跳转至

黑灰产研究

产业链条及角色

图:常规的一个黑产诈骗链条[1]

img

图:黑产资源供应链[2]

上游及相关角色

产业链上游根据中游和下游的需求,生产和提供各类黑灰产资源。~~相当于制造业里的原材料“厂商”。~~

  • 工具开发者
    • 制作相关黑产工具(注册、养号脚本;爬虫脚本;改机工具等)
    • 受制于所针对公司业务的调整,生存周期不确定
  • 卡源卡商
  • 猫池卡商
  • 号商
  • 黑客(窃取用户数据为主)

中游及相关角色

产业链中游负责将上游生产和提供的各类黑灰产资源进行包装和批量转售,多以各类平台或服务的形式存在。~~相当于制造业里的“中间商”,但会做一些二次加工。~~

  • 接码平台
    • 连接卡商和羊毛党、号商等一些需要手机验证码的群体
    • 提供软件支持、业务结算等平台服务
    • 多通过业务分成获利
  • 打码平台
    • 提供验证码识别服务,也以此获利
  • 账号代售平台
    • 提供相对应需求的账号(这里就比较灰色,因为他们也面对普通用户服务)
    • 通过抽取相对应的佣金获利
  • 工具代售平台
    • 对工作室、普通用户提供解决刷量需求的工具
    • 通过抽取相对应的佣金获利
  • 地下黑市
    • 相关的黑灰产业群(QQ, Wechat, Telegram)、论坛,为工作室、普通用户 提供一个需求解决场所

下游及相关角色

下游负责直接执行黑灰产行为,多以工作室形式存在

  • 刷量工作室

    • 通过解决普通用户的刷量需求获利

  • 引流工作室

    • 解决客户的需求短时间内将大量短视频用户引向其他平台

    • 对引流人数和引向的平台设置不同的门槛,抽取佣金

  • 主播工作室

    • 主要服务于高人气主播,利用相关工具刷人气 短时间内吸引其他用户观看,通过假聊工具营造人气火爆的场景(>场控外挂

业务分类

  • 以下为某工作室团伙可以承接的业务举例

  • 抖音:网红号,报价实时更新

刷量

今日头条刷粉、刷评论、刷阅读量、刷收藏等业务

引流

内容爬取

行为分类

  • 视频刷量

  • 广告点击欺诈

  • 文章阅读量造假

  • P2P 挂机刷量平台用户

  • 会员模式刷量产业链 最后通过协议破解类刷量工具群控或者人工刷量,P2P等方式,对视频进行 播放、点赞、评论等操作

图:以上刷量方式的对比

刷量特征与反欺诈策略

  • 刷量特征

  • 反欺诈策略 TODO

  • 用户监测

    • 监测访问用户、终端、IP等信息(监测访问信息)

    • 建立用户、终端、IP等多维黑名单(建立多维黑名单库)

    • 将通过过滤的播放算进最终的有效流量

  • 用户行为监测 TODO

    • 从多个维度对用户行为进行分析

    • 建立用户行为特征库

    • 过滤异常播放行为

  • 监控系统

    • 建立多维监控系统,实施跟踪黑产的作弊手段

    • 及时发现异常播放数据

    • 补充异常流量特征

  • 司法层面

    • 与第三方公司、公安部门合作

攻击行为伪装

  • 黑灰产的攻击行为会模仿真实用户的行为,刷量流量会尽可能地符合大众真实用户的访问习惯(从时间上来看,刷量高峰时间段为夜间 19 至 23 点,并在黄金时间 20 点达到最高值)

  • 为了避免单个 IP 多次访问,这类工具还内置了拨号功能和代理 IP 网站接口。

  • 但可以通过逆向调试的方式分析出核心逻辑进行破解

  • 为每个“多开手机”伪造不同的设备信息,如 IMEI、手机定位、本机 号码、网络信息等

  • 通过电脑客户端操作批量安装 App、设置代理 IP、修改手机设备信息

  • 部分从事广告推广、市场营销、公关活动等正常业务的工作室,也会承接 刷量业务,并且刷量业务被包装为所谓的视频数据维护业务,并且工作室有正规的注册信息和 网站,部分工作室还能提供合同与正规发票

风控策略(TODO)

  • 通过不断切换IP,可以绕过视频平台在 IP 维度的风控策略

  • 补充:情报术语

  • 注意最后一个工具情报中提到的。调查、情报的目的,很大程度上是为了描绘出一个黑灰产产业链关系图谱,有效定位企业当前所处的风险状态还原攻击特征迭代风控规则

监测类风险控制建议

  • 对黑灰产相关论坛、社交群近期出现的新增高频词汇设定阈值,对超过阈值的词汇溯源

  • 研究相关的黑灰产业链模式对比核心产业链模式特征,总结产业链中角色交叉(结合数据分析板块一起看)衍生产业链的上游,并对上游人员监控。

防控类风险控制建议

  • 对已发生事件追溯源头,通过分析产业链结构成员角色成本利润来设置不同的解决措施

  • 对持续存在的结构模式,通过捕获市场上存在周期长且特征明显的工具进行逆向分析提高对批量行为的审核和监控, 进一步提高黑灰产从业人员的成本

打击类风险控制建议

针对手机黑卡、黑IP

  • 从第三方,专业公司获取经过审计的手机黑卡、恶意IP、高危漏洞等数据

  • 将这些情报数据作为自己后台黑名单数据的补充情报库,在用户的业务活动流程中接入审计策略,对恶意注册、爬取等行为进行筛选、监控。

针对账号商人

  • 结合恶意数据情报库(企业自建、第三方),对可以用户提高提高操作门槛(增加复杂验证码等),并且对这些用户进行重点监控

  • 建立企业自身的恶意数据情报库,包括黑产掌握的黑卡号码、代理IP、泄露的账号密码等

  • 一方面要结合自身后台数据的黑白名单,另一方面也要引入 第三方的支持,进行更全面的检测

针对黑产人员

  • 分析灰黑产的流程和工具,对被攻击的接口请求进行特征汇总

  • 在设备信息、注册信息重合度、 恶意用户的行为数据等方面,进行多维度的判断。参考数据分析模块的交叉分析。

  • 对典型有效的黑灰产工具进行逆向,对存在业务逻辑漏洞 (TODO,翻阅业务安全的书)的方向调整,提高黑灰产工具的开发成本

业务情报监测平台 IMP

业务情报监测平台——TH-Karma,以攻击者视角,依托开源情报、工具情报、闭源情报三大业务情报体系,及深层次的情报处理能力,帮助企业在业务 环节精准筛选出恶意流量,还原业务风险场景,并量化对业务的影响,且持续 对黑产进行实时监测,驱动风控决策引擎迭代,从而提升企业整体攻防效率。

  • 情报体系(从哪里来?根据一个什么体系获取?)

  • 开源情报

  • 工具情报

  • 闭源情报

  • 处理情报

  • 筛选恶意流量(爬虫流量;哪些是危险的?)

  • 还原业务风险场景(哪里有危险?怎么产生的危险?)

  • 量化对业务的影响(数据展现、可视化;有多大危险?)

  • 实施监测

  • 实施监测黑会产的各个平台(知彼知己,百战不殆)

  • 驱动风控决策迭代(该怎么应对?)

如何打击黑灰产工具

全面监控和快速响应(溯源)

对黑灰进行长期跟进,了解黑灰产工具的传播链条和路径,第一时间捕获活跃的黑灰产工具(建立特征词监控,数据取样、交叉分析)

建立软件指纹库,增加风险识别能力

风险设备往往会安装 各种各样的黑灰产工具软件,通过提取这些黑灰产工具软件的特征作为指纹,可以有效的识别出风险设备

建立黑灰产情报共享,最大化情报价值

内容爬取类软件

A师傅说,这个岗位对爬虫、反爬技术的要求比较高,我需要深入理解一下。

刷量方式详解

协议破解:上量高效迅速

  • 协议破解,即黑灰产通过破解客户端与服务器通信中的通讯协议与算法,伪造相应的请求 及参数直接访问通信接口达到刷量目的

群控:群控升级,黑灰产运营成本降低

  • 箱式群控软硬件成套销售

  • 通过虚拟分割手机芯片内存可实现多开,每个手机芯片可裂变 为十部“手机”,可以为每个“多开手机”伪造不同的设备信息,如 IMEI、手机定位、本机 号码、网络信息等

  • 通过电脑客户端操作批量安装 App、设置代理 IP、修改手机设备信息

流量挂机:流量来自全国各地真实用户 IP

  • 流量挂机是根据P2P原理来实现流量优化、视频刷量、刷排名等功能的一种数据造假模 式,由两部分角色互相配合完成,挂机用户(赚平台积分)与流量需求用户(有推广需求的用户,直接在平台发布)

多开模式:技术门槛最低

人工刷量:流量真实有效,难以检测

  • 人工刷量分为有偿任务派单和免费平台互刷

Reference

[1] 终结诈骗,公众号,https://mp.weixin.qq.com/mp/profile_ext?action=home&__biz=MzI3MTA2MTk4NQ==&scene=124#wechat_redirect

[2] 黑产IP的识别与对抗——秒拨IP,永安在线反欺诈,https://zhuanlan.zhihu.com/p/68528854