威脅獵人:2017年度中國互聯網黑產報告
聲明:
本文中所有數據均來自於威脅獵人威脅情報中心於2017年捕獲和收集的數據,獵人君將以最客觀的角度進行數據呈現,數據與真實情況可能存在誤差。任何機構和個人不得在未經威脅獵人授權的情況下轉載本文或使用本文中的數據。
概述:
2017年,縱觀全球網路安全事件,從黑客組織Shadow Brokers泄露NSA的漏洞利用工具EternalBlue,到WannaCry勒索軟體席捲全球,從國內58同城簡曆數據泄露,到國外信用機構Equifax被黑客入侵,黑灰產業蓬勃發展。
只有事件爆發後才能察覺問題,這使得企業和用戶的處境十分被動。企業對於黑產的行為邏輯、行動方式、利益和目的等都十分陌生。威脅獵人將根據平台第一線的攻擊數據和深入訪問調查的黑灰產現狀,為大家揭開黑灰產的面紗。
目錄:
一、黑灰產事件舉例分析
1、東鵬特飲薅羊毛事件
2、蘋果36
3、滴滴虛假註冊
4、Uber被黑客勒索
5、教材涉黃案
二、產業鏈分析
1、上遊資源提供者
a)黑卡
b)黑IP
c)賬號
d)賬戶認證
2、下游變現細分產業
a)流量欺詐
b)數據爬取採集
c)薅羊毛
d)引流
三、對抗升級
1、主流防控措施和黑產繞過方法
2、新風控角度的思考
a)黑產大數據監控
b)情報帶來的針對性對抗
結語
一、黑灰產事件舉例分析
1、東鵬特飲薅羊毛事件
營銷活動大家都不陌生,通過獎勵機制吸引用戶。不過同時也會吸引來一群叫做「羊毛黨」的人,他們依靠註冊大量賬號獲取優惠券、爭搶紅包、獎品,再通過轉賣等方式變現。大促、補貼、營銷活動都是他們眼中一次次「撈錢」的機會,被叫做線報。
缺乏業務安全意識、補貼又豐厚的活動是最容易被薅的。東鵬特飲是廣東一家飲料公司,傳統促銷活動是瓶蓋抽獎,隨著互聯網的普及,決定嘗試新的方式——掃二維碼領紅包,想借力互聯網省去繁瑣的流轉,順便收集顧客信息,不料羊毛黨卻給了他們當頭一棒。
隨著活動的升溫,迅速出現了大量販賣東鵬特飲CDK(碼子)的人。所謂碼子就是將活動二維碼轉換成的鏈接。購買碼子後用微信點擊便可以領取紅包。渠道商和羊毛黨手中的微信賬號有限,但碼卻很多,他們以略低於最低額度紅包的價格售賣,購買者也是穩賺不賠。
而購買CDK的是普通用戶嗎,只能說比例太少,普通用戶哪有渠道知道CDK的存在,大多是手中擁有很多微信賬戶的其他灰產從業人。他們平時的業務是用微信號加大量好友,再通過詐騙、微商等形式變現。東鵬特飲CDK只是順便的行為之一罷了。
總之在利益的促使下,迅速有人與廢品回收站核心節點合作,低價大量收購瓶蓋,提取二維碼信息,市場上稱為「廢品碼」,與之對應的是「必中碼」,是打通關係後從生產瓶蓋廠商、內部人員等處購買的,將二維碼一鍵生成鏈接,轉手賣給渠道商,渠道商再分發給各級下線,一套流程下來,層層都有利潤,做活動的企業就成了冤大頭。最終結果就是東鵬特飲發現實際兌換的獎金金額遠遠高於預期,而收穫的只是營銷效果為0的「殭屍用戶」。
不只是東鵬特飲,這類碼子在市場上非常之多,蒙牛優益C、蒙牛冰淇淋、百事可樂、紅牛、七喜、小茗、京東二維碼等等,數不勝數。當活動發展到一定規模,下游還會有人以「收學費帶賺錢」的形式大肆傳播,整個過程猶如蝗蟲過境,吃光企業的活動經費。
羊毛黨的基本行動方式就是以量取勝,用大量賬號暴力爭搶活動補貼、獎品,如新用戶折扣券,然後轉手低價賣出。事實上他們只是互聯網黑色產業鏈的變現末端之一,有些直接稱其為搬磚人,因其技術要求低,純粹是體力活。
他們的賬號來源、行動模式都值得我們注意。比如瓜分新用戶禮券的註冊手機號從何而來?答案是手機黑卡。威脅獵人收集維護了海量數據的黑卡庫,在下文產業鏈分析中會做出詳細介紹。除去手機號,羊毛黨作惡需要通過平台的IP、設備等檢測,這些在黑產中都有著平台化、鏈條化的產業,羊毛黨僅僅是它們的下游之一。詳細產業鏈分析請參考上遊資源提供者模塊。
2、蘋果36
同樣遭遇薅羊毛的還有蘋果。用戶在iOS上消費後,蘋果公司會按照比例與app服務提供方進行分賬,以季度結算。結算時,大量商戶發現蘋果的分成和實際銷售金額相差甚遠。在查看之下,發現了真實原因:被薅。
一些賬戶進行了6元和30元的小額消費後立即消失了,存在批量痕迹。原來蘋果為了提升用戶體驗,設置了40元以下小額充值可以不驗證,先派發商品的策略。對黑產來說,此舉意味著每個小號36元的利潤,立刻展開了行動。
他們會首先通過腳本批量註冊大量郵箱賬號。國外一些郵箱註冊不需要提供手機號,這一步操作幾乎是「無成本」的。完成後,會利用軟體,批量生成Apple ID,再批量激活。大部分廠商會在IP短時間註冊量上進行判斷,對黑產來說這一步的成本就是更換IP的成本。對此威脅獵人會在下述產業鏈部分詳細闡述黑產逃過IP檢測的方法。
消費需要綁定銀行卡,對於大量的銀行卡需求,黑產的解決方案是家庭共享和註冊虛擬銀行卡。設置家庭共享後,每個賬號可以有8個附屬賬號共享同一張銀行卡,而這張銀行卡是一張虛擬卡,當黑產持有一張銀行卡後,可以線上向開卡行申請虛擬銀行卡,卡號會和原卡不同,但都是屬於同一個賬戶。
當蘋果發現盜刷行為會對該賬號封號,當多個附屬賬號被封后,蘋果會將主賬號與其綁定的銀行卡列入黑名單,這時,黑產會將虛擬卡註銷,重新申請,完全不影響繼續使用。蘋果也會對設備進行檢測,這時黑產會結合改機軟體,在被鎖機前刷新設備指紋,輕鬆解決。
薅羊毛後,黑產就會利用低價優勢,通過各種渠道銷售虛擬商品進行變現。遊戲和版權行業是受害的重災區。
針對36技術,蘋果進行了策略調整,新註冊用戶限制使用先派發後收款的模式。然而此舉對黑產來說只是提高了一點成本,還在接受範圍中。造成的影響是黑產對老號的需求大幅增加,等待著蘋果的問題將是盜號、撞庫、養號等等。如上述變現環節,因為充值限制,會索要用戶(購買黑灰產手中虛擬商品的人)的賬號和密碼,這個賬戶就可以「回收」 投入下一輪的利用。賬號相關的產業鏈詳細闡述可參考下文賬號模塊。
3、滴滴虛假註冊
按照相關規定,網約車平台對註冊司機需要進行相關考核審查,如有一定的駕駛年齡、北京要求「京人京車」等。很多不符合規定的人想完成註冊,就會利用一種「代註冊」的黑產業務。
2017年9月,滴滴向廣東省公安廳網警總隊舉報,發現發現幾十萬賬戶存在虛假註冊、人車不符的問題。經查,發現了背後黑產大肆的牟利行為。駕齡不符、外地車不派單、車輛超齡都可以拿錢「解決」。
首先黑產信息源通過行業內鬼等,查到真實符合規定的人車信息。一級中間商從信息源購買車輛人員信息。然後加價轉賣給二級中間商,二級再加價轉賣給代註冊操作員。代註冊操作人再通過PS等方式「加工信息」,與購買者信息結合,將分別合規的信息整合為一整套,完成註冊操作,收費300-500元不等。而即使被發現,滴滴也只能對司機進行封號處理。
有些操作人還會順便薅一把滴滴的羊毛,如利用推薦機制,滴滴公司規定,每推薦成功一個司機,就能獲得218元衝鋒獎,和新司機前8個訂單30%的流水。不難想像在各家網約車競爭期,活動不計成本,都只想著在大戰中存活的時候,代註冊一夥能夠獲得多麼巨大的利潤。
事實上,在滴滴快的大戰時,虛假司機賬戶就是主要是用來刷單,結合外掛牟利的。當網約車合併,國家監管變嚴後,代註冊團伙轉而向不符合規定的人售賣服務,部分團伙還會以出售「註冊教程」的方式獲取額外利潤,這種教學收費模式往往是在本身利益降低時會產生的,當利益巨大時,掌握方法的人只會默默賺錢。
這一系列牟利行為不只是對滴滴造成了傷害,也會對普通用戶造成傷害。如滴滴外掛會通過修改定位等方式實現「挑單、搶單」。而滴滴不得不將距離最優演算法,改成幾公里內隨機派單,而用戶只能忍受明明看到身邊有車,卻需要在寒風中等待三公里外的一輛車。
更令我們警醒的是,我們的個人信息,竟然是如此容易可以獲得的。事實上,黑產的社工庫也確實在不斷完善,數據量越來越多,精準度越來越高,被廣泛的用在撞庫、詐騙等處,讓人膽寒。滴滴這樣的認證較為複雜,被應用更普遍的圖形驗證碼、身份證認證、面部識別認證都有著發展穩定的服務產業鏈,將在下文賬戶認證部分作出介紹。
4、Uber被黑客勒索
Uber在去年遭遇了大規模的數據泄露,包括5000萬用戶的姓名、郵箱、電話。和700萬司機的個人信息及60萬美國司機駕駛證號碼。Uber稱信用卡等信息數據並沒有泄露。5700萬數據,與雅虎、美國信用機構Enquifax泄露規模相比,本不值一提,在黑產中也不算驚天的數據。但Uber的做法引起了大家的關注——向黑客支付贖金。
當時的CSO和助理,以支付10萬美金的方式試圖隱瞞此事,避免Uber數據在黑市流通。事後兩人遭到了開除,CEO迫辭職,Uber最終聲明並沒有證據表示此次事件的數據被黑客利用,並將為信息泄露的司機提供免費的信息保護監控服務。
黑客獲取數據的方式令人好奇。事實上他們是從Uber工程師的私人GitHub庫,獲得了登錄憑證,進而訪問了Uber用以計算的亞馬遜雲服務賬戶,在賬戶中發現了用戶數據,隨即進行了勒索行為。我們不禁發現攻擊有時只需要找到一處漏洞,而防守卻需要全面嚴密。而除了防守還有另外一個問題需要我們面對——對已經泄露的數據該如何行動。Uber隱瞞的做法自然是不可取的。
而面對這種問題一個暴力而有效的對抗方式是建立比黑產更龐大的泄露資料庫,若能在黑產使用這些用戶信息時判定出是已泄露賬號,直接觸發風控邏輯,便可以進行更嚴格的審核,繞過黑客的防護手段,對敵人造成無法迴避的打擊。而建立這樣的資料庫除了需要有效、實時的收集補充方案,也需要各大廠商的分享和參與,收集多方資料,構建更全面的數據源。
5、教材涉黃案
2017年2月,一則「高中教材涉黃」的新聞受到了瘋狂轉載,人教版高中語文選修教材中的詩詞網址打開後竟然是黃色網站。實際上這個網站是遭到了篡改,實施者是一家名叫「雷勝科技」的公司。表面上它是一家互聯網應用服務商,而背後卻隱藏著一條完整的色情誘導詐騙產業鏈,「教材涉黃」將它拖出了水面。
詐騙團伙開發色情網站和App,通過限制觀看有色視頻的時間,誘導用戶付費獲取完整視頻。但事實上並沒有所謂的「完整版」,盈利方式就是詐騙用戶。這個產業鏈的每一個環節都是經過精心規劃的。
第一環節為開發,技術門檻極低,詐騙團伙能夠以極低的價格購買到源碼,有經驗的開發者也可以在幾天之內輕鬆完成。由於色情內容在我國的違法性,App展示的有色內容會經過精心編輯,能完全規避「淫穢色情」的法律界定。雷勝科技設置了研發、市場、編輯、財務和客服部門。編輯部就是負責剪輯擦邊球類的有色視頻的,甚至雇有專業律師審核圖片和視頻。
App上架之後就進入了推廣環節,團伙會通過百度聯盟、木馬程序、修改網站內容鏈接等方式進行推廣。雷勝科技就是修改了教育網站的內容鏈接被牽引出來的。
之後就到了變現環節。詐騙團伙會從支付平台或者渠道商處申請獲得支付介面。申請需要一套完整的公司三證信息(營業執照、稅務登記證和組織機構代碼證)及銀行卡賬戶,這種在黑市上稱為公司「殼」資料,有專人在收集販賣,註冊電商企業店、申請支付介面等都會向其購買。針對於設置了風控模型的第三方平台。詐騙團伙會通過準備多個支付介面,使用可以短時間切換介面的方式進行繞過。
有些色情引流詐騙App還會在安裝時獲取許可權(如發送簡訊等),之後向特定的SP號碼發送簡訊進行扣費的方式進行盈利。這些app也會捆綁其他惡意業務,或是竊取用戶隱私信息等,對用戶造成更深的損害。雷勝科技是通過PC端和移動端流量分發引流,然後通過詐騙變現,而更為常見的方式是利用各大社交、視頻等平台,引流至微信後變現,在引流模塊我們會給出更詳細的介紹。
二、產業鏈分析
1、上遊資源提供者
a)黑卡
手機黑卡,指黑灰產從業者手中的大量非正常使用的手機卡。這些黑卡會提供給各個接碼平台,用於接收發送驗證碼,進而進行各種虛假註冊、認證業務。比如餓了么新用戶有十幾元的首單減免,羊毛黨會從接碼平台獲取手機號批量註冊,再通過下游將這些首單優惠以一半的價格賣給需要點外賣的人。註冊成本是支付一毛錢給接碼平台,收益是下游接單人的幾元到十幾元不等的收購價。而黑卡就是接碼平台手機號的源頭。
被稱為「史上最嚴」的手機卡實名制舉措,確實在一段時間內打壓了手機黑卡和接碼市場,提供黑卡和接碼服務的平台和個人一下子銷聲匿跡,但好景不長,僅僅幾個月後,便出現了強勁的復甦態勢,提供黑卡和接碼服務的平台和個人如雨後春筍般湧現。至今,該市場已經極具規模,並且運行穩定,給甲方業務安全造成巨大壓力。
本著儘可能全面、精準的原則,獵人君從多個途徑不遺餘力的收集黑卡信息,從市場現存的黑卡,到曾經有惡意行為的黑卡,再到市場新增的黑卡,構建了龐大的黑卡資料庫。對每個入庫的黑卡號碼經行多維度地評估,標註風險等級,可以有效幫助甲方完善基於手機號的風控策略。根據威脅獵人反向追蹤調查,黑卡背後的產業鏈大概如下圖所示:
卡源卡商
卡源卡商指通過各種渠道(如開皮包公司、與代理商打通系等)從運營商或者代理商那裡辦理大量手機卡,通過加價轉賣下游卡商賺取利潤的貨源持有者。卡源主要有:
- 物聯網卡:主要用於工業、交通、物流等領域的手機卡。物聯網卡無須實名認證,需要以企業名義辦理,提供營業執照即可,營業執照可以以千元左右的價格買到。有些運營商對營業執照檢測力度很低,甚至會為灰產定製專用的物聯網卡套餐。這種卡多為0月租或者1月租,根據能否接聽電話,分為簡訊卡(也稱註冊卡)和語音卡。
- 實名卡:這種多為聯絡運營商後,用網上收集的大量身份信息批量認證得到的。
- 海外卡:實名制實施後,卡商受到一定限制。從16年下半年開始,大量緬甸、越南、印尼等東南亞卡開始進入國內手機黑卡產業,這些卡支持GSM網路,國內可以直接使用,無需實名認證,基本是0月租,收簡訊免費,非常切合黑產利益。
如上述東鵬特飲提到的薅羊毛事件中,我們只看到有人大量售賣賬號,其實背後有個非常成熟的產業鏈,各級分工明確。了解了他們的經營方式後,我們再進一步分析黑卡數據可以發現運營商的比例甚至可以定位到犯罪團伙經常活動的城市。
手機黑卡運營商對比
下圖展示了傳統運營商和虛擬運營商黑卡的數量對比。來自傳統運營商的黑卡數量要遠多於來自虛擬運營商的黑卡數量,畢竟傳統運營商和虛擬運營商的手機卡總量不在同一個數量級上。2017年8月份的新聞數據表明,全國虛擬運營商用戶占移動用戶總數的3.6%,3.6%的用戶佔比卻貢獻了20.17%的黑卡數量佔比。相對傳統運營商而言,虛擬運營商的手機卡中黑卡佔比較高。
以下兩張圖展示了在非虛擬號段上和虛擬號段上三大運營商的黑卡數量對比。在非虛擬號段上,將近一半的手機黑卡來自於中國移動,約三分之一來自於中國聯通,中國電信最少。在虛擬號段上,絕大多數是中國聯通的手機黑卡,中國移動次之,中國電信依舊最少。
手機黑卡歸屬地分布
依據歸屬地統計的數據,廣東省十分搶眼,在黑卡歸屬地省份排名中遙遙領先,省內的廣州、深圳、東莞和佛山也霸佔了黑卡歸屬地城市排名中前五名中的四名。
貓池廠家
貓池廠家負責生產貓池設備,並將設備賣給卡商使用。貓池是一種插上手機卡就可以模擬手機進行收發簡訊、接打電話、上網等功能的設備,在正常行業也有廣泛應用,如郵電局、銀行、證券商、各類交易所、各類信息呼叫中心等。貓池設備可以實現對多張手機卡的管理。
卡商
卡商從卡源卡商那裡大量購買手機黑卡,將黑卡插入貓池設備並接入卡商平台,然後通過卡商平台接各種驗證碼業務,根據業務類型的不同,每條驗證碼可以獲得0.1元-3元不等的收入。
黑卡資料庫能夠結合企業自身的後台數據,作為補充和參考,為企業篩選惡意用戶提供賬號維度上的支持。
b)黑IP
IP地址作為互聯網的緊缺資源、一直是廠商最重要的風控方案之一。面對攻擊,最主流防控措施之一就是封IP,企業根據黑IP庫、同IP發起請求次數、密碼錯誤率、是否有惡意行為等決定一段時間內禁止某IP的請求。
而面對暴利,黑產不會輕易放棄,對待廠商的對抗,黑產積極主動尋求解決方案,甚至做到了平台化、鏈條化的反對抗。根據威脅獵人的長期監控,黑產主要有以下幾種獲取IP資源的方式:
- 掃描代理:通過全網掃描常見的代理服務埠,收集可用的代理IP地址,自行維護管理,成本高、效率低。
- 付費代理:代理商通過掃描、搭建、交換的方式,提供全球的代理伺服器,有效降低自行收集的產品。代理IP平台非常之多,均可以提供API介面供黑產調用。
- 付費VPN:與代理相似,使用技術不同。
- 撥號VPS:這類VPS是一台虛擬伺服器,通過ADSL撥號上網,每撥號一次換一次IP,使用者相當於擁有了整個城市的大量可用IP。更有相關供應商做到了打通全國多省市的撥號方式,俗稱混撥。也就實現了在一台VPS中使用一個賬號快速隨機切換近百城市的ADSL線路撥入互聯網。
我們稱這種用於網路攻擊的IP為黑IP。威脅獵人通過大量渠道,在2017年採集並整理出全球範圍內的黑IP,並做了詳細分類。
黑IP類型排名
經統計,黑IP top 10類型比例如下。一個黑IP可能會有多個標籤,整體看來,殭屍網路IP、機器人IP和代理IP的數量佔據前三名。
黑IP地域分布
分析IP地域來源數據,全球黑IP分布圖和top 20的國家如下。全球IPv4總數約為43億,美國擁有30%以上,這一數據與圖片相符,美國的黑IP數量佔比36.39%,遙遙領先其他國家。發達國家的黑IP數量要多於發展中國國家,可以簡單理解為,發達國家擁有更多的互聯網設備,也就擁有更多的IP資源,所以黑IP的數量與互聯網設備的數量成正比。
以下兩張圖片為全球黑IP來源城市top 20和全球黑IP所屬運營商top 10。從來源城市數據看來,top榜單中大多數是美國城市,中國城市數量緊隨其後,其中北京更是佔據了榜首。上榜的城市都是經濟較為發達的城市。從所屬運營商數據看來,top 10中一半是美國的運營商。
c)賬號
批量註冊和養號:
在互聯網灰產中,無論是行跡匆匆的羊毛黨,還是猥瑣發育的養號者,都需要大量賬號作為牟利的支撐。因此,註冊環節也就成了互聯網公司和灰產的最前沿戰場。各公司的註冊頁面看似平淡,實則暗流涌動。
灰產的逐利本性決定他們非常強調投入產出比。灰產會僱傭開發人員開發針對註冊環節的自動化攻擊工具。這種註冊軟體大抵有兩類:
- 模擬操作類:通過控制項操作瀏覽器元素實現,真實載入註冊頁面,模擬用戶操作。
- 協議破解類:通過HTTPS協議實現,破解註冊介面協議,直接帶參數調用註冊介面實現註冊。
除了批量註冊外,灰產也會根據平台特色,使用其他平台第三方登錄的方式跳轉成小號,批量產出,例如有一種微博賬號叫做授權號,因為註冊流程等原因,在微博平台受到風控限制,很難進行後續變現業務,就只用作授權其他平台賬號,在其他平台上完成變現。這種授權號成本低於手機號註冊,每個只需要幾分錢。
針對這類賬號,很多廠商會對新註冊賬號進行監控,於是產生了號商養號的行為,註冊後模模擬實用戶進行一些操作,將號碼從監控列表剔除之後再進行業務。
薅羊毛的新號、刷量的小號都是通過這些方式得到的,但針對蘋果風控被灰產需要的老號就需要通過盜號、養號、撞庫獲得了。當各個平台增加風控後,這類老號需求就會出現,如微信滿月號、陌陌半年號等等屬於養號,幾年掃號老號等屬於盜號或撞庫所得。
撞庫
撞庫,即攻擊者通過收集各個網站的泄露的用戶數據等方式,生成用戶名和密碼字典,批量去其他網站登錄,嘗試撞出目標網站的可用賬戶密碼。近年來,隨著頻繁出現的資料庫泄露事件,撞庫攻擊取代了木馬盜號成為了主流的盜號方式。
下圖為獵人君統計的2017年撞庫攻擊量走勢圖:
以下是2017年撞庫攻擊者「鍾愛」的一些攻擊目標和介面:
遊戲行業在地上互聯網公司也是盈利最為可觀的,在地下自然也聚集了大量相關從業人員,擁有眾多的細分變現產業鏈。能否直接獲得遊戲賬號的撞庫方案自然是受黑客歡迎與關注的,因此,遊戲公司向來是撞庫攻擊的高發地。國內外各大遊戲公司在2017年都持續受到大量的撞庫攻擊。
版權行業和社交行業也是深受其害,隨著正版化的推進以及帶寬的增加,許多相關資源需要付費觀看,存在不願意花高價購買會員,而願意用低價購買一個賬號使用的人,就會存在這些會員賬號變現的途徑,進而這些賬號也就是對黑產有價值的。
社交行業也擁有數量眾多的變現方式,主要的灰產有刷量(點贊、播放量、榜單等)、私信引流、色情社交引流、詐騙等。社交平台對抗的風控策略不斷升級,社交平台的老賬號也就成了某些圈內富有價值的資源,如某陌交友平台的老號價格在30元以上。老號資源意味著封殺率低、生意可持續。因此,社交賬號也是黑產的重要目標。
撞庫數據來源
(1)信封號產業鏈
信封號,是QQ號產業鏈中的黑話,每一萬個或者一千個被盜取的QQ號,稱為一個信封。信封號產業鏈就是QQ號盜取、銷贓的產業鏈。當QQ號中的Q幣、遊戲虛擬裝備等被清洗一空、壓榨乾凈後。就會將大量的賬號密碼販賣給黑客完善社工庫,或者製作密碼字典。由於QQ郵箱在國內的市場佔有率很高,以及很多用戶習慣直接用QQ號對應的QQ郵箱和密碼作為第三方平台的賬號。大量QQ號被直接用來進行網站撞庫。
(2)網站泄露資料庫
網站泄露資料庫的標誌性事件是2011年CSDN 600萬用戶數據泄露,引領了當年一波數據泄露高峰,數十個網站的用戶數據被公開,大量只在地下流通的數據被拋上檯面。平時不關注此道的黑客也掌握了足夠的數據源切入,某種程度上點燃了撞庫攻擊的熱潮。而且被爆出的數據泄露其實也只是冰山一角,更多的再地下黑市中交易流通。
(3)地下黑市流通
數據竊取與交易是地下產業鏈隱藏最深的部分,也常有一些定製性的交易,不少黑客通過數據交易來構建龐大的社工庫。黑客間的私下交易,我們無法得知,到底有多少網站數據已經被竊取也無法客觀的評估。但通過半公開渠道也可管中窺豹,以下是暗網某地下數據交易市場的截圖:
攻擊方法和主流防控
通過對海量攻擊行為的監控和分析,我們發現黑客攻擊方法如下:
(1)判斷賬號是否存在
- 註冊介面快速驗證:很多網站在填寫註冊信息時,會通過AJAX對賬戶名可用性做實時驗證,這個介面就可以被黑客利用做賬戶存在的篩選。
- 登錄介面返回信息:部分網站賬號密碼錯誤時,會返回敏感信息暴露賬號存在情況,如返回「賬號不存在」或「密碼錯誤」。現越來越多的廠商返回「賬號或密碼錯誤」,可以有效避免被利用。
- 找回密碼介面:部分網站,在找回密碼流程中,也會有一次提示信息,也常會被黑客用來驗證賬戶存在。
(2)業務安全集中管理問題突出
從TH-Karma統計的數據來看,許多網站的主要入口有比較嚴格的審計措施,會根據登錄IP、頻率等觸發驗證碼或者封鎖IP。但當公司業務增多,安全管理複雜度大幅增加,不同子站各用一套自己登錄驗證。這些沒有接入審計功能的邊緣業務介面就稱為了黑客攻擊的溫床。
(3)攻擊效果
根據威脅獵人對大量撞庫數據的統計,能夠成功繞過風控的攻擊占供攻擊量的83%,撞庫的成功率則在0.4%左右浮動。
對此威脅獵人建立維護了一個高危賬號庫。高危賬號指的是已被黑灰產從業者惡意利用的賬號,大多來自泄露的資料庫。對於甲方而言,看到這些賬號要多一份心眼,很有可能背後暗藏著不軌動機。威脅獵人根據在2017年高危賬號,做出了一些統計。
(1)高危郵箱賬號域名排名
Top 20的高危郵箱賬號域名如下:
國內郵箱域名佔據60%以上,其中以163.com、qq.com和game.sohu.com為主。國外主流郵箱域名(例如yahoo.com、gmail.com和hotmail.com),以及一些俄羅斯郵箱域名(例如mail.ru和yandex.ru)和德國郵箱域名(例如web.de)也位列top 20之內。基本可以看出,top 20的高危郵箱賬號域名的至少滿足以下條件之一:
- 郵箱服務用戶基數大;
- 來自於黑灰產活動活躍的地區。
(2)高危賬號關聯密碼排名
此外,獵人君也統計了與高危賬號關聯的密碼,數量排名top 20都是一些常見的弱密碼,列表如下:
d)賬戶認證
賬戶認證產業鏈屬於地下產業鏈中的服務型產業鏈。幾乎所有的互聯網企業都會要求用戶手機認證,有些還要求實名認證、人臉識別驗證,配合技術或人工審核。這必然給各個地下產業鏈都帶來了障礙,賬戶認證產業鏈自然就應運而生了。
手機接碼、聽碼
簡訊驗證是建立在手機和手機號成本上的真人驗證,被廣泛的應用於註冊等場景。如上述黑卡產業鏈的介紹,黑產的對抗方案並不依賴於手機和辦卡成本,而是接碼平台,黑產從業者從該類平台接收一個驗證碼需要支付1-3毛錢。
接碼平台是負責連接卡商和羊毛黨、號商等有手機驗證碼需求的群體,提供軟體支持、業務結算等平台服務,通過業務分成獲利。一般會提供給使用者客戶端、API、有些還會提供手機客戶端。手機客戶端用以支持各種手機業務。而API能夠對接到自動化工具、腳本中,實現批量註冊。
使用者首先要「收藏」自己要做的項目後才可以收取驗證碼,這樣做的好處是避免手機號在相同註冊場景的重複使用,同時也便於應對新形式的對抗,比如,整個註冊過程可能需要接收多次驗證碼,並發送一次驗證碼。平台會將收發集成一個流程,供使用者批量化操作。
有些廠商選擇了語音驗證碼,而接碼平台也產生了相應收取語音驗證碼的服務,同時也產生了「聽碼」網賺。接碼平台很多,活躍的有數十家,比較知名的接碼平台有:愛樂贊、玉米(現菜眾享)、Thewolf、星辰等,其中Thewolf和星辰可以接語音驗證碼。
2016年11月當時最大的平台愛碼被警方查處,隨後很多平台轉入地下。如愛樂贊因為非常穩定,卡商眾多,是最受黑產歡迎的接碼平台之一。現已不支持在線註冊,在有老客戶介紹情況下,聯繫客服充值1000元才可以開新賬戶,另一種解決方式是與別人共用一個賬號,且每次充值不能低於5元,否則會被封號。
打碼
驗證碼是風控最廣泛的一種部署方案。普通廠商會直接接入,有後台分析的廠商會在後台審計異常時觸發驗證碼以不影響普通用戶體驗。而在黑產中,撞庫、註冊等都需要進行大量驗證碼識別。所以帶動了另一個服務產業鏈——打碼平台。
作為一種最簡單、應用最廣泛的圖靈測試方案,大量公司和團隊不斷嘗試自動化破解,以至於驗證碼升級到了人類也需要多次才能識別的境地。國內的黑產,依靠低廉的勞動力解決了問題。他們對無法技術解決的驗證碼使用率暴力的方式——人工打碼進行破解。這種方式廣泛傳播到了大量第三世界國家,導致全球有近百萬人以此為生。打碼工人平均每碼收入1-2分錢,熟練工每分鐘可以打碼20個左右,每小時收入10-15元。
隨著技術的發展,黑產也與時俱進,逐漸產生了使用AI打碼的平台。如警方在17年打擊的「快啊答題」平台,使用了伯克利大學的數據模型,引入大量驗證碼數據對識別系統訓練,將機器識別驗證碼的能力提高了2000倍,價格降低到了每千次15-20元。為撞庫等需要驗證的業務提供了極大的便利。
身份證認證及過臉
人臉識別技術發展逐漸成熟,「刷臉」在近兩年成為新時期生物識別技術應用的主要場景。進入2017年後,在通關、金融、電信、公證等很多領域都需要對人和證件進行一致性的驗證。2016年6月國家網信辦發布《移動互聯網應用程序信息服務管理規定》,明確要求移動互聯網應用程序按照「後台實名、前台自願」的原則,對註冊用戶進行基於行動電話號碼等真實身份信息認證。
互聯網廠商面對法規以及某些業務上的需求,紛紛推出賬號強制實名認證,並將人臉認證環節放到App中完成。實名讓互聯網時代更加規範的同時,也給由於某些原因無法實名或者需要大量實名賬號完成黑灰色業務的人群造成了障礙,於是「過臉產業」應運而生,為別人批量完成認證獲取利益。
廠商認證時經常會要求用戶拍攝身份證正反面照片及手持身份證照片等。黑產獲取此類身份證「料」的方式有但不限於以下幾種:
- 收料人偏遠地區收集:他們會到偏遠地區以幾十元的價格大量購買拍攝一整套的照片,沒有網路安全意思的民眾很多為了一點的利益願意配合。
- 有些收料人甚至會假扮社區工作人員等在社區中進行收集,相對前一種,幾乎沒有成本。
- 還有一種純粹通過網路收集他人泄露出的照片。
收集後會以5-10元的價格賣給下一級使用者。對於需要過人臉認證的場景,從業者會利用PS等工具處理好一張帶背景的人臉圖,再利用Crazy Talk生成動態視頻的軟體,錄製「眨眼」、「搖頭」、「說話」等動作,完成後將攝像頭對準視頻,完成認證,過臉服務收費10元到100元不等。
過臉產業最開始被用在網路借貸薅羊毛上,如今已經廣泛使用在各種實名認證的業務上。今日頭條頭條號、58同城、移動「任我行」卡、騰訊大王卡等都是其盈利的途徑。
賬號認證增加難度和用戶體驗優化之間找到平衡點,對各個廠商來說都是不小的難點。在蘋果36事件中,就是為了提升用戶體驗給羊毛黨留下了可乘之機。蘋果若能對篩選出的惡意用戶提高認證成本,就可以找到平衡點。而做到這點需要對用戶行為和惡意行為進行分析。用戶行為廠商可以進行記錄,惡意行為需要情報的配合,包括惡意用戶的行動模式、流程、最終目的等。
2、下游變現細分產業
a)流量欺詐
流量欺詐已經發展成了成熟的產業鏈,刷量可通過人為的操作提高網頁訪問量、視頻播放量、廣告點擊量、搜索引擎搜索量等等。市場充斥著大量刷量工具和服務,幾元就可以買到數千IP的訪問。或是使用大量代理IP刷流量,或是基於P2P互刷原理(即掛機訪問別人的網站,得到點數後可以用來發布任務,為自己的網站刷量),刷量可以高度模擬真實用戶的行為軌跡,使得視頻網站、直播平台、廣告聯盟、搜索引擎、電商等甲方難以有效加以區分。獵人君通過分析在2017年捕獲的流量刷量數據,得出以下流量刷量黑灰產業中目標廠商的top 10:
刷量行為主要集中在以下幾個場景
(1)刷搜索引擎關鍵詞排名
搜索引擎排名對網站的流量影響巨大。市場上有提供很多提高關鍵詞排名的服務,原理是利用大量IP在搜索引擎搜索指定關鍵詞,然後到指定網站,點擊進入,甚至進一步模仿用戶瀏覽、點擊,欺騙搜索引擎,使其認為該站與該關鍵詞關聯度很高。百度,作為國內最大的流量出入口,榜首位置實至名歸。針對百度的流量刷量類型有多種,主要類型包括刷搜索流量和點擊百度網盟廣告。2017年底,百度推出「驚雷演算法」,旨在打擊以作弊的方式提升網站搜索排序的行為,究竟效果如何,2018年我們拭目以待。Top 10榜單中還出現了360搜索和中國搜索,刷搜索流量在整個流量刷量產業中的比重可見一斑。
(2)刷視頻播放量
另一個流量刷量產業的大頭是刷視頻播放量,目標廠商包括榜單中的優酷、搜狐、龍珠視頻/直播、愛奇藝、騰訊等,以及不在榜單中的觸手直播、風行網等。很多視頻有誇張的播放量,點贊和回復卻寥寥無幾。視頻網站依據視頻人氣付給視頻作者酬勞,虛假的播放量可直接導致視頻網站蒙受金錢上的損失。對於用戶來說,人氣很高的熱門視頻,內容質量卻名不副實,用戶體驗下降。
(3)刷廣告展示量和點擊量
通常告主會和廣告聯盟或站長合作,進行推廣,按照CPM、CPC的方式結算廣告費用給站長。一些無良的站長會使用軟體或者購買服務惡意刷CPM、CPC,獲取不正當利益。廣告聯盟存在一些廣告反欺詐機制,刷量有可能面臨封號,但依舊有很多人通過刷量技巧和網站數量來大規模獲利。
(4)電商和網站訪問量
此外,刷頁面的訪問量,包括刷社交站點的內容曝光量和電商商品瀏覽量,也是流量刷量產業中相當活躍的一個分支,比如新浪博客的訪問量,以及淘寶和天貓商品的瀏覽量等。總而言之,當今的互聯網世界中,充滿了障眼法,眼見不一定為實,所謂的「人氣排名」,所謂的「熱門列表」,不可完全相信。
b)數據爬取採集
爬蟲就是收集信息,「爬蟲寫的好,擁有整個互聯網的數據不是夢」。數據分析本身並沒有善惡標籤,方法和目的卻可以將之定性。黑灰產如今規模龐大,分支眾多,從獵人君觀察到的攻擊流量來看,黑灰產從業者的需求比較分散,快遞、媒體、電商、賬號有效性等等都是攻擊者的目標。黑灰產從業者做爬蟲的目的多種多樣,比如:
- 用作產品化上游的數據支撐,比如某些針對電商的秒殺、搶購軟體。
- 用作分析競爭對手的產品和業務策略,比如爬取競爭對手的產品信息和用戶論壇。
- 爬取競爭對手的用戶數據,尤其是有效的手機號或郵箱格式的用戶名,之後可用於定向的推廣營銷。
- 爬取有效的用戶名,可用於生成用戶名字典,實施撞庫攻擊。
- 爬取個人信息,惡意利用,甚至實施詐騙。
以下是獵人君統計的2017年較為熱門的一些爬蟲攻擊目標和介面:
c)薅羊毛
薅羊毛,簡單理解就是,以不正當的方式獲取互聯網上的各種福利,如新用戶註冊紅包。這些人不以「利小而不為」,只要是看到福利,能薅則薅,使得互聯網公司的推廣經費中很大一筆部分都打了水漂。薅羊毛入門門檻極低,如今,薅羊毛規模之大,足以稱之為一個行業。薅羊毛行業緊緊依附互聯網行業,與互聯網行業的以等同的速度發展。2017年,薅羊毛活動如火如荼,主要針對各類金融平台、電商平台以及O2O平台。
威脅獵人總結了一份2017羊毛熱詞雲圖,如下所示:
詞雲圖的中央,是大大的兩個字「會員」,各類會員,包括低價會員甚至是免費會員,深得眾羊毛黨的喜愛。其他福利,比如優惠券、紅包、商品秒殺、激活碼、各類低價QQ鑽等,也有較高的詞頻。認領福利需要賬號,賬號相關的關鍵詞,比如註冊、老號、白號、小號等,也是榜上有名。既然有賬號,就有連帶的賬號實名業務,比如認證、綁定、實名等。另外,不出意外的是,「騙子」的詞頻相當高,黑灰產市場本來就不受法律保護,「黑吃黑」的現象也較為普遍。
d)引流
有一些不適合直接變現卻坐擁巨大流量的平台,比如短視頻平台、社交平台等,黑產也不會放棄,採用引流方式進行變現。一個簡單的引流變現操作是這樣的:操作者在頭像、昵稱、個人資料等任何可以被平台曝光的地方留下聯繫方式,比如微信號,再通過發送誘惑性的內容吸引用戶前往添加好友,之後通過詐騙、微商等形式深度變現。
常見的社交平台引流方法,是通過軟體批量關注、發送私信等方式。一些引流操作可以帶來巨大的流量,個人無法消耗,會以「出粉」形式賣出,即買家根據成功添加微信的「人頭」數,付給引流者報酬。
引流人往往會結合目標用戶的心理以及引流平台的特點,進行操作,如到美拍的美妝視頻下寫「前100人免費送XXX化妝水」,吸引可以通過微商變現的「女粉」。在陌陌等平台上通過誘惑性圖片、視頻加上「想交男朋友」等話術,吸引「色粉」(「男粉」),在微信中騙取紅包或是銷售一些男性用品。
諸如此類,還有「保健粉」(可用於銷售醫療用品)、「連信粉」(中年有消費力的)、「股民粉」、「寶媽粉」、「女大學生粉」等等。在業內叫做精準引流,用戶群體越精準,價格越高。而購買者有兩類,一種是真實微商,另一種就是我們在東鵬特飲中提到的,用微信作為變現出口的黑產,如引來色粉後擼包,即詐騙,用微信機器人偽裝成女性,通過發送誘惑圖片視頻的方式索要紅包。
這種方式只能騙一次,所以他們需要引流人給他們源源不斷的粉,稱為「火車站流量」,而微信被舉報後賬號就報銷了,所以他們會向號商購買賬號,做到最後,變現可以用量化標準來計算收益,微信號平均多久會死,誰家引來的粉平均每個人頭幾塊錢……單從這一條往下看,引流和號商一直都有市場,會持續存在,而他們需要繞過廠商的風控,又需要一系列的服務型產業鏈,他們都會持續的與廠商對抗,只要利益不消失,對抗就會持續升級。
三、對抗升級
1、主流防控措施和黑產繞過方法
面對惡意行為,除去IP等規則判斷,廠商也會從行為和設備角度進行判斷。如用戶登錄過程的行為,包括停留時間、滑鼠焦點、頁面訪問流程、csrf-token等。再通過客戶端上報機器信息,識別判定是否存在偽造設備。
而面對對抗,黑產也在不斷升級,主要會從以下幾個方面進行繞過:
- 邊緣業務與新業務處尋找可利用介面:黑灰產不斷尋找審計不嚴格的邊緣業務介面,找到後便能繞過所有的防護措施,如入無人之境。而廠商在這個維度上很難有行之有效的監控,因為本來就是被疏忽的介面。這裡可以從第三方視角進行監控。威脅獵人對黑產流量進行大數據分析,可以是這種伎倆暴露在陽光下,何人何時攻擊了新的介面,從攻擊出發分析檢測,可極大增強廠商對漏洞的反應速度。
- 模模擬實用戶:規避後台行為分析模型方面,黑卡提交請求時不再是僅僅填寫User-Agent,而是儘可能全的完成整個流程,包括:完整的頁面打卡流程代替僅僅向關鍵介面提交請求;攜帶csrf-token等完備的參數;頁面停留時間採用函數隨機化;HTTP header嚴格遵守瀏覽器特徵;隨機化所有其他不重要的參數等。
2、新風控角度的思考
企業制定安全策略往往存在兩個問題:
- 是安全策略面向所有客戶,灰產可以不斷嘗試摸清規律,設法繞過。
- 對最新的攻擊方式不了解,導致制定防禦策略無法有效打擊黑產,反而容易誤傷正常用戶。
- 面對後台數據,只知道自己攔截了多少惡意用戶,不知道有多少沒有攔截。
因此威脅獵人從行業出發,針對電商、社交、遊戲、雲計算等不同行業的不同特點,逐一分析,還原真實攻擊場景,以期望解決企業面臨攻防信息不對等的問題,為企業精準防禦灰產攻擊提供數據補充、情報支撐。
a)黑產大數據監控
基於黑產攻擊的資源建立持續監控機制,對已經泄露和已經在使用的黑IP、黑卡、批量註冊賬號、盜取賬號、惡意流量等進行積累和實時更新。就能結合風控系統,從多個維度判斷,有效篩選出可疑用戶。
b)情報帶來的針對性對抗
情報收集和分析工作可以有效的還原出某個針對企業的攻擊方式,用於針對性打擊。如通過情報和數據結合分析,得出攻擊者的目的、攻擊流程和行動模式後,廠商就可以多維度的打擊,如A場景檢測到卻在B場景打擊,讓攻擊者摸不著頭腦,測試不出套路。在入口處有所遺漏時,還可以在出口處再次進行打擊,如註冊處或許沒有全部攔截,當檢測到註冊後立即綁卡搶紅包提現一氣呵成的用戶,標記高級別危險標籤,提高提現門檻等。
結語:
傳統的「你來我往」、「亡羊補牢式」的攻防策略已無法有效與現在的黑灰產勢力抗衡,作為防守方的甲方應當將戰場向前推進,步步逼近黑灰產大本營,以爭取更多的主動權。情報收集、風險偵測和威脅感知將是新型對抗模型中的三把利刃,能夠幫助甲方做到「知彼知己,百戰不殆」。
推薦閱讀:
※GacUI 1.0 眼看著就要寫完了
※區塊鏈也許是我們的未來,但是比特幣也許會被取代
※輕鬆籌崛起的背後,是社交眾籌的潛力可期
※杭州保姆縱火案、羅一笑事件——2017年這些網路熱議話題你還記得嗎?
※解密互聯網大佬飯局:菜名太有講究,座次也費心思