信息來源：嘶吼網(wǎng)

概述

2017年，縱觀全球網(wǎng)絡(luò)安全事件，從黑客組織Shadow Brokers泄露NSA的漏洞利用工具EternalBlue，到WannaCry勒索軟件席卷全球，從國內(nèi)58同城簡(jiǎn)歷數(shù)據(jù)泄露，到國外信用機(jī)構(gòu)Equifax被黑客入侵，黑灰產(chǎn)業(yè)蓬勃發(fā)展。

只有事件爆發(fā)后才能察覺問題，這使得企業(yè)和用戶的處境十分被動(dòng)。企業(yè)對(duì)于黑產(chǎn)的行為邏輯、行動(dòng)方式、利益和目的等都十分陌生。威脅獵人將根據(jù)平臺(tái)第一線的攻擊數(shù)據(jù)和深入訪問調(diào)查的黑灰產(chǎn)現(xiàn)狀，為大家揭開黑灰產(chǎn)的面紗。

目錄

概述

一、黑灰產(chǎn)事件舉例分析

1、東鵬特飲薅羊毛事件

2、蘋果36

3、滴滴虛假注冊(cè)

4、Uber被黑客勒索

5、教材涉黃案

二、產(chǎn)業(yè)鏈分析

1、上游資源提供者

a）黑卡

b）黑IP

c）賬號(hào)

d）賬戶認(rèn)證

2、下游變現(xiàn)細(xì)分產(chǎn)業(yè)

a）流量欺詐

b）數(shù)據(jù)爬取采集

c）薅羊毛

d）引流

三、對(duì)抗升級(jí)

1、主流防控措施和黑產(chǎn)繞過方法

2、新風(fēng)控角度的思考

a）黑產(chǎn)大數(shù)據(jù)監(jiān)控

b）情報(bào)帶來的針對(duì)性對(duì)抗

結(jié)語

一、黑灰產(chǎn)事件舉例分析

1、東鵬特飲薅羊毛事件

營銷活動(dòng)大家都不陌生，通過獎(jiǎng)勵(lì)機(jī)制吸引用戶。不過同時(shí)也會(huì)吸引來一群叫做“羊毛黨”的人，他們依靠注冊(cè)大量賬號(hào)獲取優(yōu)惠券、爭(zhēng)搶紅包、獎(jiǎng)品，再通過轉(zhuǎn)賣等方式變現(xiàn)。大促、補(bǔ)貼、營銷活動(dòng)都是他們眼中一次次“撈錢”的機(jī)會(huì)，被叫做線報(bào)。

缺乏業(yè)務(wù)安全意識(shí)、補(bǔ)貼又豐厚的活動(dòng)是最容易被薅的。東鵬特飲是廣東一家飲料公司，傳統(tǒng)促銷活動(dòng)是瓶蓋抽獎(jiǎng)，隨著互聯(lián)網(wǎng)的普及，決定嘗試新的方式——掃二維碼領(lǐng)紅包，想借力互聯(lián)網(wǎng)省去繁瑣的流轉(zhuǎn)，順便收集顧客信息，不料羊毛黨卻給了他們當(dāng)頭一棒。

隨著活動(dòng)的升溫，迅速出現(xiàn)了大量販賣東鵬特飲CDK（碼子）的人。所謂碼子就是將活動(dòng)二維碼轉(zhuǎn)換成的鏈接。購買碼子后用微信點(diǎn)擊便可以領(lǐng)取紅包。渠道商和羊毛黨手中的微信賬號(hào)有限，但碼卻很多，他們以略低于最低額度紅包的價(jià)格售賣，購買者也是穩(wěn)賺不賠。

而購買CDK的是普通用戶嗎，只能說比例太少，普通用戶哪有渠道知道CDK的存在，大多是手中擁有很多微信賬戶的其他灰產(chǎn)從業(yè)人。他們平時(shí)的業(yè)務(wù)是用微信號(hào)加大量好友，再通過詐騙、微商等形式變現(xiàn)。東鵬特飲CDK只是順便的行為之一罷了。

總之在利益的促使下，迅速有人與廢品回收站核心節(jié)點(diǎn)合作，低價(jià)大量收購瓶蓋，提取二維碼信息，市場(chǎng)上稱為“廢品碼”，與之對(duì)應(yīng)的是“必中碼”，是打通關(guān)系后從生產(chǎn)瓶蓋廠商、內(nèi)部人員等處購買的，將二維碼一鍵生成鏈接，轉(zhuǎn)手賣給渠道商，渠道商再分發(fā)給各級(jí)下線，一套流程下來，層層都有利潤，做活動(dòng)的企業(yè)就成了冤大頭。最終結(jié)果就是東鵬特飲發(fā)現(xiàn)實(shí)際兌換的獎(jiǎng)金金額遠(yuǎn)遠(yuǎn)高于預(yù)期，而收獲的只是營銷效果為0的“僵尸用戶”。

不只是東鵬特飲，這類碼子在市場(chǎng)上非常之多，蒙牛優(yōu)益C、蒙牛冰淇淋、百事可樂、紅牛、七喜、小茗、京東二維碼等等，數(shù)不勝數(shù)。當(dāng)活動(dòng)發(fā)展到一定規(guī)模，下游還會(huì)有人以“收學(xué)費(fèi)帶賺錢”的形式大肆傳播，整個(gè)過程猶如蝗蟲過境，吃光企業(yè)的活動(dòng)經(jīng)費(fèi)。

羊毛黨的基本行動(dòng)方式就是以量取勝，用大量賬號(hào)暴力爭(zhēng)搶活動(dòng)補(bǔ)貼、獎(jiǎng)品，如新用戶折扣券，然后轉(zhuǎn)手低價(jià)賣出。事實(shí)上他們只是互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈的變現(xiàn)末端之一，有些直接稱其為搬磚人，因其技術(shù)要求低，純粹是體力活。

他們的賬號(hào)來源、行動(dòng)模式都值得我們注意。比如瓜分新用戶禮券的注冊(cè)手機(jī)號(hào)從何而來？答案是手機(jī)黑卡。威脅獵人收集維護(hù)了海量數(shù)據(jù)的黑卡庫，在下文產(chǎn)業(yè)鏈分析中會(huì)做出詳細(xì)介紹。除去手機(jī)號(hào)，羊毛黨作惡需要通過平臺(tái)的IP、設(shè)備等檢測(cè)，這些在黑產(chǎn)中都有著平臺(tái)化、鏈條化的產(chǎn)業(yè)，羊毛黨僅僅是它們的下游之一。詳細(xì)產(chǎn)業(yè)鏈分析請(qǐng)參考上游資源提供者模塊。

2、蘋果36

同樣遭遇薅羊毛的還有蘋果。用戶在iOS上消費(fèi)后，蘋果公司會(huì)按照比例與app服務(wù)提供方進(jìn)行分賬，以季度結(jié)算。結(jié)算時(shí)，大量商戶發(fā)現(xiàn)蘋果的分成和實(shí)際銷售金額相差甚遠(yuǎn)。在查看之下，發(fā)現(xiàn)了真實(shí)原因：被薅。

一些賬戶進(jìn)行了6元和30元的小額消費(fèi)后立即消失了，存在批量痕跡。原來蘋果為了提升用戶體驗(yàn)，設(shè)置了40元以下小額充值可以不驗(yàn)證，先派發(fā)商品的策略。對(duì)黑產(chǎn)來說，此舉意味著每個(gè)小號(hào)36元的利潤，立刻展開了行動(dòng)。

他們會(huì)首先通過腳本批量注冊(cè)大量郵箱賬號(hào)。國外一些郵箱注冊(cè)不需要提供手機(jī)號(hào)，這一步操作幾乎是“無成本”的。完成后，會(huì)利用軟件，批量生成Apple ID，再批量激活。大部分廠商會(huì)在IP短時(shí)間注冊(cè)量上進(jìn)行判斷，對(duì)黑產(chǎn)來說這一步的成本就是更換IP的成本。對(duì)此威脅獵人會(huì)在下述產(chǎn)業(yè)鏈部分詳細(xì)闡述黑產(chǎn)逃過IP檢測(cè)的方法。

消費(fèi)需要綁定銀行卡，對(duì)于大量的銀行卡需求，黑產(chǎn)的解決方案是家庭共享和注冊(cè)虛擬銀行卡。設(shè)置家庭共享后，每個(gè)賬號(hào)可以有8個(gè)附屬賬號(hào)共享同一張銀行卡，而這張銀行卡是一張?zhí)摂M卡，當(dāng)黑產(chǎn)持有一張銀行卡后，可以線上向開卡行申請(qǐng)?zhí)摂M銀行卡，卡號(hào)會(huì)和原卡不同，但都是屬于同一個(gè)賬戶。

當(dāng)蘋果發(fā)現(xiàn)盜刷行為會(huì)對(duì)該賬號(hào)封號(hào)，當(dāng)多個(gè)附屬賬號(hào)被封后，蘋果會(huì)將主賬號(hào)與其綁定的銀行卡列入黑名單，這時(shí)，黑產(chǎn)會(huì)將虛擬卡注銷，重新申請(qǐng)，完全不影響繼續(xù)使用。蘋果也會(huì)對(duì)設(shè)備進(jìn)行檢測(cè)，這時(shí)黑產(chǎn)會(huì)結(jié)合改機(jī)軟件，在被鎖機(jī)前刷新設(shè)備指紋，輕松解決。

薅羊毛后，黑產(chǎn)就會(huì)利用低價(jià)優(yōu)勢(shì)，通過各種渠道銷售虛擬商品進(jìn)行變現(xiàn)。游戲和版權(quán)行業(yè)是受害的重災(zāi)區(qū)。

針對(duì)36技術(shù)，蘋果進(jìn)行了策略調(diào)整，新注冊(cè)用戶限制使用先派發(fā)后收款的模式。然而此舉對(duì)黑產(chǎn)來說只是提高了一點(diǎn)成本，還在接受范圍中。造成的影響是黑產(chǎn)對(duì)老號(hào)的需求大幅增加，等待著蘋果的問題將是盜號(hào)、撞庫、養(yǎng)號(hào)等等。如上述變現(xiàn)環(huán)節(jié)，因?yàn)槌渲迪拗?，?huì)索要用戶（購買黑灰產(chǎn)手中虛擬商品的人）的賬號(hào)和密碼，這個(gè)賬戶就可以“回收” 投入下一輪的利用。賬號(hào)相關(guān)的產(chǎn)業(yè)鏈詳細(xì)闡述可參考下文賬號(hào)模塊。

3、滴滴虛假注冊(cè)

按照相關(guān)規(guī)定，網(wǎng)約車平臺(tái)對(duì)注冊(cè)司機(jī)需要進(jìn)行相關(guān)考核審查，如有一定的駕駛年齡、北京要求“京人京車”等。很多不符合規(guī)定的人想完成注冊(cè)，就會(huì)利用一種“代注冊(cè)”的黑產(chǎn)業(yè)務(wù)。

2017年9月，滴滴向廣東省公安廳網(wǎng)警總隊(duì)舉報(bào)，發(fā)現(xiàn)發(fā)現(xiàn)幾十萬賬戶存在虛假注冊(cè)、人車不符的問題。經(jīng)查，發(fā)現(xiàn)了背后黑產(chǎn)大肆的牟利行為。駕齡不符、外地車不派單、車輛超齡都可以拿錢“解決”。

首先黑產(chǎn)信息源通過行業(yè)內(nèi)鬼等，查到真實(shí)符合規(guī)定的人車信息。一級(jí)中間商從信息源購買車輛人員信息。然后加價(jià)轉(zhuǎn)賣給二級(jí)中間商，二級(jí)再加價(jià)轉(zhuǎn)賣給代注冊(cè)操作員。代注冊(cè)操作人再通過PS等方式“加工信息”，與購買者信息結(jié)合，將分別合規(guī)的信息整合為一整套，完成注冊(cè)操作，收費(fèi)300-500元不等。而即使被發(fā)現(xiàn)，滴滴也只能對(duì)司機(jī)進(jìn)行封號(hào)處理。

有些操作人還會(huì)順便薅一把滴滴的羊毛，如利用推薦機(jī)制，滴滴公司規(guī)定，每推薦成功一個(gè)司機(jī)，就能獲得218元沖鋒獎(jiǎng)，和新司機(jī)前8個(gè)訂單30%的流水。不難想象在各家網(wǎng)約車競(jìng)爭(zhēng)期，活動(dòng)不計(jì)成本，都只想著在大戰(zhàn)中存活的時(shí)候，代注冊(cè)一伙能夠獲得多么巨大的利潤。

事實(shí)上，在滴滴快的大戰(zhàn)時(shí)，虛假司機(jī)賬戶就是主要是用來刷單，結(jié)合外掛牟利的。當(dāng)網(wǎng)約車合并，國家監(jiān)管變嚴(yán)后，代注冊(cè)團(tuán)伙轉(zhuǎn)而向不符合規(guī)定的人售賣服務(wù)，部分團(tuán)伙還會(huì)以出售“注冊(cè)教程”的方式獲取額外利潤，這種教學(xué)收費(fèi)模式往往是在本身利益降低時(shí)會(huì)產(chǎn)生的，當(dāng)利益巨大時(shí)，掌握方法的人只會(huì)默默賺錢。

這一系列牟利行為不只是對(duì)滴滴造成了傷害，也會(huì)對(duì)普通用戶造成傷害。如滴滴外掛會(huì)通過修改定位等方式實(shí)現(xiàn)“挑單、搶單”。而滴滴不得不將距離最優(yōu)算法，改成幾公里內(nèi)隨機(jī)派單，而用戶只能忍受明明看到身邊有車，卻需要在寒風(fēng)中等待三公里外的一輛車。

更令我們警醒的是，我們的個(gè)人信息，竟然是如此容易可以獲得的。事實(shí)上，黑產(chǎn)的社工庫也確實(shí)在不斷完善，數(shù)據(jù)量越來越多，精準(zhǔn)度越來越高，被廣泛的用在撞庫、詐騙等處，讓人膽寒。滴滴這樣的認(rèn)證較為復(fù)雜，被應(yīng)用更普遍的圖形驗(yàn)證碼、身份證認(rèn)證、面部識(shí)別認(rèn)證都有著發(fā)展穩(wěn)定的服務(wù)產(chǎn)業(yè)鏈，將在下文賬戶認(rèn)證部分作出介紹。

4、Uber被黑客勒索

Uber在去年遭遇了大規(guī)模的數(shù)據(jù)泄露，包括5000萬用戶的姓名、郵箱、電話。和700萬司機(jī)的個(gè)人信息及60萬美國司機(jī)駕駛證號(hào)碼。Uber稱信用卡等信息數(shù)據(jù)并沒有泄露。5700萬數(shù)據(jù)，與雅虎、美國信用機(jī)構(gòu)Enquifax泄露規(guī)模相比，本不值一提，在黑產(chǎn)中也不算驚天的數(shù)據(jù)。但Uber的做法引起了大家的關(guān)注——向黑客支付贖金。

當(dāng)時(shí)的CSO和助理，以支付10萬美金的方式試圖隱瞞此事，避免Uber數(shù)據(jù)在黑市流通。事后兩人遭到了開除，CEO迫辭職，Uber最終聲明并沒有證據(jù)表示此次事件的數(shù)據(jù)被黑客利用，并將為信息泄露的司機(jī)提供免費(fèi)的信息保護(hù)監(jiān)控服務(wù)。

黑客獲取數(shù)據(jù)的方式令人好奇。事實(shí)上他們是從Uber工程師的私人GitHub庫，獲得了登錄憑證，進(jìn)而訪問了Uber用以計(jì)算的亞馬遜云服務(wù)賬戶，在賬戶中發(fā)現(xiàn)了用戶數(shù)據(jù)，隨即進(jìn)行了勒索行為。我們不禁發(fā)現(xiàn)攻擊有時(shí)只需要找到一處漏洞，而防守卻需要全面嚴(yán)密。而除了防守還有另外一個(gè)問題需要我們面對(duì)——對(duì)已經(jīng)泄露的數(shù)據(jù)該如何行動(dòng)。Uber隱瞞的做法自然是不可取的。

而面對(duì)這種問題一個(gè)暴力而有效的對(duì)抗方式是建立比黑產(chǎn)更龐大的泄露數(shù)據(jù)庫，若能在黑產(chǎn)使用這些用戶信息時(shí)判定出是已泄露賬號(hào)，直接觸發(fā)風(fēng)控邏輯，便可以進(jìn)行更嚴(yán)格的審核，繞過黑客的防護(hù)手段，對(duì)敵人造成無法回避的打擊。而建立這樣的數(shù)據(jù)庫除了需要有效、實(shí)時(shí)的收集補(bǔ)充方案，也需要各大廠商的分享和參與，收集多方資料，構(gòu)建更全面的數(shù)據(jù)源。

5、教材涉黃案

2017年2月，一則“高中教材涉黃”的新聞受到了瘋狂轉(zhuǎn)載，人教版高中語文選修教材中的詩詞網(wǎng)址打開后竟然是黃色網(wǎng)站。實(shí)際上這個(gè)網(wǎng)站是遭到了篡改，實(shí)施者是一家名叫“雷勝科技”的公司。表面上它是一家互聯(lián)網(wǎng)應(yīng)用服務(wù)商，而背后卻隱藏著一條完整的色情誘導(dǎo)詐騙產(chǎn)業(yè)鏈，“教材涉黃”將它拖出了水面。

詐騙團(tuán)伙開發(fā)色情網(wǎng)站和App，通過限制觀看有色視頻的時(shí)間，誘導(dǎo)用戶付費(fèi)獲取完整視頻。但事實(shí)上并沒有所謂的“完整版”，盈利方式就是詐騙用戶。這個(gè)產(chǎn)業(yè)鏈的每一個(gè)環(huán)節(jié)都是經(jīng)過精心規(guī)劃的。

第一環(huán)節(jié)為開發(fā)，技術(shù)門檻極低，詐騙團(tuán)伙能夠以極低的價(jià)格購買到源碼，有經(jīng)驗(yàn)的開發(fā)者也可以在幾天之內(nèi)輕松完成。由于色情內(nèi)容在我國的違法性，App展示的有色內(nèi)容會(huì)經(jīng)過精心編輯，能完全規(guī)避“淫穢色情”的法律界定。雷勝科技設(shè)置了研發(fā)、市場(chǎng)、編輯、財(cái)務(wù)和客服部門。編輯部就是負(fù)責(zé)剪輯擦邊球類的有色視頻的，甚至雇有專業(yè)律師審核圖片和視頻。

App上架之后就進(jìn)入了推廣環(huán)節(jié)，團(tuán)伙會(huì)通過百度聯(lián)盟、木馬程序、修改網(wǎng)站內(nèi)容鏈接等方式進(jìn)行推廣。雷勝科技就是修改了教育網(wǎng)站的內(nèi)容鏈接被牽引出來的。

之后就到了變現(xiàn)環(huán)節(jié)。詐騙團(tuán)伙會(huì)從支付平臺(tái)或者渠道商處申請(qǐng)獲得支付接口。申請(qǐng)需要一套完整的公司三證信息（營業(yè)執(zhí)照、稅務(wù)登記證和組織機(jī)構(gòu)代碼證）及銀行卡賬戶，這種在黑市上稱為公司“殼”資料，有專人在收集販賣，注冊(cè)電商企業(yè)店、申請(qǐng)支付接口等都會(huì)向其購買。針對(duì)于設(shè)置了風(fēng)控模型的第三方平臺(tái)。詐騙團(tuán)伙會(huì)通過準(zhǔn)備多個(gè)支付接口，使用可以短時(shí)間切換接口的方式進(jìn)行繞過。

有些色情引流詐騙App還會(huì)在安裝時(shí)獲取權(quán)限（如發(fā)送短信等），之后向特定的SP號(hào)碼發(fā)送短信進(jìn)行扣費(fèi)的方式進(jìn)行盈利。這些app也會(huì)捆綁其他惡意業(yè)務(wù)，或是竊取用戶隱私信息等，對(duì)用戶造成更深的損害。雷勝科技是通過PC端和移動(dòng)端流量分發(fā)引流，然后通過詐騙變現(xiàn)，而更為常見的方式是利用各大社交、視頻等平臺(tái)，引流至微信后變現(xiàn)，在引流模塊我們會(huì)給出更詳細(xì)的介紹。

二、產(chǎn)業(yè)鏈分析

1、上游資源提供者

a）黑卡

手機(jī)黑卡，指黑灰產(chǎn)從業(yè)者手中的大量非正常使用的手機(jī)卡。這些黑卡會(huì)提供給各個(gè)接碼平臺(tái)，用于接收發(fā)送驗(yàn)證碼，進(jìn)而進(jìn)行各種虛假注冊(cè)、認(rèn)證業(yè)務(wù)。比如餓了么新用戶有十幾元的首單減免，羊毛黨會(huì)從接碼平臺(tái)獲取手機(jī)號(hào)批量注冊(cè)，再通過下游將這些首單優(yōu)惠以一半的價(jià)格賣給需要點(diǎn)外賣的人。注冊(cè)成本是支付一毛錢給接碼平臺(tái)，收益是下游接單人的幾元到十幾元不等的收購價(jià)。而黑卡就是接碼平臺(tái)手機(jī)號(hào)的源頭。

被稱為“史上最嚴(yán)”的手機(jī)卡實(shí)名制舉措，確實(shí)在一段時(shí)間內(nèi)打壓了手機(jī)黑卡和接碼市場(chǎng)，提供黑卡和接碼服務(wù)的平臺(tái)和個(gè)人一下子銷聲匿跡，但好景不長，僅僅幾個(gè)月后，便出現(xiàn)了強(qiáng)勁的復(fù)蘇態(tài)勢(shì)，提供黑卡和接碼服務(wù)的平臺(tái)和個(gè)人如雨后春筍般涌現(xiàn)。至今，該市場(chǎng)已經(jīng)極具規(guī)模，并且運(yùn)行穩(wěn)定，給甲方業(yè)務(wù)安全造成巨大壓力。

本著盡可能全面、精準(zhǔn)的原則，獵人君從多個(gè)途徑不遺余力的收集黑卡信息，從市場(chǎng)現(xiàn)存的黑卡，到曾經(jīng)有惡意行為的黑卡，再到市場(chǎng)新增的黑卡，構(gòu)建了龐大的黑卡數(shù)據(jù)庫。對(duì)每個(gè)入庫的黑卡號(hào)碼經(jīng)行多維度地評(píng)估，標(biāo)注風(fēng)險(xiǎn)等級(jí)，可以有效幫助甲方完善基于手機(jī)號(hào)的風(fēng)控策略。根據(jù)威脅獵人反向追蹤調(diào)查，黑卡背后的產(chǎn)業(yè)鏈大概如下圖所示：

卡源卡商

卡源卡商指通過各種渠道（如開皮包公司、與代理商打通系等）從運(yùn)營商或者代理商那里辦理大量手機(jī)卡，通過加價(jià)轉(zhuǎn)賣下游卡商賺取利潤的貨源持有者?？ㄔ粗饕校?

· 物聯(lián)網(wǎng)卡：主要用于工業(yè)、交通、物流等領(lǐng)域的手機(jī)卡。物聯(lián)網(wǎng)卡無須實(shí)名認(rèn)證，需要以企業(yè)名義辦理，提供營業(yè)執(zhí)照即可，營業(yè)執(zhí)照可以以千元左右的價(jià)格買到。有些運(yùn)營商對(duì)營業(yè)執(zhí)照檢測(cè)力度很低，甚至?xí)榛耶a(chǎn)定制專用的物聯(lián)網(wǎng)卡套餐。這種卡多為0月租或者1月租，根據(jù)能否接聽電話，分為短信卡（也稱注冊(cè)卡）和語音卡。

· 實(shí)名卡：這種多為聯(lián)絡(luò)運(yùn)營商后，用網(wǎng)上收集的大量身份信息批量認(rèn)證得到的。

· 海外卡：實(shí)名制實(shí)施后，卡商受到一定限制。從16年下半年開始，大量緬甸、越南、印尼等東南亞卡開始進(jìn)入國內(nèi)手機(jī)黑卡產(chǎn)業(yè)，這些卡支持GSM網(wǎng)絡(luò)，國內(nèi)可以直接使用，無需實(shí)名認(rèn)證，基本是0月租，收短信免費(fèi)，非常切合黑產(chǎn)利益。

如上述東鵬特飲提到的薅羊毛事件中，我們只看到有人大量售賣賬號(hào)，其實(shí)背后有個(gè)非常成熟的產(chǎn)業(yè)鏈，各級(jí)分工明確。了解了他們的經(jīng)營方式后，我們?cè)龠M(jìn)一步分析黑卡數(shù)據(jù)可以發(fā)現(xiàn)運(yùn)營商的比例甚至可以定位到犯罪團(tuán)伙經(jīng)?；顒?dòng)的城市。

手機(jī)黑卡運(yùn)營商對(duì)比

下圖展示了傳統(tǒng)運(yùn)營商和虛擬運(yùn)營商黑卡的數(shù)量對(duì)比。來自傳統(tǒng)運(yùn)營商的黑卡數(shù)量要遠(yuǎn)多于來自虛擬運(yùn)營商的黑卡數(shù)量，畢竟傳統(tǒng)運(yùn)營商和虛擬運(yùn)營商的手機(jī)卡總量不在同一個(gè)數(shù)量級(jí)上。2017年8月份的新聞數(shù)據(jù)表明，全國虛擬運(yùn)營商用戶占移動(dòng)用戶總數(shù)的3.6%，3.6%的用戶占比卻貢獻(xiàn)了20.17%的黑卡數(shù)量占比。相對(duì)傳統(tǒng)運(yùn)營商而言，虛擬運(yùn)營商的手機(jī)卡中黑卡占比較高。

以下兩張圖展示了在非虛擬號(hào)段上和虛擬號(hào)段上三大運(yùn)營商的黑卡數(shù)量對(duì)比。在非虛擬號(hào)段上，將近一半的手機(jī)黑卡來自于中國移動(dòng)，約三分之一來自于中國聯(lián)通，中國電信最少。在虛擬號(hào)段上，絕大多數(shù)是中國聯(lián)通的手機(jī)黑卡，中國移動(dòng)次之，中國電信依舊最少。

 

手機(jī)黑卡歸屬地分布

依據(jù)歸屬地統(tǒng)計(jì)的數(shù)據(jù)，廣東省十分搶眼，在黑卡歸屬地省份排名中遙遙領(lǐng)先，省內(nèi)的廣州、深圳、東莞和佛山也霸占了黑卡歸屬地城市排名中前五名中的四名。

 

貓池廠家

貓池廠家負(fù)責(zé)生產(chǎn)貓池設(shè)備，并將設(shè)備賣給卡商使用。貓池是一種插上手機(jī)卡就可以模擬手機(jī)進(jìn)行收發(fā)短信、接打電話、上網(wǎng)等功能的設(shè)備，在正常行業(yè)也有廣泛應(yīng)用，如郵電局、銀行、證券商、各類交易所、各類信息呼叫中心等。貓池設(shè)備可以實(shí)現(xiàn)對(duì)多張手機(jī)卡的管理。

卡商

卡商從卡源卡商那里大量購買手機(jī)黑卡，將黑卡插入貓池設(shè)備并接入卡商平臺(tái)，然后通過卡商平臺(tái)接各種驗(yàn)證碼業(yè)務(wù)，根據(jù)業(yè)務(wù)類型的不同，每條驗(yàn)證碼可以獲得0.1元-3元不等的收入。

黑卡數(shù)據(jù)庫能夠結(jié)合企業(yè)自身的后臺(tái)數(shù)據(jù)，作為補(bǔ)充和參考，為企業(yè)篩選惡意用戶提供賬號(hào)維度上的支持。

b）黑IP

IP地址作為互聯(lián)網(wǎng)的緊缺資源、一直是廠商最重要的風(fēng)控方案之一。面對(duì)攻擊，最主流防控措施之一就是封IP，企業(yè)根據(jù)黑IP庫、同IP發(fā)起請(qǐng)求次數(shù)、密碼錯(cuò)誤率、是否有惡意行為等決定一段時(shí)間內(nèi)禁止某IP的請(qǐng)求。

而面對(duì)暴利，黑產(chǎn)不會(huì)輕易放棄，對(duì)待廠商的對(duì)抗，黑產(chǎn)積極主動(dòng)尋求解決方案，甚至做到了平臺(tái)化、鏈條化的反對(duì)抗。根據(jù)威脅獵人的長期監(jiān)控，黑產(chǎn)主要有以下幾種獲取IP資源的方式：

· 掃描代理：通過全網(wǎng)掃描常見的代理服務(wù)端口，收集可用的代理IP地址，自行維護(hù)管理，成本高、效率低。

· 付費(fèi)代理：代理商通過掃描、搭建、交換的方式，提供全球的代理服務(wù)器，有效降低自行收集的產(chǎn)品。代理IP平臺(tái)非常之多，均可以提供API接口供黑產(chǎn)調(diào)用。

· 付費(fèi)VPN：與代理相似，使用技術(shù)不同。

· 撥號(hào)VPS：這類VPS是一臺(tái)虛擬服務(wù)器，通過ADSL撥號(hào)上網(wǎng)，每撥號(hào)一次換一次IP，使用者相當(dāng)于擁有了整個(gè)城市的大量可用IP。更有相關(guān)供應(yīng)商做到了打通全國多省市的撥號(hào)方式，俗稱混撥。也就實(shí)現(xiàn)了在一臺(tái)VPS中使用一個(gè)賬號(hào)快速隨機(jī)切換近百城市的ADSL線路撥入互聯(lián)網(wǎng)。

我們稱這種用于網(wǎng)絡(luò)攻擊的IP為黑IP。威脅獵人通過大量渠道，在2017年采集并整理出全球范圍內(nèi)的黑IP，并做了詳細(xì)分類。

黑IP類型排名

經(jīng)統(tǒng)計(jì)，黑IP top 10類型比例如下。一個(gè)黑IP可能會(huì)有多個(gè)標(biāo)簽，整體看來，僵尸網(wǎng)絡(luò)IP、機(jī)器人IP和代理IP的數(shù)量占據(jù)前三名。

黑IP地域分布

分析IP地域來源數(shù)據(jù)，全球黑IP分布圖和top 20的國家如下。全球IPv4總數(shù)約為43億，美國擁有30%以上，這一數(shù)據(jù)與圖片相符，美國的黑IP數(shù)量占比36.39%，遙遙領(lǐng)先其他國家。發(fā)達(dá)國家的黑IP數(shù)量要多于發(fā)展中國國家，可以簡(jiǎn)單理解為，發(fā)達(dá)國家擁有更多的互聯(lián)網(wǎng)設(shè)備，也就擁有更多的IP資源，所以黑IP的數(shù)量與互聯(lián)網(wǎng)設(shè)備的數(shù)量成正比。

以下兩張圖片為全球黑IP來源城市top 20和全球黑IP所屬運(yùn)營商top 10。從來源城市數(shù)據(jù)看來，top榜單中大多數(shù)是美國城市，中國城市數(shù)量緊隨其后，其中北京更是占據(jù)了榜首。上榜的城市都是經(jīng)濟(jì)較為發(fā)達(dá)的城市。從所屬運(yùn)營商數(shù)據(jù)看來，top 10中一半是美國的運(yùn)營商。

c）賬號(hào)

批量注冊(cè)和養(yǎng)號(hào)：

在互聯(lián)網(wǎng)灰產(chǎn)中，無論是行跡匆匆的羊毛黨，還是猥瑣發(fā)育的養(yǎng)號(hào)者，都需要大量賬號(hào)作為牟利的支撐。因此，注冊(cè)環(huán)節(jié)也就成了互聯(lián)網(wǎng)公司和灰產(chǎn)的最前沿戰(zhàn)場(chǎng)。各公司的注冊(cè)頁面看似平淡，實(shí)則暗流涌動(dòng)。

灰產(chǎn)的逐利本性決定他們非常強(qiáng)調(diào)投入產(chǎn)出比?；耶a(chǎn)會(huì)雇傭開發(fā)人員開發(fā)針對(duì)注冊(cè)環(huán)節(jié)的自動(dòng)化攻擊工具。這種注冊(cè)軟件大抵有兩類：

· 模擬操作類：通過控件操作瀏覽器元素實(shí)現(xiàn)，真實(shí)加載注冊(cè)頁面，模擬用戶操作。

· 協(xié)議破解類：通過HTTPS協(xié)議實(shí)現(xiàn)，破解注冊(cè)接口協(xié)議，直接帶參數(shù)調(diào)用注冊(cè)接口實(shí)現(xiàn)注冊(cè)。

除了批量注冊(cè)外，灰產(chǎn)也會(huì)根據(jù)平臺(tái)特色，使用其他平臺(tái)第三方登錄的方式跳轉(zhuǎn)成小號(hào)，批量產(chǎn)出，例如有一種微博賬號(hào)叫做授權(quán)號(hào)，因?yàn)樽?cè)流程等原因，在微博平臺(tái)受到風(fēng)控限制，很難進(jìn)行后續(xù)變現(xiàn)業(yè)務(wù)，就只用作授權(quán)其他平臺(tái)賬號(hào)，在其他平臺(tái)上完成變現(xiàn)。這種授權(quán)號(hào)成本低于手機(jī)號(hào)注冊(cè)，每個(gè)只需要幾分錢。

針對(duì)這類賬號(hào)，很多廠商會(huì)對(duì)新注冊(cè)賬號(hào)進(jìn)行監(jiān)控，于是產(chǎn)生了號(hào)商養(yǎng)號(hào)的行為，注冊(cè)后模仿真實(shí)用戶進(jìn)行一些操作，將號(hào)碼從監(jiān)控列表剔除之后再進(jìn)行業(yè)務(wù)。

薅羊毛的新號(hào)、刷量的小號(hào)都是通過這些方式得到的，但針對(duì)蘋果風(fēng)控被灰產(chǎn)需要的老號(hào)就需要通過盜號(hào)、養(yǎng)號(hào)、撞庫獲得了。當(dāng)各個(gè)平臺(tái)增加風(fēng)控后，這類老號(hào)需求就會(huì)出現(xiàn)，如微信滿月號(hào)、陌陌半年號(hào)等等屬于養(yǎng)號(hào)，幾年掃號(hào)老號(hào)等屬于盜號(hào)或撞庫所得。

撞庫

撞庫，即攻擊者通過收集各個(gè)網(wǎng)站的泄露的用戶數(shù)據(jù)等方式，生成用戶名和密碼字典，批量去其他網(wǎng)站登錄，嘗試撞出目標(biāo)網(wǎng)站的可用賬戶密碼。近年來，隨著頻繁出現(xiàn)的數(shù)據(jù)庫泄露事件，撞庫攻擊取代了木馬盜號(hào)成為了主流的盜號(hào)方式。

下圖為獵人君統(tǒng)計(jì)的2017年撞庫攻擊量走勢(shì)圖：

以下是2017年撞庫攻擊者“鐘愛”的一些攻擊目標(biāo)和接口：

 

游戲行業(yè)在地上互聯(lián)網(wǎng)公司也是盈利最為可觀的，在地下自然也聚集了大量相關(guān)從業(yè)人員，擁有眾多的細(xì)分變現(xiàn)產(chǎn)業(yè)鏈。能否直接獲得游戲賬號(hào)的撞庫方案自然是受黑客歡迎與關(guān)注的，因此，游戲公司向來是撞庫攻擊的高發(fā)地。國內(nèi)外各大游戲公司在2017年都持續(xù)受到大量的撞庫攻擊。

版權(quán)行業(yè)和社交行業(yè)也是深受其害，隨著正版化的推進(jìn)以及帶寬的增加，許多相關(guān)資源需要付費(fèi)觀看，存在不愿意花高價(jià)購買會(huì)員，而愿意用低價(jià)購買一個(gè)賬號(hào)使用的人，就會(huì)存在這些會(huì)員賬號(hào)變現(xiàn)的途徑，進(jìn)而這些賬號(hào)也就是對(duì)黑產(chǎn)有價(jià)值的。

社交行業(yè)也擁有數(shù)量眾多的變現(xiàn)方式，主要的灰產(chǎn)有刷量（點(diǎn)贊、播放量、榜單等）、私信引流、色情社交引流、詐騙等。社交平臺(tái)對(duì)抗的風(fēng)控策略不斷升級(jí)，社交平臺(tái)的老賬號(hào)也就成了某些圈內(nèi)富有價(jià)值的資源，如某陌交友平臺(tái)的老號(hào)價(jià)格在30元以上。老號(hào)資源意味著封殺率低、生意可持續(xù)。因此，社交賬號(hào)也是黑產(chǎn)的重要目標(biāo)。

撞庫數(shù)據(jù)來源

（1）信封號(hào)產(chǎn)業(yè)鏈

信封號(hào)，是QQ號(hào)產(chǎn)業(yè)鏈中的黑話，每一萬個(gè)或者一千個(gè)被盜取的QQ號(hào)，稱為一個(gè)信封。信封號(hào)產(chǎn)業(yè)鏈就是QQ號(hào)盜取、銷贓的產(chǎn)業(yè)鏈。當(dāng)QQ號(hào)中的Q幣、游戲虛擬裝備等被清洗一空、壓榨干凈后。就會(huì)將大量的賬號(hào)密碼販賣給黑客完善社工庫，或者制作密碼字典。由于QQ郵箱在國內(nèi)的市場(chǎng)占有率很高，以及很多用戶習(xí)慣直接用QQ號(hào)對(duì)應(yīng)的QQ郵箱和密碼作為第三方平臺(tái)的賬號(hào)。大量QQ號(hào)被直接用來進(jìn)行網(wǎng)站撞庫。

（2）網(wǎng)站泄露數(shù)據(jù)庫

網(wǎng)站泄露數(shù)據(jù)庫的標(biāo)志性事件是2011年CSDN 600萬用戶數(shù)據(jù)泄露，引領(lǐng)了當(dāng)年一波數(shù)據(jù)泄露高峰，數(shù)十個(gè)網(wǎng)站的用戶數(shù)據(jù)被公開，大量只在地下流通的數(shù)據(jù)被拋上臺(tái)面。平時(shí)不關(guān)注此道的黑客也掌握了足夠的數(shù)據(jù)源切入，某種程度上點(diǎn)燃了撞庫攻擊的熱潮。而且被爆出的數(shù)據(jù)泄露其實(shí)也只是冰山一角，更多的再地下黑市中交易流通。

（3）地下黑市流通

數(shù)據(jù)竊取與交易是地下產(chǎn)業(yè)鏈隱藏最深的部分，也常有一些定制性的交易，不少黑客通過數(shù)據(jù)交易來構(gòu)建龐大的社工庫。黑客間的私下交易，我們無法得知，到底有多少網(wǎng)站數(shù)據(jù)已經(jīng)被竊取也無法客觀的評(píng)估。但通過半公開渠道也可管中窺豹，以下是暗網(wǎng)某地下數(shù)據(jù)交易市場(chǎng)的截圖：

攻擊方法和主流防控

通過對(duì)海量攻擊行為的監(jiān)控和分析，我們發(fā)現(xiàn)黑客攻擊方法如下：

（1）判斷賬號(hào)是否存在

· 注冊(cè)接口快速驗(yàn)證：很多網(wǎng)站在填寫注冊(cè)信息時(shí)，會(huì)通過AJAX對(duì)賬戶名可用性做實(shí)時(shí)驗(yàn)證，這個(gè)接口就可以被黑客利用做賬戶存在的篩選。

· 登錄接口返回信息：部分網(wǎng)站賬號(hào)密碼錯(cuò)誤時(shí)，會(huì)返回敏感信息暴露賬號(hào)存在情況，如返回“賬號(hào)不存在”或“密碼錯(cuò)誤”?，F(xiàn)越來越多的廠商返回“賬號(hào)或密碼錯(cuò)誤”，可以有效避免被利用。

· 找回密碼接口：部分網(wǎng)站，在找回密碼流程中，也會(huì)有一次提示信息，也常會(huì)被黑客用來驗(yàn)證賬戶存在。

（2）業(yè)務(wù)安全集中管理問題突出

從TH-Karma統(tǒng)計(jì)的數(shù)據(jù)來看，許多網(wǎng)站的主要入口有比較嚴(yán)格的審計(jì)措施，會(huì)根據(jù)登錄IP、頻率等觸發(fā)驗(yàn)證碼或者封鎖IP。但當(dāng)公司業(yè)務(wù)增多，安全管理復(fù)雜度大幅增加，不同子站各用一套自己登錄驗(yàn)證。這些沒有接入審計(jì)功能的邊緣業(yè)務(wù)接口就稱為了黑客攻擊的溫床。

（3）攻擊效果

根據(jù)威脅獵人對(duì)大量撞庫數(shù)據(jù)的統(tǒng)計(jì)，能夠成功繞過風(fēng)控的攻擊占供攻擊量的83%，撞庫的成功率則在0.4%左右浮動(dòng)。

對(duì)此威脅獵人建立維護(hù)了一個(gè)高危賬號(hào)庫。高危賬號(hào)指的是已被黑灰產(chǎn)從業(yè)者惡意利用的賬號(hào)，大多來自泄露的數(shù)據(jù)庫。對(duì)于甲方而言，看到這些賬號(hào)要多一份心眼，很有可能背后暗藏著不軌動(dòng)機(jī)。威脅獵人根據(jù)在2017年高危賬號(hào)，做出了一些統(tǒng)計(jì)。

（1）高危郵箱賬號(hào)域名排名

Top 20的高危郵箱賬號(hào)域名如下：

國內(nèi)郵箱域名占據(jù)60%以上，其中以163.com、qq.com和game.sohu.com為主。國外主流郵箱域名（例如yahoo.com、gmail.com和hotmail.com），以及一些俄羅斯郵箱域名（例如mail.ru和yandex.ru）和德國郵箱域名（例如web.de）也位列top 20之內(nèi)。基本可以看出，top 20的高危郵箱賬號(hào)域名的至少滿足以下條件之一：

· 郵箱服務(wù)用戶基數(shù)大；

· 來自于黑灰產(chǎn)活動(dòng)活躍的地區(qū)。

（2）高危賬號(hào)關(guān)聯(lián)密碼排名

此外，獵人君也統(tǒng)計(jì)了與高危賬號(hào)關(guān)聯(lián)的密碼，數(shù)量排名top 20都是一些常見的弱密碼，列表如下： 

d）賬戶認(rèn)證

賬戶認(rèn)證產(chǎn)業(yè)鏈屬于地下產(chǎn)業(yè)鏈中的服務(wù)型產(chǎn)業(yè)鏈。幾乎所有的互聯(lián)網(wǎng)企業(yè)都會(huì)要求用戶手機(jī)認(rèn)證，有些還要求實(shí)名認(rèn)證、人臉識(shí)別驗(yàn)證，配合技術(shù)或人工審核。這必然給各個(gè)地下產(chǎn)業(yè)鏈都帶來了障礙，賬戶認(rèn)證產(chǎn)業(yè)鏈自然就應(yīng)運(yùn)而生了。

手機(jī)接碼、聽碼

短信驗(yàn)證是建立在手機(jī)和手機(jī)號(hào)成本上的真人驗(yàn)證，被廣泛的應(yīng)用于注冊(cè)等場(chǎng)景。如上述黑卡產(chǎn)業(yè)鏈的介紹，黑產(chǎn)的對(duì)抗方案并不依賴于手機(jī)和辦卡成本，而是接碼平臺(tái)，黑產(chǎn)從業(yè)者從該類平臺(tái)接收一個(gè)驗(yàn)證碼需要支付1-3毛錢。

接碼平臺(tái)是負(fù)責(zé)連接卡商和羊毛黨、號(hào)商等有手機(jī)驗(yàn)證碼需求的群體，提供軟件支持、業(yè)務(wù)結(jié)算等平臺(tái)服務(wù)，通過業(yè)務(wù)分成獲利。一般會(huì)提供給使用者客戶端、API、有些還會(huì)提供手機(jī)客戶端。手機(jī)客戶端用以支持各種手機(jī)業(yè)務(wù)。而API能夠?qū)拥阶詣?dòng)化工具、腳本中，實(shí)現(xiàn)批量注冊(cè)。

使用者首先要“收藏”自己要做的項(xiàng)目后才可以收取驗(yàn)證碼，這樣做的好處是避免手機(jī)號(hào)在相同注冊(cè)場(chǎng)景的重復(fù)使用，同時(shí)也便于應(yīng)對(duì)新形式的對(duì)抗，比如，整個(gè)注冊(cè)過程可能需要接收多次驗(yàn)證碼，并發(fā)送一次驗(yàn)證碼。平臺(tái)會(huì)將收發(fā)集成一個(gè)流程，供使用者批量化操作。

有些廠商選擇了語音驗(yàn)證碼，而接碼平臺(tái)也產(chǎn)生了相應(yīng)收取語音驗(yàn)證碼的服務(wù)，同時(shí)也產(chǎn)生了“聽碼”網(wǎng)賺。接碼平臺(tái)很多，活躍的有數(shù)十家，比較知名的接碼平臺(tái)有：愛樂贊、玉米（現(xiàn)菜眾享）、Thewolf、星辰等，其中Thewolf和星辰可以接語音驗(yàn)證碼。

2016年11月當(dāng)時(shí)最大的平臺(tái)愛碼被警方查處，隨后很多平臺(tái)轉(zhuǎn)入地下。如愛樂贊因?yàn)榉浅７€(wěn)定，卡商眾多，是最受黑產(chǎn)歡迎的接碼平臺(tái)之一?，F(xiàn)已不支持在線注冊(cè)，在有老客戶介紹情況下，聯(lián)系客服充值1000元才可以開新賬戶，另一種解決方式是與別人共用一個(gè)賬號(hào)，且每次充值不能低于5元，否則會(huì)被封號(hào)。

打碼

驗(yàn)證碼是風(fēng)控最廣泛的一種部署方案。普通廠商會(huì)直接接入，有后臺(tái)分析的廠商會(huì)在后臺(tái)審計(jì)異常時(shí)觸發(fā)驗(yàn)證碼以不影響普通用戶體驗(yàn)。而在黑產(chǎn)中，撞庫、注冊(cè)等都需要進(jìn)行大量驗(yàn)證碼識(shí)別。所以帶動(dòng)了另一個(gè)服務(wù)產(chǎn)業(yè)鏈——打碼平臺(tái)。

作為一種最簡(jiǎn)單、應(yīng)用最廣泛的圖靈測(cè)試方案，大量公司和團(tuán)隊(duì)不斷嘗試自動(dòng)化破解，以至于驗(yàn)證碼升級(jí)到了人類也需要多次才能識(shí)別的境地。國內(nèi)的黑產(chǎn)，依靠低廉的勞動(dòng)力解決了問題。他們對(duì)無法技術(shù)解決的驗(yàn)證碼使用率暴力的方式——人工打碼進(jìn)行破解。這種方式廣泛傳播到了大量第三世界國家，導(dǎo)致全球有近百萬人以此為生。打碼工人平均每碼收入1-2分錢，熟練工每分鐘可以打碼20個(gè)左右，每小時(shí)收入10-15元。

隨著技術(shù)的發(fā)展，黑產(chǎn)也與時(shí)俱進(jìn)，逐漸產(chǎn)生了使用AI打碼的平臺(tái)。如警方在17年打擊的“快啊答題”平臺(tái)，使用了伯克利大學(xué)的數(shù)據(jù)模型，引入大量驗(yàn)證碼數(shù)據(jù)對(duì)識(shí)別系統(tǒng)訓(xùn)練，將機(jī)器識(shí)別驗(yàn)證碼的能力提高了2000倍，價(jià)格降低到了每千次15-20元。為撞庫等需要驗(yàn)證的業(yè)務(wù)提供了極大的便利。

身份證認(rèn)證及過臉

人臉識(shí)別技術(shù)發(fā)展逐漸成熟，“刷臉”在近兩年成為新時(shí)期生物識(shí)別技術(shù)應(yīng)用的主要場(chǎng)景。進(jìn)入2017年后，在通關(guān)、金融、電信、公證等很多領(lǐng)域都需要對(duì)人和證件進(jìn)行一致性的驗(yàn)證。2016年6月國家網(wǎng)信辦發(fā)布《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》，明確要求移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序按照“后臺(tái)實(shí)名、前臺(tái)自愿”的原則，對(duì)注冊(cè)用戶進(jìn)行基于移動(dòng)電話號(hào)碼等真實(shí)身份信息認(rèn)證。

互聯(lián)網(wǎng)廠商面對(duì)法規(guī)以及某些業(yè)務(wù)上的需求，紛紛推出賬號(hào)強(qiáng)制實(shí)名認(rèn)證，并將人臉認(rèn)證環(huán)節(jié)放到App中完成。實(shí)名讓互聯(lián)網(wǎng)時(shí)代更加規(guī)范的同時(shí)，也給由于某些原因無法實(shí)名或者需要大量實(shí)名賬號(hào)完成黑灰色業(yè)務(wù)的人群造成了障礙，于是“過臉產(chǎn)業(yè)”應(yīng)運(yùn)而生，為別人批量完成認(rèn)證獲取利益。

廠商認(rèn)證時(shí)經(jīng)常會(huì)要求用戶拍攝身份證正反面照片及手持身份證照片等。黑產(chǎn)獲取此類身份證“料”的方式有但不限于以下幾種：

· 收料人偏遠(yuǎn)地區(qū)收集：他們會(huì)到偏遠(yuǎn)地區(qū)以幾十元的價(jià)格大量購買拍攝一整套的照片，沒有網(wǎng)絡(luò)安全意思的民眾很多為了一點(diǎn)的利益愿意配合。

· 有些收料人甚至?xí)侔缟鐓^(qū)工作人員等在社區(qū)中進(jìn)行收集，相對(duì)前一種，幾乎沒有成本。

· 還有一種純粹通過網(wǎng)絡(luò)收集他人泄露出的照片。

收集后會(huì)以5-10元的價(jià)格賣給下一級(jí)使用者。對(duì)于需要過人臉認(rèn)證的場(chǎng)景，從業(yè)者會(huì)利用PS等工具處理好一張帶背景的人臉圖，再利用Crazy Talk生成動(dòng)態(tài)視頻的軟件，錄制“眨眼”、“搖頭”、“說話”等動(dòng)作，完成后將攝像頭對(duì)準(zhǔn)視頻，完成認(rèn)證，過臉服務(wù)收費(fèi)10元到100元不等。

過臉產(chǎn)業(yè)最開始被用在網(wǎng)絡(luò)借貸薅羊毛上，如今已經(jīng)廣泛使用在各種實(shí)名認(rèn)證的業(yè)務(wù)上。今日頭條頭條號(hào)、58同城、移動(dòng)“任我行”卡、騰訊大王卡等都是其盈利的途徑。

賬號(hào)認(rèn)證增加難度和用戶體驗(yàn)優(yōu)化之間找到平衡點(diǎn)，對(duì)各個(gè)廠商來說都是不小的難點(diǎn)。在蘋果36事件中，就是為了提升用戶體驗(yàn)給羊毛黨留下了可乘之機(jī)。蘋果若能對(duì)篩選出的惡意用戶提高認(rèn)證成本，就可以找到平衡點(diǎn)。而做到這點(diǎn)需要對(duì)用戶行為和惡意行為進(jìn)行分析。用戶行為廠商可以進(jìn)行記錄，惡意行為需要情報(bào)的配合，包括惡意用戶的行動(dòng)模式、流程、最終目的等。

2、下游變現(xiàn)細(xì)分產(chǎn)業(yè)

a）流量欺詐

流量欺詐已經(jīng)發(fā)展成了成熟的產(chǎn)業(yè)鏈，刷量可通過人為的操作提高網(wǎng)頁訪問量、視頻播放量、廣告點(diǎn)擊量、搜索引擎搜索量等等。市場(chǎng)充斥著大量刷量工具和服務(wù)，幾元就可以買到數(shù)千IP的訪問?；蚴鞘褂么罅看鞩P刷流量，或是基于P2P互刷原理（即掛機(jī)訪問別人的網(wǎng)站，得到點(diǎn)數(shù)后可以用來發(fā)布任務(wù)，為自己的網(wǎng)站刷量），刷量可以高度模擬真實(shí)用戶的行為軌跡，使得視頻網(wǎng)站、直播平臺(tái)、廣告聯(lián)盟、搜索引擎、電商等甲方難以有效加以區(qū)分。獵人君通過分析在2017年捕獲的流量刷量數(shù)據(jù)，得出以下流量刷量黑灰產(chǎn)業(yè)中目標(biāo)廠商的top 10：

刷量行為主要集中在以下幾個(gè)場(chǎng)景

（1）刷搜索引擎關(guān)鍵詞排名

搜索引擎排名對(duì)網(wǎng)站的流量影響巨大。市場(chǎng)上有提供很多提高關(guān)鍵詞排名的服務(wù)，原理是利用大量IP在搜索引擎搜索指定關(guān)鍵詞，然后到指定網(wǎng)站，點(diǎn)擊進(jìn)入，甚至進(jìn)一步模仿用戶瀏覽、點(diǎn)擊，欺騙搜索引擎，使其認(rèn)為該站與該關(guān)鍵詞關(guān)聯(lián)度很高。百度，作為國內(nèi)最大的流量出入口，榜首位置實(shí)至名歸。針對(duì)百度的流量刷量類型有多種，主要類型包括刷搜索流量和點(diǎn)擊百度網(wǎng)盟廣告。2017年底，百度推出“驚雷算法”，旨在打擊以作弊的方式提升網(wǎng)站搜索排序的行為，究竟效果如何，2018年我們拭目以待。Top 10榜單中還出現(xiàn)了360搜索和中國搜索，刷搜索流量在整個(gè)流量刷量產(chǎn)業(yè)中的比重可見一斑。

（2）刷視頻播放量

另一個(gè)流量刷量產(chǎn)業(yè)的大頭是刷視頻播放量，目標(biāo)廠商包括榜單中的優(yōu)酷、搜狐、龍珠視頻/直播、愛奇藝、騰訊等，以及不在榜單中的觸手直播、風(fēng)行網(wǎng)等。很多視頻有夸張的播放量，點(diǎn)贊和回復(fù)卻寥寥無幾。視頻網(wǎng)站依據(jù)視頻人氣付給視頻作者酬勞，虛假的播放量可直接導(dǎo)致視頻網(wǎng)站蒙受金錢上的損失。對(duì)于用戶來說，人氣很高的熱門視頻，內(nèi)容質(zhì)量卻名不副實(shí)，用戶體驗(yàn)下降。

（3）刷廣告展示量和點(diǎn)擊量

通常告主會(huì)和廣告聯(lián)盟或站長合作，進(jìn)行推廣，按照CPM、CPC的方式結(jié)算廣告費(fèi)用給站長。一些無良的站長會(huì)使用軟件或者購買服務(wù)惡意刷CPM、CPC，獲取不正當(dāng)利益。廣告聯(lián)盟存在一些廣告反欺詐機(jī)制，刷量有可能面臨封號(hào)，但依舊有很多人通過刷量技巧和網(wǎng)站數(shù)量來大規(guī)模獲利。

（4）電商和網(wǎng)站訪問量

此外，刷頁面的訪問量，包括刷社交站點(diǎn)的內(nèi)容曝光量和電商商品瀏覽量，也是流量刷量產(chǎn)業(yè)中相當(dāng)活躍的一個(gè)分支，比如新浪博客的訪問量，以及淘寶和天貓商品的瀏覽量等?？偠灾?dāng)今的互聯(lián)網(wǎng)世界中，充滿了障眼法，眼見不一定為實(shí)，所謂的“人氣排名”，所謂的“熱門列表”，不可完全相信。

 b）數(shù)據(jù)爬取采集

爬蟲就是收集信息，“爬蟲寫的好，擁有整個(gè)互聯(lián)網(wǎng)的數(shù)據(jù)不是夢(mèng)”。數(shù)據(jù)分析本身并沒有善惡標(biāo)簽，方法和目的卻可以將之定性。黑灰產(chǎn)如今規(guī)模龐大，分支眾多，從獵人君觀察到的攻擊流量來看，黑灰產(chǎn)從業(yè)者的需求比較分散，快遞、媒體、電商、賬號(hào)有效性等等都是攻擊者的目標(biāo)。黑灰產(chǎn)從業(yè)者做爬蟲的目的多種多樣，比如：

· 用作產(chǎn)品化上游的數(shù)據(jù)支撐，比如某些針對(duì)電商的秒殺、搶購軟件。

· 用作分析競(jìng)爭(zhēng)對(duì)手的產(chǎn)品和業(yè)務(wù)策略，比如爬取競(jìng)爭(zhēng)對(duì)手的產(chǎn)品信息和用戶論壇。

· 爬取競(jìng)爭(zhēng)對(duì)手的用戶數(shù)據(jù)，尤其是有效的手機(jī)號(hào)或郵箱格式的用戶名，之后可用于定向的推廣營銷。

· 爬取有效的用戶名，可用于生成用戶名字典，實(shí)施撞庫攻擊。

· 爬取個(gè)人信息，惡意利用，甚至實(shí)施詐騙。

以下是獵人君統(tǒng)計(jì)的2017年較為熱門的一些爬蟲攻擊目標(biāo)和接口：

 

c）薅羊毛

薅羊毛，簡(jiǎn)單理解就是，以不正當(dāng)?shù)姆绞将@取互聯(lián)網(wǎng)上的各種福利，如新用戶注冊(cè)紅包。這些人不以“利小而不為”，只要是看到福利，能薅則薅，使得互聯(lián)網(wǎng)公司的推廣經(jīng)費(fèi)中很大一筆部分都打了水漂。薅羊毛入門門檻極低，如今，薅羊毛規(guī)模之大，足以稱之為一個(gè)行業(yè)。薅羊毛行業(yè)緊緊依附互聯(lián)網(wǎng)行業(yè)，與互聯(lián)網(wǎng)行業(yè)的以等同的速度發(fā)展。2017年，薅羊毛活動(dòng)如火如荼，主要針對(duì)各類金融平臺(tái)、電商平臺(tái)以及O2O平臺(tái)。

威脅獵人總結(jié)了一份2017羊毛熱詞云圖，如下所示：

詞云圖的中央，是大大的兩個(gè)字“會(huì)員”，各類會(huì)員，包括低價(jià)會(huì)員甚至是免費(fèi)會(huì)員，深得眾羊毛黨的喜愛。其他福利，比如優(yōu)惠券、紅包、商品秒殺、激活碼、各類低價(jià)QQ鉆等，也有較高的詞頻。認(rèn)領(lǐng)福利需要賬號(hào)，賬號(hào)相關(guān)的關(guān)鍵詞，比如注冊(cè)、老號(hào)、白號(hào)、小號(hào)等，也是榜上有名。既然有賬號(hào)，就有連帶的賬號(hào)實(shí)名業(yè)務(wù)，比如認(rèn)證、綁定、實(shí)名等。另外，不出意外的是，“騙子”的詞頻相當(dāng)高，黑灰產(chǎn)市場(chǎng)本來就不受法律保護(hù)，“黑吃黑”的現(xiàn)象也較為普遍。 

d）引流

有一些不適合直接變現(xiàn)卻坐擁巨大流量的平臺(tái)，比如短視頻平臺(tái)、社交平臺(tái)等，黑產(chǎn)也不會(huì)放棄，采用引流方式進(jìn)行變現(xiàn)。一個(gè)簡(jiǎn)單的引流變現(xiàn)操作是這樣的：操作者在頭像、昵稱、個(gè)人資料等任何可以被平臺(tái)曝光的地方留下聯(lián)系方式，比如微信號(hào)，再通過發(fā)送誘惑性的內(nèi)容吸引用戶前往添加好友，之后通過詐騙、微商等形式深度變現(xiàn)。

常見的社交平臺(tái)引流方法，是通過軟件批量關(guān)注、發(fā)送私信等方式。一些引流操作可以帶來巨大的流量，個(gè)人無法消耗，會(huì)以“出粉”形式賣出，即買家根據(jù)成功添加微信的“人頭”數(shù)，付給引流者報(bào)酬。

引流人往往會(huì)結(jié)合目標(biāo)用戶的心理以及引流平臺(tái)的特點(diǎn)，進(jìn)行操作，如到美拍的美妝視頻下寫“前100人免費(fèi)送XXX化妝水”，吸引可以通過微商變現(xiàn)的“女粉”。在陌陌等平臺(tái)上通過誘惑性圖片、視頻加上“想交男朋友”等話術(shù)，吸引“色粉”（“男粉”），在微信中騙取紅包或是銷售一些男性用品。

諸如此類，還有“保健粉”（可用于銷售醫(yī)療用品）、“連信粉”（中年有消費(fèi)力的）、“股民粉”、“寶媽粉”、“女大學(xué)生粉”等等。在業(yè)內(nèi)叫做精準(zhǔn)引流，用戶群體越精準(zhǔn)，價(jià)格越高。

而購買者有兩類，一種是真實(shí)微商，另一種就是我們?cè)跂|鵬特飲中提到的，用微信作為變現(xiàn)出口的黑產(chǎn)，如引來色粉后擼包，即詐騙，用微信機(jī)器人偽裝成女性，通過發(fā)送誘惑圖片視頻的方式索要紅包。

這種方式只能騙一次，所以他們需要引流人給他們?cè)丛床粩嗟姆?，稱為“火車站流量”，而微信被舉報(bào)后賬號(hào)就報(bào)銷了，所以他們會(huì)向號(hào)商購買賬號(hào)，做到最后，變現(xiàn)可以用量化標(biāo)準(zhǔn)來計(jì)算收益，微信號(hào)平均多久會(huì)死，誰家引來的粉平均每個(gè)人頭幾塊錢……單從這一條往下看，引流和號(hào)商一直都有市場(chǎng)，會(huì)持續(xù)存在，而他們需要繞過廠商的風(fēng)控，又需要一系列的服務(wù)型產(chǎn)業(yè)鏈，他們都會(huì)持續(xù)的與廠商對(duì)抗，只要利益不消失，對(duì)抗就會(huì)持續(xù)升級(jí)。

三、對(duì)抗升級(jí)

1、主流防控措施和黑產(chǎn)繞過方法

面對(duì)惡意行為，除去IP等規(guī)則判斷，廠商也會(huì)從行為和設(shè)備角度進(jìn)行判斷。如用戶登錄過程的行為，包括停留時(shí)間、鼠標(biāo)焦點(diǎn)、頁面訪問流程、csrf-token等。再通過客戶端上報(bào)機(jī)器信息，識(shí)別判定是否存在偽造設(shè)備。

而面對(duì)對(duì)抗，黑產(chǎn)也在不斷升級(jí)，主要會(huì)從以下幾個(gè)方面進(jìn)行繞過：

· 邊緣業(yè)務(wù)與新業(yè)務(wù)處尋找可利用接口：黑灰產(chǎn)不斷尋找審計(jì)不嚴(yán)格的邊緣業(yè)務(wù)接口，找到后便能繞過所有的防護(hù)措施，如入無人之境。而廠商在這個(gè)維度上很難有行之有效的監(jiān)控，因?yàn)楸緛砭褪潜皇韬龅慕涌?。這里可以從第三方視角進(jìn)行監(jiān)控。威脅獵人對(duì)黑產(chǎn)流量進(jìn)行大數(shù)據(jù)分析，可以是這種伎倆暴露在陽光下，何人何時(shí)攻擊了新的接口，從攻擊出發(fā)分析檢測(cè)，可極大增強(qiáng)廠商對(duì)漏洞的反應(yīng)速度。

· 模仿真實(shí)用戶：規(guī)避后臺(tái)行為分析模型方面，黑卡提交請(qǐng)求時(shí)不再是僅僅填寫User-Agent，而是盡可能全的完成整個(gè)流程，包括：完整的頁面打卡流程代替僅僅向關(guān)鍵接口提交請(qǐng)求；攜帶csrf-token等完備的參數(shù)；頁面停留時(shí)間采用函數(shù)隨機(jī)化；HTTP header嚴(yán)格遵守瀏覽器特征；隨機(jī)化所有其他不重要的參數(shù)等。

2、新風(fēng)控角度的思考

企業(yè)制定安全策略往往存在兩個(gè)問題：

· 是安全策略面向所有客戶，灰產(chǎn)可以不斷嘗試摸清規(guī)律，設(shè)法繞過。

· 對(duì)最新的攻擊方式不了解，導(dǎo)致制定防御策略無法有效打擊黑產(chǎn)，反而容易誤傷正常用戶。

· 面對(duì)后臺(tái)數(shù)據(jù)，只知道自己攔截了多少惡意用戶，不知道有多少?zèng)]有攔截。

因此威脅獵人從行業(yè)出發(fā)，針對(duì)電商、社交、游戲、云計(jì)算等不同行業(yè)的不同特點(diǎn)，逐一分析，還原真實(shí)攻擊場(chǎng)景，以期望解決企業(yè)面臨攻防信息不對(duì)等的問題，為企業(yè)精準(zhǔn)防御灰產(chǎn)攻擊提供數(shù)據(jù)補(bǔ)充、情報(bào)支撐。

a）黑產(chǎn)大數(shù)據(jù)監(jiān)控

基于黑產(chǎn)攻擊的資源建立持續(xù)監(jiān)控機(jī)制，對(duì)已經(jīng)泄露和已經(jīng)在使用的黑IP、黑卡、批量注冊(cè)賬號(hào)、盜取賬號(hào)、惡意流量等進(jìn)行積累和實(shí)時(shí)更新。就能結(jié)合風(fēng)控系統(tǒng)，從多個(gè)維度判斷，有效篩選出可疑用戶。

b）情報(bào)帶來的針對(duì)性對(duì)抗

情報(bào)收集和分析工作可以有效的還原出某個(gè)針對(duì)企業(yè)的攻擊方式，用于針對(duì)性打擊。如通過情報(bào)和數(shù)據(jù)結(jié)合分析，得出攻擊者的目的、攻擊流程和行動(dòng)模式后，廠商就可以多維度的打擊，如A場(chǎng)景檢測(cè)到卻在B場(chǎng)景打擊，讓攻擊者摸不著頭腦，測(cè)試不出套路。在入口處有所遺漏時(shí)，還可以在出口處再次進(jìn)行打擊，如注冊(cè)處或許沒有全部攔截，當(dāng)檢測(cè)到注冊(cè)后立即綁卡搶紅包提現(xiàn)一氣呵成的用戶，標(biāo)記高級(jí)別危險(xiǎn)標(biāo)簽，提高提現(xiàn)門檻等。

結(jié)語

傳統(tǒng)的“你來我往”、“亡羊補(bǔ)牢式”的攻防策略已無法有效與現(xiàn)在的黑灰產(chǎn)勢(shì)力抗衡，作為防守方的甲方應(yīng)當(dāng)將戰(zhàn)場(chǎng)向前推進(jìn)，步步逼近黑灰產(chǎn)大本營，以爭(zhēng)取更多的主動(dòng)權(quán)。情報(bào)收集、風(fēng)險(xiǎn)偵測(cè)和威脅感知將是新型對(duì)抗模型中的三把利刃，能夠幫助甲方做到“知彼知己，百戰(zhàn)不殆”。