文 | 威胁猎人
来自雷锋网(leiphone-sz)的报道
雷锋网注:该文节选自《黑灰产服务型产业链报告》,由威胁猎人投稿,雷锋网略有编辑和整理。
有一家广东的饮料公司,原本都是靠传统促销手段进行营销,比如瓶盖抽奖,随着互联网的普及,决定尝试新的方式——扫二维码领红包,想借力互联网省去繁琐的流转,顺便收集顾客信息,不料羊毛党却给了他们当头一棒。
随着活动的升温,迅速出现了大量贩卖东鹏特饮 CDK(码子)的人。
所谓码子就是将活动二维码转换成的链接。购买码子后用微信点击便可以领取红包。渠道商和羊毛党手中的微信账号有限,但码却很多,他们以略低于最低额度红包的价格售卖,购买者也是稳赚不赔。
还有一家众所周知的苹果公司也遭遇过羊毛党,用户在iOS上消费后,苹果公司会按照比例与app服务提供方进行分账,以季度结算。结算时,大量商户发现苹果的分成和实际销售金额相差甚远。在查看之下,发现了真实原因:被薅。
一些账户进行了 6 元和 30 元的小额消费后立即消失了,存在批量痕迹。原来苹果为了提升用户体验,设置了 40 元以下小额充值可以不验证,先派发商品的策略。对黑产来说,此举意味着每个小号 36 元的利润,立刻展开了行动。
黑灰产的服务型产业链到底怎么构成——在上游为各条其他细分黑灰色产业链提供资源支撑和各类服务的产业链有哪些?今天我们不说黑灰产,我们来说黑灰产的服务型“伙伴”。
1
上游资源提供者
a)黑卡
手机黑卡,指黑灰产从业者手中的大量非正常使用的手机卡。这些黑卡会提供给各个接码平台,用于接收发送验证码,进而进行各种虚假注册、认证业务。比如饿了么新用户有十几元的首单减免,羊毛党会从接码平台获取手机号批量注册,再通过下游将这些首单优惠以一半的价格卖给需要点外卖的人。注册成本是支付一毛钱给接码平台,收益是下游接单人的几元到十几元不等的收购价。而黑卡就是接码平台手机号的源头。
被称为“史上最严”的手机卡实名制举措,确实在一段时间内打压了手机黑卡和接码市场,提供黑卡和接码服务的平台和个人一下子销声匿迹,但好景不长,仅仅几个月后,便出现了强劲的复苏态势,提供黑卡和接码服务的平台和个人如雨后春笋般涌现。至今,该市场已经极具规模,并且运行稳定,给甲方业务安全造成巨大压力。
据威胁猎人反向追踪调查,黑卡背后的产业链大概如下图所示:
卡源卡商
卡源卡商指通过各种渠道(如开皮包公司、与代理商打通系等)从运营商或者代理商那里办理大量手机卡,通过加价转卖下游卡商赚取利润的货源持有者。卡源主要有:
了解了他们的经营方式后,我们再进一步分析黑卡数据可以发现运营商的比例甚至可以定位到犯罪团伙经常活动的城市。
手机黑卡运营商对比
下图展示了传统运营商和虚拟运营商黑卡的数量对比。
来自传统运营商的黑卡数量要远多于来自虚拟运营商的黑卡数量,毕竟传统运营商和虚拟运营商的手机卡总量不在同一个数量级上。
2017年8月的新闻数据表明,全国虚拟运营商用户占移动用户总数的3.6%,3.6%的用户占比却贡献了20.17%的黑卡数量占比。相对传统运营商而言,虚拟运营商的手机卡中黑卡占比较高。
以下两张图展示了在非虚拟号段上和虚拟号段上三大运营商的黑卡数量对比。在非虚拟号段上,将近一半的手机黑卡来自于中国移动,约三分之一来自于中国联通,中国电信最少。在虚拟号段上,绝大多数是中国联通的手机黑卡,中国移动次之,中国电信依旧最少。
手机黑卡归属地分布
依据归属地统计的数据,广东省十分抢眼,在黑卡归属地省份排名中遥遥领先,省内的广州、深圳、东莞和佛山也霸占了黑卡归属地城市排名中前五名中的四名。
猫池厂家
猫池厂家负责生产猫池设备,并将设备卖给卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备,在正常行业也有广泛应用,如邮电局、银行、证券商、各类交易所、各类信息呼叫中心等。猫池设备可以实现对多张手机卡的管理。
卡商
卡商从卡源卡商那里大量购买手机黑卡,将黑卡插入猫池设备并接入卡商平台,然后通过卡商平台接各种验证码业务,根据业务类型的不同,每条验证码可以获得0.1元-3元不等的收入。
黑卡数据库能够结合企业自身的后台数据,作为补充和参考,为企业筛选恶意用户提供账号维度上的支持。
b)黑IP
IP地址作为互联网的紧缺资源、一直是厂商最重要的风控方案之一。面对攻击,最主流防控措施之一就是封IP,企业根据黑IP库、同IP发起请求次数、密码错误率、是否有恶意行为等决定一段时间内禁止某IP的请求。
而面对暴利,黑产不会轻易放弃,对待厂商的对抗,黑产积极主动寻求解决方案,甚至做到了平台化、链条化的反对抗。根据威胁猎人的长期监控,黑产主要有以下几种获取IP资源的方式:
我们称这种用于网络攻击的IP为黑IP。威胁猎人通过大量渠道,在2017年采集并整理出全球范围内的黑IP,并做了详细分类。
黑 IP 类型排名
经统计,黑IPtop10类型比例如下。一个黑IP可能会有多个标签,整体看来,僵尸网络IP、机器人IP和代理IP的数量占据前三名。
黑IP地域分布
分析IP地域来源数据,全球黑IP分布图和top20的国家如下。全球IPv4总数约为43亿,美国拥有30%以上,这一数据与图片相符,美国的黑IP数量占比36.39%,遥遥领先其他国家。发达国家的黑IP数量要多于发展中国国家,可以简单理解为,发达国家拥有更多的互联网设备,也就拥有更多的IP资源,所以黑IP的数量与互联网设备的数量成正比。
以下两张图片为全球黑IP来源城市top20和全球黑IP所属运营商top10。从来源城市数据看来,top榜单中大多数是美国城市,中国城市数量紧随其后,其中北京更是占据了榜首。上榜的城市都是经济较为发达的城市。从所属运营商数据看来,top10中一半是美国的运营商。
c)账号
批量注册和养号:
在互联网灰产中,无论是行迹匆匆的羊毛党,还是猥琐发育的养号者,都需要大量账号作为牟利的支撑。因此,注册环节也就成了互联网公司和灰产的最前沿战场。各公司的注册页面看似平淡,实则暗流涌动。
灰产的逐利本性决定他们非常强调投入产出比。灰产会雇佣开发人员开发针对注册环节的自动化攻击工具。这种注册软件大抵有两类:
除了批量注册外,灰产也会根据平台特色,使用其他平台第三方登录的方式跳转成小号,批量产出,例如有一种微博账号叫做授权号,因为注册流程等原因,在微博平台收到风控限制,很难进行后续变现业务,就只用作授权其他平台账号,在其他平台上完成变现。这种授权号成本低于手机号注册,每个只需要几分钱。
针对这类账号,很多厂商会对新注册账号进行监控,于是产生了号商养号的行为,注册后模仿真实用户进行一些操作,将号码从监控列表剔除之后再进行业务。
薅羊毛的新号、刷量的小号都是通过这些方式得到的,但针对苹果风控被灰产需要的老号就需要通过盗号、养号、撞库获得了。当各个平台增加风控后,这类老号需求就会出现,如微信满月号、陌陌半年号等等属于养号,几年扫号老号等属于盗号或撞库所得。
撞库
撞库,即攻击者通过收集各个网站的泄露的用户数据等方式,生成用户名和密码字典,批量去其他网站登录,尝试撞出目标网站的可用账户密码。近年来,随着频繁出现的数据库泄露事件,撞库攻击取代了木马盗号成为了主流的盗号方式。
下图为2017年撞库攻击量走势图:
以下是2017年撞库攻击者“钟爱”的一些攻击目标和接口:
游戏行业在地上互联网公司也是盈利最为可观的,在地下自然也聚集了大量相关从业人员,拥有众多的细分变现产业链。能否直接获得游戏账号的撞库方案自然是受黑客欢迎与关注的,因此,游戏公司向来是撞库攻击的高发地。国内外各大游戏公司在2017年都持续受到大量的撞库攻击。
版权行业和社交行业也是深受其害,随着正版化的推进以及带宽的增加,许多相关资源需要付费观看,存在不愿意花高价购买会员,而愿意用低价购买一个账号使用的人,就会存在这些会员账号变现的途径,进而这些账号也就是对黑产有价值的。
社交行业也拥有数量众多的变现方式,主要的灰产有刷量(点赞、播放量、榜单等)、私信引流、色情社交引流、诈骗等。社交平台对抗的风控策略不断升级,社交平台的老账号也就成了某些圈内富有价值的资源,如某陌交友平台的老号价格在30元以上。老号资源意味着封杀率低、生意可持续。因此,社交账号也是黑产的重要目标。
撞库数据来源
(1)信封号产业链
信封号,是QQ号产业链中的黑话,每一万个或者一千个被盗取的QQ号,称为一个信封。信封号产业链就是QQ号盗取、销赃的产业链。当QQ号中的Q币、游戏虚拟装备等被清洗一空、压榨干净后。就会将大量的账号密码贩卖给黑客完善社工库,或者制作密码字典。由于QQ邮箱在国内的市场占有率很高,以及很多用户习惯直接用QQ号对应的QQ邮箱和密码作为第三方平台的账号。大量QQ号被直接用来进行网站撞库。
(2)网站泄露数据库
网站泄露数据库的标志性事件是2011年CSDN 600万用户数据泄露,引领了当年一波数据泄露高峰,数十个网站的用户数据被公开,大量只在地下流通的数据被抛上台面。平时不关注此道的黑客也掌握了足够的数据源切入,某种程度上点燃了撞库攻击的热潮。而且被爆出的数据泄露其实也只是冰山一角,更多的再地下黑市中交易流通。
(3)地下黑市流通
数据窃取与交易是地下产业链隐藏最深的部分,也常有一些定制性的交易,不少黑客通过数据交易来构建庞大的社工库。黑客间的私下交易,我们无法得知,到底有多少网站数据已经被窃取也无法客观的评估。但通过半公开渠道也可管中窥豹,以下是暗网某地下数据交易市场的截图:
攻击方法和主流防控
通过对海量攻击行为的监控和分析,我们发现黑客攻击方法如下:
(1)判断账号是否存在
(2)业务安全集中管理问题突出
从TH-Karma统计的数据来看,许多网站的主要入口有比较严格的审计措施,会根据登录IP、频率等触发验证码或者封锁IP。但当公司业务增多,安全管理复杂度大幅增加,不同子站各用一套自己登录验证。这些没有接入审计功能的边缘业务接口就称为了黑客攻击的温床。
(3)攻击效果
根据对大量撞库数据的统计,能够成功绕过风控的攻击占供攻击量的83%,撞库的成功率则在0.4%左右浮动。
对此,我们建立维护了一个高危账号库。高危账号指的是已被黑灰产从业者恶意利用的账号,大多来自泄露的数据库。对于甲方而言,看到这些账号要多一份心眼,很有可能背后暗藏着不轨动机。根据 2017 年高危账号,我们做出了一些统计。
(1)高危邮箱账号域名排名
Top20的高危邮箱账号域名如下:
国内邮箱域名占据60%以上,其中以163.com、qq.com和game.sohu.com为主。国外主流邮箱域名(例如yahoo.com、gmail.com和hotmail.com),以及一些俄罗斯邮箱域名(例如mail.ru和yandex.ru)和德国邮箱域名(例如web.de)也位列top20之内。基本可以看出,top20的高危邮箱账号域名的至少满足以下条件之一:
(2)高危账号关联密码排名
此外,猎人君也统计了与高危账号关联的密码,数量排名top20都是一些常见的弱密码,列表如下:
d)账户认证
账户认证产业链属于地下产业链中的服务型产业链。几乎所有的互联网企业都会要求用户手机认证,有些还要求实名认证、人脸识别验证,配合技术或人工审核。这必然给各个地下产业链都带来了障碍,账户认证产业链自然就应运而生了。
手机接码、听码
短信验证是建立在手机和手机号成本上的真人验证,被广泛的应用于注册等场景。如上述黑卡产业链的介绍,黑产的对抗方案并不依赖于手机和办卡成本,而是接码平台,黑产从业者从该类平台接收一个验证码需要支付1-3毛钱。
接码平台是负责连接卡商和羊毛党、号商等有手机验证码需求的群体,提供软件支持、业务结算等平台服务,通过业务分成获利。一般会提供给使用者客户端、API、有些还会提供手机客户端。手机客户端用以支持各种手机业务。而API能够对接到自动化工具、脚本中,实现批量注册。
使用者首先要“收藏”自己要做的项目后才可以收取验证码,这样做的好处是避免手机号在相同注册场景的重复使用,同时也便于应对新形式的对抗,比如,整个注册过程可能需要接收多次验证码,并发送一次验证码。平台会将收发集成一个流程,供使用者批量化操作。
有些厂商选择了语音验证码,而接码平台也产生了相应收取语音验证码的服务,同时也产生了“听码”网赚。接码平台很多,活跃的有数十家,比较知名的接码平台有:爱乐赞、玉米(现菜众享)、Thewolf、星辰等,其中Thewolf和星辰可以接语音验证码。
2016年11月当时最大的平台爱码被警方查处,随后很多平台转入地下。如爱乐赞因为非常稳定,卡商众多,是最受黑产欢迎的接码平台之一。现已不支持在线注册,在有老客户介绍情况下,联系客服充值1000元才可以开新账户,另一种解决方式是与别人共用一个账号,且每次充值不能低于5元,否则会被封号。
打码
验证码是风控最广泛的一种部署方案。普通厂商会直接接入,有后台分析的厂商会在后台审计异常时触发验证码以不影响普通用户体验。而在黑产中,撞库、注册等都需要进行大量验证码识别。所以带动了另一个服务产业链——打码平台。
作为一种最简单、应用最广泛的图灵测试方案,大量公司和团队不断尝试自动化破解,以至于验证码升级到了人类也需要多次才能识别的境地。国内的黑产,依靠低廉的劳动力解决了问题。他们对无法技术解决的验证码使用率暴力的方式——人工打码进行破解。这种方式广泛传播到了大量第三世界国家,导致全球有近百万人以此为生。打码工人平均每码收入1-2分钱,熟练工每分钟可以打码20个左右,每小时收入10-15元。
随着技术的发展,黑产也与时俱进,逐渐产生了使用AI打码的平台。如警方在17年打击的“快啊答题”平台,使用了伯克利大学的数据模型,引入大量验证码数据对识别系统训练,将机器识别验证码的能力提高了2000倍,价格降低到了每千次15-20元。为撞库等需要验证的业务提供了极大的便利。
身份证认证及过脸
人脸识别技术发展逐渐成熟,“刷脸”在近两年成为新时期生物识别技术应用的主要场景。进入2017年后,在通关、金融、电信、公证等很多领域都需要对人和证件进行一致性的验证。2016年6月国家网信办发布《移动互联网应用程序信息服务管理规定》,明确要求移动互联网应用程序按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证。
互联网厂商面对法规以及某些业务上的需求,纷纷推出账号强制实名认证,并将人脸认证环节放到App中完成。实名让互联网时代更加规范的同时,也给由于某些原因无法实名或者需要大量实名账号完成黑灰色业务的人群造成了障碍,于是“过脸产业”应运而生,为别人批量完成认证获取利益。
厂商认证时经常会要求用户拍摄身份证正反面照片及手持身份证照片等。黑产获取此类身份证“料”的方式有但不限于以下几种:
收集后会以5-10元的价格卖给下一级使用者。对于需要过人脸认证的场景,从业者会利用PS等工具处理好一张带背景的人脸图,再利用Crazy Talk生成动态视频的软件,录制“眨眼”、“摇头”、“说话”等动作,完成后将摄像头对准视频,完成认证,过脸服务收费10元到100元不等。
过脸产业最开始被用在网络借贷薅羊毛上,如今已经广泛使用在各种实名认证的业务上。今日头条头条号、58同城、移动“任我行”卡、腾讯大王卡等都是其盈利的途径。
账号认证增加难度和用户体验优化之间找到平衡点,对各个厂商来说都是不小的难点。在苹果36事件中,就是为了提升用户体验给羊毛党留下了可乘之机。苹果若能对筛选出的恶意用户提高认证成本,就可以找到平衡点。而做到这点需要对用户行为和恶意行为进行分析。用户行为厂商可以进行记录,恶意行为需要情报的配合,包括恶意用户的行动模式、流程、最终目的等。
2
下游变现细分产业
a)流量欺诈
流量欺诈已经发展成了成熟的产业链,刷量可通过人为的操作提高网页访问量、视频播放量、广告点击量、搜索引擎搜索量等等。市场充斥着大量刷量工具和服务,几元就可以买到数千IP的访问。或是使用大量代理IP刷流量,或是基于P2P互刷原理(即挂机访问别人的网站,得到点数后可以用来发布任务,为自己的网站刷量),刷量可以高度模拟真实用户的行为轨迹,使得视频网站、直播平台、广告联盟、搜索引擎、电商等甲方难以有效加以区分。我们通过分析在2017年捕获的流量刷量数据,得出以下流量刷量黑灰产业中目标厂商的top10:
刷量行为主要集中在以下几个场景
(1)刷搜索引擎关键词排名
搜索引擎排名对网站的流量影响巨大。市场上有提供很多提高关键词排名的服务,原理是利用大量IP在搜索引擎搜索指定关键词,然后到指定网站,点击进入,甚至进一步模仿用户浏览、点击,欺骗搜索引擎,使其认为该站与该关键词关联度很高。百度,作为国内最大的流量出入口,榜首位置实至名归。针对百度的流量刷量类型有多种,主要类型包括刷搜索流量和点击百度网盟广告。2017年底,百度推出“惊雷算法”,旨在打击以作弊的方式提升网站搜索排序的行为,究竟效果如何,2018年我们拭目以待。Top10榜单中还出现了360搜索和中国搜索,刷搜索流量在整个流量刷量产业中的比重可见一斑。
(2)刷视频播放量
另一个流量刷量产业的大头是刷视频播放量,目标厂商包括榜单中的优酷、搜狐、龙珠视频/直播、爱奇艺、腾讯等,以及不在榜单中的触手直播、风行网等。很多视频有夸张的播放量,点赞和回复却寥寥无几。视频网站依据视频人气付给视频作者酬劳,虚假的播放量可直接导致视频网站蒙受金钱上的损失。对于用户来说,人气很高的热门视频,内容质量却名不副实,用户体验下降。
(3)刷广告展示量和点击量
通常告主会和广告联盟或站长合作,进行推广,按照CPM、CPC的方式结算广告费用给站长。一些无良的站长会使用软件或者购买服务恶意刷CPM、CPC,获取不正当利益。广告联盟存在一些广告反欺诈机制,刷量有可能面临封号,但依旧有很多人通过刷量技巧和网站数量来大规模获利。
(4)电商和网站访问量
此外,刷页面的访问量,包括刷社交站点的内容曝光量和电商商品浏览量,也是流量刷量产业中相当活跃的一个分支,比如新浪博客的访问量打码怎么接入游戏,以及淘宝和天猫商品的浏览量等。总而言之,当今的互联网世界中,充满了障眼法,眼见不一定为实,所谓的“人气排名”,所谓的“热门列表”,不可完全相信。
b)数据爬取采集
爬虫就是收集信息,“爬虫写的好,拥有整个互联网的数据不是梦”。数据分析本身并没有善恶标签,方法和目的却可以将之定性。黑灰产如今规模庞大,分支众多,从猎人君观察到的攻击流量来看,黑灰产从业者的需求比较分散,快递、媒体、电商、账号有效性等等都是攻击者的目标。黑灰产从业者做爬虫的目的多种多样,比如:
以下是2017年较为热门的一些爬虫攻击目标和接口:
c)薅羊毛
薅羊毛,简单理解就是,以不正当的方式获取互联网上的各种福利,如新用户注册红包。这些人不以“利小而不为”,只要是看到福利,能薅则薅,使得互联网公司的推广经费中很大一笔部分都打了水漂。薅羊毛入门门槛极低,如今,薅羊毛规模之大,足以称之为一个行业。薅羊毛行业紧紧依附互联网行业,与互联网行业的以等同的速度发展。2017年,薅羊毛活动如火如荼,主要针对各类金融平台、电商平台以及O2O平台。
这是一份2017羊毛热词云图,如下所示:
词云图的中央,是大大的两个字“会员”,各类会员,包括低价会员甚至是免费会员,深得众羊毛党的喜爱。其他福利,比如优惠券、红包、商品秒杀、激活码、各类低价QQ钻等,也有较高的词频。认领福利需要账号,账号相关的关键词,比如注册、老号、白号、小号等,也是榜上有名。既然有账号,就有连带的账号实名业务,比如认证、绑定、实名等。另外,不出意外的是,“骗子”的词频相当高,黑灰产市场本来就不受法律保护,“黑吃黑”的现象也较为普遍。
d)引流
有一些不适合直接变现却坐拥巨大流量的平台,比如短视频平台、社交平台等,黑产也不会放弃,采用引流方式进行变现。一个简单的引流变现操作是这样的:操作者在头像、昵称、个人资料等任何可以被平台曝光的地方留下联系方式,比如微信号,再通过发送诱惑性的内容吸引用户前往添加好友,之后通过诈骗、微商等形式深度变现。
常见的社交平台引流方法,是通过软件批量关注、发送私信等方式。一些引流操作可以带来巨大的流量,个人无法消耗,会以“出粉”形式卖出,即买家根据成功添加微信的“人头”数,付给引流者报酬。
引流人往往会结合目标用户的心理以及引流平台的特点,进行操作,如到美拍的美妆视频下写“前100人免费送XXX化妆水”,吸引可以通过微商变现的“女粉”。在陌陌等平台上通过诱惑性图片、视频加上“想交男朋友”等话术,吸引“色粉”(“男粉”),在微信中骗取红包或是销售一些男性用品。
诸如此类,还有“保健粉”(可用于销售医疗用品)、“连信粉”(中年有消费力的)、“股民粉”、“宝妈粉”、“女大学生粉”等等。在业内叫做精准引流,用户群体越精准,价格越高。而购买者有两类,一种是真实微商,另一种就是我们在东鹏特饮中提到的,用微信作为变现出口的黑产,如引来色粉后撸包打码怎么接入游戏,即诈骗,用微信机器人伪装成女性,通过发送诱惑图片视频的方式索要红包。
这种方式只能骗一次,所以他们需要引流人给他们源源不断的粉,称为“火车站流量”,而微信被举报后账号就报销了,所以他们会向号商购买账号,做到最后,变现可以用量化标准来计算收益,微信号平均多久会死,谁家引来的粉平均每个人头几块钱……单从这一条往下看,引流和号商一直都有市场,会持续存在,而他们需要绕过厂商的风控,又需要一系列的服务型产业链,他们都会持续的与厂商对抗,只要利益不消失,对抗就会持续升级。
雷锋网注:该文节选自《黑灰产服务型产业链报告》,由威胁猎人投稿,雷锋网略有编辑和整理。
– END –
CCF ADL 系列又一诚意课程,两位全球计算机领域Top 10大神加盟——韩家炜 & Philip S Yu,共13位专家,覆盖计算机学科研究热点,详情点戳阅读原文链接或长按识别下方二维码~
———END———
站 长 微 信: kind1920
暂无评论内容