永安在线进行线下分享攻防实验,可以理解成实验室里的红蓝对决,我们几乎每天都在研究黑产是怎么玩的,它通过怎样的方式对我们的业务造成攻击。今天主要跟大家分享我们过去在攻防上面,在和黑产的对抗当中的一些经验和有趣的案例。
实验室的工作场景
(图一:修改手机摄像头的指向,在黑产不同作恶场景中的应用)
这个是怎么做到的呢?手机的前置摄像头点开看到的是自己,但是将摄像头的指向修改到指定目录下,就可能播放一段美女视频或者特定人脸视频。
明明视频了怎么还是被骗?比如有一天你在陌生人社交App里遇到一个女生,你们聊的很开心想要进一步认识一下,于是加了微信发起视频通话。视频打开一看,哇,真的是美女,美女跟你说今天过生日,你慷慨的发给美女200元红包……其实跟你聊天的还是抠脚大汉。
身份不符情况下为什么能通过网约车人脸验证?网约车出了许多安全事故,要求司机通过摄像头频繁的人脸认证,发现人车不符合或者有过往犯罪历史不允许开网约车。这样可以解决很大一部分安全问题,也有黑产通过同样的方式借助另外一个人的身份发起攻击,绕过安全措施。
(图二:永安在线恶意注册靶机系统)
每天都有好玩的事情,在老板的督促下干了点正经事。
于是我们搭了靶机系统,做了一些小型的App。这些App可能只需要一个demo,比如说登陆的过程,然后用真实的黑产设备、真实的黑产资源,真实的黑产IP、真实的黑产手机注册卡来攻击靶机系统,然后复现迭代。这样发现了好多防守的点,还优化了好多识别黑产的方式。
(图三:手机黑卡猫池设备)
(图四:新型群控系统来自网络)
大家多多少少应该都看过,知道群控系统、手机墙、设备牧场。这个是新型群控,它没有手机屏幕。后面会专门讲这种新型群控。
从运营层攻防到资源层攻防
我们会研究黑产最新的攻防套路。拿注册最重要的黑产手机号来说,这些手机号从哪里来?怎样流转?怎样量化攻击?都是实验室日常研究的课题。通过每年对黑产攻击工具的统计,慢慢发现了规律性的东西。
(图五:攻击工具占比统计)
协议类攻击
协议类的攻击工具是什么呢?协议类的攻击通常指攻击业务接口,原理是协议接口里面有加密参数,正常用户访问接口会带着自己的身份标示,算做一次浏览。黑产怎样做呢?把业务接口拿过来,用协议类的工具把算法破解,通过批量请求这个接口达到恶意攻击的目的。常见的比如说,社交平台上面的刷流量、点赞、刷评价,基本上都是用的这样的攻击模式。协议类其实是从很久以前到现在为止一直存在的东西。
模拟点击脚本
我们在工序分析中发现了一个比较有趣的现象,有一类根本想象不到的工具,在异军突起持续的增长,就是橘黄色的这一类模拟点击脚本。我们统计了所有的攻击类,包括羊毛党、刷量、爬虫等等,当前市场上近六成的攻击是模拟点击脚本方式。完完全全几乎是一步不差的去模仿真实用户,是我们觉得挺有意思的特征。移动互联网时代大部分黑产攻击目标变成了各种手机App,在手机的App上安装模拟点击脚本,像真实用户一样一下一下的点击去实现攻击。相较协议类请求接口方式,它的攻击效率非常低,几乎就和正常用户一样的时间成本。为什么它能成为越来越受欢迎?这是怎么回事?我们在其他攻击场景中找到了原因。
拿电商平台场景举例。平台为了营销活动设置优惠券,希望可以将优惠给到真实用户。羊毛党怎么做?每一个活动、每一个点击的页面,都预先设置好不一样的模拟点击类脚本。本来用户在平台薅到一次,买东西便宜以后持续关注持续消费,这些名额全部被羊毛党占了,平台丧失获取真实用户的机会。通过发放优惠券能够培养真实用户持续消费习惯,而羊毛党的消费不能持续。
黑产资源供应结构
互联网黑产群体紧跟着互联网的发展不断壮大,分工细化。
(图六:黑产资源供应链)
我们一起假设下, 模拟点击类脚本需求越来越大会造成什么结果?模仿正常用户需要很多东西,比如说注册需要手机号,访问业务接口需要IP,需要足够多的设备,足够多的设备指纹,它们能让你看起来是多个不同的用户。所以对于黑产来说这些资源成了硬通货,于是发展出非常市场化的生态结构,是一个分工明确的供应结构。这个结构里有上游,比方说刚才提到的手机号、IP、设备指纹等;中游有一些交易平台,一些自己的小型的电商平台,自己交易一些账号,还有一些软件机器及脚本;下游才是我们说到的比如羊毛党。里面的亮点稍后拿出来讲。
黑产核心资源层的快速迭代
(图七:传统代理IP构成)
IP是黑产的核心资源,注册也好爬虫也好,任何一个攻击都需要IP。那传统的代理IP该怎样获取呢?有三种方式:一种是开放的全网去扫,你跟哪个服务器的接口开着,ok,我把你拿过来,把你当作代理的跳板;另一种是肉鸡模式,通过攻击侵略主机,拿到主权之后建立代理接口;再一个就是自建机房IDC的体系。
传统代理IP特征
攻击成功率低——存在可识别的特征
对于企业来说一个机器IP是一个服务器地址,正常的用户会从云主机上,比如说某某云上发起一个云请求吗?浏览电商平台的商品,需要去云主机上浏览吗?通过这个特性,一般很容易被识别出属于非正常业务流量。它还有一个硬伤,获取IP的渠道十分有限。传统代理IP服务商,全网扫,基本上日增量几十万IP就算非常大了,对于黑产的需求来说显然不够。
(图八:传统代理IP售卖价格)
攻击成本——按个数和质量收费,较高
我们从报价表上看出来,IP的数量、可以使用的时长受到限制,每个价格的区别都在这两点上。
攻击效率——不稳定
也就是说,由于IP数量等限制,导致连接不稳定,攻击可能随时断掉,你用的是人家的服务器嘛。用起来太不爽了,动不动就断掉了,对于黑产来说攻击效率受到严重影响。
(图九:秒拨IP原理)
秒拨IP特征
攻击成功率——与正常用户IP混合,较难识别
需求是没有变的,即便如此,IP的需求照样那么多。所以很快有团伙他们去迭代。我们试想一下伪装正常用户的IP,最好的方式是什么?是正常IP用户本身。家庭宽带每个人都用过,背后是公用IP池,关机断网以后再拨号得到的是另外一个IP。根据这个特性,黑产团伙通过供应商团伙买通了一个区域大量的家庭宽带账号,然后让他们同时拨号,也就是蓄了一个自己小型的流量池。
攻击效率——稳定高频
一个ROS软路由可以管250个账号,并且可以串用起来的,比如说我在这里用黑产的机器拨到比如说深圳的IP、广州的IP,甚至香港的IP或者美国的IP,同样一台机器而且是秒级切换,在小型IP池里,想怎么换就怎么换。它解决了一台正常的电脑上只能登陆一个账号的问题,实现IP秒拨。
(图十:秒拨型IP售卖价格)
攻击成本——按时间收费成本较低
我们再看一下它价格表,哇这个太酷了,130个城市千万IP,它对IP没有限制了,不用担心数量的问题。正常用户的IP池有多大,黑产能用的IP池就有多大,动态的积蓄。一个时刻包含部分IP,通过断开逐渐使用整个IP池,对整个IP的数量再也没有了前面的限制。另外我们看价格,0.25折,这个价格太有竞争力了。IP对他们来说已经不是一个主要成本的地方了。
(图十一:代理IP占比)
我们有一个全球的蜜罐系统,我们会统计攻击的IP,于是发现75%背后都是秒拨型网络IP。在黑产来说这就是一个解决方案,只要是一个高频的IP的攻击场景就会用到。
恶意IP识别难度升级
(图十二:秒拨机羊毛攻击页面)
攻击页面上通过服务器配置不同的云主机,不再像传统IP那样通过API接口更改脚本。它是通过直接给你一台云主机连上云,配备切IP的工具。攻击页面上带注册邀请字眼的,都是协议类的注册工具。协议类注册工具黑产怎么用?比如说拉新活动,拉新一个用户给5个虚拟币,黑产疯狂的用小号注册,给自己的主号拉用户,最后变现。基本上走的是这样的模式。把攻击脚本打开之后,设置断开和连接时间,比如说设置5秒,可能是脚本每5秒注册一个账号,注册以后就断开重播,继续注册下一个账号。IP富余到不用考虑IP频率上的限制,每个IP能做几个账号。至于说这个IP是不是一个基站接口,是不是一个对公的东西,完全不用考虑,任性到随便用。一个账号换一个IP,没有关系。这样的模式太强大,是全场景解决方案。
(图十三:移动端使用秒拨IP的VPN)
方式也非常灵活。对于黑产来说,可以只租秒拨机;如果只要脚本服务商可以只提供脚本;如果是移动端服务商会提供一个类似于VPN似的软件,仍然是断开重连断开重连切换IP。它几乎做到了我们现在能想到的攻击场景的全部覆盖了,就是一个黑产通用的IP解决方案。
我们还能看到一个有趣的现象,“全国混播”。在你选用IP的时候,可以按照地理区域划分。切IP的时候可以全国范围内随机,也可以设定在特定城市。为什么有这种功能?这其实好理解。比如说外卖,地域不同风控的策略还有活动的链接都不同,某些活动在一定地区,攻击时把IP限定在那个地方就OK了。
(图十四:秒拨机切换IP工具)
手机号的归属地、IP归属地、GPS定位不同,容易被打风险标签怎么破?对于这种情况,也解决了。取手机号的时候GPS定位、IP定位到这等虚拟定位的地址都可以移到基站附近,做到风控策略上的对抗。所以说黑产已经不在运营层上来攻破风控规则了,不再是参数怎么设置、IP怎么设置,它是通过资源层直接打通全国的IP资源,拿到和用户一样的IP资源,让防守方发现不了是真实用户还是IP攻击者,是一个正常的业务请求还是一个作弊。这种思路怎么说呢,它提升了一层,通过资源层解决问题。
这也就是我们在攻防中发现的第一个规律。资源层的东西没有办法通过一些日志流量分析解决,需要把自己提高到同一个水平,也在资源层防守,才有可能识别黑产。
恶意设备攻击效率优化
业务风控服务于业务,我们首先做到的就是识别作弊流量,才能在合适的时机,去处置用户,最后达到不要让业务团队的经费打水漂。有6成的攻击方式是模仿正常用户,黑产变现方式是什么呢?基本上分成两种。第一个是羊毛党,大家都熟我就不解释了。第二个叫做引流,黑产利用平台巨大流量,比如说黑产在媒体平台上发了一篇XXX疾病科普的文章,其实是洗稿来的,然后通过刷量,疯狂把这个文章刷到首页让更多的人看到,这个过程就是利用媒体平台的用户资源,利用完之后呢,把联系方式留在下面,然后向这些用户销售非法的医疗设备和一些黑五类的东西完成整个变现。
对于正常的平台来说,黑产也意味着品牌上的损失。我们能怎样防守?一是截流变现,在羊毛的问题上不要浪费经费;一是不要让黑产发虚假广告,药物类、涉黄涉政、涉恐涉暴黑产都涉及,拦住虚假内容可以减轻内容上的审核压力。
识别黑产对平台来说好处还有很多。大一点的平台会分析用户行为,这些用户行为包括用户喜欢什么,用户喜欢什么平台就推送什么。黑产作弊的一次性的行为,在这里就算一个巨大的脏数据。怎样解决这个问题,后面会讲。
压缩成本结构对抗黑产
另外我们发现另外一个大体的趋势,黑产变现的能力非常有限,强依赖于从每个活动中拿到多少钱,盈利值基本处于不变的状态。黑产盈利值提高只能通过压缩成本结构,设备、资源、软件成本都是考虑的因素,最终收益最大化。 成本的压力在攻击设备的进化上发现的非常明显,一会给大家介绍一下主流的东西。
(图十五:二次攻击统计)
我们统计了恶意注册的攻击情况,分析主流的平台攻击量和恶意注册账号的数量,以及利用黑产资源解封账号。很肯定的是一个恶意解封行为,伪装成正常用户要求解封账号。我们看到这两者差值非常大,这中间这些账号为什么他们不需要解封呢?是因为他们逃过了风控吗?其实不是。差值数据有六成触发了强风控,也就是封闭账号这种风控。但是它为什么没有去解封,有两个原因,一个是他在触发风控的时候已经完成变现了,就是我们刚说的引流问题,对他们来说叫怼账号,只要把消息发给足够的正常用户,达到一点点的引流效果,数据已经完成变现了。因为对黑产来说账号的成本真的不高,几毛钱而已。触发风控的时候已经完成变现,还比如说,羊毛里面,大号已经赚了拉新活动补贴的费用,并且提现成功,把小号封尽了也没有影响。
(图十六:行业纬度攻击观察)
举这个图是什么意思呢,账号资源对他们来说,是一个高消耗品,每个月黑产都需要源源不断的注册账号。这是资源层上迭代,就是要去消耗这个东西。其实不分行业不分公司,只要跟互联网沾边,只要给用户发福利,都是潜在的被攻击者,无差别的攻击。
群控手机执行模拟点击脚本
(图十七:群控模拟点击脚本)
接下来讲一下群控脚本,其实有点半协议。大家对群控都或多或少都见过,不是一个新鲜的东西。大部分的人认为群控是一个恶意的攻击设备,我们回想一下它的变现逻辑,不难发现特征是以量取胜,一定要重复攻击才能达到目标,每一个攻击收益是非常小的,一定是重复攻击,所以群控这个东西我更倾向于说它是一个量化攻击的解决方案。
(图十七:群控模拟点击)
为什么这么说?我现在有100个空手机,我没办法人工给他们一个个安装脚本,这个成本非常高,所以我需要一个批量操作他们的方式,这是低一点。第二点,我每个手机不可能只攻击一次,一定要有一个解决方案伪造我的设备指纹,让它能够重复攻击其实是群控的本质。
群控方式
然后我挨个介绍下市场上的群控方式,再给大家介绍下防护上的建议。传统的群控,左边是群控手机右边是操作电脑,电脑主机要求配置稍微高一点,手机和电脑之间全部通过数据线连接起来,通过屏幕映射的方式,把手机上面画面映射到电脑上,电脑通过数据线下发指令然后所有的手机变换动作。非常明显的弊端是,手机的管理很麻烦,有一根线断掉了就没法群控了。还有一个弊端是,传统群控对手机的数量有限制,通过这样的传输方式,尤其它还要传输屏幕信息,基本上这样的群控在手机100台的时候就已经是极限了,再网上屏幕会非常的卡顿基本上没有办法进行攻击。所以说这显然不是一个理想的攻击工具,所以说它很快被迭代了。
云主机攻击
很快又有另外一种方式,其实这种方式有点像木马,安装一个客户端在手机上,通过网络传输我的点击命令,因为客户端在手机上可以随意执行,因为拿到的权限比较高,可以做任何事情。那这种模式解决了手机设备数量问题。具体怎样实现的呢?手机设备通过浏览器,给云主机下发一个命令,然后云主机再下发给所有的客户端。也就是说,首先手机在不在同一个地方不重要了,甚至可以是好几个工作室。
另外还能够帮助黑产迅速传播。原来需要交换脚本,服务商把脚本卖给黑产需要提供源码。现在只需要在云主机上面授权,把设备纳入攻击范围。并且它是一个管理上的运营上的优化,只要在云上更新脚本,不需要像之前的群控一样,把原来的脚本卸载掉,再拖拽进去所有的脚本。原来100控可能需要1个人管理,现在云控1个人可能可以管理300控,帮助黑产省下了大量的人工的成本。
(图十八:箱控的硬件结构)
箱控
接下来还有一种方式,我们发现的时候叹为观止,这是去年年初流行的群控设备。它的全部硬件没有手机屏幕没有锂电池。首先屏幕问题怎么解决?它用苹果的DSS,一种流媒体传输技术,通过大主板链接到电脑屏幕上,将手机屏幕直接传输上去,所以裁剪掉了所有屏幕。再一个是它把所有的一小盒子,其实就是12个安卓手机的主板,集中在一个大的主板上,通过切割内存的方式把每一个主板切割成10个分身。也就是说,操作一个小盒子相当于操作120台真实手机。
这对黑产来说意味着什么?占地面积解决了。以前的群控需要一整个厅,现在只需要会议室的一半,这是一个巨大的成本节约。这个群控还做了什么优化?这是它的操作界面。首先它是硬件层的修改,它不需要你去安装额外的软件工具,然后他能把IMEI、地理位置、修改、基站位置信息,你想伪装的手机号,都可以放在这个上面。这个服务商原来做路由器的,后来觉得路由器不赚钱,于是就开始做群控了。这种群控在黑产市场上一度非常流行。研发成本有多高?从硬件到软件到操作到整个资源的获取,他能花这样大的力气去进行这样的事情,一定程度上也反向证明了我们刚才的环节也就是说,通过模仿正常用户进行攻击的模式非常固化。
云手机
还有一个有可能成为主流的群控设备,这个设备叫云手机,有点像云控,需要一个浏览器就可以远程操作其他地方的手机,是租用模式。记得刚才说到秒拨的时候说到云主机吗,是完全一样的东西。这个东西严格意义上说不完全算做群控,一个云手机租用每天只需要10块钱,但是一个箱控,需要3万,这种攻击成本的降低,意味着黑产团伙的扩大。原本我需要懂一些技术,需要知道脚本怎么写,我才能发起攻击,云模式的话就是一种傻瓜似的操作,可以发起攻击的群体就会变大,这对我们来说其实是一个挑战。
改机工具
这个改机工具曾经是黑产的龙头企业,它后来被一个企业的法务部门打击了。黑产现在是一个生态稳定的结构,另外一个原来市场占有非常小的改机软件迅速占领它的位置,所以说那一次打击以后也就是一两个月的影响。
(图十八:改机工具操作界面)
我们继续看,这是一个root了的手机,在这个手机上安装了软件后,进行勾选。黑产想访问企业App,想访问一些系统参数或者设备指纹信息的时候,在中间层伪造一套虚假的指纹给你,是看不出来的。因为黑产权限更高。
比较想提的是全息备份。比如说我是注册账号的人,把账号卖给下游去变现,存在的问题是我的设备跟他的设备是两个设备,很有可能设备异常了无法认证。现在改机工具可以做到,把我的设备信息备份,变成一套字符串,把这些信息给到下游,下游使用同样一个改机工具,相当于恢复快照一样,恢复到原来注册的时候的注册环境。甚至账号登陆的情况也可以恢复。这是黑产改机工作在整个产业链中起到的作用。包括这个全息备份发展成了什么啊,比如说刚刚我提到的新型群控,它提供一个什么东西,它提供一个云备份的功能。你比如说我这一套攻击环境可能是专门攻击某一个厂商的,我把它这一套信息整合备份之后,我可以放在云端,然后我的手可以去做其他的事情,可能说早晨10点我攻击的是A厂商,11点攻击的是B厂商,完全不用考虑你的硬件的存储能力,它是一个云服务的模式。
在这个层面上检测能做的东西是非常有限,只能根据强特征去检测防御。比如说,它这个东西安装到手机上,可能会在特定的目录下留下特定痕迹,或者检测特定目录去区分他是不是一个模拟器环境的东西。严格的讲,是检测环境的攻防。
资源层时代防护策略
目标是增加成本而不是禁止攻击
装了改机,我认为你不是一个正常用户。IP也好,设备也好,对于我们来说都是单点的攻防。在实际的生产环境中,单点攻防是不能解决问题的,我们要的是一套能互相补充、循环发展的完整识别解决方案。接下来简单介绍一些识别解决方案。
运营成本
我们在实践中发现一个比较有趣的团伙,上策略之后它的死号率达到了20%-30%,于是他就不再攻击,转而攻击另外一个友商。这个对我们来说比较难理解,20%的死亡率投入的注册成本其实没有太大的变化,为什么不攻击了?后来从黑产交易工序上找到了答案。黑产账号交易是这样一个模式,利用一个小的电商平台,把账号密码还有改机工具传输到上面,当下游过来买的时候,这个平台自动发送给下游,不需要人工参与。如果死亡率高,意味着客户会找客他补号,这些账号没登就死了。对他来说接受不了的是运营成本,要频繁的花时间给他的下游补号。这提醒我们在攻防过程中,能让黑产增加的成本不光是金钱上的,还有时间上的。
时间成本
厂商对新账号做限制,黑产需要时间养号,用着这些账号登陆上来做日常操作,成熟到一定程度的时候拿出来套现。这是时间上的成本,也是我们值得利用得到的地方。就像刚才我们提到的那个案例,为什么黑产不去攻击了,一个是说补号很麻烦,另一个是说,攻击其他平台没有这个损耗,去攻击类似的平台降低损耗。
我们在设置策略的时候,目标不一定是我要禁止攻击,而是尽可能的提高攻击门槛,让攻击成本非常高,这样攻击量自然而然的降低。
(图十八:恶意流量识别)
根据是我们的统计图,当收益和成本在一定范围内的时候,攻击量没有太大的变化,只有找到平衡点,才有下降。结合左侧的图,产品同时允不允许你加验证码,结合右边的图你肯定选6。这就是一个平衡达到目标的问题。
数据聚类和团伙特征分析
现在大家肯定是纵深攻防。比方说一些手机号,可能在正常用户注册之前就识别到它是一个恶意的,但是有人会在注册的时候或者就在注册之后很短的时间内进行攻防吗?没有的,不会上这个策略。第一个原因是,你的产品同事会打死你的。注册对于用户误杀的容忍度非常非常的低,哪怕千万级的调用量1个误杀,让正常用户没有注册这个App,这个问题很严重。第二个原因,要维护规则,如果你在这么早的时候就告诉黑产,这样可以通过那样不可以通过,黑产可以很快的试出来这些规则。
之前我们的做法是,在注册的时候直接弹出一个提示设备异常,这对黑产来说就是明显的信号。后来我们更改了对抗的方法,哪怕要跳提示框也就说异常就好了,可以说的不这样细。
不要过早设置处置点
举个例子,比如说刚才提到的引流,黑产要给正常用户通过平台发私信,这时我识别出了账号异常,也拦截了这条私信,就是不提示,让黑产发了私信但是用户可能没有接收到。对黑产来说,注册完了,开始养号,养了一周之后,觉得这个账号差不多了,开始给用户发私信而且认为成功了,连着三天之后发现没有发出去。作为黑产来讲简直是心痛,做了十几天的攻击,发现没有效果。这个才叫打的漂亮对吧。
说回到为什么我们不能太早的设置一个处置点,就是说当前它还没有对你的平台造成损失,从增加它的成本的方向考虑,你需要放它进来。另外来说,你要搜集它的行为规则。为什么这么说?在注册之前,前置判断了恶意行为,但是有一个问题在这里,你知道你判断出来的这个问题,占全部量的多少吗?不知道,你没办法知道总攻击量多少。所以你放它进来,再判断它的攻击行为,再通过这些攻击行为能够发现更多的人,这是你要放它进来的第一个原因。你后面也需要一些标签样本去做模型训练之类的东西。第二个原因是,你放它进来之后观察它整个攻击路径,才能找到一个最合适的点去处置打击。当他准备去变现,准备对平台造成实际损失的时候,再去打击它。这个对他来说,是一个非常大的成本。这是我们提升成本的最快方式。实际生活中没有一个一个很清晰的折线图告诉线性关系,所以我们尽最大努力做到它的攻击成本最大化。
黑产的规模量化特征
举例几种常见的方式:比如第一种静态规则匹配手机号IP、设备指纹;第二种,知识图谱分析,做团伙的聚类、做团伙的分析;另外一个就是厂商的数据分类,把数据分组,看看有没有什么特征。
我们想提供给大家这样一个信息,黑产的攻击方式中都有明显特征,把这些特征在数据聚类的时候组,再按照这些特征去分类,很有可能发现惊喜。着重把这个思路分享给大家。
羊毛活动我们最讨厌的是什么?用户发现这里有优惠,用家人的手机号注册了一下,这个不叫薅羊毛,对平台来说无所谓。平台在意的是机器可量化的大规模攻击。量化攻击伴随的特征就是分工的细化。专门的团伙负责注册账号,注册完账号以后倒卖给下一个团队。下一个团伙只负责变现,不用管账号怎么注册,也不用养号。分工细化对于黑产来说就是规模量化的特征。这个时候如果不处理黑产问题,就会变得越来越大。
(图十九:黑产账号绕过的常见方式)
账号绕过的常见方式
(图二十:数据号举例)
数据号
还是这个问题,手机设备怎样跳过设备异常的检测?第一个方式叫数据号,通过改机工具环境复制实现,包括注册的串号、IMEI相关信息、手机MAC地址、手机厂商型号,把这一整套环境复制,让你看起来环境相同。
(图二十一:token号/身份标识类账号示例)
token号/身份标识类账号
第二种方式是token号,token 号是什么意思呢?我们看一个案例。在打开手机界面的浏览器之后,我们看到它写了一个JS代码,这个代码是干什么?就是把一串字符加到浏览器的信息中,做为参数加进去,然后重新刷新登陆。很明显这是一个身份标识。相当于把这个串输入当中的时候,在向服务器发起请求,服务器认为你的身份表示所在账号能进来,实际上并没有登陆。也就是说注册完以后,把这个东西扫出来发给下游,下游再用这种方式拿到首单优惠,非常大幅度的优惠。在安卓上面直接把这个东西包一个小型的浏览器,这一套操作全包进去,做成批量全自动化的方式。
第三方跳转
第三方跳转号是什么意思?比方说XX平台允许QQ跳转登陆,其实有很多平台也允许一些账号跳转。你用第三方跳转之后如果不要求强制绑定手机号,对黑产来说简直是成本的无限降低。跳转账号最常见的是微博和QQ,几分钱一个,手机账号2毛钱一个,相差十倍。
这种号收验证码是个问题。给下游的时候,给的是微博的账号密码页,下游不用在平台做什么东西,直接安装微博跳转微博。
忘记密码类账号
指的是忘记密码类账号。有的平台有一些比较人性化的处置方式,比如说,可能猜测到你忘记账号密码,帮你匹配通讯录来进行登陆,如果你的通讯录相同,就认为你是同一个人。这对黑产来说也是福音。卖账号的时候,除了账号密码以外,还会给你一个小型通讯录,可能就两个人,甚至这个手机号都不是真实的,比如说15112345678这种。把号码先存在手机里面,点击登陆,点击忘记密码,就登陆进去了。
(图二十二:接码平台)
二次验证类账号
二次验证号是什么意思?我们有时候换设备登陆,要求你验证一下手机号,对黑产来说手机号这张手机号不在手里,在上游接码平台里,很可能卖给下游的时候接码平台那张卡已经下掉了。现在下游跟接码平台约定俗成,注册的时候就跟你说好,这个卡是7天在线保持还是说1个月在线保持,商量好之后这个问题也解决了。
其他提问
厂商间数据分享用处
关于厂商间的数据分享,为什么有用,因为一张手机黑卡价格在5块钱到几十块钱不等。黑卡变现尽可能变现的话会怎么做?尽可能的攻击更多的厂商,让它进行复用。所以黑产账号是一个高复用的资源,这就是厂商间为什么需要分享数据的原因。当然如果你们能够拿到一些好的数据的话,其他规则一样好用。
设备篡改的识别
要去检测改机工具是很难做到的,黑产拿到的权限比你高,如果你在改机特征上面没有发现规律的话,你是没有办法识别的。它可以随意给你传参数。对于我们来说,安卓检测到有改机操作,就能发现改机,它是一个强运营的东西,你要去发现它的特征,然后针对性的上规则。
驱动黑产技术进步的原因是什么
有钱。通过伪装正常用户薅企业的钱。分成两种团伙。第一种是比较大的团伙,比如说刚那种有自己精力和时间去研发工具的,它对企业的伤害可能是500,我们要防。第二种类型可能是小的工作室,两三个人,他们的攻击是1,但是这种团伙有500个,我们也要防。黑产技术进步有两个方向,一个是通过技术进步卖给下游挣更多的钱,另一个是通过降低攻击成本,收益一定的情况下扩大盈利。
根据永安在线反欺诈实验室发言整理
声明:本文来自AD风险实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
