有哪些“揭秘中国各行产业链下隐藏的灰色产业链条,以及巨大的暴利黑洞”值得分享?

我来揭露,黄赌毒是暴利行业中的暴力,单单拿出黄来说,中国打击黄色产业,但是1024经久不衰,为啥?因为人性都有需求,想满足需求必须通过电影以及找兼职或者其他人满足,建立一个成人网站很简单,网上购买源码类似于草榴,然后从别的成人网站下载影片放到服务器,或者用程序抓取影片网址放到自己论坛,通过SE O和站群还有黑客手段增加访问量,可以提供V IP会员服务,这是其中之一盈利点,还可以接广告:菠菜 枪支 迷药 诱导下载 APP等 ,如果访问量够大 ,单单这两块收入就是普通白领五到十几倍的收入,但是注意一点,服务器需要架设在国外,另外准备好四件套,等一系列隐蔽措施,剩下的就是推广和接广告赚钱了,目前草榴社区年盈利能力10 0 W美元左右保守估计。暂时分享到这里吧 ,剩下的你们来揭露。

12 thoughts on “有哪些“揭秘中国各行产业链下隐藏的灰色产业链条,以及巨大的暴利黑洞”值得分享?”

  1. 最近和圈内一些大咖有了些深入的交流,自己在思维上也得到许多的提升,这里做个简短的汇报:

    1、很多人都在渠道,缺少渠道去引流,然后把渠道铺的很开,其实这里有一个误区,渠道多并不一定是件好事,如果你渠道找的到,或许对于你量的提升有所帮助,但是如果找不到,那么你花费的时间成本就太大了。

    所以这里涉及到一个横向和纵向的概念:

    举个例子:我找到一个渠道投放广告,花费了3000块钱,但是这篇文章只能给我带来5000的阅读量,150个咨询,转化2单,然后为了放大收益,一般人会选择去找多个这样的渠道去投放文章,花更多的3000、5000….并且效果不一定前面那个渠道好!花费的时间又多,这时我们换一个思路,如果我们就把心思花在一个渠道上面呢?我们把文章的标题、文案研究的很透彻,让打开率增加,然后我们用一些方法让这篇文章被转载出去,比如做个有奖转发活动(有奖转发的活动可以用更小的代价来做),再比如让现有资源去转发等等,这样我们是否能让这篇文章的阅读量达到1万,带来4单的转化呢?所以有时候横向和纵向的考量还是需要琢磨下的。

    2、微商日赚万元这样的广告不知道拉了多少人下水,中国据不完全统计微商人数XXXX人(其实古董也不知道有多少微商就业人员,总之就是很多吧,多的数不过来)但是大家只想过做微商可以赚钱,但是却没想过赚微商的人的钱?这里就不过多阐述了,后面会专门写一篇此文章

    正文——–

    很多人在做灰产或黑产的人,为了能够降低自身的安全风险,所以在做这类不见光的项目时,都想着能够不用自己的信息实名的收款方式收款。

    于是,就诞生出了一个新的灰色产业链:倒卖全套(银行)卡; 之前认识的一些学员,想做灰色项目,但是又怕被“猫抓老鼠”,于是就想着去购买一整套的收款工具,百度搜索就成了他们犯罪的渠道。

    另外,在QQ群也能够看到倒卖“银行卡”信息,而且是全套,再也没有比这让做灰产项目的人更加满意的一条龙服务。

    这些卖卡的“高手”,几乎都是采用你能够接受的手段成交,例如邮寄到付或淘宝交易等。一整套的卡资料,包含银行卡卡片、U遁、电话卡、开户资料、开户绑定的手机卡等,有的还配备一个老人手机,资料的完整度没有任何的瑕疵,而且价格也低到你感到兴奋。

    也许你会认为,这些卖卡的人,纯粹是为了卖卡赚钱,如果是那样想,你就错了。 因为他们卖卡给你,是先给你下个诱饵,然后套你一笔更大的。这有点应了那句“免费才是最贵”的话的感觉。

    其实,这些人卖卡给你,可以做到双重收益

    一种是直接卖给你,赚了你买卡的钱;另一种是后期套你卡上的钱,让你白白为他打工。 第一种赚钱模式,就不多说,就是买卖关系。这里,重点讲述下第二种赚钱模式,就是如何套你卡上的钱。 因为大部分人买这些卡,都是用来洗钱或者做不见光项目。于是,这些卖卡给你的人,就通过资金归集的手段,将你的辛苦赚来的昧良心的钱给转移到他提前设定的账户。

  2. 第一,就是汽车违章扣分消除机

    很多人都有违章扣分太多没地方弄分的时候吧.一般找人去消分300-400一分往往一天就一次就要扣个几千块,而且还很难找不到门路。实际这种扣分机器呵呵1980块,一次购买终身使用一分57-162块根据地区不同价钱也不一样。

    第二,最近很火的借款中介

    一般借钱一次10%的手续费,他们不分黑白户,也不是自己的钱借给你只是找一些网贷口子然后让你自己办理贷款。还能办理信用卡提额度,这种然中介日赚斗金的机器3880元,一次购买终身更新最重要的代理价格1880,呵呵都不够一次赚的。

    第三,微信营销手机

    很多微商用的,就是一次登录30-40个微信号,自动加好友,自动发朋友圈,自动点赞,自动加好友一切一切的微商和老板们自己吸粉的手机,大多数赚钱的微商都在用月收入过万?这种神器多少钱3680元~好吧

    我们想象中这几个行业都是什么黑道啊,认识警察啊,政府有人啊,银行有人才能做的行业投资成本都是几千块。灰色产业没那么高的门槛

  3. 啊…………我刚写了个专栏。

    互联网地下产业之赌博深度解析(1) – 知乎专栏

    ————————————————————————————————

    三五瓶 逼两拳 老哥还会军体拳。

    此话是“解赌吧”的一句名言,然而不少的圈外人士,甚至知乎的很多人都知道这话的内涵。

    这次我们来聊聊,到底是什么导致了戒赌吧的老哥有这样的调侃。

    中国互联网的赌博事业,可谓是品种繁多,各种势力错综复杂,

    赌博的方式也可谓是百出有:赌博网站的,时时彩,赌博游戏,真人赌博。

    今天我想说的是,这几年来特别流行的:微信赌博 。

    早期:

    不以盈利为目的,纯属朋友之间的娱乐。
    小凡,最早知道这个还是在过年期间,亲戚群里突然玩起来的。

    那个时候,发的包也不大。

    纯属就是活跃活跃气氛而已。

    类似与这样:

    中期:

    出现了类似庄家的人,有组织性,以盈利为目的,属于赌博范畴。

    案例一:

    群主拉一个群,里面聚集了有这方面想法的人。

    玩法:

    ●入群者需要向群主缴纳20元“押金”。

    ●由群主发一个总价20元的红包,群内成员来抢。

    ●抢到金额最小的成员是“输家”,负责发下一个红包。

    ●群主“免死”,即抢到最小的红包不用负责发下一个。

    案例二:

    现如今:

    玩法多,

    团队化运转,

    软件程序化,

    利益链分工明确。

    现在的微信赌博行业发张很完善,小凡认为有必要大概提一下各个的利益链

    利益链一:

    广告平台

    常见的色情网站:

    某些收集微信群的网站也沦陷了:

    虽然 网站主的初衷不是这样的,

    但是架不住广告费多啊!

    光这个广告区域一个月的收费:3*9*3000=81000.

    某些小众的论坛也有。

    某些贴吧也被广告机器给占领了。

    利益链二:

    其他(我主要是不想分类了,直接弄个其他吧,(๑•̀ㅂ•́) ✧

    1.回收微信群

    具体是怎么回事,自行搜索吧 。

    2.微信账号和微信公众号的贩卖者。

    毕竟微信官方一直在打击赌博,每天都有很多的账号死亡,庄家每天都需要新的账号来操作

    3.洗钱。

    以后说。

    4.其他。

    看我心情 ~( ̄▽ ̄~)(~ ̄▽ ̄)~

    接下来就讲讲现在流行的微信赌博模式(我给例子,自行理解。

    案例一:

    玩法:比大小,龙虎豹

    是否有奖池:有

    是否有机器人:有

    充值方式:扫描他给的二维码(可以规避掉某个账号被封的情况。

    提现方式:直接微信转账

    人员构成: 经理:大BOSS

    接待:给新人讲解玩法规则,符合要求的才能进去。

    财务:负责上分和下分事宜。若玩家想要进去,必须先买分,一般一分一块钱。

    这样不仅好算账,还可以筛选人员。

    上图中显示:在线人数632,有可能是可以跨群管理的机器人。

    至于玩家,只需要输入相应的命令就可以下分了。

    机器人也可以自动算分。

    一般是3分钟一把。

    案例二:

    这个团队就高端多了,用到了微信公众号,还有自己的程序。

    是否有机器人:有

    人员构成:不清楚(因为有自己的程序,不需要人来管理。

    玩法:

    充值方式:

    提现方式:转银行卡

    经营状况

    小凡的话:

    微信赌博必然会越来越大,无论监管力度是如何,毕竟潜规则在这里。

    而且微信的有利条件实在太多了:充值方便,传播容易,社交性强。

    在互联网的世界里,匿名度高,犯罪成本低。

    但并不代表不会被抓。

    刑法记得多看看!

  4. 新鲜出炉热乎的,7.6号支付宝推出13星认证。

    我们马上就找到了方法,然后第一天2880开全套,

    当天卖出70套,全公司嗨皮。之后继续降价,到现在

    880一套。10天总计卖出1000套。成本呵呵,跟上时代

  5. 银行卡被神秘复制 揭秘背后黑色产业链

    银行卡在身上钱却被盗走,到底发生了什么事?

    据《都市频道》报道,记者深入卧底银行卡盗刷黑幕调查,只要使用一特定的复制设备和软件,就可以在十秒钟内复制出一张跟原卡一模一样的银行卡,支持在银行ATM机直接查询余额、提取现金,与原银行卡无异。

    此外,通过网络渠道还可以购买到上百万条银行卡信息,包括姓名、身份证、银行帐号、取款密码等详细的信息,通过复制设备软件和这些泄露的银行卡帐号信息,就可以轻松在异地复制出一张一模一样的银行卡,支持POS机直接支付、ATM取款等功能,成功实现异地盗刷、盗取资金。

    类似的资金被盗刷案例时有发生,在这些案例的背后到底发生了什么?

    报道中提到的银行卡复制设备其实是一套M1卡复制器,通过特定的软件和掌握到的个人帐号信息就可以成功复制新卡,早前银行使用的银行卡都是以这一类M1卡为主,这一类的M1卡是存在被复制风险的,后来银行逐渐升级为IC芯片卡,也就是带黄色芯片卡的银行卡,然后就没那么容易复制了。陆兆华建议广大用户到银行尽早更换IC芯片卡,特别是那些大额储蓄卡,可以从源头上降低被盗刷的风险。持卡人也最好定期更改密码,这样更能保证资金的安全。

    另外,在互联网“黑市”里,每天都进行着银行卡、支付账户信息的买卖。只要几分钟就可以买到上百万条银行卡姓名、卡号、身份证号、电话和密码等隐私信息。而这些个人银行信息是怎么泄露出去的呢?

    银行帐号等个人信息的泄露途径是多种多样的,主要包括以下四个方面

    四大途径泄露个人银行卡账户信息

    第一:伪基站发送钓鱼网址、诱导用户输入

    伪基站发送大量假冒10086、95533、95555等所谓的电信运营商或银行发来的“积分兑换现金”短信,并内置一个假冒运营商、银行的钓鱼网址。

    用户登录后就会被要求输入账号、密码、姓名、身份证号、银行预留手机号等信息,而一旦填写了这些信息,骗子就记录这些信息,并用于盗刷资金或贩卖信息。

    除了钓鱼网址外,还可能通过伪基站发送诈骗短信,短信中内置木马病毒。比如,腾讯手机管家多次拦截的“相册陷阱病毒”以及大量变种就是通过“诈骗短信+恶意网址”实施传播。

    第二:改装POS机提取银行卡信息

    除了以上两种获取信息的方式,陆兆华分析,犯罪分子还有第三种方法——那就是利用改装的POS机提取用户银行卡信息。对此,央视等媒体也进行过相关报道。

    通过特制的设备可以记录银行卡的账户、密码信息,然后通过这些信息可以制作一张仿冒卡,实施资金的盗取。

    第三:系统平台漏洞导致个人信息关联泄露

    部分网络平台由于缺乏健全的安全管理机制而存在系统漏洞,而被黑客恶意下载数据库,比如之前就盛传过某邮箱平台海量用户数据被恶意下载。各种被泄露的数据库又被黑客整合成巨大的社工库,通过社工库可以输入部分用户信息反查用户全部信息和常用密码,由于用户习惯使用一套密码管理个人帐号,所以黑客很容易通过撞库等方式截获用户注册登记的个人资料等完整信息。

    第四:连接公共钓鱼WIFI窃取个人信息

    除了伪基站配合钓鱼网址外,诈骗分子还通过免费钓鱼WIFI窃取个人信息。陆兆华介绍,一些公共WIFI很可能是黑客搭设,一旦用户接入,便可通过专业软件窃取电脑、手机这些联网设备上用户的账户、密码等信息。而这些个人信息或被贩卖,或被用于盗刷受害人资金。

  6. 说到地下灰色产业链条,及巨大的暴利黑洞,可以说说不胜说、数不胜数。身为网络业务安全方面从业人员,我想,举一个例子显然是不够的,我可以从两个产业链的方向入手,跟大家谈谈。顺便一说,这两个方面我们岂安科技都可以做到事前预防、事中解决、事后挽尊。直接开始吧,GO~


    第一个栗子:免费APP怎么从你口袋里赢取暴利

    很多小型工具类应用APP为个体开发者独立开发和运营,看似没有成熟的盈利模式,实际在广告上的收入很高,其主动获取的用户个人信息数据也可以通过第三方公司整合后卖个好价钱。我们以某个地铁 APP 为例,该 APP 提供非官方的地铁地图展示和换乘相关功能。

    按照上文的步骤设置手机代理、安装证书、指定 SSL 代理站点并打开应用后,Charles 展示了大量和应用功能不相关的请求:

    打开 APP 后的十秒内,客户端一共向服务器发起 30 余条请求,其中仅有 3 条是应用功能相关的请求,其余全是广告类请求和用户信息数据类请求。

    通过 Charles 的筛选功能筛选图片广告类请求,能看到十秒内一共有 5 条针对 ipeg / png 图片格式的请求。Charles 的响应体预览中能看到图片详情,为 5 幅不同的广告图片。

    但实际用户打开 APP 后只能看到第一条请求的大屏 banner,这就意味着另外 4 条广告都是在用户看不见的情况下的静默发生的,广告主为这 4 幅广告的展示买单了,但实际展示并没有发生

    另一类和应用功能不相关的请求是用户信息数据类请求。

    在搜索引擎中搜索请求的域名,结果显示为第三方用户行为统计分析网站。从Charles请求体预览中能看到POST表单中包含了用户的地理位置、操作系统、手机序列号、手机容量等用户信息数据。

    也就是说用户在打开APP的同时,个人的手机信息数据会被被动采集上传至第三方数据统计分析网站。

    很多app在安装的时候会获取大量和功能不匹配的权限,比如媒体类APP有读取手机通讯录的权限、视频类APP有获取地理位置的权限等,个人信息数据无形中被大批量收集,而每一条用户数据都是能以真实货币单位来估算价值的。

    在上文的例子中,应用仅能获得手机序列号、地理位置、手机容量这类不算特别隐私的数据,应用采集数据后一般会进行合理的用户画像分析和用户标签整理,root 过的安卓系统,用户安装了哪些应用、通讯录名单、通话记录等极为隐私的数据都有可能被后台采集并在黑市贩卖。至于是否放到黑市贩卖,纯粹凭良心和职业道德,用户可做的主动保护措施很少。


    第二个栗子:金融类关键信息的采集,你防也没有用

    不久之前那条“50亿条公民信息泄露 京东前员工牵涉其中”的新闻,可能被很多人遗忘了吧。笔者从事的是安全行业,读到这条新闻的时候只觉得汗毛竖起,不仅是感叹于50亿这一庞大的数量,更是对新闻所披露的细节细思极恐。

    这50亿条数据涵盖交通、物流、医疗、社交、金融等各类信息,与以往黑客通过技术手段入侵服务器获取用户的信息不同,部分敏感数据是相关行业内部人员出于黑市交易等目的主动泄露的。

    另外值得注意的是,这一次个人几乎不能通过改密码等方式防止自己信息被再次利用。密码可以修改、手机号可以更换、银行卡可以注销,但住房、社保、金融信息基本上会伴随一生,一次泄露就等于终生泄露。几乎所有有价值的网络账户都有黑市交易情况,更不用说这些价值周期长达几十年的身份数据。

    你会问,除了卖广告,能干吗?

    如今主流互联网产业也在不断加强用户信息认证,特别是在金融行业,仅有手机号和身份证号是无法完成注册的,必须提供身份证正反面照片或本人手持身份证照才能完成注册,若用户要进行消费贷款,信息审核的流程会更加严格。

    由此,催生了一群信息采集者,这类数据处在黑市数据价值金字塔的顶端,代办信用卡是其常见的变现途径。一张信用卡即使只能套现五千,数量堆积上去后黑产的收益极其客观,随之而来的给被泄露者带来的伤害也尤其大,个人的信用记录都会受到影响。

    互金行业这两年蓬勃发展的个人贷、消费贷等业务也是地下产业数据变现的主要目标。一套手持身份证照片,配合黑市中的邮箱、密码、社交、购物、物流等各类信息,黑产中的“高级玩家”甚至可以根据互金公司的信贷审核规则,有针对性的伪造出一个信用良好的贷款申请人,骗取5万-30万不等的高额贷款。

    随便算算就知道,按一个人5万的额度,10个人50万,100个人500 万,1万个人呢?

    关于网络安全、线上业务安全这一块,大家还有什么想知道的,可以到微信公众号:“bigsec”看看,也欢迎留言沟通。

  7. 防不胜防,隐藏在淘宝闲鱼下的灰色骗局

    昨天,群里看到某个兄弟被骗了,老武忍不住叹息…

    这个兄弟是在闲鱼跟人交易一个头条商品号,在买家下单后直接给号并换绑了手机,没想到后来买家直接申请退款。

    一看这情况,老武就知道遇到老骗了。

    淘宝、闲鱼近年来一直都严打虚拟商品交易,有人就专门利用这一规则漏洞来骗取各种虚拟资源,下单等商家发货后后直接恶意申请退款,且成功率超过90%。虚拟交易发生纠纷时,平台是偏向买家的。每遇到这种套路,可以说是新手商家的噩梦…

    更有甚者,将之包装成项目对外出售…

    凡是涉及到虚拟账号交易,专业点的都不会直接在淘宝闲鱼交易,没有平台担保,那么就意味着买卖双方都可能被骗,老武建议交易时找个靠谱的担保人。

    在道德与财富之间,很多人还是选择了财富。

    互联网上,没有了现实的束缚,坑蒙拐骗无处不在,而且律文规定:诈骗涉案金额不超过2000无法立案,这更助长了骗子的嚣张气焰…

    一将功成万骨枯,据圈内流传,很多大佬起家的第一桶金是灰色的。大多在捞到第一桶金后,换个账号直接洗白,不要太简单!

    且行且珍惜,不要存在任何侥幸心理,常在河边走,哪有不湿鞋,说不定哪天就进去,一辈子就毁了。

  8. 灰色产业

    每次我看到知乎这类问题都觉得可笑

    什么样的人还在相信灰产?如果是年轻人,我劝你们尽早回头,你投入任何时间在上面都是浪费。

    你见过有哪个灰色产业能做大的?能见得到光的?敢光大正大地宣传吗?

    能赚钱,又能赚几个小钱呢?

    说得好象做正规生意不赚钱似的,说得好象做灰色产业比起正规生意更容易似的。

    事实上

    灰产跟正规生意一样,遇到的困难是一样的,比如如何推广,如何做出知名度,并没有比正规生意好做。帖子一发就被删,广告一发就拉黑。有钱也不让推广,好不容易做出知名度了还要被查。

    在商业上,只要有知名度与流量都能做得不错,但做正规生意却能见光,能做得更大。

    有推广灰产的能力去推广正规产品,只会更成功,赚得更多。

    大家仔细想一想,中国有那么多优秀的企业,有那么多聪明的中小企业主,为什么他们都不去做灰产?

    难道他们都没你聪明?难道他们道德水平比你高?难道他们的眼光还不如你?

    答案是:灰产根本不赚钱,小打小闹,一群上不了台面的草根自High而已

  9. 分享一个黑色暴利的产业链吧,低价手机诈骗套路。

    iphoneX已经上市一段时间,虽然遭到诸多质疑,但火热程度依然是不可否认的。新一波iphone购买热潮来临,一小部分人利用某些人贪便宜的心理,设下层层圈套来骗取钱财。

    今天要揭露的就是这个存在很久但是屡骗不爽的套路,低价苹果手机黑色暴利项目。

    这类网上偶尔可以看到的超低价苹果手机广告,稍有理智的人看到都不会相信,然而偏偏就有那么一小部分贪图便宜之人鬼迷心窍。

    虽然内心深处还是有所怀疑,但是架不住销售人员话术的狂轰乱炸,一番说辞下来就乖乖上套儿了。

    一般骗子都是先通过QQ空间进行自我展示以及手机售卖展示,一步步的将人进行转化。俗话说:“假话说一万遍也就成了真话”,并非虚言,天天看QQ空间低价手机广告等于每天给自己洗脑,看着看着不信也信了。

    为何选择QQ空间为骗人的主战场呢?因为相比其他平台,QQ空间这个平台的用户相对更加低龄化,说白了就是未经世事的学生孩子以及受教育程度偏低的人群聚集的更多。当然没有黑QQ空间的意思,只是阐述事实。

    上面三张图基本展示了骗子的转化套路,当联系卖家后,卖家会承诺货到付款,这下最后一点犹豫都被打消了,不用担心自己打款了对方不发货,到时候快递来了手机握在我手里还怕什么?

    当快递把手机送到,一般人最多也就是打开包装查看手机外观,最多最多也就是到开机这一步就完成验证了,没有哪家快递会等你验货太久时间的。

    然而快递走后继续使用手机就会发现各种问题:系统奇慢,运行卡顿,甚至拍了几张照片后就提示内存已满等等。

    此时再找骗子,大半发现已经是被拉黑的状态了。当然这只是各种套路中的一种。

    还有拿到手机发现能够开机但是无法正常使用的情况,联系骗子后骗子会让你缴纳激活手机费,如果此时脑子短路交了激活手机费,还会有审核款让你缴纳。

    骗子会一直以各种名目骗钱,直到你意识到这是骗局或者已经拿不出钱为止,可以说是抓着一只羊往死里薅羊毛。

    骗子手里都有整个骗术流程文,话术早已经整理成文档。

    最终花了几千块买个山寨机,模拟机,到底该为自己被骗的钱哭还是为自己的智商哭呢?

    我想还是为这些被骗同学逝去的智商默哀三分钟吧。当然被骗涨智商,被骗着骗着智商也就提高了。中国什么都不多,就是人多,社会上傻子太多了,骗子市场依然存在很大空白,开个玩笑~

    其实随便百度一下网上这种骗术就有不少新闻报道:

    奈何信息差真的从来都是存在的,这么简单的骗局还真的就有人上当。

    一个山寨机几十块钱,一单骗几百块甚至几千块,几十倍的利润,毫无疑问的暴利项目,但是已经涉嫌诈骗,属于典型的黑产。

    在这里揭露出来希望大家能够提高警惕,不要因为一时的贪心掉进这类陷阱。

    微信公众号:崛起逆袭之地(nixizhidi),更多赚钱防骗干货请关注公众号,期待与你交流!

  10. 我就说个比较冷门的吧,电机转子维修,稍微有点常识的人都知道,电机主要零件是转子和定子,转子那个轴时间长了,容易磨损,而且一磨损发电效果就会减弱,甚至报废,然后修一个转子很简单,直接热喷涂,弄上一层金属(具体过程不在赘述),然后打磨,就好了,修一次从几千到一万不等,然后成本却极其低,由于很多电机几万甚至十几万一台,所以他们都感觉这 花的很合算,不感觉暴力

  11. 贴一篇我们的报告,里面有记载一些2017年的典型黑产事件,以及黑产产业链

    ThreatHunter:威胁猎人:2017年度中国互联网黑产报告

    概述:

    2017年,纵观全球网络安全事件,从黑客组织Shadow Brokers泄露NSA的漏洞利用工具EternalBlue,到WannaCry勒索软件席卷全球,从国内58同城简历数据泄露,到国外信用机构Equifax被黑客入侵,黑灰产业蓬勃发展。

    只有事件爆发后才能察觉问题,这使得企业和用户的处境十分被动。企业对于黑产的行为逻辑、行动方式、利益和目的等都十分陌生。威胁猎人将根据平台第一线的攻击数据和深入访问调查的黑灰产现状,为大家揭开黑灰产的面纱。

    目录:

    一、黑灰产事件举例分析

    1、东鹏特饮薅羊毛事件

    2、苹果36

    3、滴滴虚假注册

    4、Uber被黑客勒索

    5、教材涉黄案

    二、产业链分析

    1、上游资源提供者

    a)黑卡

    b)黑IP

    c)账号

    d)账户认证

    2、下游变现细分产业

    a)流量欺诈

    b)数据爬取采集

    c)薅羊毛

    d)引流

    三、对抗升级

    1、主流防控措施和黑产绕过方法

    2、新风控角度的思考

    a)黑产大数据监控

    b)情报带来的针对性对抗

    结语

    一、黑灰产事件举例分析

    1、东鹏特饮薅羊毛事件

    营销活动大家都不陌生,通过奖励机制吸引用户。不过同时也会吸引来一群叫做“羊毛党”的人,他们依靠注册大量账号获取优惠券、争抢红包、奖品,再通过转卖等方式变现。大促、补贴、营销活动都是他们眼中一次次“捞钱”的机会,被叫做线报。

    缺乏业务安全意识、补贴又丰厚的活动是最容易被薅的。东鹏特饮是广东一家饮料公司,传统促销活动是瓶盖抽奖,随着互联网的普及,决定尝试新的方式——扫二维码领红包,想借力互联网省去繁琐的流转,顺便收集顾客信息,不料羊毛党却给了他们当头一棒。

    随着活动的升温,迅速出现了大量贩卖东鹏特饮CDK(码子)的人。所谓码子就是将活动二维码转换成的链接。购买码子后用微信点击便可以领取红包。渠道商和羊毛党手中的微信账号有限,但码却很多,他们以略低于最低额度红包的价格售卖,购买者也是稳赚不赔。

    而购买CDK的是普通用户吗,只能说比例太少,普通用户哪有渠道知道CDK的存在,大多是手中拥有很多微信账户的其他灰产从业人。他们平时的业务是用微信号加大量好友,再通过诈骗、微商等形式变现。东鹏特饮CDK只是顺便的行为之一罢了。

    总之在利益的促使下,迅速有人与废品回收站核心节点合作,低价大量收购瓶盖,提取二维码信息,市场上称为“废品码”,与之对应的是“必中码”,是打通关系后从生产瓶盖厂商、内部人员等处购买的,将二维码一键生成链接,转手卖给渠道商,渠道商再分发给各级下线,一套流程下来,层层都有利润,做活动的企业就成了冤大头。最终结果就是东鹏特饮发现实际兑换的奖金金额远远高于预期,而收获的只是营销效果为0的“僵尸用户”。

    不只是东鹏特饮,这类码子在市场上非常之多,蒙牛优益C、蒙牛冰淇淋、百事可乐、红牛、七喜、小茗、京东二维码等等,数不胜数。当活动发展到一定规模,下游还会有人以“收学费带赚钱”的形式大肆传播,整个过程犹如蝗虫过境,吃光企业的活动经费。

    羊毛党的基本行动方式就是以量取胜,用大量账号暴力争抢活动补贴、奖品,如新用户折扣券,然后转手低价卖出。事实上他们只是互联网黑色产业链的变现末端之一,有些直接称其为搬砖人,因其技术要求低,纯粹是体力活。

    他们的账号来源、行动模式都值得我们注意。比如瓜分新用户礼券的注册手机号从何而来?答案是手机黑卡。威胁猎人收集维护了海量数据的黑卡库,在下文产业链分析中会做出详细介绍。除去手机号,羊毛党作恶需要通过平台的IP、设备等检测,这些在黑产中都有着平台化、链条化的产业,羊毛党仅仅是它们的下游之一。详细产业链分析请参考上游资源提供者模块。

    2、苹果36

    同样遭遇薅羊毛的还有苹果。用户在iOS上消费后,苹果公司会按照比例与app服务提供方进行分账,以季度结算。结算时,大量商户发现苹果的分成和实际销售金额相差甚远。在查看之下,发现了真实原因:被薅。

    一些账户进行了6元和30元的小额消费后立即消失了,存在批量痕迹。原来苹果为了提升用户体验,设置了40元以下小额充值可以不验证,先派发商品的策略。对黑产来说,此举意味着每个小号36元的利润,立刻展开了行动。

    他们会首先通过脚本批量注册大量邮箱账号。国外一些邮箱注册不需要提供手机号,这一步操作几乎是“无成本”的。完成后,会利用软件,批量生成Apple ID,再批量激活。大部分厂商会在IP短时间注册量上进行判断,对黑产来说这一步的成本就是更换IP的成本。对此威胁猎人会在下述产业链部分详细阐述黑产逃过IP检测的方法。

    消费需要绑定银行卡,对于大量的银行卡需求,黑产的解决方案是家庭共享和注册虚拟银行卡。设置家庭共享后,每个账号可以有8个附属账号共享同一张银行卡,而这张银行卡是一张虚拟卡,当黑产持有一张银行卡后,可以线上向开卡行申请虚拟银行卡,卡号会和原卡不同,但都是属于同一个账户。

    当苹果发现盗刷行为会对该账号封号,当多个附属账号被封后,苹果会将主账号与其绑定的银行卡列入黑名单,这时,黑产会将虚拟卡注销,重新申请,完全不影响继续使用。苹果也会对设备进行检测,这时黑产会结合改机软件,在被锁机前刷新设备指纹,轻松解决。

    薅羊毛后,黑产就会利用低价优势,通过各种渠道销售虚拟商品进行变现。游戏和版权行业是受害的重灾区。

    针对36技术,苹果进行了策略调整,新注册用户限制使用先派发后收款的模式。然而此举对黑产来说只是提高了一点成本,还在接受范围中。造成的影响是黑产对老号的需求大幅增加,等待着苹果的问题将是盗号、撞库、养号等等。如上述变现环节,因为充值限制,会索要用户(购买黑灰产手中虚拟商品的人)的账号和密码,这个账户就可以“回收” 投入下一轮的利用。账号相关的产业链详细阐述可参考下文账号模块。

    3、滴滴虚假注册

    按照相关规定,网约车平台对注册司机需要进行相关考核审查,如有一定的驾驶年龄、北京要求“京人京车”等。很多不符合规定的人想完成注册,就会利用一种“代注册”的黑产业务。

    2017年9月,滴滴向广东省公安厅网警总队举报,发现发现几十万账户存在虚假注册、人车不符的问题。经查,发现了背后黑产大肆的牟利行为。驾龄不符、外地车不派单、车辆超龄都可以拿钱“解决”。

    首先黑产信息源通过行业内鬼等,查到真实符合规定的人车信息。一级中间商从信息源购买车辆人员信息。然后加价转卖给二级中间商,二级再加价转卖给代注册操作员。代注册操作人再通过PS等方式“加工信息”,与购买者信息结合,将分别合规的信息整合为一整套,完成注册操作,收费300-500元不等。而即使被发现,滴滴也只能对司机进行封号处理。

    有些操作人还会顺便薅一把滴滴的羊毛,如利用推荐机制,滴滴公司规定,每推荐成功一个司机,就能获得218元冲锋奖,和新司机前8个订单30%的流水。不难想象在各家网约车竞争期,活动不计成本,都只想着在大战中存活的时候,代注册一伙能够获得多么巨大的利润。

    事实上,在滴滴快的大战时,虚假司机账户就是主要是用来刷单,结合外挂牟利的。当网约车合并,国家监管变严后,代注册团伙转而向不符合规定的人售卖服务,部分团伙还会以出售“注册教程”的方式获取额外利润,这种教学收费模式往往是在本身利益降低时会产生的,当利益巨大时,掌握方法的人只会默默赚钱。

    这一系列牟利行为不只是对滴滴造成了伤害,也会对普通用户造成伤害。如滴滴外挂会通过修改定位等方式实现“挑单、抢单”。而滴滴不得不将距离最优算法,改成几公里内随机派单,而用户只能忍受明明看到身边有车,却需要在寒风中等待三公里外的一辆车。

    更令我们警醒的是,我们的个人信息,竟然是如此容易可以获得的。事实上,黑产的社工库也确实在不断完善,数据量越来越多,精准度越来越高,被广泛的用在撞库、诈骗等处,让人胆寒。滴滴这样的认证较为复杂,被应用更普遍的图形验证码、身份证认证、面部识别认证都有着发展稳定的服务产业链,将在下文账户认证部分作出介绍。

    4、Uber被黑客勒索

    Uber在去年遭遇了大规模的数据泄露,包括5000万用户的姓名、邮箱、电话。和700万司机的个人信息及60万美国司机驾驶证号码。Uber称信用卡等信息数据并没有泄露。5700万数据,与雅虎、美国信用机构Enquifax泄露规模相比,本不值一提,在黑产中也不算惊天的数据。但Uber的做法引起了大家的关注——向黑客支付赎金。

    当时的CSO和助理,以支付10万美金的方式试图隐瞒此事,避免Uber数据在黑市流通。事后两人遭到了开除,CEO迫辞职,Uber最终声明并没有证据表示此次事件的数据被黑客利用,并将为信息泄露的司机提供免费的信息保护监控服务。

    黑客获取数据的方式令人好奇。事实上他们是从Uber工程师的私人GitHub库,获得了登录凭证,进而访问了Uber用以计算的亚马逊云服务账户,在账户中发现了用户数据,随即进行了勒索行为。我们不禁发现攻击有时只需要找到一处漏洞,而防守却需要全面严密。而除了防守还有另外一个问题需要我们面对——对已经泄露的数据该如何行动。Uber隐瞒的做法自然是不可取的。

    而面对这种问题一个暴力而有效的对抗方式是建立比黑产更庞大的泄露数据库,若能在黑产使用这些用户信息时判定出是已泄露账号,直接触发风控逻辑,便可以进行更严格的审核,绕过黑客的防护手段,对敌人造成无法回避的打击。而建立这样的数据库除了需要有效、实时的收集补充方案,也需要各大厂商的分享和参与,收集多方资料,构建更全面的数据源。

    5、教材涉黄案

    2017年2月,一则“高中教材涉黄”的新闻受到了疯狂转载,人教版高中语文选修教材中的诗词网址打开后竟然是黄色网站。实际上这个网站是遭到了篡改,实施者是一家名叫“雷胜科技”的公司。表面上它是一家互联网应用服务商,而背后却隐藏着一条完整的色情诱导诈骗产业链,“教材涉黄”将它拖出了水面。

    诈骗团伙开发色情网站和App,通过限制观看有色视频的时间,诱导用户付费获取完整视频。但事实上并没有所谓的“完整版”,盈利方式就是诈骗用户。这个产业链的每一个环节都是经过精心规划的。

    第一环节为开发,技术门槛极低,诈骗团伙能够以极低的价格购买到源码,有经验的开发者也可以在几天之内轻松完成。由于色情内容在我国的违法性,App展示的有色内容会经过精心编辑,能完全规避“淫秽色情”的法律界定。雷胜科技设置了研发、市场、编辑、财务和客服部门。编辑部就是负责剪辑擦边球类的有色视频的,甚至雇有专业律师审核图片和视频。

    App上架之后就进入了推广环节,团伙会通过百度联盟、木马程序、修改网站内容链接等方式进行推广。雷胜科技就是修改了教育网站的内容链接被牵引出来的。

    之后就到了变现环节。诈骗团伙会从支付平台或者渠道商处申请获得支付接口。申请需要一套完整的公司三证信息(营业执照、税务登记证和组织机构代码证)及银行卡账户,这种在黑市上称为公司“壳”资料,有专人在收集贩卖,注册电商企业店、申请支付接口等都会向其购买。针对于设置了风控模型的第三方平台。诈骗团伙会通过准备多个支付接口,使用可以短时间切换接口的方式进行绕过。

    有些色情引流诈骗App还会在安装时获取权限(如发送短信等),之后向特定的SP号码发送短信进行扣费的方式进行盈利。这些app也会捆绑其他恶意业务,或是窃取用户隐私信息等,对用户造成更深的损害。雷胜科技是通过PC端和移动端流量分发引流,然后通过诈骗变现,而更为常见的方式是利用各大社交、视频等平台,引流至微信后变现,在引流模块我们会给出更详细的介绍。

    二、产业链分析

    1、上游资源提供者

    a)黑卡

    手机黑卡,指黑灰产从业者手中的大量非正常使用的手机卡。这些黑卡会提供给各个接码平台,用于接收发送验证码,进而进行各种虚假注册、认证业务。比如饿了么新用户有十几元的首单减免,羊毛党会从接码平台获取手机号批量注册,再通过下游将这些首单优惠以一半的价格卖给需要点外卖的人。注册成本是支付一毛钱给接码平台,收益是下游接单人的几元到十几元不等的收购价。而黑卡就是接码平台手机号的源头。

    被称为“史上最严”的手机卡实名制举措,确实在一段时间内打压了手机黑卡和接码市场,提供黑卡和接码服务的平台和个人一下子销声匿迹,但好景不长,仅仅几个月后,便出现了强劲的复苏态势,提供黑卡和接码服务的平台和个人如雨后春笋般涌现。至今,该市场已经极具规模,并且运行稳定,给甲方业务安全造成巨大压力。

    本着尽可能全面、精准的原则,猎人君从多个途径不遗余力的收集黑卡信息,从市场现存的黑卡,到曾经有恶意行为的黑卡,再到市场新增的黑卡,构建了庞大的黑卡数据库。对每个入库的黑卡号码经行多维度地评估,标注风险等级,可以有效帮助甲方完善基于手机号的风控策略。根据威胁猎人反向追踪调查,黑卡背后的产业链大概如下图所示:

    卡源卡商

    卡源卡商指通过各种渠道(如开皮包公司、与代理商打通系等)从运营商或者代理商那里办理大量手机卡,通过加价转卖下游卡商赚取利润的货源持有者。卡源主要有:

    • 物联网卡:主要用于工业、交通、物流等领域的手机卡。物联网卡无须实名认证,需要以企业名义办理,提供营业执照即可,营业执照可以以千元左右的价格买到。有些运营商对营业执照检测力度很低,甚至会为灰产定制专用的物联网卡套餐。这种卡多为0月租或者1月租,根据能否接听电话,分为短信卡(也称注册卡)和语音卡。
    • 实名卡:这种多为联络运营商后,用网上收集的大量身份信息批量认证得到的。
    • 海外卡:实名制实施后,卡商受到一定限制。从16年下半年开始,大量缅甸、越南、印尼等东南亚卡开始进入国内手机黑卡产业,这些卡支持GSM网络,国内可以直接使用,无需实名认证,基本是0月租,收短信免费,非常切合黑产利益。

    如上述东鹏特饮提到的薅羊毛事件中,我们只看到有人大量售卖账号,其实背后有个非常成熟的产业链,各级分工明确。了解了他们的经营方式后,我们再进一步分析黑卡数据可以发现运营商的比例甚至可以定位到犯罪团伙经常活动的城市。

    手机黑卡运营商对比

    下图展示了传统运营商和虚拟运营商黑卡的数量对比。来自传统运营商的黑卡数量要远多于来自虚拟运营商的黑卡数量,毕竟传统运营商和虚拟运营商的手机卡总量不在同一个数量级上。2017年8月份的新闻数据表明,全国虚拟运营商用户占移动用户总数的3.6%,3.6%的用户占比却贡献了20.17%的黑卡数量占比。相对传统运营商而言,虚拟运营商的手机卡中黑卡占比较高。

    以下两张图展示了在非虚拟号段上和虚拟号段上三大运营商的黑卡数量对比。在非虚拟号段上,将近一半的手机黑卡来自于中国移动,约三分之一来自于中国联通,中国电信最少。在虚拟号段上,绝大多数是中国联通的手机黑卡,中国移动次之,中国电信依旧最少。

    手机黑卡归属地分布

    依据归属地统计的数据,广东省十分抢眼,在黑卡归属地省份排名中遥遥领先,省内的广州、深圳、东莞和佛山也霸占了黑卡归属地城市排名中前五名中的四名。

    猫池厂家

    猫池厂家负责生产猫池设备,并将设备卖给卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备,在正常行业也有广泛应用,如邮电局、银行、证券商、各类交易所、各类信息呼叫中心等。猫池设备可以实现对多张手机卡的管理。

    卡商

    卡商从卡源卡商那里大量购买手机黑卡,将黑卡插入猫池设备并接入卡商平台,然后通过卡商平台接各种验证码业务,根据业务类型的不同,每条验证码可以获得0.1元-3元不等的收入。

    黑卡数据库能够结合企业自身的后台数据,作为补充和参考,为企业筛选恶意用户提供账号维度上的支持。

    b)黑IP

    IP地址作为互联网的紧缺资源、一直是厂商最重要的风控方案之一。面对攻击,最主流防控措施之一就是封IP,企业根据黑IP库、同IP发起请求次数、密码错误率、是否有恶意行为等决定一段时间内禁止某IP的请求。

    而面对暴利,黑产不会轻易放弃,对待厂商的对抗,黑产积极主动寻求解决方案,甚至做到了平台化、链条化的反对抗。根据威胁猎人的长期监控,黑产主要有以下几种获取IP资源的方式:

    • 扫描代理:通过全网扫描常见的代理服务端口,收集可用的代理IP地址,自行维护管理,成本高、效率低。
    • 付费代理:代理商通过扫描、搭建、交换的方式,提供全球的代理服务器,有效降低自行收集的产品。代理IP平台非常之多,均可以提供API接口供黑产调用。
    • 付费VPN:与代理相似,使用技术不同。
    • 拨号VPS:这类VPS是一台虚拟服务器,通过ADSL拨号上网,每拨号一次换一次IP,使用者相当于拥有了整个城市的大量可用IP。更有相关供应商做到了打通全国多省市的拨号方式,俗称混拨。也就实现了在一台VPS中使用一个账号快速随机切换近百城市的ADSL线路拨入互联网。

    我们称这种用于网络攻击的IP为黑IP。威胁猎人通过大量渠道,在2017年采集并整理出全球范围内的黑IP,并做了详细分类。

    黑IP类型排名

    经统计,黑IP top 10类型比例如下。一个黑IP可能会有多个标签,整体看来,僵尸网络IP、机器人IP和代理IP的数量占据前三名。

    黑IP地域分布

    分析IP地域来源数据,全球黑IP分布图和top 20的国家如下。全球IPv4总数约为43亿,美国拥有30%以上,这一数据与图片相符,美国的黑IP数量占比36.39%,遥遥领先其他国家。发达国家的黑IP数量要多于发展中国国家,可以简单理解为,发达国家拥有更多的互联网设备,也就拥有更多的IP资源,所以黑IP的数量与互联网设备的数量成正比。

    以下两张图片为全球黑IP来源城市top 20和全球黑IP所属运营商top 10。从来源城市数据看来,top榜单中大多数是美国城市,中国城市数量紧随其后,其中北京更是占据了榜首。上榜的城市都是经济较为发达的城市。从所属运营商数据看来,top 10中一半是美国的运营商。

    c)账号

    批量注册和养号:

    在互联网灰产中,无论是行迹匆匆的羊毛党,还是猥琐发育的养号者,都需要大量账号作为牟利的支撑。因此,注册环节也就成了互联网公司和灰产的最前沿战场。各公司的注册页面看似平淡,实则暗流涌动。

    灰产的逐利本性决定他们非常强调投入产出比。灰产会雇佣开发人员开发针对注册环节的自动化攻击工具。这种注册软件大抵有两类:

    • 模拟操作类:通过控件操作浏览器元素实现,真实加载注册页面,模拟用户操作。
    • 协议破解类:通过HTTPS协议实现,破解注册接口协议,直接带参数调用注册接口实现注册。

    除了批量注册外,灰产也会根据平台特色,使用其他平台第三方登录的方式跳转成小号,批量产出,例如有一种微博账号叫做授权号,因为注册流程等原因,在微博平台受到风控限制,很难进行后续变现业务,就只用作授权其他平台账号,在其他平台上完成变现。这种授权号成本低于手机号注册,每个只需要几分钱。

    针对这类账号,很多厂商会对新注册账号进行监控,于是产生了号商养号的行为,注册后模仿真实用户进行一些操作,将号码从监控列表剔除之后再进行业务。

    薅羊毛的新号、刷量的小号都是通过这些方式得到的,但针对苹果风控被灰产需要的老号就需要通过盗号、养号、撞库获得了。当各个平台增加风控后,这类老号需求就会出现,如微信满月号、陌陌半年号等等属于养号,几年扫号老号等属于盗号或撞库所得。

    撞库

    撞库,即攻击者通过收集各个网站的泄露的用户数据等方式,生成用户名和密码字典,批量去其他网站登录,尝试撞出目标网站的可用账户密码。近年来,随着频繁出现的数据库泄露事件,撞库攻击取代了木马盗号成为了主流的盗号方式。

    下图为猎人君统计的2017年撞库攻击量走势图:

    以下是2017年撞库攻击者“钟爱”的一些攻击目标和接口:

    游戏行业在地上互联网公司也是盈利最为可观的,在地下自然也聚集了大量相关从业人员,拥有众多的细分变现产业链。能否直接获得游戏账号的撞库方案自然是受黑客欢迎与关注的,因此,游戏公司向来是撞库攻击的高发地。国内外各大游戏公司在2017年都持续受到大量的撞库攻击。

    版权行业和社交行业也是深受其害,随着正版化的推进以及带宽的增加,许多相关资源需要付费观看,存在不愿意花高价购买会员,而愿意用低价购买一个账号使用的人,就会存在这些会员账号变现的途径,进而这些账号也就是对黑产有价值的。

    社交行业也拥有数量众多的变现方式,主要的灰产有刷量(点赞、播放量、榜单等)、私信引流、色情社交引流、诈骗等。社交平台对抗的风控策略不断升级,社交平台的老账号也就成了某些圈内富有价值的资源,如某陌交友平台的老号价格在30元以上。老号资源意味着封杀率低、生意可持续。因此,社交账号也是黑产的重要目标。

    撞库数据来源

    (1)信封号产业链

    信封号,是QQ号产业链中的黑话,每一万个或者一千个被盗取的QQ号,称为一个信封。信封号产业链就是QQ号盗取、销赃的产业链。当QQ号中的Q币、游戏虚拟装备等被清洗一空、压榨干净后。就会将大量的账号密码贩卖给黑客完善社工库,或者制作密码字典。由于QQ邮箱在国内的市场占有率很高,以及很多用户习惯直接用QQ号对应的QQ邮箱和密码作为第三方平台的账号。大量QQ号被直接用来进行网站撞库。

    (2)网站泄露数据库

    网站泄露数据库的标志性事件是2011年CSDN 600万用户数据泄露,引领了当年一波数据泄露高峰,数十个网站的用户数据被公开,大量只在地下流通的数据被抛上台面。平时不关注此道的黑客也掌握了足够的数据源切入,某种程度上点燃了撞库攻击的热潮。而且被爆出的数据泄露其实也只是冰山一角,更多的再地下黑市中交易流通。

    (3)地下黑市流通

    数据窃取与交易是地下产业链隐藏最深的部分,也常有一些定制性的交易,不少黑客通过数据交易来构建庞大的社工库。黑客间的私下交易,我们无法得知,到底有多少网站数据已经被窃取也无法客观的评估。但通过半公开渠道也可管中窥豹,以下是暗网某地下数据交易市场的截图:

    攻击方法和主流防控

    通过对海量攻击行为的监控和分析,我们发现黑客攻击方法如下:

    (1)判断账号是否存在

    • 注册接口快速验证:很多网站在填写注册信息时,会通过AJAX对账户名可用性做实时验证,这个接口就可以被黑客利用做账户存在的筛选。
    • 登录接口返回信息:部分网站账号密码错误时,会返回敏感信息暴露账号存在情况,如返回“账号不存在”或“密码错误”。现越来越多的厂商返回“账号或密码错误”,可以有效避免被利用。
    • 找回密码接口:部分网站,在找回密码流程中,也会有一次提示信息,也常会被黑客用来验证账户存在。

    (2)业务安全集中管理问题突出

    从TH-Karma统计的数据来看,许多网站的主要入口有比较严格的审计措施,会根据登录IP、频率等触发验证码或者封锁IP。但当公司业务增多,安全管理复杂度大幅增加,不同子站各用一套自己登录验证。这些没有接入审计功能的边缘业务接口就称为了黑客攻击的温床。

    (3)攻击效果

    根据威胁猎人对大量撞库数据的统计,能够成功绕过风控的攻击占供攻击量的83%,撞库的成功率则在0.4%左右浮动。

    对此威胁猎人建立维护了一个高危账号库。高危账号指的是已被黑灰产从业者恶意利用的账号,大多来自泄露的数据库。对于甲方而言,看到这些账号要多一份心眼,很有可能背后暗藏着不轨动机。威胁猎人根据在2017年高危账号,做出了一些统计。

    (1)高危邮箱账号域名排名

    Top 20的高危邮箱账号域名如下:

    国内邮箱域名占据60%以上,其中以163.com、qq.com和game.sohu.com为主。国外主流邮箱域名(例如yahoo.comgmail.com和hotmail.com),以及一些俄罗斯邮箱域名(例如mail.ru和yandex.ru)和德国邮箱域名(例如web.de)也位列top 20之内。基本可以看出,top 20的高危邮箱账号域名的至少满足以下条件之一:

    • 邮箱服务用户基数大;
    • 来自于黑灰产活动活跃的地区。

    (2)高危账号关联密码排名

    此外,猎人君也统计了与高危账号关联的密码,数量排名top 20都是一些常见的弱密码,列表如下:

    d)账户认证

    账户认证产业链属于地下产业链中的服务型产业链。几乎所有的互联网企业都会要求用户手机认证,有些还要求实名认证、人脸识别验证,配合技术或人工审核。这必然给各个地下产业链都带来了障碍,账户认证产业链自然就应运而生了。

    手机接码、听码

    短信验证是建立在手机和手机号成本上的真人验证,被广泛的应用于注册等场景。如上述黑卡产业链的介绍,黑产的对抗方案并不依赖于手机和办卡成本,而是接码平台,黑产从业者从该类平台接收一个验证码需要支付1-3毛钱。

    接码平台是负责连接卡商和羊毛党、号商等有手机验证码需求的群体,提供软件支持、业务结算等平台服务,通过业务分成获利。一般会提供给使用者客户端、API、有些还会提供手机客户端。手机客户端用以支持各种手机业务。而API能够对接到自动化工具、脚本中,实现批量注册。

    使用者首先要“收藏”自己要做的项目后才可以收取验证码,这样做的好处是避免手机号在相同注册场景的重复使用,同时也便于应对新形式的对抗,比如,整个注册过程可能需要接收多次验证码,并发送一次验证码。平台会将收发集成一个流程,供使用者批量化操作。

    有些厂商选择了语音验证码,而接码平台也产生了相应收取语音验证码的服务,同时也产生了“听码”网赚。接码平台很多,活跃的有数十家,比较知名的接码平台有:爱乐赞、玉米(现菜众享)、Thewolf、星辰等,其中Thewolf和星辰可以接语音验证码。

    2016年11月当时最大的平台爱码被警方查处,随后很多平台转入地下。如爱乐赞因为非常稳定,卡商众多,是最受黑产欢迎的接码平台之一。现已不支持在线注册,在有老客户介绍情况下,联系客服充值1000元才可以开新账户,另一种解决方式是与别人共用一个账号,且每次充值不能低于5元,否则会被封号。

    打码

    验证码是风控最广泛的一种部署方案。普通厂商会直接接入,有后台分析的厂商会在后台审计异常时触发验证码以不影响普通用户体验。而在黑产中,撞库、注册等都需要进行大量验证码识别。所以带动了另一个服务产业链——打码平台。

    作为一种最简单、应用最广泛的图灵测试方案,大量公司和团队不断尝试自动化破解,以至于验证码升级到了人类也需要多次才能识别的境地。国内的黑产,依靠低廉的劳动力解决了问题。他们对无法技术解决的验证码使用率暴力的方式——人工打码进行破解。这种方式广泛传播到了大量第三世界国家,导致全球有近百万人以此为生。打码工人平均每码收入1-2分钱,熟练工每分钟可以打码20个左右,每小时收入10-15元。

    随着技术的发展,黑产也与时俱进,逐渐产生了使用AI打码的平台。如警方在17年打击的“快啊答题”平台,使用了伯克利大学的数据模型,引入大量验证码数据对识别系统训练,将机器识别验证码的能力提高了2000倍,价格降低到了每千次15-20元。为撞库等需要验证的业务提供了极大的便利。

    身份证认证及过脸

    人脸识别技术发展逐渐成熟,“刷脸”在近两年成为新时期生物识别技术应用的主要场景。进入2017年后,在通关、金融、电信、公证等很多领域都需要对人和证件进行一致性的验证。2016年6月国家网信办发布《移动互联网应用程序信息服务管理规定》,明确要求移动互联网应用程序按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证。

    互联网厂商面对法规以及某些业务上的需求,纷纷推出账号强制实名认证,并将人脸认证环节放到App中完成。实名让互联网时代更加规范的同时,也给由于某些原因无法实名或者需要大量实名账号完成黑灰色业务的人群造成了障碍,于是“过脸产业”应运而生,为别人批量完成认证获取利益。

    厂商认证时经常会要求用户拍摄身份证正反面照片及手持身份证照片等。黑产获取此类身份证“料”的方式有但不限于以下几种:

    • 收料人偏远地区收集:他们会到偏远地区以几十元的价格大量购买拍摄一整套的照片,没有网络安全意思的民众很多为了一点的利益愿意配合。
    • 有些收料人甚至会假扮社区工作人员等在社区中进行收集,相对前一种,几乎没有成本。
    • 还有一种纯粹通过网络收集他人泄露出的照片。

    收集后会以5-10元的价格卖给下一级使用者。对于需要过人脸认证的场景,从业者会利用PS等工具处理好一张带背景的人脸图,再利用Crazy Talk生成动态视频的软件,录制“眨眼”、“摇头”、“说话”等动作,完成后将摄像头对准视频,完成认证,过脸服务收费10元到100元不等。

    过脸产业最开始被用在网络借贷薅羊毛上,如今已经广泛使用在各种实名认证的业务上。今日头条头条号、58同城、移动“任我行”卡、腾讯大王卡等都是其盈利的途径。

    账号认证增加难度和用户体验优化之间找到平衡点,对各个厂商来说都是不小的难点。在苹果36事件中,就是为了提升用户体验给羊毛党留下了可乘之机。苹果若能对筛选出的恶意用户提高认证成本,就可以找到平衡点。而做到这点需要对用户行为和恶意行为进行分析。用户行为厂商可以进行记录,恶意行为需要情报的配合,包括恶意用户的行动模式、流程、最终目的等。

    2、下游变现细分产业

    a)流量欺诈

    流量欺诈已经发展成了成熟的产业链,刷量可通过人为的操作提高网页访问量、视频播放量、广告点击量、搜索引擎搜索量等等。市场充斥着大量刷量工具和服务,几元就可以买到数千IP的访问。或是使用大量代理IP刷流量,或是基于P2P互刷原理(即挂机访问别人的网站,得到点数后可以用来发布任务,为自己的网站刷量),刷量可以高度模拟真实用户的行为轨迹,使得视频网站、直播平台、广告联盟、搜索引擎、电商等甲方难以有效加以区分。猎人君通过分析在2017年捕获的流量刷量数据,得出以下流量刷量黑灰产业中目标厂商的top 10:

    刷量行为主要集中在以下几个场景

    (1)刷搜索引擎关键词排名

    搜索引擎排名对网站的流量影响巨大。市场上有提供很多提高关键词排名的服务,原理是利用大量IP在搜索引擎搜索指定关键词,然后到指定网站,点击进入,甚至进一步模仿用户浏览、点击,欺骗搜索引擎,使其认为该站与该关键词关联度很高。百度,作为国内最大的流量出入口,榜首位置实至名归。针对百度的流量刷量类型有多种,主要类型包括刷搜索流量和点击百度网盟广告。2017年底,百度推出“惊雷算法”,旨在打击以作弊的方式提升网站搜索排序的行为,究竟效果如何,2018年我们拭目以待。Top 10榜单中还出现了360搜索和中国搜索,刷搜索流量在整个流量刷量产业中的比重可见一斑。

    (2)刷视频播放量

    另一个流量刷量产业的大头是刷视频播放量,目标厂商包括榜单中的优酷、搜狐、龙珠视频/直播、爱奇艺、腾讯等,以及不在榜单中的触手直播、风行网等。很多视频有夸张的播放量,点赞和回复却寥寥无几。视频网站依据视频人气付给视频作者酬劳,虚假的播放量可直接导致视频网站蒙受金钱上的损失。对于用户来说,人气很高的热门视频,内容质量却名不副实,用户体验下降。

    (3)刷广告展示量和点击量

    通常告主会和广告联盟或站长合作,进行推广,按照CPM、CPC的方式结算广告费用给站长。一些无良的站长会使用软件或者购买服务恶意刷CPM、CPC,获取不正当利益。广告联盟存在一些广告反欺诈机制,刷量有可能面临封号,但依旧有很多人通过刷量技巧和网站数量来大规模获利。

    (4)电商和网站访问量

    此外,刷页面的访问量,包括刷社交站点的内容曝光量和电商商品浏览量,也是流量刷量产业中相当活跃的一个分支,比如新浪博客的访问量,以及淘宝和天猫商品的浏览量等。总而言之,当今的互联网世界中,充满了障眼法,眼见不一定为实,所谓的“人气排名”,所谓的“热门列表”,不可完全相信。

    b)数据爬取采集

    爬虫就是收集信息,“爬虫写的好,拥有整个互联网的数据不是梦”。数据分析本身并没有善恶标签,方法和目的却可以将之定性。黑灰产如今规模庞大,分支众多,从猎人君观察到的攻击流量来看,黑灰产从业者的需求比较分散,快递、媒体、电商、账号有效性等等都是攻击者的目标。黑灰产从业者做爬虫的目的多种多样,比如:

    • 用作产品化上游的数据支撑,比如某些针对电商的秒杀、抢购软件。
    • 用作分析竞争对手的产品和业务策略,比如爬取竞争对手的产品信息和用户论坛。
    • 爬取竞争对手的用户数据,尤其是有效的手机号或邮箱格式的用户名,之后可用于定向的推广营销。
    • 爬取有效的用户名,可用于生成用户名字典,实施撞库攻击。
    • 爬取个人信息,恶意利用,甚至实施诈骗。

    以下是猎人君统计的2017年较为热门的一些爬虫攻击目标和接口:

    c)薅羊毛

    薅羊毛,简单理解就是,以不正当的方式获取互联网上的各种福利,如新用户注册红包。这些人不以“利小而不为”,只要是看到福利,能薅则薅,使得互联网公司的推广经费中很大一笔部分都打了水漂。薅羊毛入门门槛极低,如今,薅羊毛规模之大,足以称之为一个行业。薅羊毛行业紧紧依附互联网行业,与互联网行业的以等同的速度发展。2017年,薅羊毛活动如火如荼,主要针对各类金融平台、电商平台以及O2O平台。

    威胁猎人总结了一份2017羊毛热词云图,如下所示:

    词云图的中央,是大大的两个字“会员”,各类会员,包括低价会员甚至是免费会员,深得众羊毛党的喜爱。其他福利,比如优惠券、红包、商品秒杀、激活码、各类低价QQ钻等,也有较高的词频。认领福利需要账号,账号相关的关键词,比如注册、老号、白号、小号等,也是榜上有名。既然有账号,就有连带的账号实名业务,比如认证、绑定、实名等。另外,不出意外的是,“骗子”的词频相当高,黑灰产市场本来就不受法律保护,“黑吃黑”的现象也较为普遍。

    d)引流

    有一些不适合直接变现却坐拥巨大流量的平台,比如短视频平台、社交平台等,黑产也不会放弃,采用引流方式进行变现。一个简单的引流变现操作是这样的:操作者在头像、昵称、个人资料等任何可以被平台曝光的地方留下联系方式,比如微信号,再通过发送诱惑性的内容吸引用户前往添加好友,之后通过诈骗、微商等形式深度变现。

    常见的社交平台引流方法,是通过软件批量关注、发送私信等方式。一些引流操作可以带来巨大的流量,个人无法消耗,会以“出粉”形式卖出,即买家根据成功添加微信的“人头”数,付给引流者报酬。

    引流人往往会结合目标用户的心理以及引流平台的特点,进行操作,如到美拍的美妆视频下写“前100人免费送XXX化妆水”,吸引可以通过微商变现的“女粉”。在陌陌等平台上通过诱惑性图片、视频加上“想交男朋友”等话术,吸引“色粉”(“男粉”),在微信中骗取红包或是销售一些男性用品。

    诸如此类,还有“保健粉”(可用于销售医疗用品)、“连信粉”(中年有消费力的)、“股民粉”、“宝妈粉”、“女大学生粉”等等。在业内叫做精准引流,用户群体越精准,价格越高。而购买者有两类,一种是真实微商,另一种就是我们在东鹏特饮中提到的,用微信作为变现出口的黑产,如引来色粉后撸包,即诈骗,用微信机器人伪装成女性,通过发送诱惑图片视频的方式索要红包。

    这种方式只能骗一次,所以他们需要引流人给他们源源不断的粉,称为“火车站流量”,而微信被举报后账号就报销了,所以他们会向号商购买账号,做到最后,变现可以用量化标准来计算收益,微信号平均多久会死,谁家引来的粉平均每个人头几块钱……单从这一条往下看,引流和号商一直都有市场,会持续存在,而他们需要绕过厂商的风控,又需要一系列的服务型产业链,他们都会持续的与厂商对抗,只要利益不消失,对抗就会持续升级。

    三、对抗升级

    1、主流防控措施和黑产绕过方法

    面对恶意行为,除去IP等规则判断,厂商也会从行为和设备角度进行判断。如用户登录过程的行为,包括停留时间、鼠标焦点、页面访问流程、csrf-token等。再通过客户端上报机器信息,识别判定是否存在伪造设备。

    而面对对抗,黑产也在不断升级,主要会从以下几个方面进行绕过:

    • 边缘业务与新业务处寻找可利用接口:黑灰产不断寻找审计不严格的边缘业务接口,找到后便能绕过所有的防护措施,如入无人之境。而厂商在这个维度上很难有行之有效的监控,因为本来就是被疏忽的接口。这里可以从第三方视角进行监控。威胁猎人对黑产流量进行大数据分析,可以是这种伎俩暴露在阳光下,何人何时攻击了新的接口,从攻击出发分析检测,可极大增强厂商对漏洞的反应速度。
    • 模仿真实用户:规避后台行为分析模型方面,黑卡提交请求时不再是仅仅填写User-Agent,而是尽可能全的完成整个流程,包括:完整的页面打卡流程代替仅仅向关键接口提交请求;携带csrf-token等完备的参数;页面停留时间采用函数随机化;HTTP header严格遵守浏览器特征;随机化所有其他不重要的参数等。

    2、新风控角度的思考

    企业制定安全策略往往存在两个问题:

    • 是安全策略面向所有客户,灰产可以不断尝试摸清规律,设法绕过。
    • 对最新的攻击方式不了解,导致制定防御策略无法有效打击黑产,反而容易误伤正常用户。
    • 面对后台数据,只知道自己拦截了多少恶意用户,不知道有多少没有拦截。

    因此威胁猎人从行业出发,针对电商、社交、游戏、云计算等不同行业的不同特点,逐一分析,还原真实攻击场景,以期望解决企业面临攻防信息不对等的问题,为企业精准防御灰产攻击提供数据补充、情报支撑。

    a)黑产大数据监控

    基于黑产攻击的资源建立持续监控机制,对已经泄露和已经在使用的黑IP、黑卡、批量注册账号、盗取账号、恶意流量等进行积累和实时更新。就能结合风控系统,从多个维度判断,有效筛选出可疑用户。

    b)情报带来的针对性对抗

    情报收集和分析工作可以有效的还原出某个针对企业的攻击方式,用于针对性打击。如通过情报和数据结合分析,得出攻击者的目的、攻击流程和行动模式后,厂商就可以多维度的打击,如A场景检测到却在B场景打击,让攻击者摸不着头脑,测试不出套路。在入口处有所遗漏时,还可以在出口处再次进行打击,如注册处或许没有全部拦截,当检测到注册后立即绑卡抢红包提现一气呵成的用户,标记高级别危险标签,提高提现门槛等。

发表评论

电子邮件地址不会被公开。 必填项已用*标注