雷鋒網(wǎng)注：該文節(jié)選自《黑灰產(chǎn)服務(wù)型產(chǎn)業(yè)鏈報告》，由威脅獵人投稿，雷鋒網(wǎng)略有編輯和整理。

有一家廣東的飲料公司，原本都是靠傳統(tǒng)促銷手段進(jìn)行營銷，比如瓶蓋抽獎，隨著互聯(lián)網(wǎng)的普及，決定嘗試新的方式——掃二維碼領(lǐng)紅包，想借力互聯(lián)網(wǎng)省去繁瑣的流轉(zhuǎn)，順便收集顧客信息，不料羊毛黨卻給了他們當(dāng)頭一棒。

隨著活動的升溫，迅速出現(xiàn)了大量販賣東鵬特飲 CDK（碼子）的人。

所謂碼子就是將活動二維碼轉(zhuǎn)換成的鏈接。購買碼子后用微信點(diǎn)擊便可以領(lǐng)取紅包。渠道商和羊毛黨手中的微信賬號有限，但碼卻很多，他們以略低于最低額度紅包的價格售賣，購買者也是穩(wěn)賺不賠。

還有一家眾所周知的蘋果公司也遭遇過羊毛黨，用戶在iOS上消費(fèi)后，蘋果公司會按照比例與app服務(wù)提供方進(jìn)行分賬，以季度結(jié)算。結(jié)算時，大量商戶發(fā)現(xiàn)蘋果的分成和實(shí)際銷售金額相差甚遠(yuǎn)。在查看之下，發(fā)現(xiàn)了真實(shí)原因：被薅。

一些賬戶進(jìn)行了 6 元和 30 元的小額消費(fèi)后立即消失了，存在批量痕跡。原來蘋果為了提升用戶體驗(yàn)，設(shè)置了 40 元以下小額充值可以不驗(yàn)證，先派發(fā)商品的策略。對黑產(chǎn)來說，此舉意味著每個小號 36 元的利潤，立刻展開了行動。

黑灰產(chǎn)的服務(wù)型產(chǎn)業(yè)鏈到底怎么構(gòu)成——在上游為各條其他細(xì)分黑灰色產(chǎn)業(yè)鏈提供資源支撐和各類服務(wù)的產(chǎn)業(yè)鏈有哪些？今天我們不說黑灰產(chǎn)，我們來說黑灰產(chǎn)的服務(wù)型“伙伴”。

1、上游資源提供者

a）黑卡

手機(jī)黑卡，指黑灰產(chǎn)從業(yè)者手中的大量非正常使用的手機(jī)卡。這些黑卡會提供給各個接碼平臺，用于接收發(fā)送驗(yàn)證碼，進(jìn)而進(jìn)行各種虛假注冊、認(rèn)證業(yè)務(wù)。比如餓了么新用戶有十幾元的首單減免，羊毛黨會從接碼平臺獲取手機(jī)號批量注冊，再通過下游將這些首單優(yōu)惠以一半的價格賣給需要點(diǎn)外賣的人。注冊成本是支付一毛錢給接碼平臺，收益是下游接單人的幾元到十幾元不等的收購價。而黑卡就是接碼平臺手機(jī)號的源頭。

被稱為“史上最嚴(yán)”的手機(jī)卡實(shí)名制舉措，確實(shí)在一段時間內(nèi)打壓了手機(jī)黑卡和接碼市場，提供黑卡和接碼服務(wù)的平臺和個人一下子銷聲匿跡，但好景不長，僅僅幾個月后，便出現(xiàn)了強(qiáng)勁的復(fù)蘇態(tài)勢，提供黑卡和接碼服務(wù)的平臺和個人如雨后春筍般涌現(xiàn)。至今，該市場已經(jīng)極具規(guī)模，并且運(yùn)行穩(wěn)定，給甲方業(yè)務(wù)安全造成巨大壓力。

據(jù)威脅獵人反向追蹤調(diào)查，黑卡背后的產(chǎn)業(yè)鏈大概如下圖所示： 

卡源卡商

卡源卡商指通過各種渠道（如開皮包公司、與代理商打通系等）從運(yùn)營商或者代理商那里辦理大量手機(jī)卡，通過加價轉(zhuǎn)賣下游卡商賺取利潤的貨源持有者?？ㄔ粗饕校?/p>

• 物聯(lián)網(wǎng)卡：主要用于工業(yè)、交通、物流等領(lǐng)域的手機(jī)卡。物聯(lián)網(wǎng)卡無須實(shí)名認(rèn)證，需要以企業(yè)名義辦理，提供營業(yè)執(zhí)照即可，營業(yè)執(zhí)照可以以千元左右的價格買到。有些運(yùn)營商對營業(yè)執(zhí)照檢測力度很低，甚至?xí)榛耶a(chǎn)定制專用的物聯(lián)網(wǎng)卡套餐。這種卡多為 0 月租或者1月租，根據(jù)能否接聽電話，分為短信卡（也稱注冊卡）和語音卡。

• 實(shí)名卡：這種多為聯(lián)絡(luò)運(yùn)營商后，用網(wǎng)上收集的大量身份信息批量認(rèn)證得到的。

• 海外卡：實(shí)名制實(shí)施后，卡商受到一定限制。從16年下半年開始，大量緬甸、越南、印尼等東南亞卡開始進(jìn)入國內(nèi)手機(jī)黑卡產(chǎn)業(yè)，這些卡支持GSM網(wǎng)絡(luò)，國內(nèi)可以直接使用，無需實(shí)名認(rèn)證，基本是0月租，收短信免費(fèi)，非常切合黑產(chǎn)利益。
  

了解了他們的經(jīng)營方式后，我們再進(jìn)一步分析黑卡數(shù)據(jù)可以發(fā)現(xiàn)運(yùn)營商的比例甚至可以定位到犯罪團(tuán)伙經(jīng)?；顒拥某鞘?。

手機(jī)黑卡運(yùn)營商對比

下圖展示了傳統(tǒng)運(yùn)營商和虛擬運(yùn)營商黑卡的數(shù)量對比。

來自傳統(tǒng)運(yùn)營商的黑卡數(shù)量要遠(yuǎn)多于來自虛擬運(yùn)營商的黑卡數(shù)量，畢竟傳統(tǒng)運(yùn)營商和虛擬運(yùn)營商的手機(jī)卡總量不在同一個數(shù)量級上。

2017年8月的新聞數(shù)據(jù)表明，全國虛擬運(yùn)營商用戶占移動用戶總數(shù)的3.6%，3.6%的用戶占比卻貢獻(xiàn)了20.17%的黑卡數(shù)量占比。相對傳統(tǒng)運(yùn)營商而言，虛擬運(yùn)營商的手機(jī)卡中黑卡占比較高。

以下兩張圖展示了在非虛擬號段上和虛擬號段上三大運(yùn)營商的黑卡數(shù)量對比。在非虛擬號段上，將近一半的手機(jī)黑卡來自于中國移動，約三分之一來自于中國聯(lián)通，中國電信最少。在虛擬號段上，絕大多數(shù)是中國聯(lián)通的手機(jī)黑卡，中國移動次之，中國電信依舊最少。

 

 

手機(jī)黑卡歸屬地分布

依據(jù)歸屬地統(tǒng)計(jì)的數(shù)據(jù)，廣東省十分搶眼，在黑卡歸屬地省份排名中遙遙領(lǐng)先，省內(nèi)的廣州、深圳、東莞和佛山也霸占了黑卡歸屬地城市排名中前五名中的四名。  

貓池廠家

貓池廠家負(fù)責(zé)生產(chǎn)貓池設(shè)備，并將設(shè)備賣給卡商使用。貓池是一種插上手機(jī)卡就可以模擬手機(jī)進(jìn)行收發(fā)短信、接打電話、上網(wǎng)等功能的設(shè)備，在正常行業(yè)也有廣泛應(yīng)用，如郵電局、銀行、證券商、各類交易所、各類信息呼叫中心等。貓池設(shè)備可以實(shí)現(xiàn)對多張手機(jī)卡的管理。

 

卡商

卡商從卡源卡商那里大量購買手機(jī)黑卡，將黑卡插入貓池設(shè)備并接入卡商平臺，然后通過卡商平臺接各種驗(yàn)證碼業(yè)務(wù)，根據(jù)業(yè)務(wù)類型的不同，每條驗(yàn)證碼可以獲得0.1元-3元不等的收入。

黑卡數(shù)據(jù)庫能夠結(jié)合企業(yè)自身的后臺數(shù)據(jù)，作為補(bǔ)充和參考，為企業(yè)篩選惡意用戶提供賬號維度上的支持。

b）黑IP

IP地址作為互聯(lián)網(wǎng)的緊缺資源、一直是廠商最重要的風(fēng)控方案之一。面對攻擊，最主流防控措施之一就是封IP，企業(yè)根據(jù)黑IP庫、同IP發(fā)起請求次數(shù)、密碼錯誤率、是否有惡意行為等決定一段時間內(nèi)禁止某IP的請求。

而面對暴利，黑產(chǎn)不會輕易放棄，對待廠商的對抗，黑產(chǎn)積極主動尋求解決方案，甚至做到了平臺化、鏈條化的反對抗。根據(jù)威脅獵人的長期監(jiān)控，黑產(chǎn)主要有以下幾種獲取IP資源的方式：

• 掃描代理：通過全網(wǎng)掃描常見的代理服務(wù)端口，收集可用的代理IP地址，自行維護(hù)管理，成本高、效率低。

• 付費(fèi)代理：代理商通過掃描、搭建、交換的方式，提供全球的代理服務(wù)器，有效降低自行收集的產(chǎn)品。代理IP平臺非常之多，均可以提供API接口供黑產(chǎn)調(diào)用。

• 付費(fèi)VPN：與代理相似，使用技術(shù)不同。

• 撥號VPS：這類VPS是一臺虛擬服務(wù)器，通過ADSL撥號上網(wǎng)，每撥號一次換一次IP，使用者相當(dāng)于擁有了整個城市的大量可用IP。更有相關(guān)供應(yīng)商做到了打通全國多省市的撥號方式，俗稱混撥。也就實(shí)現(xiàn)了在一臺VPS中使用一個賬號快速隨機(jī)切換近百城市的ADSL線路撥入互聯(lián)網(wǎng)。

我們稱這種用于網(wǎng)絡(luò)攻擊的IP為黑IP。威脅獵人通過大量渠道，在2017年采集并整理出全球范圍內(nèi)的黑IP，并做了詳細(xì)分類。

黑 IP 類型排名 

經(jīng)統(tǒng)計(jì)，黑IP top 10類型比例如下。一個黑IP可能會有多個標(biāo)簽，整體看來，僵尸網(wǎng)絡(luò)IP、機(jī)器人IP和代理IP的數(shù)量占據(jù)前三名。 

黑IP地域分布

分析IP地域來源數(shù)據(jù)，全球黑IP分布圖和top 20的國家如下。全球IPv4總數(shù)約為43億，美國擁有30%以上，這一數(shù)據(jù)與圖片相符，美國的黑IP數(shù)量占比36.39%，遙遙領(lǐng)先其他國家。發(fā)達(dá)國家的黑IP數(shù)量要多于發(fā)展中國國家，可以簡單理解為，發(fā)達(dá)國家擁有更多的互聯(lián)網(wǎng)設(shè)備，也就擁有更多的IP資源，所以黑IP的數(shù)量與互聯(lián)網(wǎng)設(shè)備的數(shù)量成正比。

以下兩張圖片為全球黑IP來源城市top 20和全球黑IP所屬運(yùn)營商top 10。從來源城市數(shù)據(jù)看來，top榜單中大多數(shù)是美國城市，中國城市數(shù)量緊隨其后，其中北京更是占據(jù)了榜首。上榜的城市都是經(jīng)濟(jì)較為發(fā)達(dá)的城市。從所屬運(yùn)營商數(shù)據(jù)看來，top 10中一半是美國的運(yùn)營商。 

 

c）賬號

批量注冊和養(yǎng)號：

在互聯(lián)網(wǎng)灰產(chǎn)中，無論是行跡匆匆的羊毛黨，還是猥瑣發(fā)育的養(yǎng)號者，都需要大量賬號作為牟利的支撐。因此，注冊環(huán)節(jié)也就成了互聯(lián)網(wǎng)公司和灰產(chǎn)的最前沿戰(zhàn)場。各公司的注冊頁面看似平淡，實(shí)則暗流涌動。

灰產(chǎn)的逐利本性決定他們非常強(qiáng)調(diào)投入產(chǎn)出比?；耶a(chǎn)會雇傭開發(fā)人員開發(fā)針對注冊環(huán)節(jié)的自動化攻擊工具。這種注冊軟件大抵有兩類：

• 模擬操作類：通過控件操作瀏覽器元素實(shí)現(xiàn)，真實(shí)加載注冊頁面，模擬用戶操作。

• 協(xié)議破解類：通過HTTPS協(xié)議實(shí)現(xiàn)，破解注冊接口協(xié)議，直接帶參數(shù)調(diào)用注冊接口實(shí)現(xiàn)注冊。

除了批量注冊外，灰產(chǎn)也會根據(jù)平臺特色，使用其他平臺第三方登錄的方式跳轉(zhuǎn)成小號，批量產(chǎn)出，例如有一種微博賬號叫做授權(quán)號，因?yàn)樽粤鞒痰仍?，在微博平臺收到風(fēng)控限制，很難進(jìn)行后續(xù)變現(xiàn)業(yè)務(wù)，就只用作授權(quán)其他平臺賬號，在其他平臺上完成變現(xiàn)。這種授權(quán)號成本低于手機(jī)號注冊，每個只需要幾分錢。

針對這類賬號，很多廠商會對新注冊賬號進(jìn)行監(jiān)控，于是產(chǎn)生了號商養(yǎng)號的行為，注冊后模仿真實(shí)用戶進(jìn)行一些操作，將號碼從監(jiān)控列表剔除之后再進(jìn)行業(yè)務(wù)。

薅羊毛的新號、刷量的小號都是通過這些方式得到的，但針對蘋果風(fēng)控被灰產(chǎn)需要的老號就需要通過盜號、養(yǎng)號、撞庫獲得了。當(dāng)各個平臺增加風(fēng)控后，這類老號需求就會出現(xiàn)，如微信滿月號、陌陌半年號等等屬于養(yǎng)號，幾年掃號老號等屬于盜號或撞庫所得。

撞庫

撞庫，即攻擊者通過收集各個網(wǎng)站的泄露的用戶數(shù)據(jù)等方式，生成用戶名和密碼字典，批量去其他網(wǎng)站登錄，嘗試撞出目標(biāo)網(wǎng)站的可用賬戶密碼。近年來，隨著頻繁出現(xiàn)的數(shù)據(jù)庫泄露事件，撞庫攻擊取代了木馬盜號成為了主流的盜號方式。

下圖為2017年撞庫攻擊量走勢圖：

以下是2017年撞庫攻擊者“鐘愛”的一些攻擊目標(biāo)和接口：

游戲行業(yè)在地上互聯(lián)網(wǎng)公司也是盈利最為可觀的，在地下自然也聚集了大量相關(guān)從業(yè)人員，擁有眾多的細(xì)分變現(xiàn)產(chǎn)業(yè)鏈。能否直接獲得游戲賬號的撞庫方案自然是受黑客歡迎與關(guān)注的，因此，游戲公司向來是撞庫攻擊的高發(fā)地。國內(nèi)外各大游戲公司在2017年都持續(xù)受到大量的撞庫攻擊。 

版權(quán)行業(yè)和社交行業(yè)也是深受其害，隨著正版化的推進(jìn)以及帶寬的增加，許多相關(guān)資源需要付費(fèi)觀看，存在不愿意花高價購買會員，而愿意用低價購買一個賬號使用的人，就會存在這些會員賬號變現(xiàn)的途徑，進(jìn)而這些賬號也就是對黑產(chǎn)有價值的。

社交行業(yè)也擁有數(shù)量眾多的變現(xiàn)方式，主要的灰產(chǎn)有刷量（點(diǎn)贊、播放量、榜單等）、私信引流、色情社交引流、詐騙等。社交平臺對抗的風(fēng)控策略不斷升級，社交平臺的老賬號也就成了某些圈內(nèi)富有價值的資源，如某陌交友平臺的老號價格在30元以上。老號資源意味著封殺率低、生意可持續(xù)。因此，社交賬號也是黑產(chǎn)的重要目標(biāo)。 

撞庫數(shù)據(jù)來源

（1）信封號產(chǎn)業(yè)鏈

信封號，是QQ號產(chǎn)業(yè)鏈中的黑話，每一萬個或者一千個被盜取的QQ號，稱為一個信封。信封號產(chǎn)業(yè)鏈就是QQ號盜取、銷贓的產(chǎn)業(yè)鏈。當(dāng)QQ號中的Q幣、游戲虛擬裝備等被清洗一空、壓榨干凈后。就會將大量的賬號密碼販賣給黑客完善社工庫，或者制作密碼字典。由于QQ郵箱在國內(nèi)的市場占有率很高，以及很多用戶習(xí)慣直接用QQ號對應(yīng)的QQ郵箱和密碼作為第三方平臺的賬號。大量QQ號被直接用來進(jìn)行網(wǎng)站撞庫。

（2）網(wǎng)站泄露數(shù)據(jù)庫

網(wǎng)站泄露數(shù)據(jù)庫的標(biāo)志性事件是2011年CSDN 600萬用戶數(shù)據(jù)泄露，引領(lǐng)了當(dāng)年一波數(shù)據(jù)泄露高峰，數(shù)十個網(wǎng)站的用戶數(shù)據(jù)被公開，大量只在地下流通的數(shù)據(jù)被拋上臺面。平時不關(guān)注此道的黑客也掌握了足夠的數(shù)據(jù)源切入，某種程度上點(diǎn)燃了撞庫攻擊的熱潮。而且被爆出的數(shù)據(jù)泄露其實(shí)也只是冰山一角，更多的再地下黑市中交易流通。

（3）地下黑市流通

數(shù)據(jù)竊取與交易是地下產(chǎn)業(yè)鏈隱藏最深的部分，也常有一些定制性的交易，不少黑客通過數(shù)據(jù)交易來構(gòu)建龐大的社工庫。黑客間的私下交易，我們無法得知，到底有多少網(wǎng)站數(shù)據(jù)已經(jīng)被竊取也無法客觀的評估。但通過半公開渠道也可管中窺豹，以下是暗網(wǎng)某地下數(shù)據(jù)交易市場的截圖：

 

攻擊方法和主流防控

通過對海量攻擊行為的監(jiān)控和分析，我們發(fā)現(xiàn)黑客攻擊方法如下：

（1）判斷賬號是否存在

• 注冊接口快速驗(yàn)證：很多網(wǎng)站在填寫注冊信息時，會通過AJAX對賬戶名可用性做實(shí)時驗(yàn)證，這個接口就可以被黑客利用做賬戶存在的篩選。

• 登錄接口返回信息：部分網(wǎng)站賬號密碼錯誤時，會返回敏感信息暴露賬號存在情況，如返回“賬號不存在”或“密碼錯誤”。現(xiàn)越來越多的廠商返回“賬號或密碼錯誤”，可以有效避免被利用。

• 找回密碼接口：部分網(wǎng)站，在找回密碼流程中，也會有一次提示信息，也常會被黑客用來驗(yàn)證賬戶存在。

（2）業(yè)務(wù)安全集中管理問題突出

從TH-Karma統(tǒng)計(jì)的數(shù)據(jù)來看，許多網(wǎng)站的主要入口有比較嚴(yán)格的審計(jì)措施，會根據(jù)登錄IP、頻率等觸發(fā)驗(yàn)證碼或者封鎖IP。但當(dāng)公司業(yè)務(wù)增多，安全管理復(fù)雜度大幅增加，不同子站各用一套自己登錄驗(yàn)證。這些沒有接入審計(jì)功能的邊緣業(yè)務(wù)接口就稱為了黑客攻擊的溫床。

（3）攻擊效果

根據(jù)對大量撞庫數(shù)據(jù)的統(tǒng)計(jì)，能夠成功繞過風(fēng)控的攻擊占供攻擊量的83%，撞庫的成功率則在0.4%左右浮動。

對此，我們建立維護(hù)了一個高危賬號庫。高危賬號指的是已被黑灰產(chǎn)從業(yè)者惡意利用的賬號，大多來自泄露的數(shù)據(jù)庫。對于甲方而言，看到這些賬號要多一份心眼，很有可能背后暗藏著不軌動機(jī)。根據(jù) 2017 年高危賬號，我們做出了一些統(tǒng)計(jì)。

（1）高危郵箱賬號域名排名

Top 20的高危郵箱賬號域名如下： 

國內(nèi)郵箱域名占據(jù)60%以上，其中以163.com、qq.com和game.sohu.com為主。國外主流郵箱域名（例如yahoo.com、gmail.com和hotmail.com），以及一些俄羅斯郵箱域名（例如mail.ru和yandex.ru）和德國郵箱域名（例如web.de）也位列top 20之內(nèi)。基本可以看出，top 20的高危郵箱賬號域名的至少滿足以下條件之一：

• 郵箱服務(wù)用戶基數(shù)大；

• 來自于黑灰產(chǎn)活動活躍的地區(qū)。

（2）高危賬號關(guān)聯(lián)密碼排名

此外，獵人君也統(tǒng)計(jì)了與高危賬號關(guān)聯(lián)的密碼，數(shù)量排名top 20都是一些常見的弱密碼，列表如下：

d）賬戶認(rèn)證

賬戶認(rèn)證產(chǎn)業(yè)鏈屬于地下產(chǎn)業(yè)鏈中的服務(wù)型產(chǎn)業(yè)鏈。幾乎所有的互聯(lián)網(wǎng)企業(yè)都會要求用戶手機(jī)認(rèn)證，有些還要求實(shí)名認(rèn)證、人臉識別驗(yàn)證，配合技術(shù)或人工審核。這必然給各個地下產(chǎn)業(yè)鏈都帶來了障礙，賬戶認(rèn)證產(chǎn)業(yè)鏈自然就應(yīng)運(yùn)而生了。

手機(jī)接碼、聽碼

短信驗(yàn)證是建立在手機(jī)和手機(jī)號成本上的真人驗(yàn)證，被廣泛的應(yīng)用于注冊等場景。如上述黑卡產(chǎn)業(yè)鏈的介紹，黑產(chǎn)的對抗方案并不依賴于手機(jī)和辦卡成本，而是接碼平臺，黑產(chǎn)從業(yè)者從該類平臺接收一個驗(yàn)證碼需要支付1-3毛錢。

接碼平臺是負(fù)責(zé)連接卡商和羊毛黨、號商等有手機(jī)驗(yàn)證碼需求的群體，提供軟件支持、業(yè)務(wù)結(jié)算等平臺服務(wù)，通過業(yè)務(wù)分成獲利。一般會提供給使用者客戶端、API、有些還會提供手機(jī)客戶端。手機(jī)客戶端用以支持各種手機(jī)業(yè)務(wù)。而API能夠?qū)拥阶詣踊ぞ?、腳本中，實(shí)現(xiàn)批量注冊。

使用者首先要“收藏”自己要做的項(xiàng)目后才可以收取驗(yàn)證碼，這樣做的好處是避免手機(jī)號在相同注冊場景的重復(fù)使用，同時也便于應(yīng)對新形式的對抗，比如，整個注冊過程可能需要接收多次驗(yàn)證碼，并發(fā)送一次驗(yàn)證碼。平臺會將收發(fā)集成一個流程，供使用者批量化操作。

有些廠商選擇了語音驗(yàn)證碼，而接碼平臺也產(chǎn)生了相應(yīng)收取語音驗(yàn)證碼的服務(wù)，同時也產(chǎn)生了“聽碼”網(wǎng)賺。接碼平臺很多，活躍的有數(shù)十家，比較知名的接碼平臺有：愛樂贊、玉米（現(xiàn)菜眾享）、Thewolf、星辰等，其中Thewolf和星辰可以接語音驗(yàn)證碼。

2016年11月當(dāng)時最大的平臺愛碼被警方查處，隨后很多平臺轉(zhuǎn)入地下。如愛樂贊因?yàn)榉浅７€(wěn)定，卡商眾多，是最受黑產(chǎn)歡迎的接碼平臺之一?，F(xiàn)已不支持在線注冊，在有老客戶介紹情況下，聯(lián)系客服充值1000元才可以開新賬戶，另一種解決方式是與別人共用一個賬號，且每次充值不能低于5元，否則會被封號。

打碼

驗(yàn)證碼是風(fēng)控最廣泛的一種部署方案。普通廠商會直接接入，有后臺分析的廠商會在后臺審計(jì)異常時觸發(fā)驗(yàn)證碼以不影響普通用戶體驗(yàn)。而在黑產(chǎn)中，撞庫、注冊等都需要進(jìn)行大量驗(yàn)證碼識別。所以帶動了另一個服務(wù)產(chǎn)業(yè)鏈——打碼平臺。

作為一種最簡單、應(yīng)用最廣泛的圖靈測試方案，大量公司和團(tuán)隊(duì)不斷嘗試自動化破解，以至于驗(yàn)證碼升級到了人類也需要多次才能識別的境地。國內(nèi)的黑產(chǎn)，依靠低廉的勞動力解決了問題。他們對無法技術(shù)解決的驗(yàn)證碼使用率暴力的方式——人工打碼進(jìn)行破解。這種方式廣泛傳播到了大量第三世界國家，導(dǎo)致全球有近百萬人以此為生。打碼工人平均每碼收入1-2分錢，熟練工每分鐘可以打碼20個左右，每小時收入10-15元。

隨著技術(shù)的發(fā)展，黑產(chǎn)也與時俱進(jìn)，逐漸產(chǎn)生了使用AI打碼的平臺。如警方在17年打擊的“快啊答題”平臺，使用了伯克利大學(xué)的數(shù)據(jù)模型，引入大量驗(yàn)證碼數(shù)據(jù)對識別系統(tǒng)訓(xùn)練，將機(jī)器識別驗(yàn)證碼的能力提高了2000倍，價格降低到了每千次15-20元。為撞庫等需要驗(yàn)證的業(yè)務(wù)提供了極大的便利。

身份證認(rèn)證及過臉

人臉識別技術(shù)發(fā)展逐漸成熟，“刷臉”在近兩年成為新時期生物識別技術(shù)應(yīng)用的主要場景。進(jìn)入2017年后，在通關(guān)、金融、電信、公證等很多領(lǐng)域都需要對人和證件進(jìn)行一致性的驗(yàn)證。2016年6月國家網(wǎng)信辦發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》，明確要求移動互聯(lián)網(wǎng)應(yīng)用程序按照“后臺實(shí)名、前臺自愿”的原則，對注冊用戶進(jìn)行基于移動電話號碼等真實(shí)身份信息認(rèn)證。

互聯(lián)網(wǎng)廠商面對法規(guī)以及某些業(yè)務(wù)上的需求，紛紛推出賬號強(qiáng)制實(shí)名認(rèn)證，并將人臉認(rèn)證環(huán)節(jié)放到App中完成。實(shí)名讓互聯(lián)網(wǎng)時代更加規(guī)范的同時，也給由于某些原因無法實(shí)名或者需要大量實(shí)名賬號完成黑灰色業(yè)務(wù)的人群造成了障礙，于是“過臉產(chǎn)業(yè)”應(yīng)運(yùn)而生，為別人批量完成認(rèn)證獲取利益。

廠商認(rèn)證時經(jīng)常會要求用戶拍攝身份證正反面照片及手持身份證照片等。黑產(chǎn)獲取此類身份證“料”的方式有但不限于以下幾種：

• 收料人偏遠(yuǎn)地區(qū)收集：他們會到偏遠(yuǎn)地區(qū)以幾十元的價格大量購買拍攝一整套的照片，沒有網(wǎng)絡(luò)安全意思的民眾很多為了一點(diǎn)的利益愿意配合。

• 有些收料人甚至?xí)侔缟鐓^(qū)工作人員等在社區(qū)中進(jìn)行收集，相對前一種，幾乎沒有成本。

• 還有一種純粹通過網(wǎng)絡(luò)收集他人泄露出的照片。

收集后會以5-10元的價格賣給下一級使用者。對于需要過人臉認(rèn)證的場景，從業(yè)者會利用PS等工具處理好一張帶背景的人臉圖，再利用Crazy Talk生成動態(tài)視頻的軟件，錄制“眨眼”、“搖頭”、“說話”等動作，完成后將攝像頭對準(zhǔn)視頻，完成認(rèn)證，過臉服務(wù)收費(fèi)10元到100元不等。

過臉產(chǎn)業(yè)最開始被用在網(wǎng)絡(luò)借貸薅羊毛上，如今已經(jīng)廣泛使用在各種實(shí)名認(rèn)證的業(yè)務(wù)上。今日頭條頭條號、58同城、移動“任我行”卡、騰訊大王卡等都是其盈利的途徑。

賬號認(rèn)證增加難度和用戶體驗(yàn)優(yōu)化之間找到平衡點(diǎn)，對各個廠商來說都是不小的難點(diǎn)。在蘋果36事件中，就是為了提升用戶體驗(yàn)給羊毛黨留下了可乘之機(jī)。蘋果若能對篩選出的惡意用戶提高認(rèn)證成本，就可以找到平衡點(diǎn)。而做到這點(diǎn)需要對用戶行為和惡意行為進(jìn)行分析。用戶行為廠商可以進(jìn)行記錄，惡意行為需要情報的配合，包括惡意用戶的行動模式、流程、最終目的等。

2、下游變現(xiàn)細(xì)分產(chǎn)業(yè)

a）流量欺詐

流量欺詐已經(jīng)發(fā)展成了成熟的產(chǎn)業(yè)鏈，刷量可通過人為的操作提高網(wǎng)頁訪問量、視頻播放量、廣告點(diǎn)擊量、搜索引擎搜索量等等。市場充斥著大量刷量工具和服務(wù)，幾元就可以買到數(shù)千IP的訪問?；蚴鞘褂么罅看鞩P刷流量，或是基于P2P互刷原理（即掛機(jī)訪問別人的網(wǎng)站，得到點(diǎn)數(shù)后可以用來發(fā)布任務(wù)，為自己的網(wǎng)站刷量），刷量可以高度模擬真實(shí)用戶的行為軌跡，使得視頻網(wǎng)站、直播平臺、廣告聯(lián)盟、搜索引擎、電商等甲方難以有效加以區(qū)分。我們通過分析在2017年捕獲的流量刷量數(shù)據(jù)，得出以下流量刷量黑灰產(chǎn)業(yè)中目標(biāo)廠商的top 10： 

刷量行為主要集中在以下幾個場景

（1）刷搜索引擎關(guān)鍵詞排名

搜索引擎排名對網(wǎng)站的流量影響巨大。市場上有提供很多提高關(guān)鍵詞排名的服務(wù)，原理是利用大量IP在搜索引擎搜索指定關(guān)鍵詞，然后到指定網(wǎng)站，點(diǎn)擊進(jìn)入，甚至進(jìn)一步模仿用戶瀏覽、點(diǎn)擊，欺騙搜索引擎，使其認(rèn)為該站與該關(guān)鍵詞關(guān)聯(lián)度很高。百度，作為國內(nèi)最大的流量出入口，榜首位置實(shí)至名歸。針對百度的流量刷量類型有多種，主要類型包括刷搜索流量和點(diǎn)擊百度網(wǎng)盟廣告。2017年底，百度推出“驚雷算法”，旨在打擊以作弊的方式提升網(wǎng)站搜索排序的行為，究竟效果如何，2018年我們拭目以待。Top 10榜單中還出現(xiàn)了360搜索和中國搜索，刷搜索流量在整個流量刷量產(chǎn)業(yè)中的比重可見一斑。

（2）刷視頻播放量

另一個流量刷量產(chǎn)業(yè)的大頭是刷視頻播放量，目標(biāo)廠商包括榜單中的優(yōu)酷、搜狐、龍珠視頻/直播、愛奇藝、騰訊等，以及不在榜單中的觸手直播、風(fēng)行網(wǎng)等。很多視頻有夸張的播放量，點(diǎn)贊和回復(fù)卻寥寥無幾。視頻網(wǎng)站依據(jù)視頻人氣付給視頻作者酬勞，虛假的播放量可直接導(dǎo)致視頻網(wǎng)站蒙受金錢上的損失。對于用戶來說，人氣很高的熱門視頻，內(nèi)容質(zhì)量卻名不副實(shí)，用戶體驗(yàn)下降。

（3）刷廣告展示量和點(diǎn)擊量

通常告主會和廣告聯(lián)盟或站長合作，進(jìn)行推廣，按照CPM、CPC的方式結(jié)算廣告費(fèi)用給站長。一些無良的站長會使用軟件或者購買服務(wù)惡意刷CPM、CPC，獲取不正當(dāng)利益。廣告聯(lián)盟存在一些廣告反欺詐機(jī)制，刷量有可能面臨封號，但依舊有很多人通過刷量技巧和網(wǎng)站數(shù)量來大規(guī)模獲利。

（4）電商和網(wǎng)站訪問量

此外，刷頁面的訪問量，包括刷社交站點(diǎn)的內(nèi)容曝光量和電商商品瀏覽量，也是流量刷量產(chǎn)業(yè)中相當(dāng)活躍的一個分支，比如新浪博客的訪問量，以及淘寶和天貓商品的瀏覽量等?？偠灾?dāng)今的互聯(lián)網(wǎng)世界中，充滿了障眼法，眼見不一定為實(shí)，所謂的“人氣排名”，所謂的“熱門列表”，不可完全相信。

b）數(shù)據(jù)爬取采集

爬蟲就是收集信息，“爬蟲寫的好，擁有整個互聯(lián)網(wǎng)的數(shù)據(jù)不是夢”。數(shù)據(jù)分析本身并沒有善惡標(biāo)簽，方法和目的卻可以將之定性。黑灰產(chǎn)如今規(guī)模龐大，分支眾多，從獵人君觀察到的攻擊流量來看，黑灰產(chǎn)從業(yè)者的需求比較分散，快遞、媒體、電商、賬號有效性等等都是攻擊者的目標(biāo)。黑灰產(chǎn)從業(yè)者做爬蟲的目的多種多樣，比如：

• 用作產(chǎn)品化上游的數(shù)據(jù)支撐，比如某些針對電商的秒殺、搶購軟件。

• 用作分析競爭對手的產(chǎn)品和業(yè)務(wù)策略，比如爬取競爭對手的產(chǎn)品信息和用戶論壇。

• 爬取競爭對手的用戶數(shù)據(jù)，尤其是有效的手機(jī)號或郵箱格式的用戶名，之后可用于定向的推廣營銷。

• 爬取有效的用戶名，可用于生成用戶名字典，實(shí)施撞庫攻擊。

• 爬取個人信息，惡意利用，甚至實(shí)施詐騙。

以下是2017年較為熱門的一些爬蟲攻擊目標(biāo)和接口：、

c）薅羊毛

薅羊毛，簡單理解就是，以不正當(dāng)?shù)姆绞将@取互聯(lián)網(wǎng)上的各種福利，如新用戶注冊紅包。這些人不以“利小而不為”，只要是看到福利，能薅則薅，使得互聯(lián)網(wǎng)公司的推廣經(jīng)費(fèi)中很大一筆部分都打了水漂。薅羊毛入門門檻極低，如今，薅羊毛規(guī)模之大，足以稱之為一個行業(yè)。薅羊毛行業(yè)緊緊依附互聯(lián)網(wǎng)行業(yè)，與互聯(lián)網(wǎng)行業(yè)的以等同的速度發(fā)展。2017年，薅羊毛活動如火如荼，主要針對各類金融平臺、電商平臺以及O2O平臺。

這是一份2017羊毛熱詞云圖，如下所示：

詞云圖的中央，是大大的兩個字“會員”，各類會員，包括低價會員甚至是免費(fèi)會員，深得眾羊毛黨的喜愛。其他福利，比如優(yōu)惠券、紅包、商品秒殺、激活碼、各類低價QQ鉆等，也有較高的詞頻。認(rèn)領(lǐng)福利需要賬號，賬號相關(guān)的關(guān)鍵詞，比如注冊、老號、白號、小號等，也是榜上有名。既然有賬號，就有連帶的賬號實(shí)名業(yè)務(wù)，比如認(rèn)證、綁定、實(shí)名等。另外，不出意外的是，“騙子”的詞頻相當(dāng)高，黑灰產(chǎn)市場本來就不受法律保護(hù)，“黑吃黑”的現(xiàn)象也較為普遍。 

d）引流

有一些不適合直接變現(xiàn)卻坐擁巨大流量的平臺，比如短視頻平臺、社交平臺等，黑產(chǎn)也不會放棄，采用引流方式進(jìn)行變現(xiàn)。一個簡單的引流變現(xiàn)操作是這樣的：操作者在頭像、昵稱、個人資料等任何可以被平臺曝光的地方留下聯(lián)系方式，比如微信號，再通過發(fā)送誘惑性的內(nèi)容吸引用戶前往添加好友，之后通過詐騙、微商等形式深度變現(xiàn)。

常見的社交平臺引流方法，是通過軟件批量關(guān)注、發(fā)送私信等方式。一些引流操作可以帶來巨大的流量，個人無法消耗，會以“出粉”形式賣出，即買家根據(jù)成功添加微信的“人頭”數(shù)，付給引流者報酬。

引流人往往會結(jié)合目標(biāo)用戶的心理以及引流平臺的特點(diǎn)，進(jìn)行操作，如到美拍的美妝視頻下寫“前100人免費(fèi)送XXX化妝水”，吸引可以通過微商變現(xiàn)的“女粉”。在陌陌等平臺上通過誘惑性圖片、視頻加上“想交男朋友”等話術(shù)，吸引“色粉”（“男粉”），在微信中騙取紅包或是銷售一些男性用品。

諸如此類，還有“保健粉”（可用于銷售醫(yī)療用品）、“連信粉”（中年有消費(fèi)力的）、“股民粉”、“寶媽粉”、“女大學(xué)生粉”等等。在業(yè)內(nèi)叫做精準(zhǔn)引流，用戶群體越精準(zhǔn)，價格越高。而購買者有兩類，一種是真實(shí)微商，另一種就是我們在東鵬特飲中提到的，用微信作為變現(xiàn)出口的黑產(chǎn)，如引來色粉后擼包，即詐騙，用微信機(jī)器人偽裝成女性，通過發(fā)送誘惑圖片視頻的方式索要紅包。

這種方式只能騙一次，所以他們需要引流人給他們源源不斷的粉，稱為“火車站流量”，而微信被舉報后賬號就報銷了，所以他們會向號商購買賬號，做到最后，變現(xiàn)可以用量化標(biāo)準(zhǔn)來計(jì)算收益，微信號平均多久會死，誰家引來的粉平均每個人頭幾塊錢……單從這一條往下看，引流和號商一直都有市場，會持續(xù)存在，而他們需要繞過廠商的風(fēng)控，又需要一系列的服務(wù)型產(chǎn)業(yè)鏈，他們都會持續(xù)的與廠商對抗，只要利益不消失，對抗就會持續(xù)升級。

雷鋒網(wǎng)注：該文節(jié)選自《黑灰產(chǎn)服務(wù)型產(chǎn)業(yè)鏈報告》，由威脅獵人投稿，雷鋒網(wǎng)略有編輯和整理。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。