0
本文作者: 靈火K | 2019-05-22 11:09 |
2018年是流量紅利的巔峰之年:社交領(lǐng)域,抖音對(duì)外宣布日活超過(guò)1.5億;微信的全球用戶賬號(hào)數(shù)量突破10億大關(guān);電商方面數(shù)據(jù)同樣驚人,淘寶作為電商巨頭,平均每月用戶活躍達(dá)6億,相當(dāng)于中國(guó)人口數(shù)量的一半;后起之秀拼多多的年度活躍買家超4億。
社交和電商平臺(tái)的瘋狂增長(zhǎng)改變了數(shù)億人的生活方式,但同時(shí)黑灰產(chǎn)業(yè)的目光也聚焦在這方沃土,通過(guò)批量創(chuàng)建大量虛假賬戶、虛假點(diǎn)贊、虛假評(píng)論、盜號(hào)等手段牟取不法利益,危害在線用戶權(quán)益和平臺(tái)的健康生態(tài)。
社交平臺(tái)和電商平臺(tái)的運(yùn)營(yíng)中存在哪些欺詐?面對(duì)不斷升級(jí)的欺詐手段又該如何應(yīng)對(duì)?5月18日,雷鋒網(wǎng)記者應(yīng)邀參加了DataVisor維擇科技智能風(fēng)控沙龍,第一期活動(dòng)以“黑產(chǎn)”為主題展開(kāi)討論。
沙龍由DataVisor中國(guó)區(qū)客戶部負(fù)責(zé)人趙樺擔(dān)任主持人,她向與會(huì)嘉賓介紹了今天的兩位主講人——DataVisor黑產(chǎn)研究員、高級(jí)技術(shù)經(jīng)理周君楨以及DataVisor中國(guó)區(qū)技術(shù)負(fù)責(zé)人崔宏宇。
以下是雷鋒網(wǎng)整理的此次沙龍分享內(nèi)容:
一
周君楨曾在一線接觸各類灰色中介和黑產(chǎn)從業(yè)人員,他深入暗網(wǎng)等多個(gè)交易平臺(tái)進(jìn)行研究,目前,他已經(jīng)揭露社交平臺(tái)批量注冊(cè)手法,電商刷量手法數(shù)十種,撰寫產(chǎn)業(yè)研究報(bào)告數(shù)十篇。
在主題為《批量注冊(cè)黑產(chǎn)研究》的演講中,周君楨就黑產(chǎn)的市場(chǎng)環(huán)境、操作手段以及實(shí)際案例為在會(huì)嘉賓進(jìn)行了精彩分享。
DataVisor黑產(chǎn)研究員周君楨
150萬(wàn)黑產(chǎn)從業(yè)者,年產(chǎn)值達(dá)千億
周君楨稱,相比前些年,黑產(chǎn)越來(lái)越呈現(xiàn)出團(tuán)伙性的活動(dòng)行為,他們有專業(yè)的分工,還有一個(gè)相對(duì)規(guī)?;倪\(yùn)作流程。對(duì)于企業(yè)、個(gè)人,黑產(chǎn)集團(tuán)的頻繁活動(dòng)無(wú)疑會(huì)對(duì)其造成極大損失。
2018年末,某知名咖啡連鎖品牌啟動(dòng)了一次圣誕節(jié)前夕的營(yíng)銷活動(dòng)——凡是通過(guò)APP注冊(cè)賬戶的新會(huì)員均可獲贈(zèng)一份邀請(qǐng)券并可在線下兌換咖啡。
該活動(dòng)在一天半之后被官方叫停(預(yù)計(jì)活動(dòng)時(shí)長(zhǎng)為一周)。原來(lái),此次營(yíng)銷活動(dòng)被黑產(chǎn)通過(guò)批量注冊(cè)的方式拿到大量賬號(hào)進(jìn)行批量注冊(cè)。在這之后,絡(luò)繹不絕的消費(fèi)券落入到黑產(chǎn)手中并在之后被用于線下兌換或者轉(zhuǎn)賣。
“據(jù)統(tǒng)計(jì),有40多萬(wàn)的賬號(hào)是通過(guò)批量注冊(cè)的方式拿到優(yōu)惠券,活動(dòng)進(jìn)行了一天半已經(jīng)達(dá)到一千多萬(wàn)的損失。這種行為對(duì)于線下門店是一個(gè)災(zāi)難性的干擾,因?yàn)檫@樣不僅僅影響了消費(fèi)者的用戶體驗(yàn),更會(huì)讓企業(yè)的運(yùn)營(yíng)推廣遭受很大損失?!?/p>
據(jù)粗略統(tǒng)計(jì)顯示,近兩年有150萬(wàn)的黑產(chǎn)從業(yè)人員,這其中包括一線的人員和一些上游的開(kāi)發(fā)者以及黑客,黑產(chǎn)的年產(chǎn)值規(guī)模達(dá)到千億級(jí)別,其對(duì)應(yīng)的損失也是非常巨大。
周君楨在這里列出了四個(gè)常見(jiàn)的黑產(chǎn)攻擊手段:
1、薅羊毛獲利
新用戶注冊(cè)紅包——很多企業(yè)推廣新用戶注冊(cè)時(shí)的紅包獎(jiǎng)勵(lì)機(jī)制。黑產(chǎn)只要通過(guò)無(wú)線手機(jī)號(hào)去注冊(cè)這些賬號(hào),就會(huì)得到相應(yīng)紅包獎(jiǎng)勵(lì),以此直接獲利;
邀請(qǐng)獎(jiǎng)勵(lì)——包括一些自媒體平臺(tái)在內(nèi),邀請(qǐng)獎(jiǎng)勵(lì)的活動(dòng)機(jī)制已經(jīng)見(jiàn)怪不怪。黑產(chǎn)往往會(huì)采用群組任務(wù)的模式批量邀請(qǐng),以此牟利;
大額優(yōu)惠——黑產(chǎn)通過(guò)前期的檔案賬號(hào)監(jiān)控各大平臺(tái)上商品的價(jià)格走勢(shì),一旦發(fā)現(xiàn)漏洞就優(yōu)先獲取大額優(yōu)惠的權(quán)限,再通過(guò)優(yōu)惠規(guī)定進(jìn)行商品兌換或者轉(zhuǎn)賣(變現(xiàn));
2、虛假流量
拿到批量賬號(hào)之后,黑產(chǎn)通過(guò)在社交平臺(tái)刷流量、刷評(píng)論、刷點(diǎn)贊或刷閱讀量獲利,這樣的惡意行為會(huì)直接影響平臺(tái)的公正性。
以某寶刷單為例,如果交易都是通過(guò)刷單進(jìn)行會(huì)直接影響到平臺(tái)本身的系統(tǒng)推薦算法,那么低劣商品的店鋪將具備與高質(zhì)量店鋪一樣的權(quán)限和推薦位置。如果是一個(gè)正常用戶輸入關(guān)鍵詞搜索該商品,劣質(zhì)商鋪曝光率激增會(huì)直接造成消費(fèi)者投訴,給平臺(tái)聲譽(yù)帶來(lái)影響。
3、惡意言論
惡意言論更多地涉及社交平臺(tái)或者媒體平臺(tái),他們拿到大量賬號(hào),操縱發(fā)布涉黃、涉賭、涉
政的消息,從而影響到公共安全。為積極響應(yīng)監(jiān)管需求,通常會(huì)采取相應(yīng)措施去規(guī)避這些行為。
4、垃圾營(yíng)銷
生活中常見(jiàn)的刷微博、刷新聞的行為,是通過(guò)一些垃圾賬號(hào)進(jìn)行批量發(fā)布,騷擾平臺(tái)用戶,影響用戶體驗(yàn)。
黑產(chǎn)操作流程大揭秘
那么,黑產(chǎn)具體是如何執(zhí)行操作的呢?在這里,周君楨從操作平臺(tái)、操作軟件和操作工具三個(gè)方面進(jìn)行了介紹。
首先是操作平臺(tái)。
1、接碼平臺(tái)
黑卡(手機(jī)卡)——由于國(guó)家對(duì)實(shí)名制的要求,一切平臺(tái)注冊(cè)來(lái)源都是手機(jī)號(hào)。通常來(lái)說(shuō),黑產(chǎn)獲取的手機(jī)卡主要分為流量卡、實(shí)名卡和海外卡三種,他們會(huì)從運(yùn)營(yíng)商或者是卡商手中拿到大量的手機(jī)卡。
上述三種手機(jī)卡中,流量卡可以直接通過(guò)注冊(cè)企業(yè)的方式拿到,而實(shí)名卡則需要黑產(chǎn)通過(guò)技術(shù)手段獲取到實(shí)名信息,或者是很直白的向?qū)嶋H的網(wǎng)賺個(gè)體戶來(lái)購(gòu)買,從實(shí)名用戶手中買來(lái)一個(gè)手機(jī)卡需要幾十元。海外卡可以在國(guó)內(nèi)正常使用,不需要實(shí)名,且價(jià)格便宜(一到兩塊)。
貓池——拿到黑卡之后,下一步驟就是養(yǎng)卡。通過(guò)貓池,黑產(chǎn)不僅可以在不同卡之間模擬定期撥打電話,還可以進(jìn)行收發(fā)短信,甚至進(jìn)行一些流量的消耗。這種模擬讓黑卡的使用情況趨于正常的電話卡。
紅圈中為接碼售價(jià)
接碼平臺(tái)相當(dāng)于是一個(gè)中介平臺(tái),它集合了所有的卡商用戶,卡商會(huì)把它的電話卡寄存在這個(gè)平臺(tái)。養(yǎng)卡的過(guò)程中,黑產(chǎn)從業(yè)者會(huì)通過(guò)API批量注冊(cè)或者個(gè)人注冊(cè)的方式拿到黑卡的驗(yàn)證碼信息。接碼平臺(tái)可以對(duì)短信、語(yǔ)音驗(yàn)證碼進(jìn)行識(shí)別,從而用手機(jī)卡在各個(gè)平臺(tái)進(jìn)行注冊(cè)。一條驗(yàn)證碼的價(jià)格一般在一毛錢到四塊錢左右。
2、打碼平臺(tái)
對(duì)于手機(jī)卡初測(cè),大多數(shù)平臺(tái)為了驗(yàn)證手機(jī)號(hào)主人的身份會(huì)先進(jìn)行公共測(cè)試,這主要是為了驗(yàn)證操作者是人還是機(jī)器,打碼平臺(tái)的對(duì)接可以突破驗(yàn)證流程。
突破的具體方法,簡(jiǎn)單來(lái)說(shuō)分為三種。第一個(gè)是通過(guò)A.I.識(shí)別,這種很簡(jiǎn)單的識(shí)別方式只適用于最簡(jiǎn)單的驗(yàn)證流程,在未來(lái)使用的會(huì)越來(lái)越少;第二個(gè)是通過(guò)腳本操作的方式,定點(diǎn)的取一個(gè)滑塊元素進(jìn)行驗(yàn)證;對(duì)于復(fù)雜的驗(yàn)證流程,可以通過(guò)人工打碼方式完成,這是最原始的方式,其成功率也最高。
3、料商
手機(jī)號(hào)突破驗(yàn)證碼限制,不僅僅只需要驗(yàn)證碼一個(gè)要素,有的可能會(huì)需要機(jī)主的個(gè)人身份信息實(shí)名。料商平臺(tái)上會(huì)有四件套(手機(jī)、身份證、銀行卡和網(wǎng)盾)供卡商購(gòu)買,一個(gè)四件套價(jià)格在1000到1200元不等。因此,目前很多人通過(guò)黑客手段從很多的網(wǎng)站平臺(tái)獲取資料,或者干脆粗暴的“收養(yǎng)”人肉。
再者是操作軟件。
具備了基本條件后,有幾種操作工具是黑客必不可少的“錦囊妙計(jì)”。
1、改機(jī)
手機(jī)通過(guò)安裝安改機(jī)軟件,后臺(tái)平臺(tái)會(huì)檢測(cè)用戶注冊(cè)手機(jī)的一系列參數(shù),比如說(shuō)IMEI號(hào)或者是DSID這些號(hào)碼。然后可以對(duì)該設(shè)備進(jìn)行一鍵清機(jī)的操作刷掉歷史注冊(cè)的一系列參數(shù),并模擬出一套新的參數(shù)。
當(dāng)然,手機(jī)的原參數(shù)可以備份,因此支持后期登錄恢復(fù)到之前狀態(tài)。盡管目前有很多攻防手段可以攔截這種一鍵清機(jī)的操作,但改機(jī)本身種類各異,黑產(chǎn)開(kāi)發(fā)者往往根據(jù)其用戶需求開(kāi)發(fā)出形形色色的軟件功能,以達(dá)到清機(jī)目的。
2、改IP
網(wǎng)絡(luò)環(huán)境下的操作,以修改GPS、IP為主。黑產(chǎn)會(huì)通過(guò)VPN的方式代理到一個(gè)網(wǎng)絡(luò)平臺(tái)上,可以在指定的IP領(lǐng)域進(jìn)行切換;GPS也可以通過(guò)手段定位到任意位置。
最后是操作工具。
1、注冊(cè)機(jī)
注冊(cè)機(jī)集成了所有需要注冊(cè)的要素,其主要實(shí)現(xiàn)了接碼平臺(tái)的全部功能。不同之處在于,有時(shí)驗(yàn)證過(guò)程需要模擬類似人手點(diǎn)擊、截屏、模擬重力加速度等操作,在注冊(cè)機(jī)上會(huì)有各種自動(dòng)化工具的啟動(dòng)模塊,更加方便黑產(chǎn)操作。
總結(jié)下來(lái),黑產(chǎn)的操作流程為——首先通過(guò)解碼平臺(tái)拿到大量手機(jī)號(hào)和驗(yàn)證碼,再通過(guò)打碼平臺(tái)通過(guò)行為驗(yàn)證碼驗(yàn)證,然后從料商手中拿到個(gè)人信息進(jìn)行輔助驗(yàn)證/注冊(cè),使用突破安全攔截的工具接管軟件進(jìn)行刷量等的操作。
周君楨稱:“賬號(hào)是一切黑產(chǎn)作惡的來(lái)源,因?yàn)楝F(xiàn)在沒(méi)有什么是不需要賬號(hào)的,這也體現(xiàn)出了賬號(hào)的價(jià)值所在。因此,保護(hù)好手中的賬號(hào),就是預(yù)防黑產(chǎn)最有效的一步?!?/strong>
二
崔宏宇負(fù)責(zé)過(guò)如Pinterest、Yelp、阿里巴巴和獵豹移動(dòng)等大型互聯(lián)網(wǎng)企業(yè)的機(jī)器注冊(cè)、虛假評(píng)論、垃圾郵件、欺詐交易和虛假應(yīng)用安裝等場(chǎng)景的反欺詐建模 。在模型調(diào)優(yōu)、特征工程和算法開(kāi)發(fā)等領(lǐng)域都有著豐富的經(jīng)驗(yàn)。
今天,她以《運(yùn)用自動(dòng)化AI技術(shù)打擊“智能化”網(wǎng)絡(luò)欺詐》為主題向在座嘉賓分享了黑產(chǎn)的攻擊模式、攻擊渠道、攻擊周期和目標(biāo)用戶,并介紹了DataVisor無(wú)監(jiān)督引擎的運(yùn)作原理。
DataVisor中國(guó)區(qū)技術(shù)負(fù)責(zé)人崔宏宇
黑產(chǎn)也在“智能化”
隨著互聯(lián)網(wǎng)的發(fā)展,黑產(chǎn)團(tuán)體作案的規(guī)律性越來(lái)越弱。由于很多賬號(hào)的偽裝做的很好,較為傳統(tǒng)的檢測(cè)工具并不能發(fā)現(xiàn)所有問(wèn)題賬號(hào)。
“這是因?yàn)楹诋a(chǎn)刻意尋找平臺(tái)漏洞,并有目的的進(jìn)行攻擊。黑產(chǎn)試探性的探索平臺(tái)的規(guī)則,比如說(shuō)有些平臺(tái)會(huì)設(shè)立新注冊(cè)賬號(hào)在幾天之內(nèi)不能做某些事情,黑產(chǎn)用一個(gè)誘餌賬號(hào)可以試探出來(lái),之后繞過(guò)即可?!?/p>
類似上述攻擊模式不光出現(xiàn)在互聯(lián)網(wǎng)平臺(tái),金融平臺(tái)也會(huì)出現(xiàn)同類現(xiàn)象,這種情況下通過(guò)規(guī)則的制定來(lái)攔截很難有效。
為了更加清晰的解釋上述觀點(diǎn),崔宏宇對(duì)黑產(chǎn)的攻擊趨勢(shì)變化進(jìn)行了拆分講解。
1、IP
IP在風(fēng)控領(lǐng)域是一個(gè)比較重要的字段,幾乎每家安全廠商都會(huì)有自己的IP黑名單庫(kù)。在之前,黑產(chǎn)會(huì)用很多的代理IP來(lái)進(jìn)行批量注冊(cè)賬號(hào),或者是做虛假的下載安裝這樣的操作。但目前的統(tǒng)計(jì)表明,在DataVisor觀察的所有欺詐賬號(hào)中,只有9%來(lái)自于云服務(wù)賬號(hào)。
和之前比,這個(gè)數(shù)字已經(jīng)有所降低了。這也說(shuō)明攻擊者正慢慢的從云服務(wù)IP轉(zhuǎn)向一些正常的IP,以更好的隱藏自己的來(lái)源。同時(shí),黑產(chǎn)的IP代理工作更傾向于小的代理廠商,而繞開(kāi)了策略相對(duì)完善的大廠。
此外,黑產(chǎn)選擇IP的趨勢(shì)正朝著正常的移動(dòng)網(wǎng)絡(luò)的IP轉(zhuǎn)變。正常IP段行為更多,這使得攔截攻擊的難度增加。
2、域名、電子郵件
研究發(fā)現(xiàn),惡意域名的變化頻次很高。以一個(gè)黑產(chǎn)群組為例,一次性域名更多,這使得傳統(tǒng)的規(guī)則很難及時(shí)追蹤到高頻的域名變化。
圖中是一個(gè)欺詐賬號(hào)群組的數(shù)據(jù),該群組涉及2000用戶,有5000筆交易,涉及的轉(zhuǎn)賬金額有數(shù)百萬(wàn)美金。
據(jù)統(tǒng)計(jì),該群組一共使用了119個(gè)域名,其中包含了一些很罕見(jiàn)的域名以及一次性域名。也有攻擊者會(huì)在兼顧成本的情況下購(gòu)買合規(guī)的域名,以此直接繞過(guò)審核程序。
3、用戶名
通過(guò)用戶名做風(fēng)控規(guī)則,早期的攻擊者會(huì)有用戶名庫(kù)做隨機(jī)組合,其一定會(huì)出現(xiàn)高頻重復(fù)的情況,可以通過(guò)一些規(guī)則進(jìn)行風(fēng)控。但是,現(xiàn)階段有很多攻擊者會(huì)在網(wǎng)絡(luò)上去爬去真實(shí)的用戶名,傳統(tǒng)的風(fēng)控系統(tǒng)將不再適用。
4、APP安裝
現(xiàn)階段APP安裝造假并非只是到安裝一步截止,甚至還會(huì)模擬用戶的使用行為。這種情況下,傳統(tǒng)風(fēng)控系統(tǒng)很難發(fā)揮作用。
5、批量注冊(cè)轉(zhuǎn)向盜號(hào)
新注冊(cè)的批量賬號(hào)沒(méi)有正常行為,這樣很容易被風(fēng)控系統(tǒng)策略抓住。因此,現(xiàn)階段更多攻擊者使用盜取賬號(hào),這讓賬號(hào)的歷史、行為十分正常,因此就可以反復(fù)使用。
DataVisor無(wú)監(jiān)督機(jī)器學(xué)習(xí)引擎
那么,上述的問(wèn)題應(yīng)該如何解決呢?崔宏宇稱,DataVisor目前已經(jīng)分析了400億個(gè)事件,保護(hù)了全球7億個(gè)賬號(hào)。實(shí)踐經(jīng)驗(yàn)證明,AI加持下的風(fēng)控系統(tǒng)更加實(shí)用。
傳統(tǒng)的解決方案通常是設(shè)備指紋、規(guī)則引擎和有監(jiān)督,它們不能及時(shí)應(yīng)對(duì)黑產(chǎn)的變化。DataVisor開(kāi)發(fā)了一套無(wú)監(jiān)督的檢測(cè)引擎。該引擎從全局角度在高維上做聚類分析,然后通過(guò)分析賬號(hào)之間的關(guān)聯(lián)抓到有關(guān)聯(lián)的攻擊群組。
這種無(wú)監(jiān)督不需要前期的標(biāo)簽訓(xùn)練,因此可以在早期階段批量預(yù)警。同時(shí),無(wú)監(jiān)督的方式可以覆蓋上面提到幾種無(wú)規(guī)律的變化情況,因?yàn)閺膯蝹€(gè)維度來(lái)看就很難確定其攻擊的來(lái)源,但群組分析就可以從全局角度分析出相對(duì)具象的結(jié)果。
“風(fēng)控和業(yè)務(wù)之間的結(jié)合,可以讓無(wú)監(jiān)督機(jī)器學(xué)習(xí)從不同緯度對(duì)用戶進(jìn)行分組。為了降低對(duì)計(jì)算空間的需求,高維空間之間的相似性資源需要從單變量分析和多變量分析兩個(gè)維度來(lái)進(jìn)行降維分析?!?/strong>
最終,分析后的群組會(huì)進(jìn)行打分,根據(jù)其分布的維度情況,可以直觀的觀察到群組行為情況并對(duì)此進(jìn)行封禁處理。
崔宏宇稱,無(wú)監(jiān)督的最大優(yōu)勢(shì)一方面在于可以檢測(cè)一些尚未預(yù)料到和常態(tài)的黑產(chǎn)行為,另一方面能夠適用于快速變化的攻擊模式,不會(huì)衰減很快。
雷鋒網(wǎng)得知,此次沙龍邀請(qǐng)到了來(lái)自來(lái)阿里巴巴、京東、美團(tuán)、轉(zhuǎn)轉(zhuǎn)、每日優(yōu)鮮、民生銀行、小米、幸福消費(fèi)等國(guó)內(nèi)知名互聯(lián)網(wǎng)企業(yè)和金融機(jī)構(gòu)的超40位代表參加。
會(huì)上,各位嘉賓針對(duì)無(wú)監(jiān)督算法積極提問(wèn),并就自身(公司)遇到的實(shí)際情況與兩位演講嘉賓展開(kāi)激烈討論。值得一提的是,此次沙龍僅為“維擇下午茶”的首秀,后期將陸續(xù)在全國(guó)多地開(kāi)展,分享更多關(guān)于安全方面的研究和發(fā)現(xiàn),同時(shí)也以此作為DataVisor與行業(yè)內(nèi)外溝通交流的橋梁。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。