信息來源：嘶吼網(wǎng)

概述

2017年，縱觀全球網(wǎng)絡(luò)安全事件，從黑客組織Shadow Brokers泄露NSA的漏洞利用工具EternalBlue，到WannaCry勒索軟件席卷全球，從國內(nèi)58同城簡歷數(shù)據(jù)泄露，到國外信用機(jī)構(gòu)Equifax被黑客入侵，黑灰產(chǎn)業(yè)蓬勃發(fā)展。

只有事件爆發(fā)后才能察覺問題，這使得企業(yè)和用戶的處境十分被動。企業(yè)對于黑產(chǎn)的行為邏輯、行動方式、利益和目的等都十分陌生。威脅獵人將根據(jù)平臺第一線的攻擊數(shù)據(jù)和深入訪問調(diào)查的黑灰產(chǎn)現(xiàn)狀，為大家揭開黑灰產(chǎn)的面紗。

目錄

概述

一、黑灰產(chǎn)事件舉例分析

1、東鵬特飲薅羊毛事件

2、蘋果36

3、滴滴虛假注冊

4、Uber被黑客勒索

5、教材涉黃案

二、產(chǎn)業(yè)鏈分析

1、上游資源提供者

a）黑卡

b）黑IP

c）賬號

d）賬戶認(rèn)證

2、下游變現(xiàn)細(xì)分產(chǎn)業(yè)

a）流量欺詐

b）數(shù)據(jù)爬取采集

c）薅羊毛

d）引流

三、對抗升級

1、主流防控措施和黑產(chǎn)繞過方法

2、新風(fēng)控角度的思考

a）黑產(chǎn)大數(shù)據(jù)監(jiān)控

b）情報(bào)帶來的針對性對抗

結(jié)語

一、黑灰產(chǎn)事件舉例分析

1、東鵬特飲薅羊毛事件

營銷活動大家都不陌生，通過獎勵機(jī)制吸引用戶。不過同時(shí)也會吸引來一群叫做“羊毛黨”的人，他們依靠注冊大量賬號獲取優(yōu)惠券、爭搶紅包、獎品，再通過轉(zhuǎn)賣等方式變現(xiàn)。大促、補(bǔ)貼、營銷活動都是他們眼中一次次“撈錢”的機(jī)會，被叫做線報(bào)。

缺乏業(yè)務(wù)安全意識、補(bǔ)貼又豐厚的活動是最容易被薅的。東鵬特飲是廣東一家飲料公司，傳統(tǒng)促銷活動是瓶蓋抽獎，隨著互聯(lián)網(wǎng)的普及，決定嘗試新的方式——掃二維碼領(lǐng)紅包，想借力互聯(lián)網(wǎng)省去繁瑣的流轉(zhuǎn)，順便收集顧客信息，不料羊毛黨卻給了他們當(dāng)頭一棒。

隨著活動的升溫，迅速出現(xiàn)了大量販賣東鵬特飲CDK（碼子）的人。所謂碼子就是將活動二維碼轉(zhuǎn)換成的鏈接。購買碼子后用微信點(diǎn)擊便可以領(lǐng)取紅包。渠道商和羊毛黨手中的微信賬號有限，但碼卻很多，他們以略低于最低額度紅包的價(jià)格售賣，購買者也是穩(wěn)賺不賠。

而購買CDK的是普通用戶嗎，只能說比例太少，普通用戶哪有渠道知道CDK的存在，大多是手中擁有很多微信賬戶的其他灰產(chǎn)從業(yè)人。他們平時(shí)的業(yè)務(wù)是用微信號加大量好友，再通過詐騙、微商等形式變現(xiàn)。東鵬特飲CDK只是順便的行為之一罷了。

總之在利益的促使下，迅速有人與廢品回收站核心節(jié)點(diǎn)合作，低價(jià)大量收購瓶蓋，提取二維碼信息，市場上稱為“廢品碼”，與之對應(yīng)的是“必中碼”，是打通關(guān)系后從生產(chǎn)瓶蓋廠商、內(nèi)部人員等處購買的，將二維碼一鍵生成鏈接，轉(zhuǎn)手賣給渠道商，渠道商再分發(fā)給各級下線，一套流程下來，層層都有利潤，做活動的企業(yè)就成了冤大頭。最終結(jié)果就是東鵬特飲發(fā)現(xiàn)實(shí)際兌換的獎金金額遠(yuǎn)遠(yuǎn)高于預(yù)期，而收獲的只是營銷效果為0的“僵尸用戶”。

不只是東鵬特飲，這類碼子在市場上非常之多，蒙牛優(yōu)益C、蒙牛冰淇淋、百事可樂、紅牛、七喜、小茗、京東二維碼等等，數(shù)不勝數(shù)。當(dāng)活動發(fā)展到一定規(guī)模，下游還會有人以“收學(xué)費(fèi)帶賺錢”的形式大肆傳播，整個(gè)過程猶如蝗蟲過境，吃光企業(yè)的活動經(jīng)費(fèi)。

羊毛黨的基本行動方式就是以量取勝，用大量賬號暴力爭搶活動補(bǔ)貼、獎品，如新用戶折扣券，然后轉(zhuǎn)手低價(jià)賣出。事實(shí)上他們只是互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈的變現(xiàn)末端之一，有些直接稱其為搬磚人，因其技術(shù)要求低，純粹是體力活。

他們的賬號來源、行動模式都值得我們注意。比如瓜分新用戶禮券的注冊手機(jī)號從何而來？答案是手機(jī)黑卡。威脅獵人收集維護(hù)了海量數(shù)據(jù)的黑卡庫，在下文產(chǎn)業(yè)鏈分析中會做出詳細(xì)介紹。除去手機(jī)號，羊毛黨作惡需要通過平臺的IP、設(shè)備等檢測，這些在黑產(chǎn)中都有著平臺化、鏈條化的產(chǎn)業(yè)，羊毛黨僅僅是它們的下游之一。詳細(xì)產(chǎn)業(yè)鏈分析請參考上游資源提供者模塊。

2、蘋果36

同樣遭遇薅羊毛的還有蘋果。用戶在iOS上消費(fèi)后，蘋果公司會按照比例與app服務(wù)提供方進(jìn)行分賬，以季度結(jié)算。結(jié)算時(shí)，大量商戶發(fā)現(xiàn)蘋果的分成和實(shí)際銷售金額相差甚遠(yuǎn)。在查看之下，發(fā)現(xiàn)了真實(shí)原因：被薅。

一些賬戶進(jìn)行了6元和30元的小額消費(fèi)后立即消失了，存在批量痕跡。原來蘋果為了提升用戶體驗(yàn)，設(shè)置了40元以下小額充值可以不驗(yàn)證，先派發(fā)商品的策略。對黑產(chǎn)來說，此舉意味著每個(gè)小號36元的利潤，立刻展開了行動。

他們會首先通過腳本批量注冊大量郵箱賬號。國外一些郵箱注冊不需要提供手機(jī)號，這一步操作幾乎是“無成本”的。完成后，會利用軟件，批量生成Apple ID，再批量激活。大部分廠商會在IP短時(shí)間注冊量上進(jìn)行判斷，對黑產(chǎn)來說這一步的成本就是更換IP的成本。對此威脅獵人會在下述產(chǎn)業(yè)鏈部分詳細(xì)闡述黑產(chǎn)逃過IP檢測的方法。

消費(fèi)需要綁定銀行卡，對于大量的銀行卡需求，黑產(chǎn)的解決方案是家庭共享和注冊虛擬銀行卡。設(shè)置家庭共享后，每個(gè)賬號可以有8個(gè)附屬賬號共享同一張銀行卡，而這張銀行卡是一張?zhí)摂M卡，當(dāng)黑產(chǎn)持有一張銀行卡后，可以線上向開卡行申請?zhí)摂M銀行卡，卡號會和原卡不同，但都是屬于同一個(gè)賬戶。

當(dāng)蘋果發(fā)現(xiàn)盜刷行為會對該賬號封號，當(dāng)多個(gè)附屬賬號被封后，蘋果會將主賬號與其綁定的銀行卡列入黑名單，這時(shí)，黑產(chǎn)會將虛擬卡注銷，重新申請，完全不影響繼續(xù)使用。蘋果也會對設(shè)備進(jìn)行檢測，這時(shí)黑產(chǎn)會結(jié)合改機(jī)軟件，在被鎖機(jī)前刷新設(shè)備指紋，輕松解決。

薅羊毛后，黑產(chǎn)就會利用低價(jià)優(yōu)勢，通過各種渠道銷售虛擬商品進(jìn)行變現(xiàn)。游戲和版權(quán)行業(yè)是受害的重災(zāi)區(qū)。

針對36技術(shù)，蘋果進(jìn)行了策略調(diào)整，新注冊用戶限制使用先派發(fā)后收款的模式。然而此舉對黑產(chǎn)來說只是提高了一點(diǎn)成本，還在接受范圍中。造成的影響是黑產(chǎn)對老號的需求大幅增加，等待著蘋果的問題將是盜號、撞庫、養(yǎng)號等等。如上述變現(xiàn)環(huán)節(jié)，因?yàn)槌渲迪拗?，會索要用戶（購買黑灰產(chǎn)手中虛擬商品的人）的賬號和密碼，這個(gè)賬戶就可以“回收” 投入下一輪的利用。賬號相關(guān)的產(chǎn)業(yè)鏈詳細(xì)闡述可參考下文賬號模塊。

3、滴滴虛假注冊

按照相關(guān)規(guī)定，網(wǎng)約車平臺對注冊司機(jī)需要進(jìn)行相關(guān)考核審查，如有一定的駕駛年齡、北京要求“京人京車”等。很多不符合規(guī)定的人想完成注冊，就會利用一種“代注冊”的黑產(chǎn)業(yè)務(wù)。

2017年9月，滴滴向廣東省公安廳網(wǎng)警總隊(duì)舉報(bào)，發(fā)現(xiàn)發(fā)現(xiàn)幾十萬賬戶存在虛假注冊、人車不符的問題。經(jīng)查，發(fā)現(xiàn)了背后黑產(chǎn)大肆的牟利行為。駕齡不符、外地車不派單、車輛超齡都可以拿錢“解決”。

首先黑產(chǎn)信息源通過行業(yè)內(nèi)鬼等，查到真實(shí)符合規(guī)定的人車信息。一級中間商從信息源購買車輛人員信息。然后加價(jià)轉(zhuǎn)賣給二級中間商，二級再加價(jià)轉(zhuǎn)賣給代注冊操作員。代注冊操作人再通過PS等方式“加工信息”，與購買者信息結(jié)合，將分別合規(guī)的信息整合為一整套，完成注冊操作，收費(fèi)300-500元不等。而即使被發(fā)現(xiàn)，滴滴也只能對司機(jī)進(jìn)行封號處理。

有些操作人還會順便薅一把滴滴的羊毛，如利用推薦機(jī)制，滴滴公司規(guī)定，每推薦成功一個(gè)司機(jī)，就能獲得218元沖鋒獎，和新司機(jī)前8個(gè)訂單30%的流水。不難想象在各家網(wǎng)約車競爭期，活動不計(jì)成本，都只想著在大戰(zhàn)中存活的時(shí)候，代注冊一伙能夠獲得多么巨大的利潤。

事實(shí)上，在滴滴快的大戰(zhàn)時(shí)，虛假司機(jī)賬戶就是主要是用來刷單，結(jié)合外掛牟利的。當(dāng)網(wǎng)約車合并，國家監(jiān)管變嚴(yán)后，代注冊團(tuán)伙轉(zhuǎn)而向不符合規(guī)定的人售賣服務(wù)，部分團(tuán)伙還會以出售“注冊教程”的方式獲取額外利潤，這種教學(xué)收費(fèi)模式往往是在本身利益降低時(shí)會產(chǎn)生的，當(dāng)利益巨大時(shí)，掌握方法的人只會默默賺錢。

這一系列牟利行為不只是對滴滴造成了傷害，也會對普通用戶造成傷害。如滴滴外掛會通過修改定位等方式實(shí)現(xiàn)“挑單、搶單”。而滴滴不得不將距離最優(yōu)算法，改成幾公里內(nèi)隨機(jī)派單，而用戶只能忍受明明看到身邊有車，卻需要在寒風(fēng)中等待三公里外的一輛車。

更令我們警醒的是，我們的個(gè)人信息，竟然是如此容易可以獲得的。事實(shí)上，黑產(chǎn)的社工庫也確實(shí)在不斷完善，數(shù)據(jù)量越來越多，精準(zhǔn)度越來越高，被廣泛的用在撞庫、詐騙等處，讓人膽寒。滴滴這樣的認(rèn)證較為復(fù)雜，被應(yīng)用更普遍的圖形驗(yàn)證碼、身份證認(rèn)證、面部識別認(rèn)證都有著發(fā)展穩(wěn)定的服務(wù)產(chǎn)業(yè)鏈，將在下文賬戶認(rèn)證部分作出介紹。

4、Uber被黑客勒索

Uber在去年遭遇了大規(guī)模的數(shù)據(jù)泄露，包括5000萬用戶的姓名、郵箱、電話。和700萬司機(jī)的個(gè)人信息及60萬美國司機(jī)駕駛證號碼。Uber稱信用卡等信息數(shù)據(jù)并沒有泄露。5700萬數(shù)據(jù)，與雅虎、美國信用機(jī)構(gòu)Enquifax泄露規(guī)模相比，本不值一提，在黑產(chǎn)中也不算驚天的數(shù)據(jù)。但Uber的做法引起了大家的關(guān)注——向黑客支付贖金。

當(dāng)時(shí)的CSO和助理，以支付10萬美金的方式試圖隱瞞此事，避免Uber數(shù)據(jù)在黑市流通。事后兩人遭到了開除，CEO迫辭職，Uber最終聲明并沒有證據(jù)表示此次事件的數(shù)據(jù)被黑客利用，并將為信息泄露的司機(jī)提供免費(fèi)的信息保護(hù)監(jiān)控服務(wù)。

黑客獲取數(shù)據(jù)的方式令人好奇。事實(shí)上他們是從Uber工程師的私人GitHub庫，獲得了登錄憑證，進(jìn)而訪問了Uber用以計(jì)算的亞馬遜云服務(wù)賬戶，在賬戶中發(fā)現(xiàn)了用戶數(shù)據(jù)，隨即進(jìn)行了勒索行為。我們不禁發(fā)現(xiàn)攻擊有時(shí)只需要找到一處漏洞，而防守卻需要全面嚴(yán)密。而除了防守還有另外一個(gè)問題需要我們面對——對已經(jīng)泄露的數(shù)據(jù)該如何行動。Uber隱瞞的做法自然是不可取的。

而面對這種問題一個(gè)暴力而有效的對抗方式是建立比黑產(chǎn)更龐大的泄露數(shù)據(jù)庫，若能在黑產(chǎn)使用這些用戶信息時(shí)判定出是已泄露賬號，直接觸發(fā)風(fēng)控邏輯，便可以進(jìn)行更嚴(yán)格的審核，繞過黑客的防護(hù)手段，對敵人造成無法回避的打擊。而建立這樣的數(shù)據(jù)庫除了需要有效、實(shí)時(shí)的收集補(bǔ)充方案，也需要各大廠商的分享和參與，收集多方資料，構(gòu)建更全面的數(shù)據(jù)源。

5、教材涉黃案

2017年2月，一則“高中教材涉黃”的新聞受到了瘋狂轉(zhuǎn)載，人教版高中語文選修教材中的詩詞網(wǎng)址打開后竟然是黃色網(wǎng)站。實(shí)際上這個(gè)網(wǎng)站是遭到了篡改，實(shí)施者是一家名叫“雷勝科技”的公司。表面上它是一家互聯(lián)網(wǎng)應(yīng)用服務(wù)商，而背后卻隱藏著一條完整的色情誘導(dǎo)詐騙產(chǎn)業(yè)鏈，“教材涉黃”將它拖出了水面。

詐騙團(tuán)伙開發(fā)色情網(wǎng)站和App，通過限制觀看有色視頻的時(shí)間，誘導(dǎo)用戶付費(fèi)獲取完整視頻。但事實(shí)上并沒有所謂的“完整版”，盈利方式就是詐騙用戶。這個(gè)產(chǎn)業(yè)鏈的每一個(gè)環(huán)節(jié)都是經(jīng)過精心規(guī)劃的。

第一環(huán)節(jié)為開發(fā)，技術(shù)門檻極低，詐騙團(tuán)伙能夠以極低的價(jià)格購買到源碼，有經(jīng)驗(yàn)的開發(fā)者也可以在幾天之內(nèi)輕松完成。由于色情內(nèi)容在我國的違法性，App展示的有色內(nèi)容會經(jīng)過精心編輯，能完全規(guī)避“淫穢色情”的法律界定。雷勝科技設(shè)置了研發(fā)、市場、編輯、財(cái)務(wù)和客服部門。編輯部就是負(fù)責(zé)剪輯擦邊球類的有色視頻的，甚至雇有專業(yè)律師審核圖片和視頻。

App上架之后就進(jìn)入了推廣環(huán)節(jié)，團(tuán)伙會通過百度聯(lián)盟、木馬程序、修改網(wǎng)站內(nèi)容鏈接等方式進(jìn)行推廣。雷勝科技就是修改了教育網(wǎng)站的內(nèi)容鏈接被牽引出來的。

之后就到了變現(xiàn)環(huán)節(jié)。詐騙團(tuán)伙會從支付平臺或者渠道商處申請獲得支付接口。申請需要一套完整的公司三證信息（營業(yè)執(zhí)照、稅務(wù)登記證和組織機(jī)構(gòu)代碼證）及銀行卡賬戶，這種在黑市上稱為公司“殼”資料，有專人在收集販賣，注冊電商企業(yè)店、申請支付接口等都會向其購買。針對于設(shè)置了風(fēng)控模型的第三方平臺。詐騙團(tuán)伙會通過準(zhǔn)備多個(gè)支付接口，使用可以短時(shí)間切換接口的方式進(jìn)行繞過。

有些色情引流詐騙App還會在安裝時(shí)獲取權(quán)限（如發(fā)送短信等），之后向特定的SP號碼發(fā)送短信進(jìn)行扣費(fèi)的方式進(jìn)行盈利。這些app也會捆綁其他惡意業(yè)務(wù)，或是竊取用戶隱私信息等，對用戶造成更深的損害。雷勝科技是通過PC端和移動端流量分發(fā)引流，然后通過詐騙變現(xiàn)，而更為常見的方式是利用各大社交、視頻等平臺，引流至微信后變現(xiàn)，在引流模塊我們會給出更詳細(xì)的介紹。

二、產(chǎn)業(yè)鏈分析

1、上游資源提供者

a）黑卡

手機(jī)黑卡，指黑灰產(chǎn)從業(yè)者手中的大量非正常使用的手機(jī)卡。這些黑卡會提供給各個(gè)接碼平臺，用于接收發(fā)送驗(yàn)證碼，進(jìn)而進(jìn)行各種虛假注冊、認(rèn)證業(yè)務(wù)。比如餓了么新用戶有十幾元的首單減免，羊毛黨會從接碼平臺獲取手機(jī)號批量注冊，再通過下游將這些首單優(yōu)惠以一半的價(jià)格賣給需要點(diǎn)外賣的人。注冊成本是支付一毛錢給接碼平臺，收益是下游接單人的幾元到十幾元不等的收購價(jià)。而黑卡就是接碼平臺手機(jī)號的源頭。

被稱為“史上最嚴(yán)”的手機(jī)卡實(shí)名制舉措，確實(shí)在一段時(shí)間內(nèi)打壓了手機(jī)黑卡和接碼市場，提供黑卡和接碼服務(wù)的平臺和個(gè)人一下子銷聲匿跡，但好景不長，僅僅幾個(gè)月后，便出現(xiàn)了強(qiáng)勁的復(fù)蘇態(tài)勢，提供黑卡和接碼服務(wù)的平臺和個(gè)人如雨后春筍般涌現(xiàn)。至今，該市場已經(jīng)極具規(guī)模，并且運(yùn)行穩(wěn)定，給甲方業(yè)務(wù)安全造成巨大壓力。

本著盡可能全面、精準(zhǔn)的原則，獵人君從多個(gè)途徑不遺余力的收集黑卡信息，從市場現(xiàn)存的黑卡，到曾經(jīng)有惡意行為的黑卡，再到市場新增的黑卡，構(gòu)建了龐大的黑卡數(shù)據(jù)庫。對每個(gè)入庫的黑卡號碼經(jīng)行多維度地評估，標(biāo)注風(fēng)險(xiǎn)等級，可以有效幫助甲方完善基于手機(jī)號的風(fēng)控策略。根據(jù)威脅獵人反向追蹤調(diào)查，黑卡背后的產(chǎn)業(yè)鏈大概如下圖所示：

卡源卡商

卡源卡商指通過各種渠道（如開皮包公司、與代理商打通系等）從運(yùn)營商或者代理商那里辦理大量手機(jī)卡，通過加價(jià)轉(zhuǎn)賣下游卡商賺取利潤的貨源持有者?？ㄔ粗饕校?

· 物聯(lián)網(wǎng)卡：主要用于工業(yè)、交通、物流等領(lǐng)域的手機(jī)卡。物聯(lián)網(wǎng)卡無須實(shí)名認(rèn)證，需要以企業(yè)名義辦理，提供營業(yè)執(zhí)照即可，營業(yè)執(zhí)照可以以千元左右的價(jià)格買到。有些運(yùn)營商對營業(yè)執(zhí)照檢測力度很低，甚至?xí)榛耶a(chǎn)定制專用的物聯(lián)網(wǎng)卡套餐。這種卡多為0月租或者1月租，根據(jù)能否接聽電話，分為短信卡（也稱注冊卡）和語音卡。

· 實(shí)名卡：這種多為聯(lián)絡(luò)運(yùn)營商后，用網(wǎng)上收集的大量身份信息批量認(rèn)證得到的。

· 海外卡：實(shí)名制實(shí)施后，卡商受到一定限制。從16年下半年開始，大量緬甸、越南、印尼等東南亞卡開始進(jìn)入國內(nèi)手機(jī)黑卡產(chǎn)業(yè)，這些卡支持GSM網(wǎng)絡(luò)，國內(nèi)可以直接使用，無需實(shí)名認(rèn)證，基本是0月租，收短信免費(fèi)，非常切合黑產(chǎn)利益。

如上述東鵬特飲提到的薅羊毛事件中，我們只看到有人大量售賣賬號，其實(shí)背后有個(gè)非常成熟的產(chǎn)業(yè)鏈，各級分工明確。了解了他們的經(jīng)營方式后，我們再進(jìn)一步分析黑卡數(shù)據(jù)可以發(fā)現(xiàn)運(yùn)營商的比例甚至可以定位到犯罪團(tuán)伙經(jīng)常活動的城市。

手機(jī)黑卡運(yùn)營商對比

下圖展示了傳統(tǒng)運(yùn)營商和虛擬運(yùn)營商黑卡的數(shù)量對比。來自傳統(tǒng)運(yùn)營商的黑卡數(shù)量要遠(yuǎn)多于來自虛擬運(yùn)營商的黑卡數(shù)量，畢竟傳統(tǒng)運(yùn)營商和虛擬運(yùn)營商的手機(jī)卡總量不在同一個(gè)數(shù)量級上。2017年8月份的新聞數(shù)據(jù)表明，全國虛擬運(yùn)營商用戶占移動用戶總數(shù)的3.6%，3.6%的用戶占比卻貢獻(xiàn)了20.17%的黑卡數(shù)量占比。相對傳統(tǒng)運(yùn)營商而言，虛擬運(yùn)營商的手機(jī)卡中黑卡占比較高。

以下兩張圖展示了在非虛擬號段上和虛擬號段上三大運(yùn)營商的黑卡數(shù)量對比。在非虛擬號段上，將近一半的手機(jī)黑卡來自于中國移動，約三分之一來自于中國聯(lián)通，中國電信最少。在虛擬號段上，絕大多數(shù)是中國聯(lián)通的手機(jī)黑卡，中國移動次之，中國電信依舊最少。

 

手機(jī)黑卡歸屬地分布

依據(jù)歸屬地統(tǒng)計(jì)的數(shù)據(jù)，廣東省十分搶眼，在黑卡歸屬地省份排名中遙遙領(lǐng)先，省內(nèi)的廣州、深圳、東莞和佛山也霸占了黑卡歸屬地城市排名中前五名中的四名。

 

貓池廠家

貓池廠家負(fù)責(zé)生產(chǎn)貓池設(shè)備，并將設(shè)備賣給卡商使用。貓池是一種插上手機(jī)卡就可以模擬手機(jī)進(jìn)行收發(fā)短信、接打電話、上網(wǎng)等功能的設(shè)備，在正常行業(yè)也有廣泛應(yīng)用，如郵電局、銀行、證券商、各類交易所、各類信息呼叫中心等。貓池設(shè)備可以實(shí)現(xiàn)對多張手機(jī)卡的管理。

卡商

卡商從卡源卡商那里大量購買手機(jī)黑卡，將黑卡插入貓池設(shè)備并接入卡商平臺，然后通過卡商平臺接各種驗(yàn)證碼業(yè)務(wù)，根據(jù)業(yè)務(wù)類型的不同，每條驗(yàn)證碼可以獲得0.1元-3元不等的收入。

黑卡數(shù)據(jù)庫能夠結(jié)合企業(yè)自身的后臺數(shù)據(jù)，作為補(bǔ)充和參考，為企業(yè)篩選惡意用戶提供賬號維度上的支持。

b）黑IP

IP地址作為互聯(lián)網(wǎng)的緊缺資源、一直是廠商最重要的風(fēng)控方案之一。面對攻擊，最主流防控措施之一就是封IP，企業(yè)根據(jù)黑IP庫、同IP發(fā)起請求次數(shù)、密碼錯誤率、是否有惡意行為等決定一段時(shí)間內(nèi)禁止某IP的請求。

而面對暴利，黑產(chǎn)不會輕易放棄，對待廠商的對抗，黑產(chǎn)積極主動尋求解決方案，甚至做到了平臺化、鏈條化的反對抗。根據(jù)威脅獵人的長期監(jiān)控，黑產(chǎn)主要有以下幾種獲取IP資源的方式：

· 掃描代理：通過全網(wǎng)掃描常見的代理服務(wù)端口，收集可用的代理IP地址，自行維護(hù)管理，成本高、效率低。

· 付費(fèi)代理：代理商通過掃描、搭建、交換的方式，提供全球的代理服務(wù)器，有效降低自行收集的產(chǎn)品。代理IP平臺非常之多，均可以提供API接口供黑產(chǎn)調(diào)用。

· 付費(fèi)VPN：與代理相似，使用技術(shù)不同。

· 撥號VPS：這類VPS是一臺虛擬服務(wù)器，通過ADSL撥號上網(wǎng)，每撥號一次換一次IP，使用者相當(dāng)于擁有了整個(gè)城市的大量可用IP。更有相關(guān)供應(yīng)商做到了打通全國多省市的撥號方式，俗稱混撥。也就實(shí)現(xiàn)了在一臺VPS中使用一個(gè)賬號快速隨機(jī)切換近百城市的ADSL線路撥入互聯(lián)網(wǎng)。

我們稱這種用于網(wǎng)絡(luò)攻擊的IP為黑IP。威脅獵人通過大量渠道，在2017年采集并整理出全球范圍內(nèi)的黑IP，并做了詳細(xì)分類。

黑IP類型排名

經(jīng)統(tǒng)計(jì)，黑IP top 10類型比例如下。一個(gè)黑IP可能會有多個(gè)標(biāo)簽，整體看來，僵尸網(wǎng)絡(luò)IP、機(jī)器人IP和代理IP的數(shù)量占據(jù)前三名。

黑IP地域分布

分析IP地域來源數(shù)據(jù)，全球黑IP分布圖和top 20的國家如下。全球IPv4總數(shù)約為43億，美國擁有30%以上，這一數(shù)據(jù)與圖片相符，美國的黑IP數(shù)量占比36.39%，遙遙領(lǐng)先其他國家。發(fā)達(dá)國家的黑IP數(shù)量要多于發(fā)展中國國家，可以簡單理解為，發(fā)達(dá)國家擁有更多的互聯(lián)網(wǎng)設(shè)備，也就擁有更多的IP資源，所以黑IP的數(shù)量與互聯(lián)網(wǎng)設(shè)備的數(shù)量成正比。

以下兩張圖片為全球黑IP來源城市top 20和全球黑IP所屬運(yùn)營商top 10。從來源城市數(shù)據(jù)看來，top榜單中大多數(shù)是美國城市，中國城市數(shù)量緊隨其后，其中北京更是占據(jù)了榜首。上榜的城市都是經(jīng)濟(jì)較為發(fā)達(dá)的城市。從所屬運(yùn)營商數(shù)據(jù)看來，top 10中一半是美國的運(yùn)營商。

c）賬號

批量注冊和養(yǎng)號：

在互聯(lián)網(wǎng)灰產(chǎn)中，無論是行跡匆匆的羊毛黨，還是猥瑣發(fā)育的養(yǎng)號者，都需要大量賬號作為牟利的支撐。因此，注冊環(huán)節(jié)也就成了互聯(lián)網(wǎng)公司和灰產(chǎn)的最前沿戰(zhàn)場。各公司的注冊頁面看似平淡，實(shí)則暗流涌動。

灰產(chǎn)的逐利本性決定他們非常強(qiáng)調(diào)投入產(chǎn)出比。灰產(chǎn)會雇傭開發(fā)人員開發(fā)針對注冊環(huán)節(jié)的自動化攻擊工具。這種注冊軟件大抵有兩類：

· 模擬操作類：通過控件操作瀏覽器元素實(shí)現(xiàn)，真實(shí)加載注冊頁面，模擬用戶操作。

· 協(xié)議破解類：通過HTTPS協(xié)議實(shí)現(xiàn)，破解注冊接口協(xié)議，直接帶參數(shù)調(diào)用注冊接口實(shí)現(xiàn)注冊。

除了批量注冊外，灰產(chǎn)也會根據(jù)平臺特色，使用其他平臺第三方登錄的方式跳轉(zhuǎn)成小號，批量產(chǎn)出，例如有一種微博賬號叫做授權(quán)號，因?yàn)樽粤鞒痰仍?，在微博平臺受到風(fēng)控限制，很難進(jìn)行后續(xù)變現(xiàn)業(yè)務(wù)，就只用作授權(quán)其他平臺賬號，在其他平臺上完成變現(xiàn)。這種授權(quán)號成本低于手機(jī)號注冊，每個(gè)只需要幾分錢。

針對這類賬號，很多廠商會對新注冊賬號進(jìn)行監(jiān)控，于是產(chǎn)生了號商養(yǎng)號的行為，注冊后模仿真實(shí)用戶進(jìn)行一些操作，將號碼從監(jiān)控列表剔除之后再進(jìn)行業(yè)務(wù)。

薅羊毛的新號、刷量的小號都是通過這些方式得到的，但針對蘋果風(fēng)控被灰產(chǎn)需要的老號就需要通過盜號、養(yǎng)號、撞庫獲得了。當(dāng)各個(gè)平臺增加風(fēng)控后，這類老號需求就會出現(xiàn)，如微信滿月號、陌陌半年號等等屬于養(yǎng)號，幾年掃號老號等屬于盜號或撞庫所得。

撞庫

撞庫，即攻擊者通過收集各個(gè)網(wǎng)站的泄露的用戶數(shù)據(jù)等方式，生成用戶名和密碼字典，批量去其他網(wǎng)站登錄，嘗試撞出目標(biāo)網(wǎng)站的可用賬戶密碼。近年來，隨著頻繁出現(xiàn)的數(shù)據(jù)庫泄露事件，撞庫攻擊取代了木馬盜號成為了主流的盜號方式。

下圖為獵人君統(tǒng)計(jì)的2017年撞庫攻擊量走勢圖：

以下是2017年撞庫攻擊者“鐘愛”的一些攻擊目標(biāo)和接口：

 

游戲行業(yè)在地上互聯(lián)網(wǎng)公司也是盈利最為可觀的，在地下自然也聚集了大量相關(guān)從業(yè)人員，擁有眾多的細(xì)分變現(xiàn)產(chǎn)業(yè)鏈。能否直接獲得游戲賬號的撞庫方案自然是受黑客歡迎與關(guān)注的，因此，游戲公司向來是撞庫攻擊的高發(fā)地。國內(nèi)外各大游戲公司在2017年都持續(xù)受到大量的撞庫攻擊。

版權(quán)行業(yè)和社交行業(yè)也是深受其害，隨著正版化的推進(jìn)以及帶寬的增加，許多相關(guān)資源需要付費(fèi)觀看，存在不愿意花高價(jià)購買會員，而愿意用低價(jià)購買一個(gè)賬號使用的人，就會存在這些會員賬號變現(xiàn)的途徑，進(jìn)而這些賬號也就是對黑產(chǎn)有價(jià)值的。

社交行業(yè)也擁有數(shù)量眾多的變現(xiàn)方式，主要的灰產(chǎn)有刷量（點(diǎn)贊、播放量、榜單等）、私信引流、色情社交引流、詐騙等。社交平臺對抗的風(fēng)控策略不斷升級，社交平臺的老賬號也就成了某些圈內(nèi)富有價(jià)值的資源，如某陌交友平臺的老號價(jià)格在30元以上。老號資源意味著封殺率低、生意可持續(xù)。因此，社交賬號也是黑產(chǎn)的重要目標(biāo)。

撞庫數(shù)據(jù)來源

（1）信封號產(chǎn)業(yè)鏈

信封號，是QQ號產(chǎn)業(yè)鏈中的黑話，每一萬個(gè)或者一千個(gè)被盜取的QQ號，稱為一個(gè)信封。信封號產(chǎn)業(yè)鏈就是QQ號盜取、銷贓的產(chǎn)業(yè)鏈。當(dāng)QQ號中的Q幣、游戲虛擬裝備等被清洗一空、壓榨干凈后。就會將大量的賬號密碼販賣給黑客完善社工庫，或者制作密碼字典。由于QQ郵箱在國內(nèi)的市場占有率很高，以及很多用戶習(xí)慣直接用QQ號對應(yīng)的QQ郵箱和密碼作為第三方平臺的賬號。大量QQ號被直接用來進(jìn)行網(wǎng)站撞庫。

（2）網(wǎng)站泄露數(shù)據(jù)庫

網(wǎng)站泄露數(shù)據(jù)庫的標(biāo)志性事件是2011年CSDN 600萬用戶數(shù)據(jù)泄露，引領(lǐng)了當(dāng)年一波數(shù)據(jù)泄露高峰，數(shù)十個(gè)網(wǎng)站的用戶數(shù)據(jù)被公開，大量只在地下流通的數(shù)據(jù)被拋上臺面。平時(shí)不關(guān)注此道的黑客也掌握了足夠的數(shù)據(jù)源切入，某種程度上點(diǎn)燃了撞庫攻擊的熱潮。而且被爆出的數(shù)據(jù)泄露其實(shí)也只是冰山一角，更多的再地下黑市中交易流通。

（3）地下黑市流通

數(shù)據(jù)竊取與交易是地下產(chǎn)業(yè)鏈隱藏最深的部分，也常有一些定制性的交易，不少黑客通過數(shù)據(jù)交易來構(gòu)建龐大的社工庫。黑客間的私下交易，我們無法得知，到底有多少網(wǎng)站數(shù)據(jù)已經(jīng)被竊取也無法客觀的評估。但通過半公開渠道也可管中窺豹，以下是暗網(wǎng)某地下數(shù)據(jù)交易市場的截圖：

攻擊方法和主流防控

通過對海量攻擊行為的監(jiān)控和分析，我們發(fā)現(xiàn)黑客攻擊方法如下：

（1）判斷賬號是否存在

· 注冊接口快速驗(yàn)證：很多網(wǎng)站在填寫注冊信息時(shí)，會通過AJAX對賬戶名可用性做實(shí)時(shí)驗(yàn)證，這個(gè)接口就可以被黑客利用做賬戶存在的篩選。

· 登錄接口返回信息：部分網(wǎng)站賬號密碼錯誤時(shí)，會返回敏感信息暴露賬號存在情況，如返回“賬號不存在”或“密碼錯誤”?，F(xiàn)越來越多的廠商返回“賬號或密碼錯誤”，可以有效避免被利用。

· 找回密碼接口：部分網(wǎng)站，在找回密碼流程中，也會有一次提示信息，也常會被黑客用來驗(yàn)證賬戶存在。

（2）業(yè)務(wù)安全集中管理問題突出

從TH-Karma統(tǒng)計(jì)的數(shù)據(jù)來看，許多網(wǎng)站的主要入口有比較嚴(yán)格的審計(jì)措施，會根據(jù)登錄IP、頻率等觸發(fā)驗(yàn)證碼或者封鎖IP。但當(dāng)公司業(yè)務(wù)增多，安全管理復(fù)雜度大幅增加，不同子站各用一套自己登錄驗(yàn)證。這些沒有接入審計(jì)功能的邊緣業(yè)務(wù)接口就稱為了黑客攻擊的溫床。

（3）攻擊效果

根據(jù)威脅獵人對大量撞庫數(shù)據(jù)的統(tǒng)計(jì)，能夠成功繞過風(fēng)控的攻擊占供攻擊量的83%，撞庫的成功率則在0.4%左右浮動。

對此威脅獵人建立維護(hù)了一個(gè)高危賬號庫。高危賬號指的是已被黑灰產(chǎn)從業(yè)者惡意利用的賬號，大多來自泄露的數(shù)據(jù)庫。對于甲方而言，看到這些賬號要多一份心眼，很有可能背后暗藏著不軌動機(jī)。威脅獵人根據(jù)在2017年高危賬號，做出了一些統(tǒng)計(jì)。

（1）高危郵箱賬號域名排名

Top 20的高危郵箱賬號域名如下：

國內(nèi)郵箱域名占據(jù)60%以上，其中以163.com、qq.com和game.sohu.com為主。國外主流郵箱域名（例如yahoo.com、gmail.com和hotmail.com），以及一些俄羅斯郵箱域名（例如mail.ru和yandex.ru）和德國郵箱域名（例如web.de）也位列top 20之內(nèi)?；究梢钥闯觯瑃op 20的高危郵箱賬號域名的至少滿足以下條件之一：

· 郵箱服務(wù)用戶基數(shù)大；

· 來自于黑灰產(chǎn)活動活躍的地區(qū)。

（2）高危賬號關(guān)聯(lián)密碼排名

此外，獵人君也統(tǒng)計(jì)了與高危賬號關(guān)聯(lián)的密碼，數(shù)量排名top 20都是一些常見的弱密碼，列表如下： 

d）賬戶認(rèn)證

賬戶認(rèn)證產(chǎn)業(yè)鏈屬于地下產(chǎn)業(yè)鏈中的服務(wù)型產(chǎn)業(yè)鏈。幾乎所有的互聯(lián)網(wǎng)企業(yè)都會要求用戶手機(jī)認(rèn)證，有些還要求實(shí)名認(rèn)證、人臉識別驗(yàn)證，配合技術(shù)或人工審核。這必然給各個(gè)地下產(chǎn)業(yè)鏈都帶來了障礙，賬戶認(rèn)證產(chǎn)業(yè)鏈自然就應(yīng)運(yùn)而生了。

手機(jī)接碼、聽碼

短信驗(yàn)證是建立在手機(jī)和手機(jī)號成本上的真人驗(yàn)證，被廣泛的應(yīng)用于注冊等場景。如上述黑卡產(chǎn)業(yè)鏈的介紹，黑產(chǎn)的對抗方案并不依賴于手機(jī)和辦卡成本，而是接碼平臺，黑產(chǎn)從業(yè)者從該類平臺接收一個(gè)驗(yàn)證碼需要支付1-3毛錢。

接碼平臺是負(fù)責(zé)連接卡商和羊毛黨、號商等有手機(jī)驗(yàn)證碼需求的群體，提供軟件支持、業(yè)務(wù)結(jié)算等平臺服務(wù)，通過業(yè)務(wù)分成獲利。一般會提供給使用者客戶端、API、有些還會提供手機(jī)客戶端。手機(jī)客戶端用以支持各種手機(jī)業(yè)務(wù)。而API能夠?qū)拥阶詣踊ぞ?、腳本中，實(shí)現(xiàn)批量注冊。

使用者首先要“收藏”自己要做的項(xiàng)目后才可以收取驗(yàn)證碼，這樣做的好處是避免手機(jī)號在相同注冊場景的重復(fù)使用，同時(shí)也便于應(yīng)對新形式的對抗，比如，整個(gè)注冊過程可能需要接收多次驗(yàn)證碼，并發(fā)送一次驗(yàn)證碼。平臺會將收發(fā)集成一個(gè)流程，供使用者批量化操作。

有些廠商選擇了語音驗(yàn)證碼，而接碼平臺也產(chǎn)生了相應(yīng)收取語音驗(yàn)證碼的服務(wù)，同時(shí)也產(chǎn)生了“聽碼”網(wǎng)賺。接碼平臺很多，活躍的有數(shù)十家，比較知名的接碼平臺有：愛樂贊、玉米（現(xiàn)菜眾享）、Thewolf、星辰等，其中Thewolf和星辰可以接語音驗(yàn)證碼。

2016年11月當(dāng)時(shí)最大的平臺愛碼被警方查處，隨后很多平臺轉(zhuǎn)入地下。如愛樂贊因?yàn)榉浅７€(wěn)定，卡商眾多，是最受黑產(chǎn)歡迎的接碼平臺之一。現(xiàn)已不支持在線注冊，在有老客戶介紹情況下，聯(lián)系客服充值1000元才可以開新賬戶，另一種解決方式是與別人共用一個(gè)賬號，且每次充值不能低于5元，否則會被封號。

打碼

驗(yàn)證碼是風(fēng)控最廣泛的一種部署方案。普通廠商會直接接入，有后臺分析的廠商會在后臺審計(jì)異常時(shí)觸發(fā)驗(yàn)證碼以不影響普通用戶體驗(yàn)。而在黑產(chǎn)中，撞庫、注冊等都需要進(jìn)行大量驗(yàn)證碼識別。所以帶動了另一個(gè)服務(wù)產(chǎn)業(yè)鏈——打碼平臺。

作為一種最簡單、應(yīng)用最廣泛的圖靈測試方案，大量公司和團(tuán)隊(duì)不斷嘗試自動化破解，以至于驗(yàn)證碼升級到了人類也需要多次才能識別的境地。國內(nèi)的黑產(chǎn)，依靠低廉的勞動力解決了問題。他們對無法技術(shù)解決的驗(yàn)證碼使用率暴力的方式——人工打碼進(jìn)行破解。這種方式廣泛傳播到了大量第三世界國家，導(dǎo)致全球有近百萬人以此為生。打碼工人平均每碼收入1-2分錢，熟練工每分鐘可以打碼20個(gè)左右，每小時(shí)收入10-15元。

隨著技術(shù)的發(fā)展，黑產(chǎn)也與時(shí)俱進(jìn)，逐漸產(chǎn)生了使用AI打碼的平臺。如警方在17年打擊的“快啊答題”平臺，使用了伯克利大學(xué)的數(shù)據(jù)模型，引入大量驗(yàn)證碼數(shù)據(jù)對識別系統(tǒng)訓(xùn)練，將機(jī)器識別驗(yàn)證碼的能力提高了2000倍，價(jià)格降低到了每千次15-20元。為撞庫等需要驗(yàn)證的業(yè)務(wù)提供了極大的便利。

身份證認(rèn)證及過臉

人臉識別技術(shù)發(fā)展逐漸成熟，“刷臉”在近兩年成為新時(shí)期生物識別技術(shù)應(yīng)用的主要場景。進(jìn)入2017年后，在通關(guān)、金融、電信、公證等很多領(lǐng)域都需要對人和證件進(jìn)行一致性的驗(yàn)證。2016年6月國家網(wǎng)信辦發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》，明確要求移動互聯(lián)網(wǎng)應(yīng)用程序按照“后臺實(shí)名、前臺自愿”的原則，對注冊用戶進(jìn)行基于移動電話號碼等真實(shí)身份信息認(rèn)證。

互聯(lián)網(wǎng)廠商面對法規(guī)以及某些業(yè)務(wù)上的需求，紛紛推出賬號強(qiáng)制實(shí)名認(rèn)證，并將人臉認(rèn)證環(huán)節(jié)放到App中完成。實(shí)名讓互聯(lián)網(wǎng)時(shí)代更加規(guī)范的同時(shí)，也給由于某些原因無法實(shí)名或者需要大量實(shí)名賬號完成黑灰色業(yè)務(wù)的人群造成了障礙，于是“過臉產(chǎn)業(yè)”應(yīng)運(yùn)而生，為別人批量完成認(rèn)證獲取利益。

廠商認(rèn)證時(shí)經(jīng)常會要求用戶拍攝身份證正反面照片及手持身份證照片等。黑產(chǎn)獲取此類身份證“料”的方式有但不限于以下幾種：

· 收料人偏遠(yuǎn)地區(qū)收集：他們會到偏遠(yuǎn)地區(qū)以幾十元的價(jià)格大量購買拍攝一整套的照片，沒有網(wǎng)絡(luò)安全意思的民眾很多為了一點(diǎn)的利益愿意配合。

· 有些收料人甚至?xí)侔缟鐓^(qū)工作人員等在社區(qū)中進(jìn)行收集，相對前一種，幾乎沒有成本。

· 還有一種純粹通過網(wǎng)絡(luò)收集他人泄露出的照片。

收集后會以5-10元的價(jià)格賣給下一級使用者。對于需要過人臉認(rèn)證的場景，從業(yè)者會利用PS等工具處理好一張帶背景的人臉圖，再利用Crazy Talk生成動態(tài)視頻的軟件，錄制“眨眼”、“搖頭”、“說話”等動作，完成后將攝像頭對準(zhǔn)視頻，完成認(rèn)證，過臉服務(wù)收費(fèi)10元到100元不等。

過臉產(chǎn)業(yè)最開始被用在網(wǎng)絡(luò)借貸薅羊毛上，如今已經(jīng)廣泛使用在各種實(shí)名認(rèn)證的業(yè)務(wù)上。今日頭條頭條號、58同城、移動“任我行”卡、騰訊大王卡等都是其盈利的途徑。

賬號認(rèn)證增加難度和用戶體驗(yàn)優(yōu)化之間找到平衡點(diǎn)，對各個(gè)廠商來說都是不小的難點(diǎn)。在蘋果36事件中，就是為了提升用戶體驗(yàn)給羊毛黨留下了可乘之機(jī)。蘋果若能對篩選出的惡意用戶提高認(rèn)證成本，就可以找到平衡點(diǎn)。而做到這點(diǎn)需要對用戶行為和惡意行為進(jìn)行分析。用戶行為廠商可以進(jìn)行記錄，惡意行為需要情報(bào)的配合，包括惡意用戶的行動模式、流程、最終目的等。

2、下游變現(xiàn)細(xì)分產(chǎn)業(yè)

a）流量欺詐

流量欺詐已經(jīng)發(fā)展成了成熟的產(chǎn)業(yè)鏈，刷量可通過人為的操作提高網(wǎng)頁訪問量、視頻播放量、廣告點(diǎn)擊量、搜索引擎搜索量等等。市場充斥著大量刷量工具和服務(wù)，幾元就可以買到數(shù)千IP的訪問?；蚴鞘褂么罅看鞩P刷流量，或是基于P2P互刷原理（即掛機(jī)訪問別人的網(wǎng)站，得到點(diǎn)數(shù)后可以用來發(fā)布任務(wù)，為自己的網(wǎng)站刷量），刷量可以高度模擬真實(shí)用戶的行為軌跡，使得視頻網(wǎng)站、直播平臺、廣告聯(lián)盟、搜索引擎、電商等甲方難以有效加以區(qū)分。獵人君通過分析在2017年捕獲的流量刷量數(shù)據(jù)，得出以下流量刷量黑灰產(chǎn)業(yè)中目標(biāo)廠商的top 10：

刷量行為主要集中在以下幾個(gè)場景

（1）刷搜索引擎關(guān)鍵詞排名

搜索引擎排名對網(wǎng)站的流量影響巨大。市場上有提供很多提高關(guān)鍵詞排名的服務(wù)，原理是利用大量IP在搜索引擎搜索指定關(guān)鍵詞，然后到指定網(wǎng)站，點(diǎn)擊進(jìn)入，甚至進(jìn)一步模仿用戶瀏覽、點(diǎn)擊，欺騙搜索引擎，使其認(rèn)為該站與該關(guān)鍵詞關(guān)聯(lián)度很高。百度，作為國內(nèi)最大的流量出入口，榜首位置實(shí)至名歸。針對百度的流量刷量類型有多種，主要類型包括刷搜索流量和點(diǎn)擊百度網(wǎng)盟廣告。2017年底，百度推出“驚雷算法”，旨在打擊以作弊的方式提升網(wǎng)站搜索排序的行為，究竟效果如何，2018年我們拭目以待。Top 10榜單中還出現(xiàn)了360搜索和中國搜索，刷搜索流量在整個(gè)流量刷量產(chǎn)業(yè)中的比重可見一斑。

（2）刷視頻播放量

另一個(gè)流量刷量產(chǎn)業(yè)的大頭是刷視頻播放量，目標(biāo)廠商包括榜單中的優(yōu)酷、搜狐、龍珠視頻/直播、愛奇藝、騰訊等，以及不在榜單中的觸手直播、風(fēng)行網(wǎng)等。很多視頻有夸張的播放量，點(diǎn)贊和回復(fù)卻寥寥無幾。視頻網(wǎng)站依據(jù)視頻人氣付給視頻作者酬勞，虛假的播放量可直接導(dǎo)致視頻網(wǎng)站蒙受金錢上的損失。對于用戶來說，人氣很高的熱門視頻，內(nèi)容質(zhì)量卻名不副實(shí)，用戶體驗(yàn)下降。

（3）刷廣告展示量和點(diǎn)擊量

通常告主會和廣告聯(lián)盟或站長合作，進(jìn)行推廣，按照CPM、CPC的方式結(jié)算廣告費(fèi)用給站長。一些無良的站長會使用軟件或者購買服務(wù)惡意刷CPM、CPC，獲取不正當(dāng)利益。廣告聯(lián)盟存在一些廣告反欺詐機(jī)制，刷量有可能面臨封號，但依舊有很多人通過刷量技巧和網(wǎng)站數(shù)量來大規(guī)模獲利。

（4）電商和網(wǎng)站訪問量

此外，刷頁面的訪問量，包括刷社交站點(diǎn)的內(nèi)容曝光量和電商商品瀏覽量，也是流量刷量產(chǎn)業(yè)中相當(dāng)活躍的一個(gè)分支，比如新浪博客的訪問量，以及淘寶和天貓商品的瀏覽量等?？偠灾?，當(dāng)今的互聯(lián)網(wǎng)世界中，充滿了障眼法，眼見不一定為實(shí)，所謂的“人氣排名”，所謂的“熱門列表”，不可完全相信。

 b）數(shù)據(jù)爬取采集

爬蟲就是收集信息，“爬蟲寫的好，擁有整個(gè)互聯(lián)網(wǎng)的數(shù)據(jù)不是夢”。數(shù)據(jù)分析本身并沒有善惡標(biāo)簽，方法和目的卻可以將之定性。黑灰產(chǎn)如今規(guī)模龐大，分支眾多，從獵人君觀察到的攻擊流量來看，黑灰產(chǎn)從業(yè)者的需求比較分散，快遞、媒體、電商、賬號有效性等等都是攻擊者的目標(biāo)。黑灰產(chǎn)從業(yè)者做爬蟲的目的多種多樣，比如：

· 用作產(chǎn)品化上游的數(shù)據(jù)支撐，比如某些針對電商的秒殺、搶購軟件。

· 用作分析競爭對手的產(chǎn)品和業(yè)務(wù)策略，比如爬取競爭對手的產(chǎn)品信息和用戶論壇。

· 爬取競爭對手的用戶數(shù)據(jù)，尤其是有效的手機(jī)號或郵箱格式的用戶名，之后可用于定向的推廣營銷。

· 爬取有效的用戶名，可用于生成用戶名字典，實(shí)施撞庫攻擊。

· 爬取個(gè)人信息，惡意利用，甚至實(shí)施詐騙。

以下是獵人君統(tǒng)計(jì)的2017年較為熱門的一些爬蟲攻擊目標(biāo)和接口：

 

c）薅羊毛

薅羊毛，簡單理解就是，以不正當(dāng)?shù)姆绞将@取互聯(lián)網(wǎng)上的各種福利，如新用戶注冊紅包。這些人不以“利小而不為”，只要是看到福利，能薅則薅，使得互聯(lián)網(wǎng)公司的推廣經(jīng)費(fèi)中很大一筆部分都打了水漂。薅羊毛入門門檻極低，如今，薅羊毛規(guī)模之大，足以稱之為一個(gè)行業(yè)。薅羊毛行業(yè)緊緊依附互聯(lián)網(wǎng)行業(yè)，與互聯(lián)網(wǎng)行業(yè)的以等同的速度發(fā)展。2017年，薅羊毛活動如火如荼，主要針對各類金融平臺、電商平臺以及O2O平臺。

威脅獵人總結(jié)了一份2017羊毛熱詞云圖，如下所示：

詞云圖的中央，是大大的兩個(gè)字“會員”，各類會員，包括低價(jià)會員甚至是免費(fèi)會員，深得眾羊毛黨的喜愛。其他福利，比如優(yōu)惠券、紅包、商品秒殺、激活碼、各類低價(jià)QQ鉆等，也有較高的詞頻。認(rèn)領(lǐng)福利需要賬號，賬號相關(guān)的關(guān)鍵詞，比如注冊、老號、白號、小號等，也是榜上有名。既然有賬號，就有連帶的賬號實(shí)名業(yè)務(wù)，比如認(rèn)證、綁定、實(shí)名等。另外，不出意外的是，“騙子”的詞頻相當(dāng)高，黑灰產(chǎn)市場本來就不受法律保護(hù)，“黑吃黑”的現(xiàn)象也較為普遍。 

d）引流

有一些不適合直接變現(xiàn)卻坐擁巨大流量的平臺，比如短視頻平臺、社交平臺等，黑產(chǎn)也不會放棄，采用引流方式進(jìn)行變現(xiàn)。一個(gè)簡單的引流變現(xiàn)操作是這樣的：操作者在頭像、昵稱、個(gè)人資料等任何可以被平臺曝光的地方留下聯(lián)系方式，比如微信號，再通過發(fā)送誘惑性的內(nèi)容吸引用戶前往添加好友，之后通過詐騙、微商等形式深度變現(xiàn)。

常見的社交平臺引流方法，是通過軟件批量關(guān)注、發(fā)送私信等方式。一些引流操作可以帶來巨大的流量，個(gè)人無法消耗，會以“出粉”形式賣出，即買家根據(jù)成功添加微信的“人頭”數(shù)，付給引流者報(bào)酬。

引流人往往會結(jié)合目標(biāo)用戶的心理以及引流平臺的特點(diǎn)，進(jìn)行操作，如到美拍的美妝視頻下寫“前100人免費(fèi)送XXX化妝水”，吸引可以通過微商變現(xiàn)的“女粉”。在陌陌等平臺上通過誘惑性圖片、視頻加上“想交男朋友”等話術(shù)，吸引“色粉”（“男粉”），在微信中騙取紅包或是銷售一些男性用品。

諸如此類，還有“保健粉”（可用于銷售醫(yī)療用品）、“連信粉”（中年有消費(fèi)力的）、“股民粉”、“寶媽粉”、“女大學(xué)生粉”等等。在業(yè)內(nèi)叫做精準(zhǔn)引流，用戶群體越精準(zhǔn)，價(jià)格越高。

而購買者有兩類，一種是真實(shí)微商，另一種就是我們在東鵬特飲中提到的，用微信作為變現(xiàn)出口的黑產(chǎn)，如引來色粉后擼包，即詐騙，用微信機(jī)器人偽裝成女性，通過發(fā)送誘惑圖片視頻的方式索要紅包。

這種方式只能騙一次，所以他們需要引流人給他們源源不斷的粉，稱為“火車站流量”，而微信被舉報(bào)后賬號就報(bào)銷了，所以他們會向號商購買賬號，做到最后，變現(xiàn)可以用量化標(biāo)準(zhǔn)來計(jì)算收益，微信號平均多久會死，誰家引來的粉平均每個(gè)人頭幾塊錢……單從這一條往下看，引流和號商一直都有市場，會持續(xù)存在，而他們需要繞過廠商的風(fēng)控，又需要一系列的服務(wù)型產(chǎn)業(yè)鏈，他們都會持續(xù)的與廠商對抗，只要利益不消失，對抗就會持續(xù)升級。

三、對抗升級

1、主流防控措施和黑產(chǎn)繞過方法

面對惡意行為，除去IP等規(guī)則判斷，廠商也會從行為和設(shè)備角度進(jìn)行判斷。如用戶登錄過程的行為，包括停留時(shí)間、鼠標(biāo)焦點(diǎn)、頁面訪問流程、csrf-token等。再通過客戶端上報(bào)機(jī)器信息，識別判定是否存在偽造設(shè)備。

而面對對抗，黑產(chǎn)也在不斷升級，主要會從以下幾個(gè)方面進(jìn)行繞過：

· 邊緣業(yè)務(wù)與新業(yè)務(wù)處尋找可利用接口：黑灰產(chǎn)不斷尋找審計(jì)不嚴(yán)格的邊緣業(yè)務(wù)接口，找到后便能繞過所有的防護(hù)措施，如入無人之境。而廠商在這個(gè)維度上很難有行之有效的監(jiān)控，因?yàn)楸緛砭褪潜皇韬龅慕涌凇＿@里可以從第三方視角進(jìn)行監(jiān)控。威脅獵人對黑產(chǎn)流量進(jìn)行大數(shù)據(jù)分析，可以是這種伎倆暴露在陽光下，何人何時(shí)攻擊了新的接口，從攻擊出發(fā)分析檢測，可極大增強(qiáng)廠商對漏洞的反應(yīng)速度。

· 模仿真實(shí)用戶：規(guī)避后臺行為分析模型方面，黑卡提交請求時(shí)不再是僅僅填寫User-Agent，而是盡可能全的完成整個(gè)流程，包括：完整的頁面打卡流程代替僅僅向關(guān)鍵接口提交請求；攜帶csrf-token等完備的參數(shù)；頁面停留時(shí)間采用函數(shù)隨機(jī)化；HTTP header嚴(yán)格遵守瀏覽器特征；隨機(jī)化所有其他不重要的參數(shù)等。

2、新風(fēng)控角度的思考

企業(yè)制定安全策略往往存在兩個(gè)問題：

· 是安全策略面向所有客戶，灰產(chǎn)可以不斷嘗試摸清規(guī)律，設(shè)法繞過。

· 對最新的攻擊方式不了解，導(dǎo)致制定防御策略無法有效打擊黑產(chǎn)，反而容易誤傷正常用戶。

· 面對后臺數(shù)據(jù)，只知道自己攔截了多少惡意用戶，不知道有多少沒有攔截。

因此威脅獵人從行業(yè)出發(fā)，針對電商、社交、游戲、云計(jì)算等不同行業(yè)的不同特點(diǎn)，逐一分析，還原真實(shí)攻擊場景，以期望解決企業(yè)面臨攻防信息不對等的問題，為企業(yè)精準(zhǔn)防御灰產(chǎn)攻擊提供數(shù)據(jù)補(bǔ)充、情報(bào)支撐。

a）黑產(chǎn)大數(shù)據(jù)監(jiān)控

基于黑產(chǎn)攻擊的資源建立持續(xù)監(jiān)控機(jī)制，對已經(jīng)泄露和已經(jīng)在使用的黑IP、黑卡、批量注冊賬號、盜取賬號、惡意流量等進(jìn)行積累和實(shí)時(shí)更新。就能結(jié)合風(fēng)控系統(tǒng)，從多個(gè)維度判斷，有效篩選出可疑用戶。

b）情報(bào)帶來的針對性對抗

情報(bào)收集和分析工作可以有效的還原出某個(gè)針對企業(yè)的攻擊方式，用于針對性打擊。如通過情報(bào)和數(shù)據(jù)結(jié)合分析，得出攻擊者的目的、攻擊流程和行動模式后，廠商就可以多維度的打擊，如A場景檢測到卻在B場景打擊，讓攻擊者摸不著頭腦，測試不出套路。在入口處有所遺漏時(shí)，還可以在出口處再次進(jìn)行打擊，如注冊處或許沒有全部攔截，當(dāng)檢測到注冊后立即綁卡搶紅包提現(xiàn)一氣呵成的用戶，標(biāo)記高級別危險(xiǎn)標(biāo)簽，提高提現(xiàn)門檻等。

結(jié)語

傳統(tǒng)的“你來我往”、“亡羊補(bǔ)牢式”的攻防策略已無法有效與現(xiàn)在的黑灰產(chǎn)勢力抗衡，作為防守方的甲方應(yīng)當(dāng)將戰(zhàn)場向前推進(jìn)，步步逼近黑灰產(chǎn)大本營，以爭取更多的主動權(quán)。情報(bào)收集、風(fēng)險(xiǎn)偵測和威脅感知將是新型對抗模型中的三把利刃，能夠幫助甲方做到“知彼知己，百戰(zhàn)不殆”。