跳转至

黑灰产形式

此章节整理了黑灰产的不同形式

1. 按内容划分

1.1 赌博类

博彩(菠菜)

TODO

开箱网站(基于Steam市场)

开箱网站吸引人的策略和博彩网站无异,一开始时会先让你尝到甜头,开出价值较高的游戏皮肤,刺激你继续消费,后门逐步降低爆出率。玩家最终走出了自古以来的赌博路线:“开箱-获利-继续开-损失-想要挽回损失-损失更大“。

https://ti.qianxin.com/blog/articles/southeast-asian-gaming-industry-research-report/

1.2 外挂

场控外挂

从直播行业中衍生出的一种外挂形式。“场控”的角色在直播行业人员架构中主要负责协调和实施。具体来说,可以做:自动欢迎、礼物答谢、自动喊话、关注感谢[1]等。

1.3 黑客攻击类

网站劫持(黑帽SEO)

我们先来看一下概念:

1、入侵相关网站;

2、然后在网站中插入JS或修改其配置文件,增加相应的劫持代码。另外一般会加入判断条件,判断条件一般会根据user-agent或referer进行判断。大多数判断条件会判断是爬虫还是人工,如果是人工会返回正常的网站;如果是爬虫,会返回相关博彩、娱乐类等黑客设置好的网站;

3、爬虫去访问时,返回是相关博彩、娱乐类网站,导致收录的是黑客精心准备好的网站;

4、黑帽SEO基本上都是给爬虫收录的,对于正常的人工访问会返回正常的内容,所以导致这种网站很难发现、并且其存留时间相对较长。

真实网站劫持案例分析,feiniao ,https://www.freebuf.com/articles/web/153788.html

1.4 洗钱类

跑分平台

此处的“跑分”不是指数码产品评测跑分,而是指利用正常用户(包括个人、企业)的微信、支付宝等的收款码,帮助他人收款,从中赚取佣金[2]。跑分平台本质上就是一个洗钱团伙,帮助需要洗钱的客户,例如诈骗团伙,将非法所得的钱通过正常用户收款账户进行代收,然后跑分平台又利用正常用户先前支付的押金分发给所服务的客户。这样就把钱给洗白了,收款被查的风险就从需要洗钱的客户转移到了其他的正常用户以及跑分平台。

我们回顾一下洗钱的三个阶段[3]:

  • 处置——实际处理犯罪所得的现金或其他资产
  • 离析——经过层层金融交易来隐匿资金来源,将非法所得与其真实来源分离开来
  • 融合——以看似正常业务或个人交易的形式将资金重新投入到经济活动中,使得非法财产看似具有合法性

对应来说,跑分平台的功能在做洗钱三个阶段中的处置和离析,收钱、分离真实来源。

跑分平台这部分角色称为“码商”。其发展模式普遍来说也是自己单干跑分,后来发展下线,引流、一方面赚取赚取收款佣金,一方面通过发展下线赚取代理费。

图:“跑分平台”黑产运作流程图[2]

​ (1)已经从事“跑分”的用户需要拉下级,发展下线;

​ (2)租借正常用户账户发布兼职信息;

​ (3)需要兼职的用户找到发布兼职的的平台,找到相关兼职;

​ (4)发布兼职的用户让兼职人员添加自己的某某社交账户,并发送“跑分平台”信息;

​ (5)兼职用户下载“跑分平台”APP,并注册登录、完善信息,包括了绑定***、上传收款码、交押金等;

​ (6)黑灰产团队在“跑分平台”放单;

​ (7)兼职用户在“跑分平台”接单;

​ (8)黑灰产团队将从“跑分平台”获取的对应用户的收款码、***号发给被诈骗的用户;

​ (9)被诈骗的用户将钱转给兼职用户;

​ (10)"跑分平台"将兼职用户的押金转给黑灰产团队账户。

一个完整的跑分流程完成[3]

这个流程简单来说就是:

  • 普通用户加入跑分平台,支付押金,提供收款码
  • 跑分平台放单
  • 黑钱转入普通用户账户,普通用户赚取佣金
  • 跑分平台把押金转移给需要洗钱的客户,赚取佣金
  • 需要洗钱的客户收到平台的钱,这部分钱来自普通用户的押金

四方支付

四方支付,也叫聚合支付,正如其名,其主要就是做支付能力整合,方便C端用户支付,帮助商家收款,赚取服务费或佣金。我们不能说所有的四方支付都是黑产,但其中也确实有相当大的一部分灰色地带——正规的四方支付也可能夹杂着做黑灰产服务(主动或者被动),黑产四方支付也可能用正常服务做伪装。

TODO

2. 按服务模式划分

BaaS

BaaS,Bad Bots as a Service,恶意软件即服务。随着从事黑灰产人员素质的提高,黑产团伙逐渐向专业化、规模化与产业化转型[1]。因此也相应地诞生、催动了恶意软件即服务这种服务模式。类比于SaaS(Software as a Service,软件即服务),BAAS的含义就是客户只需要购买这个恶意软件,关于程序的升级、维护、增加服务器等都由商家提供,客户只需要关注于运营即可。

资料💾

  • 理论&案例:真实网站劫持案例分析,feiniao ,https://www.freebuf.com/articles/web/153788.html

  • 黑帽SEO剖析之手法篇,nmask ,https://www.freebuf.com/articles/web/149438.html

  • 黑帽SEO剖析之工具篇,nmask ,https://www.freebuf.com/sectool/149427.html

  • 黑帽SEO剖析之隐身篇,nmask ,https://www.freebuf.com/articles/web/149440.html

References

[1] 这家场控平台被警方端了,Magiccc,https://blog.geetest.com/article?id=398999e5679fb62a0390d15c848e734e

[2] 黑灰产的廉价“温床”—跑分平台,暗影安全实验室,https://www.freebuf.com/articles/network/237120.html

[3] 付临门大讲堂|洗钱的三个阶段,https://www.freemypay.com/index.php?show--cid-3-id-206.html