什麼是大數據黑產?
本題來自知乎圓桌 ? 白帽黑客與安全,歡迎關注討論。
謝邀,貼一個我們團隊的報告:《互聯網黑市分析:社工庫的傳說 》-----------------------------
任何一個行業都是一個江湖,有江湖就有故事,追名逐利的人喜歡被寫入故事,踏實做事的人卻希望被隱匿。久而久之,江湖上的故事越來越虛名浮利,聽故事的人也越來越坐井觀天。豈不見無數江湖武俠小說,開篇的人物總是讓我們誤以為是江湖大俠,看著看著才發現一山更比一山高,到最後才發現開篇人物簡直是不入流的小啰啰。而真正的高人,反而隱匿成傳說。
互聯網行業也是如此,大家喜歡創造故事,故事也越來越千篇一律的浮躁:什麼產品上線7天就幾百萬用戶、什麼開發階段就上億投資、什麼90後霸道總裁顛覆行業、什麼大咖的內部分享、從xx看xx的四大趨勢、從xx看xx的十大價值、xx的專註力、xx的微創新、xx的平台化、xx的獨家專訪首次講述xx辛酸、xx概念的深度解析加獨特見解,等等。翻來覆去,好像也就是那麼多東西了。
就好像有些江湖人士,是需要靠賣藝為生,請個會吆喝的幫忙吆喝吆喝,弄個猴子上躥下跳一下,響啰使勁的敲幾下,騙騙幾個外行人,撒點碎銀子,僅此而已。接下來大家再接著吹噓一番,比比誰拿的碎銀子多點,動口不動手。長期以往,有些人招搖撞騙,也竟然成為了一代口碑中的大俠。久而久之,如今很多江湖人士只是賣藝拿貴客的碎銀子為生,如何賣藝賣的更好是大家追求的目標。那些內功心法,武功秘籍,也都成為了歷史,那些大俠們,也成為了傳說。
難道江湖不再是那個江湖了么?其實不然,浮躁沉淪的只是江湖白道,只是這些大內侍衛,鏢局鏢師,衙門捕頭而已。而江湖黑道中,黑客技術、海盜精神,繼續被追捧,虛浮的商業模式永遠不如深度技術被重視,「鐵甲依舊在」的情懷還在回蕩,而地下產業鏈相關的進步也在不斷的深入,並且潛伏起來暗自發展,為了更大的目標和黑暗夢想。
TOMsInsight繼續互聯網黑市的分析報告系列,今天的主角是:社工庫的傳說。
什麼是社工庫
社工庫是社會工程學資料庫的簡稱(Social Engineering Data)。
提到社工庫就必須先介紹一下社會工程學(Social Engineering),這個名詞最早是在2002年由傳奇黑客米特尼克(Kevin David Mitnick)在提出,但其初始目的是讓全球的網民們能夠懂得網路安全,提高警惕,防止沒必要的個人損失。由於米特尼克在黑客界的傳奇地位,很快社會工程學就開始被深入研究並且發揚光大。
社會工程學,準確來說是一門藝術和竅門的集合。它利用人性的弱點、心理的缺陷,以順從意願、滿足慾望的方式,讓人們上當,或以此為入口進行攻擊。社會工程學的竅門也蘊涵了各式各樣的靈活的構思與變化因素,利用人的弱點如人的本能反應、好奇心、信任、貪便宜等弱點進行攻擊。它集合了心理學、社會心理學、組織行為學等一系列的學科,由於其非法性和在很多國家地區都被嚴厲的打擊,社會工程學也變成了一個見不得光的學派。
但是在黑客群體中,社會工程學就是他們的第一方法論和必修課。離開了社會工程學,黑客們運用的網路技術幾乎都沒有用武之地。如果我們用黑客最喜歡的海盜來比喻,各種網路技術可以比作航海、游泳、劍術、而社會工程學即是海盜們的行為準則和創新指引。
那麼什麼是社會工程學資料庫(社工庫)呢?即黑客在運用社會工程學進行攻擊的時候,積累的各方面數據的結構化資料庫。簡單的說,社工庫是黑客用來記錄攻擊手段和方法的資料庫,這個資料庫裡面有大量的信息,甚至可以找到每個人各種行為記錄(每個人在每個網站上的賬號、密碼、分享的照片、信用卡記錄、訂的機票記錄、通話記錄、簡訊內容、各種社交軟體的聊天等等包羅萬象),比如之前有很火爆的查詢開房記錄的資料庫,就是一個典型的極簡單的社工庫的例子。
那麼社工庫又是如何產生的,在國內的互聯網地下產業鏈中,又是什麼模式的存在,發展又是什麼情況呢,我們接著分析。
社工庫的發展:數據盜竊
既然是傳說,背後就有很多故事,說到社工庫的產生和發展,我們就得先從互聯網的數據竊取與交易開始說起。
互聯網用戶數據泄露一直是行業關注的焦點,從最近的京東用戶密碼泄露事件,到之前的CSDN的資料庫完全爆出,再到如家酒店的用戶數據泄露,網站和黑客在用戶數據上一直在進行著曠日持久的攻防戰。但是爆出來的數據泄露,僅僅是冰山一角,甚至也不到。而且這些信息其實對於黑客來說,根本沒有什麼價值。而對於用戶來說的危害,也沒有想像的那麼大,因為大多數時候這些數據在黑市中幾乎都已經是半公開的性質了。
而數據竊取與交易這個細分領域也幾乎是地下產業鏈隱藏的最深的一部分,很多在互聯網地下產業鏈中沉寂了多年的大佬都並不了解此道的相關信息。絕大多數被盜竊後的網站數據,並不會公開與眾,只是交易後進入到地下產業鏈的其他環節而已。所以目前到底有多少網站的數據已經被竊取我們沒法客觀的進行數據分析。但在互聯網黑市中,大家說起來類似的問題,常用的一個詞是「十墓九空」,也許這個說法有點誇張,但是也可以參考。
我們從2009年以來,通過黑市的輿情監控和專業網路調查,對互聯網每年的流量排名前100的網站(刨去沒有用戶賬號機制的)進行調查,結果如下:
數據竊取產業雖然隱藏的非常深,但是發展歷史永久,地下產業鏈也隨之成熟,對於如何把數據變成貨幣,已經有了非常完整的程序的分工協作渠道。而其模式相對簡單,一般只包括:脫庫、洗庫、撞庫這幾個階段。
在地下產業術語裡面,「脫庫」是指入侵有價值的網路站點,把資料庫全部盜走的行為,因為諧音,也經常被戲稱作「脫褲」。在取得大量的用戶數據之後,黑客會通過一系列的技術手段清洗數據,並在黑市上將有價值的用戶數據變現交易,這通常也被稱作「洗庫」。最後黑客將得到的數據在其它網站上進行嘗試登陸,叫做「撞庫」,因為很多用戶喜歡使用統一的用戶名密碼,「撞庫」也可以是黑客收穫頗豐。
在早期的數據竊取過程中,這幾個階段幾乎都是由同一個團隊、甚至單個人來完成的。發展到今天,已經完全細化成產業鏈,很少有人從脫庫、洗庫一起做了,而變成:定製化模式,或交易化模式。
定製化模式:就是現有下遊客戶指定的某一家網站,然後聘請黑客去脫庫,脫庫後獲得傭金的模式,在定製化模式中,有很強的黑產規矩即數據屬於下遊客戶,而黑客不可以再次出售,或者在一定的窗口期內不能再次出售。
交易化模式:黑客去某一家網站脫庫,脫庫後直接在黑市上尋找下家,在這種模式下一般可以反覆出售,但是由於風險較大,而且數據真實度和新鮮度不一定能得到保證,又充滿了騙局,越來越沒落了。
而下遊客戶定製某特定一家網站的脫庫,是怎麼盈利呢?
大多數時候,都是競爭對手或者上下游企業採購,而且大多數都是主流互聯網產業鏈中的客戶,甚至是傳統企業客戶。其實這個模式很簡單,想一想在生意場上,這家網站的資料庫對誰誰有利,誰就可能是潛在的定製客戶,只不過由於很多主流互聯網企業或者傳統行業很少了解這個地下產業,所以就會有一些中間人,來做中介促成相關的生意,而這些中間一般情況就是黑市裡面的買家或者定製客戶了。
----------------
我們用實際的例子說明:M哥在黑客圈小有名氣,技術過硬。某互聯網醫療產品最近要拿投資,深度用戶不夠啊,通過中間人,輾轉的找到了M哥。M哥奮戰了幾天,直接脫褲了幾家三甲醫院的網路挂號系統,歷史數據應有盡有,結構化分類一應俱全。M哥到手200w,中間人到手300w,而這家互聯網醫療產品由於用戶的激增和數據的全面性,以及對應新產品的虛假運營,多拿來1000w的投資,絕對雙贏。
社工庫的發展:洗庫撞庫
如之前分析,不管數據如何販賣交易,賣給誰,怎麼賣,最後黑客手裡面還會有一份數據,由於黑市一般都採取定製化交易,黑客們不能再次出售了,所以一般情況下黑客們會用這份數據進行洗庫撞庫再洗庫操作。
洗庫主要是清洗這些數據中可以直接變現的部分,但是這樣可以直接洗庫的就能洗出價值的數據,其實並不多。一般都是有預存款或者虛擬物品交易的資料庫才能洗出來價值,例如:遊戲賬號、電商賬號等等。
更多的時候,黑客將得到的數據在其它網站上進行嘗試登陸,叫做「撞庫」,因為很多用戶喜歡使用統一的用戶名密碼,「撞庫」其實可以收穫頗豐。而撞庫和洗庫的過程是配合的,黑客使用自己開發的工具、直接資料庫匹配登錄技術以及配合黑色產業鏈中的打碼機制(之前TOMsInsight報告中有介紹)可以對很多網站進行批量撞庫,一旦成功,可以進行再次洗庫。
這就好比黑客們拿到了一份沒什麼價值的網站的全部用戶名和密碼,沒關係,可以用這份用戶名密碼來嘗試著登錄有價值的網站嘛,如果能登錄,不就可以洗出來價值了么,我們還是繼續看M哥的例子。
----------------
M哥賣掉了幾家三甲醫院患者的挂號數據,雖然到手200w,但是也不滿足。想想這幾百萬條數據,應該還會有別的價值吧。但是M哥又是一個傳統的講道義的黑客,不會再次出售給別的買家。只能從這些數據本身來找到價值了。
M哥嘗試用這些數據登陸QQ、京東、支付寶、淘寶、各類網遊,從而洗掉裡面的資產,但是由於各種網路的安全策略的保護,M哥雖然有收益,但是卻不多,甚至都不夠自己的洗庫撞庫的網路成本,於是M哥繼續沉寂下來,這一沉寂,開闢了一個傳說。
社工庫的發展:構建傳說
在很多時候,社工庫都是一個傳說,就像海盜裡面流傳的那筆誰也不知道的寶藏,只有那塊已經不知道轉了多少手的髒兮兮的殘缺的藏寶圖才預示著它的存在。但是社工庫卻又很客觀的放在那裡,一直存在,一直沉寂。
除了販賣數據本身得到金錢上的利益之外,黑客還會把得到的數據進行整理,製作成社工庫。社工庫是一個積累的過程,也需要大量的人力物力的去建設,同時還是一個漫長的過程。開始的時候就像M哥一樣,單兵作戰的去積累,今天是三甲醫院的資料庫,明天是旅遊網站的資料庫,後天的演唱會訂票網站的資料庫,這些資料庫積累越來越多。
M哥後來遇到了V哥,V哥是同行,手裡面也有很多資料庫,可以和M哥互補,兩人一拍即合,把雙方的資料庫融合起來,內容變得更豐富。而且兩個人不斷的進行分析維護,排除噪點數據和沒有價值的數據,相互關聯,刻意的去豐富一些必需的數據欄位:比如QQ號和密碼、比如手機號、比如身份證號。再刻意的去交換購買補充一些極其有價值的,比如徵信報告。
社工庫的內容越來越豐富,而M哥和V哥兩個人力量還是小,兩人刻意的去聯合同行,組成利益聯盟,把手裡面的數據都放到一個社工庫,組織力量去維護去分析。
這是一個放大的效應,由於社工庫的日益龐大,信息的日益完善,再加上時間的沉澱,很多數據都可以慢慢地浮出水面,可以獲得相當多的信息。目前有一些公開的社工庫,信息全面性和對於用戶隱私的了解以及讓人震驚,但是這才是僅僅公開的社工庫,對於黑客們來說其實已經是沒有價值的信息。真正地下的社工庫的數據信息豐富程度要遠遠更大,也絕對隱匿。
利用社工庫,幾乎可以暴漏出一個網路用戶的全部網路行為、大量的用戶隱私,和一些牽扯到個人身份財產的相關的數據信息。
首先讓洗庫變得更加容易:由於數據量很大信息很全,很多的賬號的的虛擬財產的轉移就不像之前那麼困難,了解到信息之多甚至都可以偽裝成這個用戶去進行操作了。
其次讓各種詐騙變得簡單:之前大多數詐騙都是光撒網模式,而社工庫的完善後,可以非常有針對性對一些特定的用戶進行詐騙。利用數據技術,甚至通過木馬分析一些用戶QQ聊天的內容,尋找有價值的目標,和相對更信任的關係網路。這種模式風險會更小,而且由於詐騙目標相對較大,收益更大。在這種模式下,完成技術分析工作的一般是黑客,但是最後完成詐騙的卻一般不是,黑客把按照客戶要求去分析,最後把可以完成某種特定詐騙的目標連通相關信息出售(黑市稱腳本)。
最後社工庫也成為地下產業鏈的基礎服務商:全面的社工庫基礎數據,也是精準的流量獲取來源,成為流量獲取分發的地下產業鏈的基礎服務和大數據服務商。一些特有的黑色產業目前非常依賴社工庫,例如精準定位的賭博平台、一些p2p金融類型的詐騙、或者是一些商業騙術。
社工庫還可以進行網路的定向攻擊,有時候一些不懂行的人進入互聯網,糊裡糊塗的就被騙的搞的一塌糊塗,互聯網並不簡單,簡單的是那些幼稚的主流科技媒體,真正的中國互聯網行業水很深,深到還沒有外企可以成功的地步。
而社工庫也在不斷的擴大,豐富,並且繼續沉寂。
社工庫的發展:未來趨勢
從2013年以後,國內互聯網黑市上的數據交易產生了嚴重的分層:一些大的數據盜竊團伙早已經完成早期的數據積累構建非常完善的社工庫,對於一般的數據定製需求都不會再接,會專註於更深度變現更強的金融詐騙;而一些小的數據盜竊團伙還在不斷的相互交易、交換數據、而且相對高調的浮出水面,其實危害反而沒有那麼大。
而且出於用戶交互方面的考慮,目前越來越多的移動終端支付或者金融產品的安全策略略淺,再加上更豐富的網路電商活動,導致沉寂在黑產中的數據危害也越來越大。這可能也會是更多的互聯網產品的設計時需要考慮的問題所在。
而真正沉浸起來的社工庫,一方面已經成為傳說,另外還在構建著自己未來的目標,這些才是真正危害,也是對於我們最大的威脅。我們TOMsInsight分析到此很矛盾:在這個主流互聯網都在炒作概念玩擊鼓傳花的騙術,而地下互聯網都在積累的年代,也許我們真的應該沉下心去仔細的去研究去分析去洞察,而不是人云亦云。
「暴漏出來的社工庫都是小孩玩的,真正有價值的社工庫誰也不會暴漏,都在沉寂」, M哥對我們TOMsInsight的調研員說到「有時候真的看不懂現在主流的互聯網,拿幾百萬投資就嘚瑟的不得了,其實就是不入流的賣藝打賞唄,小孩過家家。我們這行很多人都能一天賺出來這個投資數的現金來,反而繼續去沉寂,沉下心鑽研,為了未來更大的打算。「 M哥的話有些絕對了,但是在某種程度上也值得我們反思。
給我們的啟示
江湖的故事會繼續,傳說也會繼續。有些人可以選擇視而不見,有些人也會選擇去逃避。但是冬天始終都會到來,冷暖自知。我們不能要求每一個互聯網人都踏實下來,畢竟一些浮躁的跟風賣藝求打賞也會是很多人的生存之道,但是我們應該知道,江湖並不是由他們構成,那些傳說,也都和每一個故事一樣的真正的存在我們的身邊。
當一個行業的地下產業比主流產業更踏實,看的更長遠,也更注重積累的時候,也許很值的我們所有的從業人員反思。畢竟,傳說應該屬於真正的英雄!
( TOMsInsight僅發布獨家原創報告,擁有全部內容及數據版權。歡迎個人分享,但媒體或商業轉載必須先聯繫我們並獲取郵件授權,違者必追究法律責任。 )
這是TOMsInsight報告
專註於中國互聯網的深度數據分析洞察
微信號:tomsinsight
網站:www.tomsinsight.com
http://weixin.qq.com/r/wExFXYnENdRKrc0_9xnS (二維碼自動識別)
黑客黑進別人資料庫,拿別人用戶數據去賣。
山東臨沂女大學生被騙離世案的幾個犯罪分子被抓到了,大家可能覺得,這詐騙犯還是蠻好抓的嘛,幾天就抓到了。說一下,這類詐騙背後的黑色產業難以剷除,主要原因在於成本低、收益高,而且無孔不入,所以導致黑產屢禁不止,我們通過幾個案例來感受一下:
一、天貓賠付
天貓規定,拍下付款後如果賣家缺貨/在72小時內沒有發貨並出現有效物流信息,從賣家的保證金里賠付貨款的30%的天貓積分給買家(單筆五萬分-五百人民幣上限),於是有人利用這個規則,專門尋找價格標錯的的商品,一擁而上每個號拍數個1700元左右的訂單,然後賣家發貨則虧大,不發貨則賠30%,反正有七天無條件兜底。甚至還有人拿特殊的軟體搜長期不在線,疏於看管,但是卻不下架商品的店家,原理相同。
【安安點評】
理財交易平台也有類似的方式,用爬蟲爬錯誤的價格,如果有人出售時標錯了價格,少輸入了個「0」什麼的,瞬間就被人買走了。所謂的特色軟體,其實就是爬蟲工具。
二、墊付刷單
這個騙子很多,但是有誠信的也不是沒有,私下店家會開活,分為兩種,賣家用儲蓄卡給你支付,不怕你退款,幾次後,你可以自己墊付,一般是2小時或當天18點以前返款,一單酬勞在6-10元左右,金額越大,號的質量越好,酬勞越高。
現在淘寶銷量排前面的茶葉,減肥,壯陽,衛浴,這四個類目沒有不刷單的,搜什麼金駿眉鐵觀音,出來的全是刷出來的店。發布任務時候店家就說的清清楚楚,就是為了提高關鍵字排名,讓刷單者從「鐵觀音」之類的關鍵詞搜索,然後Ctrl+F找他們店,天貓跟C店無異,除了刷單的信譽會好點以外。
【安安點評】
刷單永遠都是黑產中最常見的作弊方式,安安曾經坐優步,下車後又叫優步,又被派送了同一個司機,結果司機被優步認定為刷單懲罰了,可見商家對刷單的深惡痛絕。大部分刷單可以通過技術手段控制,比如優步可以禁止用戶匹配到同一個司機,或者選用豈安的WARDEN來查刷單:)
三、接碼平台
有人豢養大量零租/欠費/瀕臨欠費的特殊套餐地方卡,例如什麼湛江卡,濟寧卡,全中國找,只為了符合一個條件:欠費/瀕臨欠費的時候不斷接簡訊數月,或者月租極低甚至達到零租卡的地步,然後用貓池,即一種早年用於群發垃圾簡訊,可以將大量未開Sim卡直接連上電腦的設備,建立接碼平台專門替人接驗證碼,一毛錢一條。
例如,我想註冊30個大眾點評網賬號參加天天中獎——一個抽代金卷的活動,但是需要30個手機號,於是我就去找這類接碼平台買驗證碼,選擇你所需要註冊的網站(美團大眾蘇寧國美,上百個可選),然後他會顯示一個沒註冊過手機號給我,我拿這個點註冊,驗證碼由接碼平台系統接到反饋給我,然後我輸入,就得到一個註冊成功的大眾點評賬號,這樣的賬號存活率不高,但是短期使用足夠。
【安安點評】
簡訊驗證碼是羊毛黨、惡意註冊必須要繞過去的坎。坦率地說,互聯網公司對這種接碼平台的防範還比較困難,比較好的思路是用蜜罐:用蜜罐抓取這些惡意號碼,添加到惡意名單。
四、團購套現
團購網站常常會推出一些體驗性質的活動,類似於小額全免的,只要是全免就有搞頭,例如美團網有一個明星請你看電影的活動,每個人最多送40張一元無限制代金卷,或者前陣子的糯米手機首單二十五元無限制劵,那就有人動腦筋了,美團送無限制劵那次,無錫當地有一個賣蛋撻的老闆,他在美團上有團購,一元一個,然後他一下午領了一萬多張劵,全在自己店裡賣家號上消費掉,美團給他一萬貨款,這是極端的,你也完全可以拿著這個劵,去找當地的正好符合代金卷金額的商家,說這個吃的我不要了,你給我點錢,總之貨款是團購網站給你,咱倆都不虧,一般小商家都不會拒絕。
【安安點評】
這個算是薅羊毛範疇,現在的互聯網公司常常通過優惠券來拉新用戶,或者刺激沉默用戶,如果不能把握好優惠券的反作弊,很可能就會大大超出預算,直接造成經濟損失。
五、殭屍號反覆抽獎
這個我認為最無聊,很暴力,就是微博轉發,QQ抽獎,有人成千上萬個賬號拿軟體沒日沒夜的抽,大家拼機型和賬號數量,然後把獎品拿到淘寶賣,最有名的就是今年春節的蒙牛有好禮碼上幸福年,每個QQ每天能抽三次,一共送一萬箱純甄/煥輕/奶特,以中糧我買網提貨卷的形式支付,反正淘寶上最火那家店賣出去將近兩千張劵,而這個活動參與總人次我記得是一億三千萬還是一億四千萬,你們感受下殭屍號的威力。
【安安點評】
黑產也是蠻拼的,難怪安安平時參加抽獎從來沒中過獎,獎品都被黑產搶走了!從企業角度考慮,這也是一大筆損失啊,本來這些福利是要給到正常的用戶,提高用戶活躍和口碑的。
六、實名支付寶/資料
淘寶號用處很多,但是支付寶不實名屁用沒有,於是就有人出售能夠用來實名的資料以及賬號,使用的時候就讓你頂掉原擁有者的賬號,於是有些人的賬號就被莫名其妙頂了,這個原理是什麼嘞?
為防社工庫高手利用大量資料搞殭屍號,支付寶實名目前已經使用了一套安全度極高的實名驗證方式,即跟公安系統聯網。
1. 檢查銀行卡姓名和身份證姓名是否對應 ;
2. 身份證號加姓名是否真實對應;
3. 銀行預留手機號以及驗證碼和銀行卡是否對應,或支付寶打進這個銀行卡號的那筆款項是否正確。
這是一個非常聰明的反擊,這相當於變相把賬號註冊的難度和銀行的安保級別掛鉤了,因為沒辦法用虛假身份辦銀行卡,這樣對於買手機號,查身份證號的人,就傻眼了。
但是聰明的你一定發現了,這裡有一節是斷的:
沒錯,就是身份證號和銀行卡號不要求對應。這說明什麼呢?
假如你叫李剛,中國得有百萬李剛,通過某些社工庫,能搜到上千個李剛的開房記錄,包括身份證號,然後,他只要掌握了一張李剛的銀行卡,那麼,噹噹,他可以用這張銀行卡匹配全部李剛的身份證號,拿來做新的實名賬號也可以,頂掉這些李剛已有的支付寶也可以。
【安安點評】
這個操作起來難度還是蠻大的,而且支付寶還需要綁定設備,所以這種方法只適合拿來做新的實名賬號,危害相對要小一些。至於某些人拿創建的新號去做什麼,想想還真是細思極恐。
楔子
言歸正傳,作為一家嚴肅的安全公司,其實獵人君是來嘗試解決這類問題的。
作為老闆,你是否發現搞活動時用戶熱火朝天,活動一撤就一潭死水?
作為策劃,你是否只顧了活動的吸引人,而沒有考慮對付虛假用戶?作為程序員,你是否覺得通過簡訊確認下用戶就萬事大吉了?……辛辛苦苦籌劃的活動,好不容易申請了一批福利準備搞上一個月拉上幾萬優質用戶,結果三天就來了十幾萬,五天就掏完了精心準備的小紅包,第六天在線就蹭蹭掉,然而用戶就像一陣風,再也不出現了。
如果你是活動策劃,相信多少都經歷過類似的場景,此時你的心情,一定是這樣的。
- http://t.xiaomiquan.com/imey7u3 加入我的小秘圈 尊享更多乾貨!
如果想識別這些虛假用戶,找獵人君就可以了,獵人君的「黑卡獵人」產品擁有經過多維度分析的海量惡意手機號碼庫,可以直接接入使用。但對獵人君來說,僅僅識別這些惡意手機號是不夠的,更深的問題是,掌握如此海量手機黑卡的產業背後的故事:
他們是誰?
都是什麼卡?誰家流出的號?他們又攻擊了誰?造成了多大的危害?背後是怎樣的產業鏈?
這不但是獵人君想知道的,更是每個活動策劃應該知道的(先給老闆打預防針,老闆不但覺得你考慮周到,還能延長deadline,關鍵是出問題了鍋還有人背不是么。。)
一. 他們是誰
你以為他們是這樣點外賣的?
圖森破!下面才是他們背後的裝備:貓池(上圖是另一個產業,以後也會深挖,可以關注公眾號:ThreatHunter 第一時間獲取後續爆料):
當然,並不是代點個外賣還需要貓池這麼高級的裝備,這些裝備由養卡人負責維護,並把收到的驗證碼通過軟體傳到特定的接碼平台上,然後代點外賣的在平台付費獲取驗證碼並在自己手機上登陸下單。看一下接碼平台的收費:
看到沒,只要1毛錢!再看看群里賣首單的喊價:
賣8-10塊錢,80-100倍的利潤啊,這 TM 讓人如何能忍!!
- http://t.xiaomiquan.com/imey7u3 加入我的小秘圈 尊享更多乾貨!
二. 都是什麼卡
為了調查這些手機黑卡的來源,獵人君決定親自購買一些手機黑卡進行研究,來反向追蹤黑卡來源。依舊是靠萬能的 QQ 群,找到一些相關 QQ 群後,以收卡的名義和多位手機黑卡賣家進行了多番友好交流,獲取了一些信息,並從不同渠道買到了幾批卡。隨後用買到黑卡的服務密碼登陸運營商頁面,查看這些卡的相關信息。並進一步通過電話的方式從部分官方渠道愉快地進行了核實。得到結論如下:
物聯網卡
目前流通的手機黑卡中80%以上是物聯網卡,無需實名認證。主要用於工業、交通、醫療、物流等領域。物聯網卡只能以企業名義辦理,需提供營業執照。物聯網卡有不同套餐,手機黑卡主要使用的是以下兩種套餐:
- 套餐一:0月租(或1月租),只能收簡訊或給1069打頭的服務號碼發送簡訊,沒有語音功能不能接打電話,在手機黑卡產業內稱作註冊卡或簡訊卡。
- 套餐二:0月租(或1月租),有簡訊和語音功能,可以正常的接打電話和收發簡訊功能,在黑卡產業內被稱作語音卡,除了可以用於接收簡訊驗證碼,還可用於接收語音驗證碼、發送驗證簡訊這些單價更高的業務。
下圖依次為在中國移動、中國聯通、分享通信、銀盛通信網上營業廳查到的賣到的黑卡的相關信息,可以看出都是沒有實名認證的,都是企業認證的物聯網卡。
物聯網卡只能以企業名義辦理,但企業可辦理的物聯網卡數量通常沒有太大限制,可以大批量開卡。可以通過開設皮包公司方式輕鬆辦理大量的物聯網卡,如上圖中的幾家公司,手機黑卡灰產以這種方式輕易將辦理的物聯網卡轉手用於灰產獲取巨額收入。在這個過程中,運營商又是什麼角色呢?在銀盛通信這家虛擬運營商的網上營業廳,獵人君發現買到的黑卡的已訂業務欄顯示的居然是「驗證碼年卡」,有效期為一年。
據此,推測有些運營商會為灰產定製專用的物聯網卡套餐。為了驗證這一推測,獵人君聯繫上了某物聯網卡業務經理,詢問如何大量辦理0月租只能收簡訊的物聯網卡。果然,該業務經理主動問獵人君辦卡是否是用於接碼。當得到肯定回答後,對方給出了報價,並表示只需提供公司營業執照即可直接通過網路辦理。
實名卡
按說實名制已經是硬性要求,但業績和金錢如此迷人心智,是否能有完卵?勾勾搭搭這事情獵人君並不擅長,但還是不小心撩到了遠特通信這家虛擬運營商。從上線了解到的消息,通過關係可以從這家虛擬運營商那裡拿到大量未實名的卡,然後再從網路收集身份證信息來批量實名認證。在量足夠大的情況下,遠特通信甚至可以開放認證後台並提供批量的身份證信息給灰產人員自行去認證。此處應有後台界面一張:
海外卡
由於國內實名制的原因,手機黑卡產業大量獲取國內手機卡將變得越來越困難。從2016年下半年開始,大量來自緬甸、越南、印尼等東南亞國家的手機卡開始進入國內手機黑卡產業。這些卡支持GSM網路,進入國內後可以直接使用,無需實名認證。同時,這些手機卡基本是0月租,收簡訊免費,成本低,非常適合手機黑卡產業使用,且使用比例越來越高。
三. 誰家流出的號
在調查手機黑卡產業鏈過程中,獵人君經過持續監控捕獲了大量手機黑卡號碼,並對這些黑卡進行了分析,分析結果如下:
- 虛擬運營商下的手機黑卡占所有黑卡的比例確高達59.81%,乃當之無愧的黑卡主力來源。虛擬運營商分配到手機卡號段只有170、171這兩個號段,而所有運營商已發放號段有近40個,虛擬運營商以少量的號碼資源貢獻了大部分的黑卡。由此可見,虛擬運營商的手機卡中很大一部分流向了灰產領域。而實體運營商里中國聯通與中國移動則旗鼓相當,相比之下,中國電信的管理則好很多,其手機卡流向灰產較少。
- 虛擬運營商由於找不到完整的號段分配表,大量聯通的虛擬號段無法查到分配給了哪家虛擬運營商。能查到的迪信通、極信通信、普泰移動、蝸牛移動、遠特通信、分享通信這6家的手機黑卡占所有手機黑卡的比例共4.85%,其內部佔比情況如下:
- 由於中國移動、中國聯通實行的是各地區分治,地區運營商的許可權很大,導致各地區的管理差異非常大。中國移動的手機黑卡中僅廣東東莞、遼寧遼陽、廣東汕頭這3個地區就佔了80.5%,其中廣東東莞更是重災區,佔比達54%。中國聯通則呈現出遍地開花的態勢,但也以江浙一帶為高發區,佔比達55%。
四. 誰在被攻擊
通過對手機黑卡產業的攻擊數據挖掘,獵人君發現攻擊最多的前4大行業依次為互聯網金融、電商、社交、O2O,占所有攻擊的64.7%。
互聯網金融
互聯網金融行業可以說是受手機黑卡產業影響最嚴重的,各互聯網金融平台為了吸引客戶到自己的平台,爭相砸入重金做各種新用戶註冊活動。羊毛黨利用手機黑卡到各互聯網金融平台大量的註冊新用戶,平台的活動經費大量的落入羊毛黨的口袋中,活動的效果大打折扣,有的平台直接就被薅羊毛薅到倒閉。
電商
電商行業的攻擊者主要通過各大電商平台註冊賬號,利用這些賬號進行幫商家刷單、刷信譽等作弊行為,對電商的評價體系造成衝擊,損害電商平台、正常經營的商家、買家的利益。被攻擊的電商平台有:淘寶、京東、1號店、蘑菇街、唯品會等。
社交
攻擊者在社交平台大量註冊小號,用這些小號從事發廣告、刷粉、刷閱讀量、充當網路水軍、傳播色情內容、進行網路詐騙等等。被攻擊最多的社交平台包括:微信、QQ、新浪微博、陌陌等。
O2O
近幾年,O2O行業在國內的發展迅猛,各平台為了爭奪用戶下了血本,從2010年團購網站間的千團大戰,到2014年滴滴和快的之間的24億天價補貼大戰,再到最近共享單車領域的紅包單車大戰,戰況之激烈舉世罕見。廣大用戶在這些大戰中確實獲取到了實惠,但獲得收益更多的還是手裡掌握著巨量手機黑卡資源的羊毛黨們。像大眾點評這樣有商家入駐的O2O平台則跟電商平台一樣遭受著來自養號者的攻擊,評價體系被影響。
新趨勢
隨著互聯網金融、電商、社交、o2o這些行業趨於成熟與穩定,可獲取利益逐漸減少,手機黑卡產業開始尋找新的獲利點,呈現出以下趨勢:
- 由於國內市場趨於飽和,且競爭激烈,近幾年國內的互聯網公司開始進入海外市場,手機黑卡產業也追隨著他們的步伐尋找海外市場的攻擊目標。例如微信作為全球為數不多的可以跟Facebook、Whatsapp抗衡的社交平台,在積極開拓東南亞市場,手機黑卡產業敏銳的嗅到了商機,開始大規模的從東南亞獲取手機黑卡,註冊微信東南亞地區賬號,從中獲取灰色收入。
- 冷門的軟體和服務稱為攻擊目標。由於熱門目標的價值已經被開發得比較徹底,一些冷門的軟體和服務開始被陸續手機黑卡產業發掘出來以獲取更大的收益。比如:迅雷賺錢寶預約服務被黃牛黨攻擊,大量註冊賬號提升命中概率;一些積分牆軟體也被大量註冊賬號,騙取任務獎勵來獲利。
五. 背後的產業鏈
關於黑卡產業背後的產業鏈,先看一張圖:
卡源卡商
卡源卡商通過各種渠道(如:開皮包公司、與代理商打通關係等)從運營商或代理商那裡辦理大量的手機卡,然後加價轉賣給下游卡商賺取差價,他們掌握著手機黑卡貨源。
貓池廠家
貓池廠家負責生產貓池設備,並將設備賣給卡商使用。貓池是一種插上手機卡就可以模擬手機進行收發簡訊、接打電話、上網等功能的設備,在正常行業也有廣泛應用,如郵電局、銀行、證券商、各類交易所、各類信息呼叫中心等。貓池設備可以實現對多張手機卡的管理。前文插了許多卡的設備圖就是貓池。
卡商
卡商從卡源卡商那裡大量購買手機黑卡,將黑卡插入貓池設備並接入卡商平台,然後通過卡商平台接各種驗證碼業務,根據業務類型的不同,每條驗證碼可以獲得0.1元-3元不等的收入。
卡商平台
負責連接卡商和羊毛黨、號商等有手機驗證碼需求的群體,提供軟體支持、業務結算等平台服務,通過業務分成獲利。卡商平台很多,活躍的有數十家,比較知名的卡商平台有:Thewolf、星辰、愛樂贊、玉米等,其中Thewolf和星辰可以接語音驗證碼。2016年11月當時最大的卡商平台愛碼被警方查處,隨後很多平台轉入地下。
羊毛黨/號商
當某個企業做活動獎勵時(比如:去年很火的P2P新用戶獎勵、最近比較火的摩拜、ofo的紅包單車),羊毛黨就會出動,大批量註冊賬號獲取活動獎勵。號商則是大量註冊並養各種互聯網服務的賬號,通過出售養的賬號獲取收益,如:微信賬號、淘寶賬號、微博賬號、陌陌賬號等。這些賬號可以用於發廣告、做水軍、代刷信譽、代刷粉等。由於註冊賬號需要進行手機簡訊驗證或語音驗證,羊毛黨/號商就會找到卡商平台去獲取手機號來接收驗證碼。
六. 造成多大的危害
經過和手機黑卡產業內不同的人進行友好交流,獵人君得到了一份還算靠譜的黑卡產業各分工獲利數據,由此推算每年手機黑卡產業給企業造成的直接經濟損失超過40億。由於有些數據的可靠性暫無其它渠道可以驗證,這份數據還需大家自行判斷可靠性。下面就以註冊卡(國內物聯網卡)為例介紹下一張手機黑卡經過產業各環節後如何價值放大的,並有此推算手機黑卡產業造成的直接經濟損失:
卡源卡商
從運營商或代理商處拿卡成本為每張卡6-10元,然後加價轉賣給卡商,每張卡收益為5-8元。拿卡成本根據卡的有效期長短波動,例如3個月有效期的卡拿卡成本在6元左右。
卡商
從卡源卡商處拿卡成本為每張卡12-18元,通過接驗證碼業務,每張卡收入可以做到25-35元左右,收益為10-20元。以每月經手5000張卡的中等規模卡商為例,扣除成本後每月可獲利7-8萬。
卡商平台
主要成本為平台前期的開發費用和後續的維護費用,通過對每單業務收入分成20%左右獲得收益,每張加入平台的卡可以從中獲得5元左右的收入。
羊毛黨/號商
以微信為例,號商註冊一個微信號付給卡商平台的費用為2.5元左右,將微信號養一段時間後出售,滿月號(註冊滿一個月的微信號,下同理類推)、三月號、半年號、一年號分別可以賣到15元、40元、65元、90元左右。號商獲利空間豐厚,相應的,由於養號需要大量手機和相應技術,成本和門檻較高。羊毛黨的收入則波動較大,在互聯網金融、o2o大戰、滴滴快的大戰、共享單車大戰時,羊毛黨可謂是日經斗金。大戰過後,收入有所下降。
一張手機黑卡最終在羊毛黨/號商手中能產生至少100元的收入,按每年4千萬張黑卡計算,這個產業每年有40億以上的產值。有進必有出,這也意味著企業每年因手機黑卡產業攻擊造成的直接損失在40億元以上,間接損失還得另算。
七. 如何防範
- http://t.xiaomiquan.com/imey7u3 加入我的小秘圈 尊享更多乾貨!
運營商掌握著所有手機卡,理論上從運營商入手才能根治手機黑卡問題。
- 物聯網卡採用專門號段,停止發放正常號段的物聯網卡。
- 加強地區代理商的許可權管理,建立實名制審計流程,及時發現內鬼。
作為企業,最快捷的方式則是從專業公司獲取經過審計的惡意手機號碼,在註冊或活動流程中接入審計策略,讓企業投入的經費能得到有效利用,並盡量減少因黑卡產業帶來的損失。
寫在最後
正如大草原上獅子周圍總有成群的鬣狗,伺機從獅子口中奪取食物,甚至敢於直接攻擊獅子。
互聯網大公司的周圍同樣環繞著眾多隨時掠食的黑灰產從業者,也不乏被黑灰產直接干倒的正規公司。叢林法則在人類的生態系統中不斷上演,並將在黑白博弈中一直持續下去,往複循環,不曾更改。
年輕的時候總喜歡分清黑白,站更高才發現世界其實一直如此博弈循環著。我們努力使天平倒向白方,也並非為了能改變局面,只是覺得,不能把世界讓給那些不喜歡的人和事。
比如大數據約炮,根據開房數據分析出哪些女人特別好約,然後想辦法認識。
大數據其實本身就是個有點黑的東西。
且不說WiFi萬能鑰匙這種徹頭徹尾的東西(其實算不上真正的大數據,因為只是對數據進行了收集,而沒有進行進一步分析,計算),BAT系搞得各種大數據本質上都是在收集,利用我們涉及隱私的信息。
全家桶安裝在你的電腦上,你怎麼知道它後台是不是在偷偷上傳你的重要信息?謝邀, 大神發言我就匿了。。本人見識於頭髮長度成正比都比較短。。。只能說有做大數據的人 有做黑產的人 但是做大數據黑產的人少之又少。。。至於大神說的社工褲黑產。。我不好意思發言。。。。所謂大數據黑產 所謂的。。不是說直接買賣數據 給商家讓他們定點投放廣告收據利益。。。而是一些更深層次的東西。。大神在上。。我就不說了
為什麼說大數據黑產,
大數據本身其實就不太白…比如我之前在的某商業WIFI公司,通過自己的路由器,鋪滿全國,來獲取某個人的行蹤及資料,然後往後就玩大數據,這樣的大數據,在用戶不知情的情況下,做的這些事情,我想已經是黑產了吧.總之大數據是一個可怕的地方!黑客黑進別人資料庫,拿別人用戶數據去賣。為什麼問我,我可是正當人。(逃)
看到了我也答一波挖挖樓吧。圖片沒保存,我直接用編輯器弄得,太麻煩,看圖文的關注公眾號吧
歡迎關注我的公眾號:網路黑產那點事
帶你走進另一個互聯網的江湖
孔傳裡面說了這麼一句話「言知之易,行之難」;用成語說是知易行難;翻譯成大白話意思是明白一件事是一回事,可做起來是另外一回事;要是按韓寒的話說就是「我知道很多大道理,卻依舊過不好這一生」。扯遠了點,列位,看故事歸看故事,我再次強調,這不是黑產入門教程,可千萬別覺得看了幾篇故事就弄明白了其中的門道輕易去嘗試。
說正事,前幾天在知乎上看到一個問題:你所在的公司或者領域在做哪些大數據應用,當時我腦子裡浮現的詞都是什麼刷單、薅羊毛、密碼爆破、掃號等等詞語,正兒八經的大數據應用相關詞語一個都沒想起來Zzzzz。
大數據這個概念是在13年還是14年火起來的,說白了,就是巨量數據集合,有什麼用呢?講個簡單的例子,我可以通過演算法分析數據,比如某年8月8日哪個星座的女孩來大姨媽數量最多,嗯,假設答案是處女(隨口瞎編的,為什麼我一黑星座就想到處女了呢)那麼如果你女朋友是處女座,8月8號她心情相當炸裂,別傻乎乎的了,趕緊補血湯什麼的上吧。
當然,上面舉的例子,是正常互聯網上的一個簡單應用案例,你得搜集數據、數據分析、建立模型等等,不過在黑產方面,就沒有這麼麻煩了。
國內個人信息泄露大概數據,感謝wooyun豬豬俠的回答(問主不是我,別想著社我了一天,干點正事吧),侵刪。
前幾天小吳跟我說他手上有一批網易數據,大約有50多G,這個數量意味著什麼呢?下圖中6.6Q群這個TXT裡面大概有150條左右的數據,大小是2.8KB,我們簡單換算一下,1M是1024KB,假設150條數據等於3KB,1M數據就是51200條,1G等於1024M,1G數據就是52428800條數據,50G的數據就是2621440000條數據,假設有一半數據是重複的,也有13億的數據,都能趕上中國人口總和了。
不要覺得不就是郵箱數據嘛,有什麼關係?這些數據要是落入到有心人的手裡,那意義可就大了。就拿做淘寶號來說,我們都知道淘寶是可以通過郵箱註冊的,OK,我們先通過網易掃號工具掃出這批數據里的密正(密碼正確)數據,然後在通過淘寶的相關工具掃出已經註冊過淘寶的數據,在掃出可以用郵箱找回密碼的數據(淘寶這方面限制現在很多,以前甚至有漏洞可以強制把需要用手機修改密碼的賬號修改成用郵箱修改密碼),然後修改密碼,分門別類往外賣或者自用。
我曾經產過一些淘寶號,去年一個淘寶直登白號(正常登錄不需要驗證的新號)價格是3.5-7元不等,不過後來我有大約一萬個號被限購了就沒玩了。掃出來淘寶數據又有什麼用呢?刷單啊,去年雙11一天我賣出去了1600個號供不應求,你們隨意感受下,別看數據那麼好看,有三分之一的數據是刷單貢獻的。
以前的數據圖:
另外,我還可以通過一些爬蟲網站的街口,查詢到你的郵箱註冊過哪些網站,可以進一步得到你更多的信息,這類網站的原理我沒仔細研究過,我感覺應該是偽造註冊數據,然後進行查詢郵箱是否註冊,因為新的郵箱也能查出來,如果是資料庫的話更新沒這麼快。(慎重申明:我註冊世紀佳緣不是因為我要相親!!!)
這些東西感覺沒什麼用?那行,再來說個乾貨,兩周140萬人民幣的大數據黑產。去年天貓積分有個漏洞,嚴格意義上來說算不得漏洞,是個邏輯bug,新天貓會員是可以領取生日積分的,注意了,這個積分是可以折現的!能在購買東西時抵用!一個天貓白號3、4塊收回來,創造的利益可以達到50元/個。給你們看下當時他們某個被封賬戶的截圖:被封號原因:不正當方式參與套取淘寶活動紅包
說實話,講到這的時候我心情不是很好,因為弄這個東西的人是我一個關係相當好的朋友,當時他要給我開一條線讓我弄,因為我手上沒那麼多流轉資金,就沒搞,得虧我沒搞,這人已經被點進去了。
當時他們用到的工具。
在說一個,旺旺群發,這個是我聽說的,旺旺群發一條信息是3毛,是簡訊的3倍,有人做這個做的好的,一年能賺500萬。通過收郵箱數據,掃號一系列的操作,登錄旺信發送廣告消息。郵箱數據我買的時候大概是在10塊錢一萬條,現在不知道什麼價格了。
大數據在黑產的應用還有很多,基本上你能接觸到的互聯網黑產跟大數據都勉強能沾上邊,今天先講到著,改天我在繼續講。
泄葯不秘
這個題下,一票驚悚謝邀的答主也是一景,要麼題主你大數據篩選偏門了,要麼這些自詡受驚的答主在假裝無辜。先反問下,什麼是大數據的白產?
是不是所有數據來源和用途均合法才夠白?那我說,全國甚至全世界,沒誰能符合要求。——都特么算黑的,無非有些發灰。歡迎來辨。搞不懂,這種問題為毛會邀請我。。。好驚悚啊。。
從字面上理解,應該就是黑別人資料庫,然後那過來自己分析研究,然後再整理賣給別人吧。
不過還有一個事情,不知道算不算。現在很多廣告聯盟,包括知名的門戶網站、百度、淘寶、好耶等,他們在新浪、網易一些大門戶網站或者小網站投放廣告的時候,會非常隱蔽的收集用戶信息,這些用戶信息包括某些網站的註冊賬號、註冊資料,包括性別、年齡、職業、所在地等亂七八糟的東西。收集過之後會通過他們自己的數據處理成所謂的精準投放數據,用來給廣告主進行廣告的精準定位。舉個例子就是,你訪問新浪、網易經常會看到京東、淘寶的廣告,而他們展示給你的信息都是你關注的東西。。這就是精準投放。都解釋了什麼是,那我就說一下幹什麼用吧...
要致富 先脫褲,這句話能流傳下來是有根據的..褲子有啥用?1.精準的客戶群! 我在某股票app註冊,我就是精準的股票用戶數據,以此類推,2.洗零錢
我在某支付app註冊,我帳號丟失可能就面臨錢的丟失... 以此類推..3.密碼習慣 拿到用戶密碼習慣有什麼用?你密碼習慣是123456 ,你銀行卡密碼也可能是123456,你支付密碼也可能是123456 你app登錄密碼也可能是123456..我越來越佩服搞黑產的 什麼站都敢搞 可怕的是什麼站都能搞下 黑產底層是要技術支持的 我佩服他們的技術
問一下,信用卡用戶的資料貴不貴?哪裡可以買?
關於大數據黑產很多年就開始了;現在基本泄露一個點,後面的其他欄位就全部出來了進行欺詐很有效果;
ZF有最大的資料庫,
習慣也被編輯了資料庫
感情史也被編輯成了資料庫
寫給2050年以後來自未來的你如果大數據有所謂的「黑產」,必然有與其對應「白產」,所以搞清楚大數據「白產」,問題就解決了一大半。個人對大數據「白產」的看法是:合乎國家法律,通過合法途徑獲取,應用於合法目的。摟摟,,我只能幫你到這了。
現在的用戶信息價格非常高,很多的網站都在私下賣用戶的數據,我知道一個創業公司獲取一個用戶的成本現在是10元左右。。。不知道這個算不算大數據黑產所導致的
能想起和你最浪漫的事,是一起接到騷擾電話,信息泄露無處不在,單位販賣,黑客盜取,不過那個黃金期已經過了,現在還想著玩數據黑產的基本都是作死
推薦閱讀: