频加上“想交男好友”等话术,吸引“色粉”(“男粉”),在微信中骗取红包或是出售一些男性用品。

诸如此类,还有“保健粉”(可用于出售医疗用品)、“连信粉”(中年有消耗力的)、“股民粉”、“宝妈粉”、“女大门生粉”等等。在业内叫做精准引流,用户群体越精准,价格越高。而购买者有两类,一栽是实在微商,另一栽就是吾们在东鹏特饮中挑到的,用微信行为变现出口的黑产,如引来色粉后撸包,即诈骗,用微信机器人假装成女性,经过发送勾引图片视频的方式索要红包。

这栽方式只能骗一次,以是他们必要引流人给他们源源不息的粉,称为“火车站流量”,而微信被举报后账号就报销了,以是他们会向号商购买账号,做到末了,变现能够用量化标准来计算利润,微信号平均多久会物化,谁家引来的粉平均每幼我头几块钱……单从这一条去下望,引流和号商一向都有市场,会赓续存在,而他们必要绕过厂商的风控,又必要一系列的服务型产业链,他们都会赓续的与厂商对抗,只要益处不用失,对抗就会赓续升级。

三、对抗升级

1、主流防控措施和黑产绕过方法

面对凶意走为,除去IP等规则判断,厂商也会从走为和设备角度进走判断。如用户登录过程的走为,包括中止时间、鼠标焦点、页面访问流程、csrf-token等。再经过客户端上报机器信息,识别鉴定是否存在捏造设备。

而面对对抗,黑产也在不息升级,主要会从以下几个方面进走绕过:

边缘业务与新业务处追求可行使接口:黑灰产不息追求审计不厉格的边缘业务接口,找到后便能绕过一切的防护措施,如入无人之境。而厂商在这个维度上很难有走之有效的监控,由于正本就是被无视的接口。这边能够从第三方视角进走监控。要挟猎人对黑产流量进走大数据分析,能够是这栽伎俩袒露在阳光下,何人何时抨击了新的接口,从抨击起程分析检测,可极大加强厂商对漏洞的逆答速度。模仿实在用户:规避后台走为分析模型方面,黑卡挑交乞求时不再是仅仅填写User-Agent,而是尽能够全的完善整个流程,包括:完善的页面打卡流程代替仅仅向关键接口挑交乞求;携带csrf-token等齐全的参数;页面中止时间采用函数随机化;HTTP header厉格遵命涉猎器特征;随机化一切其他不主要的参数等。

2、新风控角度的思考

企业制定坦然策略往往存在两个题目:

是坦然策略面向一切客户,灰产能够不息尝试摸清规律,设法绕过。对最新的抨击方式不晓畅,导致制定退守策略无法有效抨击黑产,逆而容易误伤平常用户。面对后台数据,只清新本身阻截了多少凶意用户,不清新有多少异国阻截。

因此要挟猎人从走业起程,针对电商、外交、游玩、云计算等差别走业的差别特点,一一分析,还原实在抨击场景,以憧憬解决企业面临攻防信息偏差等的题目,为企业精准退守灰产抨击挑供数据补充、情报赞成。

a)黑产大数据监控

基于黑产抨击的资源竖立赓续监控机制,对已经泄露和已经在行使的黑IP、黑卡、批量注册账号、盗取账号、凶意流量等进走积累和实时更新。就能结相符风控编制,从多个维度判断,有效筛选出疑心用户。

b)情报带来的针对性对抗

情报搜集和分析做事能够有效的还原出某个针对企业的抨击方式,用于针对性抨击。如经过情报和数据结相符分析,得出抨击者的主意、抨击流程和走动模式后,厂商就能够多维度的抨击,如A场景检测到却在B场景抨击,让抨击者摸不着头脑,测试不出套路。在入口处有所遗漏时,还能够在出口处再次进走抨击,如注册处也许异国通盘阻截,当检测到注册后立即绑卡抢红包挑现一鼓作气的用户,标记高级别危险标签,挑高挑现门槛等。

结语:

传统的“你来吾去”、“亡羊补牢式”的攻防策略已无法有效与现在的黑灰产势力抗衡,行为退守方的甲方答当将战场向前推进,步步逼近黑灰产大本营,以争夺更多的主动权。情报搜集、风险侦测和要挟感知将是新式对抗模型中的三把利刃,能够协助甲方做到“知彼亲信,百战不殆”。

(本文装载自:要挟猎人)