信息來源：嘶吼網(wǎng)

概述

2017年，縱觀全球網(wǎng)絡安全事件，從黑客組織Shadow Brokers泄露NSA的漏洞利用工具EternalBlue，到WannaCry勒索軟件席卷全球，從國內58同城簡歷數(shù)據(jù)泄露，到國外信用機構Equifax被黑客入侵，黑灰產(chǎn)業(yè)蓬勃發(fā)展。

只有事件爆發(fā)后才能察覺問題，這使得企業(yè)和用戶的處境十分被動。企業(yè)對于黑產(chǎn)的行為邏輯、行動方式、利益和目的等都十分陌生。威脅獵人將根據(jù)平臺第一線的攻擊數(shù)據(jù)和深入訪問調查的黑灰產(chǎn)現(xiàn)狀，為大家揭開黑灰產(chǎn)的面紗。

目錄

概述

一、黑灰產(chǎn)事件舉例分析

1、東鵬特飲薅羊毛事件

2、蘋果36

3、滴滴虛假注冊

4、Uber被黑客勒索

5、教材涉黃案

二、產(chǎn)業(yè)鏈分析

1、上游資源提供者

a）黑卡

b）黑IP

c）賬號

d）賬戶認證

2、下游變現(xiàn)細分產(chǎn)業(yè)

a）流量欺詐

b）數(shù)據(jù)爬取采集

c）薅羊毛

d）引流

三、對抗升級

1、主流防控措施和黑產(chǎn)繞過方法

2、新風控角度的思考

a）黑產(chǎn)大數(shù)據(jù)監(jiān)控

b）情報帶來的針對性對抗

結語

一、黑灰產(chǎn)事件舉例分析

1、東鵬特飲薅羊毛事件

營銷活動大家都不陌生，通過獎勵機制吸引用戶。不過同時也會吸引來一群叫做“羊毛黨”的人，他們依靠注冊大量賬號獲取優(yōu)惠券、爭搶紅包、獎品，再通過轉賣等方式變現(xiàn)。大促、補貼、營銷活動都是他們眼中一次次“撈錢”的機會，被叫做線報。

缺乏業(yè)務安全意識、補貼又豐厚的活動是最容易被薅的。東鵬特飲是廣東一家飲料公司，傳統(tǒng)促銷活動是瓶蓋抽獎，隨著互聯(lián)網(wǎng)的普及，決定嘗試新的方式——掃二維碼領紅包，想借力互聯(lián)網(wǎng)省去繁瑣的流轉，順便收集顧客信息，不料羊毛黨卻給了他們當頭一棒。

隨著活動的升溫，迅速出現(xiàn)了大量販賣東鵬特飲CDK（碼子）的人。所謂碼子就是將活動二維碼轉換成的鏈接。購買碼子后用微信點擊便可以領取紅包。渠道商和羊毛黨手中的微信賬號有限，但碼卻很多，他們以略低于最低額度紅包的價格售賣，購買者也是穩(wěn)賺不賠。

而購買CDK的是普通用戶嗎，只能說比例太少，普通用戶哪有渠道知道CDK的存在，大多是手中擁有很多微信賬戶的其他灰產(chǎn)從業(yè)人。他們平時的業(yè)務是用微信號加大量好友，再通過詐騙、微商等形式變現(xiàn)。東鵬特飲CDK只是順便的行為之一罷了。

總之在利益的促使下，迅速有人與廢品回收站核心節(jié)點合作，低價大量收購瓶蓋，提取二維碼信息，市場上稱為“廢品碼”，與之對應的是“必中碼”，是打通關系后從生產(chǎn)瓶蓋廠商、內部人員等處購買的，將二維碼一鍵生成鏈接，轉手賣給渠道商，渠道商再分發(fā)給各級下線，一套流程下來，層層都有利潤，做活動的企業(yè)就成了冤大頭。最終結果就是東鵬特飲發(fā)現(xiàn)實際兌換的獎金金額遠遠高于預期，而收獲的只是營銷效果為0的“僵尸用戶”。

不只是東鵬特飲，這類碼子在市場上非常之多，蒙牛優(yōu)益C、蒙牛冰淇淋、百事可樂、紅牛、七喜、小茗、京東二維碼等等，數(shù)不勝數(shù)。當活動發(fā)展到一定規(guī)模，下游還會有人以“收學費帶賺錢”的形式大肆傳播，整個過程猶如蝗蟲過境，吃光企業(yè)的活動經(jīng)費。

羊毛黨的基本行動方式就是以量取勝，用大量賬號暴力爭搶活動補貼、獎品，如新用戶折扣券，然后轉手低價賣出。事實上他們只是互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈的變現(xiàn)末端之一，有些直接稱其為搬磚人，因其技術要求低，純粹是體力活。

他們的賬號來源、行動模式都值得我們注意。比如瓜分新用戶禮券的注冊手機號從何而來？答案是手機黑卡。威脅獵人收集維護了海量數(shù)據(jù)的黑卡庫，在下文產(chǎn)業(yè)鏈分析中會做出詳細介紹。除去手機號，羊毛黨作惡需要通過平臺的IP、設備等檢測，這些在黑產(chǎn)中都有著平臺化、鏈條化的產(chǎn)業(yè)，羊毛黨僅僅是它們的下游之一。詳細產(chǎn)業(yè)鏈分析請參考上游資源提供者模塊。

2、蘋果36

同樣遭遇薅羊毛的還有蘋果。用戶在iOS上消費后，蘋果公司會按照比例與app服務提供方進行分賬，以季度結算。結算時，大量商戶發(fā)現(xiàn)蘋果的分成和實際銷售金額相差甚遠。在查看之下，發(fā)現(xiàn)了真實原因：被薅。

一些賬戶進行了6元和30元的小額消費后立即消失了，存在批量痕跡。原來蘋果為了提升用戶體驗，設置了40元以下小額充值可以不驗證，先派發(fā)商品的策略。對黑產(chǎn)來說，此舉意味著每個小號36元的利潤，立刻展開了行動。

他們會首先通過腳本批量注冊大量郵箱賬號。國外一些郵箱注冊不需要提供手機號，這一步操作幾乎是“無成本”的。完成后，會利用軟件，批量生成Apple ID，再批量激活。大部分廠商會在IP短時間注冊量上進行判斷，對黑產(chǎn)來說這一步的成本就是更換IP的成本。對此威脅獵人會在下述產(chǎn)業(yè)鏈部分詳細闡述黑產(chǎn)逃過IP檢測的方法。

消費需要綁定銀行卡，對于大量的銀行卡需求，黑產(chǎn)的解決方案是家庭共享和注冊虛擬銀行卡。設置家庭共享后，每個賬號可以有8個附屬賬號共享同一張銀行卡，而這張銀行卡是一張?zhí)摂M卡，當黑產(chǎn)持有一張銀行卡后，可以線上向開卡行申請?zhí)摂M銀行卡，卡號會和原卡不同，但都是屬于同一個賬戶。

當蘋果發(fā)現(xiàn)盜刷行為會對該賬號封號，當多個附屬賬號被封后，蘋果會將主賬號與其綁定的銀行卡列入黑名單，這時，黑產(chǎn)會將虛擬卡注銷，重新申請，完全不影響繼續(xù)使用。蘋果也會對設備進行檢測，這時黑產(chǎn)會結合改機軟件，在被鎖機前刷新設備指紋，輕松解決。

薅羊毛后，黑產(chǎn)就會利用低價優(yōu)勢，通過各種渠道銷售虛擬商品進行變現(xiàn)。游戲和版權行業(yè)是受害的重災區(qū)。

針對36技術，蘋果進行了策略調整，新注冊用戶限制使用先派發(fā)后收款的模式。然而此舉對黑產(chǎn)來說只是提高了一點成本，還在接受范圍中。造成的影響是黑產(chǎn)對老號的需求大幅增加，等待著蘋果的問題將是盜號、撞庫、養(yǎng)號等等。如上述變現(xiàn)環(huán)節(jié)，因為充值限制，會索要用戶（購買黑灰產(chǎn)手中虛擬商品的人）的賬號和密碼，這個賬戶就可以“回收” 投入下一輪的利用。賬號相關的產(chǎn)業(yè)鏈詳細闡述可參考下文賬號模塊。

3、滴滴虛假注冊

按照相關規(guī)定，網(wǎng)約車平臺對注冊司機需要進行相關考核審查，如有一定的駕駛年齡、北京要求“京人京車”等。很多不符合規(guī)定的人想完成注冊，就會利用一種“代注冊”的黑產(chǎn)業(yè)務。

2017年9月，滴滴向廣東省公安廳網(wǎng)警總隊舉報，發(fā)現(xiàn)發(fā)現(xiàn)幾十萬賬戶存在虛假注冊、人車不符的問題。經(jīng)查，發(fā)現(xiàn)了背后黑產(chǎn)大肆的牟利行為。駕齡不符、外地車不派單、車輛超齡都可以拿錢“解決”。

首先黑產(chǎn)信息源通過行業(yè)內鬼等，查到真實符合規(guī)定的人車信息。一級中間商從信息源購買車輛人員信息。然后加價轉賣給二級中間商，二級再加價轉賣給代注冊操作員。代注冊操作人再通過PS等方式“加工信息”，與購買者信息結合，將分別合規(guī)的信息整合為一整套，完成注冊操作，收費300-500元不等。而即使被發(fā)現(xiàn)，滴滴也只能對司機進行封號處理。

有些操作人還會順便薅一把滴滴的羊毛，如利用推薦機制，滴滴公司規(guī)定，每推薦成功一個司機，就能獲得218元沖鋒獎，和新司機前8個訂單30%的流水。不難想象在各家網(wǎng)約車競爭期，活動不計成本，都只想著在大戰(zhàn)中存活的時候，代注冊一伙能夠獲得多么巨大的利潤。

事實上，在滴滴快的大戰(zhàn)時，虛假司機賬戶就是主要是用來刷單，結合外掛牟利的。當網(wǎng)約車合并，國家監(jiān)管變嚴后，代注冊團伙轉而向不符合規(guī)定的人售賣服務，部分團伙還會以出售“注冊教程”的方式獲取額外利潤，這種教學收費模式往往是在本身利益降低時會產(chǎn)生的，當利益巨大時，掌握方法的人只會默默賺錢。

這一系列牟利行為不只是對滴滴造成了傷害，也會對普通用戶造成傷害。如滴滴外掛會通過修改定位等方式實現(xiàn)“挑單、搶單”。而滴滴不得不將距離最優(yōu)算法，改成幾公里內隨機派單，而用戶只能忍受明明看到身邊有車，卻需要在寒風中等待三公里外的一輛車。

更令我們警醒的是，我們的個人信息，竟然是如此容易可以獲得的。事實上，黑產(chǎn)的社工庫也確實在不斷完善，數(shù)據(jù)量越來越多，精準度越來越高，被廣泛的用在撞庫、詐騙等處，讓人膽寒。滴滴這樣的認證較為復雜，被應用更普遍的圖形驗證碼、身份證認證、面部識別認證都有著發(fā)展穩(wěn)定的服務產(chǎn)業(yè)鏈，將在下文賬戶認證部分作出介紹。

4、Uber被黑客勒索

Uber在去年遭遇了大規(guī)模的數(shù)據(jù)泄露，包括5000萬用戶的姓名、郵箱、電話。和700萬司機的個人信息及60萬美國司機駕駛證號碼。Uber稱信用卡等信息數(shù)據(jù)并沒有泄露。5700萬數(shù)據(jù)，與雅虎、美國信用機構Enquifax泄露規(guī)模相比，本不值一提，在黑產(chǎn)中也不算驚天的數(shù)據(jù)。但Uber的做法引起了大家的關注——向黑客支付贖金。

當時的CSO和助理，以支付10萬美金的方式試圖隱瞞此事，避免Uber數(shù)據(jù)在黑市流通。事后兩人遭到了開除，CEO迫辭職，Uber最終聲明并沒有證據(jù)表示此次事件的數(shù)據(jù)被黑客利用，并將為信息泄露的司機提供免費的信息保護監(jiān)控服務。

黑客獲取數(shù)據(jù)的方式令人好奇。事實上他們是從Uber工程師的私人GitHub庫，獲得了登錄憑證，進而訪問了Uber用以計算的亞馬遜云服務賬戶，在賬戶中發(fā)現(xiàn)了用戶數(shù)據(jù)，隨即進行了勒索行為。我們不禁發(fā)現(xiàn)攻擊有時只需要找到一處漏洞，而防守卻需要全面嚴密。而除了防守還有另外一個問題需要我們面對——對已經(jīng)泄露的數(shù)據(jù)該如何行動。Uber隱瞞的做法自然是不可取的。

而面對這種問題一個暴力而有效的對抗方式是建立比黑產(chǎn)更龐大的泄露數(shù)據(jù)庫，若能在黑產(chǎn)使用這些用戶信息時判定出是已泄露賬號，直接觸發(fā)風控邏輯，便可以進行更嚴格的審核，繞過黑客的防護手段，對敵人造成無法回避的打擊。而建立這樣的數(shù)據(jù)庫除了需要有效、實時的收集補充方案，也需要各大廠商的分享和參與，收集多方資料，構建更全面的數(shù)據(jù)源。

5、教材涉黃案

2017年2月，一則“高中教材涉黃”的新聞受到了瘋狂轉載，人教版高中語文選修教材中的詩詞網(wǎng)址打開后竟然是黃色網(wǎng)站。實際上這個網(wǎng)站是遭到了篡改，實施者是一家名叫“雷勝科技”的公司。表面上它是一家互聯(lián)網(wǎng)應用服務商，而背后卻隱藏著一條完整的色情誘導詐騙產(chǎn)業(yè)鏈，“教材涉黃”將它拖出了水面。

詐騙團伙開發(fā)色情網(wǎng)站和App，通過限制觀看有色視頻的時間，誘導用戶付費獲取完整視頻。但事實上并沒有所謂的“完整版”，盈利方式就是詐騙用戶。這個產(chǎn)業(yè)鏈的每一個環(huán)節(jié)都是經(jīng)過精心規(guī)劃的。

第一環(huán)節(jié)為開發(fā)，技術門檻極低，詐騙團伙能夠以極低的價格購買到源碼，有經(jīng)驗的開發(fā)者也可以在幾天之內輕松完成。由于色情內容在我國的違法性，App展示的有色內容會經(jīng)過精心編輯，能完全規(guī)避“淫穢色情”的法律界定。雷勝科技設置了研發(fā)、市場、編輯、財務和客服部門。編輯部就是負責剪輯擦邊球類的有色視頻的，甚至雇有專業(yè)律師審核圖片和視頻。

App上架之后就進入了推廣環(huán)節(jié)，團伙會通過百度聯(lián)盟、木馬程序、修改網(wǎng)站內容鏈接等方式進行推廣。雷勝科技就是修改了教育網(wǎng)站的內容鏈接被牽引出來的。

之后就到了變現(xiàn)環(huán)節(jié)。詐騙團伙會從支付平臺或者渠道商處申請獲得支付接口。申請需要一套完整的公司三證信息（營業(yè)執(zhí)照、稅務登記證和組織機構代碼證）及銀行卡賬戶，這種在黑市上稱為公司“殼”資料，有專人在收集販賣，注冊電商企業(yè)店、申請支付接口等都會向其購買。針對于設置了風控模型的第三方平臺。詐騙團伙會通過準備多個支付接口，使用可以短時間切換接口的方式進行繞過。

有些色情引流詐騙App還會在安裝時獲取權限（如發(fā)送短信等），之后向特定的SP號碼發(fā)送短信進行扣費的方式進行盈利。這些app也會捆綁其他惡意業(yè)務，或是竊取用戶隱私信息等，對用戶造成更深的損害。雷勝科技是通過PC端和移動端流量分發(fā)引流，然后通過詐騙變現(xiàn)，而更為常見的方式是利用各大社交、視頻等平臺，引流至微信后變現(xiàn)，在引流模塊我們會給出更詳細的介紹。

二、產(chǎn)業(yè)鏈分析

1、上游資源提供者

a）黑卡

手機黑卡，指黑灰產(chǎn)從業(yè)者手中的大量非正常使用的手機卡。這些黑卡會提供給各個接碼平臺，用于接收發(fā)送驗證碼，進而進行各種虛假注冊、認證業(yè)務。比如餓了么新用戶有十幾元的首單減免，羊毛黨會從接碼平臺獲取手機號批量注冊，再通過下游將這些首單優(yōu)惠以一半的價格賣給需要點外賣的人。注冊成本是支付一毛錢給接碼平臺，收益是下游接單人的幾元到十幾元不等的收購價。而黑卡就是接碼平臺手機號的源頭。

被稱為“史上最嚴”的手機卡實名制舉措，確實在一段時間內打壓了手機黑卡和接碼市場，提供黑卡和接碼服務的平臺和個人一下子銷聲匿跡，但好景不長，僅僅幾個月后，便出現(xiàn)了強勁的復蘇態(tài)勢，提供黑卡和接碼服務的平臺和個人如雨后春筍般涌現(xiàn)。至今，該市場已經(jīng)極具規(guī)模，并且運行穩(wěn)定，給甲方業(yè)務安全造成巨大壓力。

本著盡可能全面、精準的原則，獵人君從多個途徑不遺余力的收集黑卡信息，從市場現(xiàn)存的黑卡，到曾經(jīng)有惡意行為的黑卡，再到市場新增的黑卡，構建了龐大的黑卡數(shù)據(jù)庫。對每個入庫的黑卡號碼經(jīng)行多維度地評估，標注風險等級，可以有效幫助甲方完善基于手機號的風控策略。根據(jù)威脅獵人反向追蹤調查，黑卡背后的產(chǎn)業(yè)鏈大概如下圖所示：

卡源卡商

卡源卡商指通過各種渠道（如開皮包公司、與代理商打通系等）從運營商或者代理商那里辦理大量手機卡，通過加價轉賣下游卡商賺取利潤的貨源持有者?？ㄔ粗饕校?

· 物聯(lián)網(wǎng)卡：主要用于工業(yè)、交通、物流等領域的手機卡。物聯(lián)網(wǎng)卡無須實名認證，需要以企業(yè)名義辦理，提供營業(yè)執(zhí)照即可，營業(yè)執(zhí)照可以以千元左右的價格買到。有些運營商對營業(yè)執(zhí)照檢測力度很低，甚至會為灰產(chǎn)定制專用的物聯(lián)網(wǎng)卡套餐。這種卡多為0月租或者1月租，根據(jù)能否接聽電話，分為短信卡（也稱注冊卡）和語音卡。

· 實名卡：這種多為聯(lián)絡運營商后，用網(wǎng)上收集的大量身份信息批量認證得到的。

· 海外卡：實名制實施后，卡商受到一定限制。從16年下半年開始，大量緬甸、越南、印尼等東南亞卡開始進入國內手機黑卡產(chǎn)業(yè)，這些卡支持GSM網(wǎng)絡，國內可以直接使用，無需實名認證，基本是0月租，收短信免費，非常切合黑產(chǎn)利益。

如上述東鵬特飲提到的薅羊毛事件中，我們只看到有人大量售賣賬號，其實背后有個非常成熟的產(chǎn)業(yè)鏈，各級分工明確。了解了他們的經(jīng)營方式后，我們再進一步分析黑卡數(shù)據(jù)可以發(fā)現(xiàn)運營商的比例甚至可以定位到犯罪團伙經(jīng)?；顒拥某鞘小?

手機黑卡運營商對比

下圖展示了傳統(tǒng)運營商和虛擬運營商黑卡的數(shù)量對比。來自傳統(tǒng)運營商的黑卡數(shù)量要遠多于來自虛擬運營商的黑卡數(shù)量，畢竟傳統(tǒng)運營商和虛擬運營商的手機卡總量不在同一個數(shù)量級上。2017年8月份的新聞數(shù)據(jù)表明，全國虛擬運營商用戶占移動用戶總數(shù)的3.6%，3.6%的用戶占比卻貢獻了20.17%的黑卡數(shù)量占比。相對傳統(tǒng)運營商而言，虛擬運營商的手機卡中黑卡占比較高。

以下兩張圖展示了在非虛擬號段上和虛擬號段上三大運營商的黑卡數(shù)量對比。在非虛擬號段上，將近一半的手機黑卡來自于中國移動，約三分之一來自于中國聯(lián)通，中國電信最少。在虛擬號段上，絕大多數(shù)是中國聯(lián)通的手機黑卡，中國移動次之，中國電信依舊最少。

 

手機黑卡歸屬地分布

依據(jù)歸屬地統(tǒng)計的數(shù)據(jù)，廣東省十分搶眼，在黑卡歸屬地省份排名中遙遙領先，省內的廣州、深圳、東莞和佛山也霸占了黑卡歸屬地城市排名中前五名中的四名。

 

貓池廠家

貓池廠家負責生產(chǎn)貓池設備，并將設備賣給卡商使用。貓池是一種插上手機卡就可以模擬手機進行收發(fā)短信、接打電話、上網(wǎng)等功能的設備，在正常行業(yè)也有廣泛應用，如郵電局、銀行、證券商、各類交易所、各類信息呼叫中心等。貓池設備可以實現(xiàn)對多張手機卡的管理。

卡商

卡商從卡源卡商那里大量購買手機黑卡，將黑卡插入貓池設備并接入卡商平臺，然后通過卡商平臺接各種驗證碼業(yè)務，根據(jù)業(yè)務類型的不同，每條驗證碼可以獲得0.1元-3元不等的收入。

黑卡數(shù)據(jù)庫能夠結合企業(yè)自身的后臺數(shù)據(jù)，作為補充和參考，為企業(yè)篩選惡意用戶提供賬號維度上的支持。

b）黑IP

IP地址作為互聯(lián)網(wǎng)的緊缺資源、一直是廠商最重要的風控方案之一。面對攻擊，最主流防控措施之一就是封IP，企業(yè)根據(jù)黑IP庫、同IP發(fā)起請求次數(shù)、密碼錯誤率、是否有惡意行為等決定一段時間內禁止某IP的請求。

而面對暴利，黑產(chǎn)不會輕易放棄，對待廠商的對抗，黑產(chǎn)積極主動尋求解決方案，甚至做到了平臺化、鏈條化的反對抗。根據(jù)威脅獵人的長期監(jiān)控，黑產(chǎn)主要有以下幾種獲取IP資源的方式：

· 掃描代理：通過全網(wǎng)掃描常見的代理服務端口，收集可用的代理IP地址，自行維護管理，成本高、效率低。

· 付費代理：代理商通過掃描、搭建、交換的方式，提供全球的代理服務器，有效降低自行收集的產(chǎn)品。代理IP平臺非常之多，均可以提供API接口供黑產(chǎn)調用。

· 付費VPN：與代理相似，使用技術不同。

· 撥號VPS：這類VPS是一臺虛擬服務器，通過ADSL撥號上網(wǎng)，每撥號一次換一次IP，使用者相當于擁有了整個城市的大量可用IP。更有相關供應商做到了打通全國多省市的撥號方式，俗稱混撥。也就實現(xiàn)了在一臺VPS中使用一個賬號快速隨機切換近百城市的ADSL線路撥入互聯(lián)網(wǎng)。

我們稱這種用于網(wǎng)絡攻擊的IP為黑IP。威脅獵人通過大量渠道，在2017年采集并整理出全球范圍內的黑IP，并做了詳細分類。

黑IP類型排名

經(jīng)統(tǒng)計，黑IP top 10類型比例如下。一個黑IP可能會有多個標簽，整體看來，僵尸網(wǎng)絡IP、機器人IP和代理IP的數(shù)量占據(jù)前三名。

黑IP地域分布

分析IP地域來源數(shù)據(jù)，全球黑IP分布圖和top 20的國家如下。全球IPv4總數(shù)約為43億，美國擁有30%以上，這一數(shù)據(jù)與圖片相符，美國的黑IP數(shù)量占比36.39%，遙遙領先其他國家。發(fā)達國家的黑IP數(shù)量要多于發(fā)展中國國家，可以簡單理解為，發(fā)達國家擁有更多的互聯(lián)網(wǎng)設備，也就擁有更多的IP資源，所以黑IP的數(shù)量與互聯(lián)網(wǎng)設備的數(shù)量成正比。

以下兩張圖片為全球黑IP來源城市top 20和全球黑IP所屬運營商top 10。從來源城市數(shù)據(jù)看來，top榜單中大多數(shù)是美國城市，中國城市數(shù)量緊隨其后，其中北京更是占據(jù)了榜首。上榜的城市都是經(jīng)濟較為發(fā)達的城市。從所屬運營商數(shù)據(jù)看來，top 10中一半是美國的運營商。

c）賬號

批量注冊和養(yǎng)號：

在互聯(lián)網(wǎng)灰產(chǎn)中，無論是行跡匆匆的羊毛黨，還是猥瑣發(fā)育的養(yǎng)號者，都需要大量賬號作為牟利的支撐。因此，注冊環(huán)節(jié)也就成了互聯(lián)網(wǎng)公司和灰產(chǎn)的最前沿戰(zhàn)場。各公司的注冊頁面看似平淡，實則暗流涌動。

灰產(chǎn)的逐利本性決定他們非常強調投入產(chǎn)出比。灰產(chǎn)會雇傭開發(fā)人員開發(fā)針對注冊環(huán)節(jié)的自動化攻擊工具。這種注冊軟件大抵有兩類：

· 模擬操作類：通過控件操作瀏覽器元素實現(xiàn)，真實加載注冊頁面，模擬用戶操作。

· 協(xié)議破解類：通過HTTPS協(xié)議實現(xiàn)，破解注冊接口協(xié)議，直接帶參數(shù)調用注冊接口實現(xiàn)注冊。

除了批量注冊外，灰產(chǎn)也會根據(jù)平臺特色，使用其他平臺第三方登錄的方式跳轉成小號，批量產(chǎn)出，例如有一種微博賬號叫做授權號，因為注冊流程等原因，在微博平臺受到風控限制，很難進行后續(xù)變現(xiàn)業(yè)務，就只用作授權其他平臺賬號，在其他平臺上完成變現(xiàn)。這種授權號成本低于手機號注冊，每個只需要幾分錢。

針對這類賬號，很多廠商會對新注冊賬號進行監(jiān)控，于是產(chǎn)生了號商養(yǎng)號的行為，注冊后模仿真實用戶進行一些操作，將號碼從監(jiān)控列表剔除之后再進行業(yè)務。

薅羊毛的新號、刷量的小號都是通過這些方式得到的，但針對蘋果風控被灰產(chǎn)需要的老號就需要通過盜號、養(yǎng)號、撞庫獲得了。當各個平臺增加風控后，這類老號需求就會出現(xiàn)，如微信滿月號、陌陌半年號等等屬于養(yǎng)號，幾年掃號老號等屬于盜號或撞庫所得。

撞庫

撞庫，即攻擊者通過收集各個網(wǎng)站的泄露的用戶數(shù)據(jù)等方式，生成用戶名和密碼字典，批量去其他網(wǎng)站登錄，嘗試撞出目標網(wǎng)站的可用賬戶密碼。近年來，隨著頻繁出現(xiàn)的數(shù)據(jù)庫泄露事件，撞庫攻擊取代了木馬盜號成為了主流的盜號方式。

下圖為獵人君統(tǒng)計的2017年撞庫攻擊量走勢圖：

以下是2017年撞庫攻擊者“鐘愛”的一些攻擊目標和接口：

 

游戲行業(yè)在地上互聯(lián)網(wǎng)公司也是盈利最為可觀的，在地下自然也聚集了大量相關從業(yè)人員，擁有眾多的細分變現(xiàn)產(chǎn)業(yè)鏈。能否直接獲得游戲賬號的撞庫方案自然是受黑客歡迎與關注的，因此，游戲公司向來是撞庫攻擊的高發(fā)地。國內外各大游戲公司在2017年都持續(xù)受到大量的撞庫攻擊。

版權行業(yè)和社交行業(yè)也是深受其害，隨著正版化的推進以及帶寬的增加，許多相關資源需要付費觀看，存在不愿意花高價購買會員，而愿意用低價購買一個賬號使用的人，就會存在這些會員賬號變現(xiàn)的途徑，進而這些賬號也就是對黑產(chǎn)有價值的。

社交行業(yè)也擁有數(shù)量眾多的變現(xiàn)方式，主要的灰產(chǎn)有刷量（點贊、播放量、榜單等）、私信引流、色情社交引流、詐騙等。社交平臺對抗的風控策略不斷升級，社交平臺的老賬號也就成了某些圈內富有價值的資源，如某陌交友平臺的老號價格在30元以上。老號資源意味著封殺率低、生意可持續(xù)。因此，社交賬號也是黑產(chǎn)的重要目標。

撞庫數(shù)據(jù)來源

（1）信封號產(chǎn)業(yè)鏈

信封號，是QQ號產(chǎn)業(yè)鏈中的黑話，每一萬個或者一千個被盜取的QQ號，稱為一個信封。信封號產(chǎn)業(yè)鏈就是QQ號盜取、銷贓的產(chǎn)業(yè)鏈。當QQ號中的Q幣、游戲虛擬裝備等被清洗一空、壓榨干凈后。就會將大量的賬號密碼販賣給黑客完善社工庫，或者制作密碼字典。由于QQ郵箱在國內的市場占有率很高，以及很多用戶習慣直接用QQ號對應的QQ郵箱和密碼作為第三方平臺的賬號。大量QQ號被直接用來進行網(wǎng)站撞庫。

（2）網(wǎng)站泄露數(shù)據(jù)庫

網(wǎng)站泄露數(shù)據(jù)庫的標志性事件是2011年CSDN 600萬用戶數(shù)據(jù)泄露，引領了當年一波數(shù)據(jù)泄露高峰，數(shù)十個網(wǎng)站的用戶數(shù)據(jù)被公開，大量只在地下流通的數(shù)據(jù)被拋上臺面。平時不關注此道的黑客也掌握了足夠的數(shù)據(jù)源切入，某種程度上點燃了撞庫攻擊的熱潮。而且被爆出的數(shù)據(jù)泄露其實也只是冰山一角，更多的再地下黑市中交易流通。

（3）地下黑市流通

數(shù)據(jù)竊取與交易是地下產(chǎn)業(yè)鏈隱藏最深的部分，也常有一些定制性的交易，不少黑客通過數(shù)據(jù)交易來構建龐大的社工庫。黑客間的私下交易，我們無法得知，到底有多少網(wǎng)站數(shù)據(jù)已經(jīng)被竊取也無法客觀的評估。但通過半公開渠道也可管中窺豹，以下是暗網(wǎng)某地下數(shù)據(jù)交易市場的截圖：

攻擊方法和主流防控

通過對海量攻擊行為的監(jiān)控和分析，我們發(fā)現(xiàn)黑客攻擊方法如下：

（1）判斷賬號是否存在

· 注冊接口快速驗證：很多網(wǎng)站在填寫注冊信息時，會通過AJAX對賬戶名可用性做實時驗證，這個接口就可以被黑客利用做賬戶存在的篩選。

· 登錄接口返回信息：部分網(wǎng)站賬號密碼錯誤時，會返回敏感信息暴露賬號存在情況，如返回“賬號不存在”或“密碼錯誤”?，F(xiàn)越來越多的廠商返回“賬號或密碼錯誤”，可以有效避免被利用。

· 找回密碼接口：部分網(wǎng)站，在找回密碼流程中，也會有一次提示信息，也常會被黑客用來驗證賬戶存在。

（2）業(yè)務安全集中管理問題突出

從TH-Karma統(tǒng)計的數(shù)據(jù)來看，許多網(wǎng)站的主要入口有比較嚴格的審計措施，會根據(jù)登錄IP、頻率等觸發(fā)驗證碼或者封鎖IP。但當公司業(yè)務增多，安全管理復雜度大幅增加，不同子站各用一套自己登錄驗證。這些沒有接入審計功能的邊緣業(yè)務接口就稱為了黑客攻擊的溫床。

（3）攻擊效果

根據(jù)威脅獵人對大量撞庫數(shù)據(jù)的統(tǒng)計，能夠成功繞過風控的攻擊占供攻擊量的83%，撞庫的成功率則在0.4%左右浮動。

對此威脅獵人建立維護了一個高危賬號庫。高危賬號指的是已被黑灰產(chǎn)從業(yè)者惡意利用的賬號，大多來自泄露的數(shù)據(jù)庫。對于甲方而言，看到這些賬號要多一份心眼，很有可能背后暗藏著不軌動機。威脅獵人根據(jù)在2017年高危賬號，做出了一些統(tǒng)計。

（1）高危郵箱賬號域名排名

Top 20的高危郵箱賬號域名如下：

國內郵箱域名占據(jù)60%以上，其中以163.com、qq.com和game.sohu.com為主。國外主流郵箱域名（例如yahoo.com、gmail.com和hotmail.com），以及一些俄羅斯郵箱域名（例如mail.ru和yandex.ru）和德國郵箱域名（例如web.de）也位列top 20之內。基本可以看出，top 20的高危郵箱賬號域名的至少滿足以下條件之一：

· 郵箱服務用戶基數(shù)大；

· 來自于黑灰產(chǎn)活動活躍的地區(qū)。

（2）高危賬號關聯(lián)密碼排名

此外，獵人君也統(tǒng)計了與高危賬號關聯(lián)的密碼，數(shù)量排名top 20都是一些常見的弱密碼，列表如下： 

d）賬戶認證

賬戶認證產(chǎn)業(yè)鏈屬于地下產(chǎn)業(yè)鏈中的服務型產(chǎn)業(yè)鏈。幾乎所有的互聯(lián)網(wǎng)企業(yè)都會要求用戶手機認證，有些還要求實名認證、人臉識別驗證，配合技術或人工審核。這必然給各個地下產(chǎn)業(yè)鏈都帶來了障礙，賬戶認證產(chǎn)業(yè)鏈自然就應運而生了。

手機接碼、聽碼

短信驗證是建立在手機和手機號成本上的真人驗證，被廣泛的應用于注冊等場景。如上述黑卡產(chǎn)業(yè)鏈的介紹，黑產(chǎn)的對抗方案并不依賴于手機和辦卡成本，而是接碼平臺，黑產(chǎn)從業(yè)者從該類平臺接收一個驗證碼需要支付1-3毛錢。

接碼平臺是負責連接卡商和羊毛黨、號商等有手機驗證碼需求的群體，提供軟件支持、業(yè)務結算等平臺服務，通過業(yè)務分成獲利。一般會提供給使用者客戶端、API、有些還會提供手機客戶端。手機客戶端用以支持各種手機業(yè)務。而API能夠對接到自動化工具、腳本中，實現(xiàn)批量注冊。

使用者首先要“收藏”自己要做的項目后才可以收取驗證碼，這樣做的好處是避免手機號在相同注冊場景的重復使用，同時也便于應對新形式的對抗，比如，整個注冊過程可能需要接收多次驗證碼，并發(fā)送一次驗證碼。平臺會將收發(fā)集成一個流程，供使用者批量化操作。

有些廠商選擇了語音驗證碼，而接碼平臺也產(chǎn)生了相應收取語音驗證碼的服務，同時也產(chǎn)生了“聽碼”網(wǎng)賺。接碼平臺很多，活躍的有數(shù)十家，比較知名的接碼平臺有：愛樂贊、玉米（現(xiàn)菜眾享）、Thewolf、星辰等，其中Thewolf和星辰可以接語音驗證碼。

2016年11月當時最大的平臺愛碼被警方查處，隨后很多平臺轉入地下。如愛樂贊因為非常穩(wěn)定，卡商眾多，是最受黑產(chǎn)歡迎的接碼平臺之一?，F(xiàn)已不支持在線注冊，在有老客戶介紹情況下，聯(lián)系客服充值1000元才可以開新賬戶，另一種解決方式是與別人共用一個賬號，且每次充值不能低于5元，否則會被封號。

打碼

驗證碼是風控最廣泛的一種部署方案。普通廠商會直接接入，有后臺分析的廠商會在后臺審計異常時觸發(fā)驗證碼以不影響普通用戶體驗。而在黑產(chǎn)中，撞庫、注冊等都需要進行大量驗證碼識別。所以帶動了另一個服務產(chǎn)業(yè)鏈——打碼平臺。

作為一種最簡單、應用最廣泛的圖靈測試方案，大量公司和團隊不斷嘗試自動化破解，以至于驗證碼升級到了人類也需要多次才能識別的境地。國內的黑產(chǎn)，依靠低廉的勞動力解決了問題。他們對無法技術解決的驗證碼使用率暴力的方式——人工打碼進行破解。這種方式廣泛傳播到了大量第三世界國家，導致全球有近百萬人以此為生。打碼工人平均每碼收入1-2分錢，熟練工每分鐘可以打碼20個左右，每小時收入10-15元。

隨著技術的發(fā)展，黑產(chǎn)也與時俱進，逐漸產(chǎn)生了使用AI打碼的平臺。如警方在17年打擊的“快啊答題”平臺，使用了伯克利大學的數(shù)據(jù)模型，引入大量驗證碼數(shù)據(jù)對識別系統(tǒng)訓練，將機器識別驗證碼的能力提高了2000倍，價格降低到了每千次15-20元。為撞庫等需要驗證的業(yè)務提供了極大的便利。

身份證認證及過臉

人臉識別技術發(fā)展逐漸成熟，“刷臉”在近兩年成為新時期生物識別技術應用的主要場景。進入2017年后，在通關、金融、電信、公證等很多領域都需要對人和證件進行一致性的驗證。2016年6月國家網(wǎng)信辦發(fā)布《移動互聯(lián)網(wǎng)應用程序信息服務管理規(guī)定》，明確要求移動互聯(lián)網(wǎng)應用程序按照“后臺實名、前臺自愿”的原則，對注冊用戶進行基于移動電話號碼等真實身份信息認證。

互聯(lián)網(wǎng)廠商面對法規(guī)以及某些業(yè)務上的需求，紛紛推出賬號強制實名認證，并將人臉認證環(huán)節(jié)放到App中完成。實名讓互聯(lián)網(wǎng)時代更加規(guī)范的同時，也給由于某些原因無法實名或者需要大量實名賬號完成黑灰色業(yè)務的人群造成了障礙，于是“過臉產(chǎn)業(yè)”應運而生，為別人批量完成認證獲取利益。

廠商認證時經(jīng)常會要求用戶拍攝身份證正反面照片及手持身份證照片等。黑產(chǎn)獲取此類身份證“料”的方式有但不限于以下幾種：

· 收料人偏遠地區(qū)收集：他們會到偏遠地區(qū)以幾十元的價格大量購買拍攝一整套的照片，沒有網(wǎng)絡安全意思的民眾很多為了一點的利益愿意配合。

· 有些收料人甚至會假扮社區(qū)工作人員等在社區(qū)中進行收集，相對前一種，幾乎沒有成本。

· 還有一種純粹通過網(wǎng)絡收集他人泄露出的照片。

收集后會以5-10元的價格賣給下一級使用者。對于需要過人臉認證的場景，從業(yè)者會利用PS等工具處理好一張帶背景的人臉圖，再利用Crazy Talk生成動態(tài)視頻的軟件，錄制“眨眼”、“搖頭”、“說話”等動作，完成后將攝像頭對準視頻，完成認證，過臉服務收費10元到100元不等。

過臉產(chǎn)業(yè)最開始被用在網(wǎng)絡借貸薅羊毛上，如今已經(jīng)廣泛使用在各種實名認證的業(yè)務上。今日頭條頭條號、58同城、移動“任我行”卡、騰訊大王卡等都是其盈利的途徑。

賬號認證增加難度和用戶體驗優(yōu)化之間找到平衡點，對各個廠商來說都是不小的難點。在蘋果36事件中，就是為了提升用戶體驗給羊毛黨留下了可乘之機。蘋果若能對篩選出的惡意用戶提高認證成本，就可以找到平衡點。而做到這點需要對用戶行為和惡意行為進行分析。用戶行為廠商可以進行記錄，惡意行為需要情報的配合，包括惡意用戶的行動模式、流程、最終目的等。

2、下游變現(xiàn)細分產(chǎn)業(yè)

a）流量欺詐

流量欺詐已經(jīng)發(fā)展成了成熟的產(chǎn)業(yè)鏈，刷量可通過人為的操作提高網(wǎng)頁訪問量、視頻播放量、廣告點擊量、搜索引擎搜索量等等。市場充斥著大量刷量工具和服務，幾元就可以買到數(shù)千IP的訪問。或是使用大量代理IP刷流量，或是基于P2P互刷原理（即掛機訪問別人的網(wǎng)站，得到點數(shù)后可以用來發(fā)布任務，為自己的網(wǎng)站刷量），刷量可以高度模擬真實用戶的行為軌跡，使得視頻網(wǎng)站、直播平臺、廣告聯(lián)盟、搜索引擎、電商等甲方難以有效加以區(qū)分。獵人君通過分析在2017年捕獲的流量刷量數(shù)據(jù)，得出以下流量刷量黑灰產(chǎn)業(yè)中目標廠商的top 10：

刷量行為主要集中在以下幾個場景

（1）刷搜索引擎關鍵詞排名

搜索引擎排名對網(wǎng)站的流量影響巨大。市場上有提供很多提高關鍵詞排名的服務，原理是利用大量IP在搜索引擎搜索指定關鍵詞，然后到指定網(wǎng)站，點擊進入，甚至進一步模仿用戶瀏覽、點擊，欺騙搜索引擎，使其認為該站與該關鍵詞關聯(lián)度很高。百度，作為國內最大的流量出入口，榜首位置實至名歸。針對百度的流量刷量類型有多種，主要類型包括刷搜索流量和點擊百度網(wǎng)盟廣告。2017年底，百度推出“驚雷算法”，旨在打擊以作弊的方式提升網(wǎng)站搜索排序的行為，究竟效果如何，2018年我們拭目以待。Top 10榜單中還出現(xiàn)了360搜索和中國搜索，刷搜索流量在整個流量刷量產(chǎn)業(yè)中的比重可見一斑。

（2）刷視頻播放量

另一個流量刷量產(chǎn)業(yè)的大頭是刷視頻播放量，目標廠商包括榜單中的優(yōu)酷、搜狐、龍珠視頻/直播、愛奇藝、騰訊等，以及不在榜單中的觸手直播、風行網(wǎng)等。很多視頻有夸張的播放量，點贊和回復卻寥寥無幾。視頻網(wǎng)站依據(jù)視頻人氣付給視頻作者酬勞，虛假的播放量可直接導致視頻網(wǎng)站蒙受金錢上的損失。對于用戶來說，人氣很高的熱門視頻，內容質量卻名不副實，用戶體驗下降。

（3）刷廣告展示量和點擊量

通常告主會和廣告聯(lián)盟或站長合作，進行推廣，按照CPM、CPC的方式結算廣告費用給站長。一些無良的站長會使用軟件或者購買服務惡意刷CPM、CPC，獲取不正當利益。廣告聯(lián)盟存在一些廣告反欺詐機制，刷量有可能面臨封號，但依舊有很多人通過刷量技巧和網(wǎng)站數(shù)量來大規(guī)模獲利。

（4）電商和網(wǎng)站訪問量

此外，刷頁面的訪問量，包括刷社交站點的內容曝光量和電商商品瀏覽量，也是流量刷量產(chǎn)業(yè)中相當活躍的一個分支，比如新浪博客的訪問量，以及淘寶和天貓商品的瀏覽量等?？偠灾?，當今的互聯(lián)網(wǎng)世界中，充滿了障眼法，眼見不一定為實，所謂的“人氣排名”，所謂的“熱門列表”，不可完全相信。

 b）數(shù)據(jù)爬取采集

爬蟲就是收集信息，“爬蟲寫的好，擁有整個互聯(lián)網(wǎng)的數(shù)據(jù)不是夢”。數(shù)據(jù)分析本身并沒有善惡標簽，方法和目的卻可以將之定性。黑灰產(chǎn)如今規(guī)模龐大，分支眾多，從獵人君觀察到的攻擊流量來看，黑灰產(chǎn)從業(yè)者的需求比較分散，快遞、媒體、電商、賬號有效性等等都是攻擊者的目標。黑灰產(chǎn)從業(yè)者做爬蟲的目的多種多樣，比如：

· 用作產(chǎn)品化上游的數(shù)據(jù)支撐，比如某些針對電商的秒殺、搶購軟件。

· 用作分析競爭對手的產(chǎn)品和業(yè)務策略，比如爬取競爭對手的產(chǎn)品信息和用戶論壇。

· 爬取競爭對手的用戶數(shù)據(jù)，尤其是有效的手機號或郵箱格式的用戶名，之后可用于定向的推廣營銷。

· 爬取有效的用戶名，可用于生成用戶名字典，實施撞庫攻擊。

· 爬取個人信息，惡意利用，甚至實施詐騙。

以下是獵人君統(tǒng)計的2017年較為熱門的一些爬蟲攻擊目標和接口：

 

c）薅羊毛

薅羊毛，簡單理解就是，以不正當?shù)姆绞将@取互聯(lián)網(wǎng)上的各種福利，如新用戶注冊紅包。這些人不以“利小而不為”，只要是看到福利，能薅則薅，使得互聯(lián)網(wǎng)公司的推廣經(jīng)費中很大一筆部分都打了水漂。薅羊毛入門門檻極低，如今，薅羊毛規(guī)模之大，足以稱之為一個行業(yè)。薅羊毛行業(yè)緊緊依附互聯(lián)網(wǎng)行業(yè)，與互聯(lián)網(wǎng)行業(yè)的以等同的速度發(fā)展。2017年，薅羊毛活動如火如荼，主要針對各類金融平臺、電商平臺以及O2O平臺。

威脅獵人總結了一份2017羊毛熱詞云圖，如下所示：

詞云圖的中央，是大大的兩個字“會員”，各類會員，包括低價會員甚至是免費會員，深得眾羊毛黨的喜愛。其他福利，比如優(yōu)惠券、紅包、商品秒殺、激活碼、各類低價QQ鉆等，也有較高的詞頻。認領福利需要賬號，賬號相關的關鍵詞，比如注冊、老號、白號、小號等，也是榜上有名。既然有賬號，就有連帶的賬號實名業(yè)務，比如認證、綁定、實名等。另外，不出意外的是，“騙子”的詞頻相當高，黑灰產(chǎn)市場本來就不受法律保護，“黑吃黑”的現(xiàn)象也較為普遍。 

d）引流

有一些不適合直接變現(xiàn)卻坐擁巨大流量的平臺，比如短視頻平臺、社交平臺等，黑產(chǎn)也不會放棄，采用引流方式進行變現(xiàn)。一個簡單的引流變現(xiàn)操作是這樣的：操作者在頭像、昵稱、個人資料等任何可以被平臺曝光的地方留下聯(lián)系方式，比如微信號，再通過發(fā)送誘惑性的內容吸引用戶前往添加好友，之后通過詐騙、微商等形式深度變現(xiàn)。

常見的社交平臺引流方法，是通過軟件批量關注、發(fā)送私信等方式。一些引流操作可以帶來巨大的流量，個人無法消耗，會以“出粉”形式賣出，即買家根據(jù)成功添加微信的“人頭”數(shù)，付給引流者報酬。

引流人往往會結合目標用戶的心理以及引流平臺的特點，進行操作，如到美拍的美妝視頻下寫“前100人免費送XXX化妝水”，吸引可以通過微商變現(xiàn)的“女粉”。在陌陌等平臺上通過誘惑性圖片、視頻加上“想交男朋友”等話術，吸引“色粉”（“男粉”），在微信中騙取紅包或是銷售一些男性用品。

諸如此類，還有“保健粉”（可用于銷售醫(yī)療用品）、“連信粉”（中年有消費力的）、“股民粉”、“寶媽粉”、“女大學生粉”等等。在業(yè)內叫做精準引流，用戶群體越精準，價格越高。

而購買者有兩類，一種是真實微商，另一種就是我們在東鵬特飲中提到的，用微信作為變現(xiàn)出口的黑產(chǎn)，如引來色粉后擼包，即詐騙，用微信機器人偽裝成女性，通過發(fā)送誘惑圖片視頻的方式索要紅包。

這種方式只能騙一次，所以他們需要引流人給他們源源不斷的粉，稱為“火車站流量”，而微信被舉報后賬號就報銷了，所以他們會向號商購買賬號，做到最后，變現(xiàn)可以用量化標準來計算收益，微信號平均多久會死，誰家引來的粉平均每個人頭幾塊錢……單從這一條往下看，引流和號商一直都有市場，會持續(xù)存在，而他們需要繞過廠商的風控，又需要一系列的服務型產(chǎn)業(yè)鏈，他們都會持續(xù)的與廠商對抗，只要利益不消失，對抗就會持續(xù)升級。

三、對抗升級

1、主流防控措施和黑產(chǎn)繞過方法

面對惡意行為，除去IP等規(guī)則判斷，廠商也會從行為和設備角度進行判斷。如用戶登錄過程的行為，包括停留時間、鼠標焦點、頁面訪問流程、csrf-token等。再通過客戶端上報機器信息，識別判定是否存在偽造設備。

而面對對抗，黑產(chǎn)也在不斷升級，主要會從以下幾個方面進行繞過：

· 邊緣業(yè)務與新業(yè)務處尋找可利用接口：黑灰產(chǎn)不斷尋找審計不嚴格的邊緣業(yè)務接口，找到后便能繞過所有的防護措施，如入無人之境。而廠商在這個維度上很難有行之有效的監(jiān)控，因為本來就是被疏忽的接口。這里可以從第三方視角進行監(jiān)控。威脅獵人對黑產(chǎn)流量進行大數(shù)據(jù)分析，可以是這種伎倆暴露在陽光下，何人何時攻擊了新的接口，從攻擊出發(fā)分析檢測，可極大增強廠商對漏洞的反應速度。

· 模仿真實用戶：規(guī)避后臺行為分析模型方面，黑卡提交請求時不再是僅僅填寫User-Agent，而是盡可能全的完成整個流程，包括：完整的頁面打卡流程代替僅僅向關鍵接口提交請求；攜帶csrf-token等完備的參數(shù)；頁面停留時間采用函數(shù)隨機化；HTTP header嚴格遵守瀏覽器特征；隨機化所有其他不重要的參數(shù)等。

2、新風控角度的思考

企業(yè)制定安全策略往往存在兩個問題：

· 是安全策略面向所有客戶，灰產(chǎn)可以不斷嘗試摸清規(guī)律，設法繞過。

· 對最新的攻擊方式不了解，導致制定防御策略無法有效打擊黑產(chǎn)，反而容易誤傷正常用戶。

· 面對后臺數(shù)據(jù)，只知道自己攔截了多少惡意用戶，不知道有多少沒有攔截。

因此威脅獵人從行業(yè)出發(fā)，針對電商、社交、游戲、云計算等不同行業(yè)的不同特點，逐一分析，還原真實攻擊場景，以期望解決企業(yè)面臨攻防信息不對等的問題，為企業(yè)精準防御灰產(chǎn)攻擊提供數(shù)據(jù)補充、情報支撐。

a）黑產(chǎn)大數(shù)據(jù)監(jiān)控

基于黑產(chǎn)攻擊的資源建立持續(xù)監(jiān)控機制，對已經(jīng)泄露和已經(jīng)在使用的黑IP、黑卡、批量注冊賬號、盜取賬號、惡意流量等進行積累和實時更新。就能結合風控系統(tǒng)，從多個維度判斷，有效篩選出可疑用戶。

b）情報帶來的針對性對抗

情報收集和分析工作可以有效的還原出某個針對企業(yè)的攻擊方式，用于針對性打擊。如通過情報和數(shù)據(jù)結合分析，得出攻擊者的目的、攻擊流程和行動模式后，廠商就可以多維度的打擊，如A場景檢測到卻在B場景打擊，讓攻擊者摸不著頭腦，測試不出套路。在入口處有所遺漏時，還可以在出口處再次進行打擊，如注冊處或許沒有全部攔截，當檢測到注冊后立即綁卡搶紅包提現(xiàn)一氣呵成的用戶，標記高級別危險標簽，提高提現(xiàn)門檻等。

結語

傳統(tǒng)的“你來我往”、“亡羊補牢式”的攻防策略已無法有效與現(xiàn)在的黑灰產(chǎn)勢力抗衡，作為防守方的甲方應當將戰(zhàn)場向前推進，步步逼近黑灰產(chǎn)大本營，以爭取更多的主動權。情報收集、風險偵測和威脅感知將是新型對抗模型中的三把利刃，能夠幫助甲方做到“知彼知己，百戰(zhàn)不殆”。