黑产无利不起早,在利益的驱动下黑产几乎是屡禁不止,作为风控从业人员我们需要全方位的了解黑产,了解我们的对手,才能知己知彼,接下来我将结合我多年风控经验以及查阅的相关的资源,全方位介绍下黑产以及他们的主要攻击手段:
- 薅羊毛
- 职业打假人,恶意退款
- 刷单
- 垃圾注册
- 发布垃圾广告、欺诈消息
- 欺诈店铺
- 非正常交易、洗钱店铺、盗刷店铺
- 年轻化
- 专业化
- 团伙化
- 不断迭代、攻防
- 真人众包化
1、黑产手机号:手机号是高危号段(虚拟号段 + 海外手机号)
-
国内高危号段:包括170,167,165等开头的虚拟号段
170,167,165等开头的手机号都是来自虚拟运营商,号码比较容易获得,并且很多不需要实名登记。这些手机号基本上都是来自移动和联通的虚拟运营商和物联网卡。
虚拟运营商是,相对于中国电信、移动和联通来说,通过租用传统运营商的通信资源开展电信业务的运营商。他们不需要像传统运营商那样去建设大量的基站等通信设施,但是需要向传统的运营商支付高额的租赁费用,因此在初期必须尽快大规模发展用户,虚拟运营商从2013年开放试点到现在已经发展了8年,尽管交出了1.2亿用户的成绩,但是并没有激发市场活力,反而成了骚扰电话和黑产的重灾区 -
海外号段:
由于国内对手机黑卡的监管越来越严格,打击越来越重,很多黑产将目光投向了港澳台以及境外很多国家的手机卡。这些境外手机号卡大部分来自美国、英国、缅甸、俄罗斯和香港等,这些号码不需要实名认证,容易批量获得,正慢慢成为内地黑产手机黑卡的替代品。
2、在线接码平台
接码平台:也成验证码平台。任何人都可以通过该平台选择手机号码用于短信验证码的接收服务。其中,上游的手机号有卡商提供,而接码平台只是提供供需服务。
简单来说,接码平台就是专门提供为他人接收来自第三方平台验证码提供给他人的资源平台。而这些验证码一部分来自卡商,另一份来自“众包兼职”。
- 第一代:早期的接码平台,一般通过大量非实名认证的手机黑卡,加上群控软件来实现大量验证码的收发。但是由于黑卡的聚集特征太过明显,例如归属地一致、号段聚集,很容易被风控策略所识别。除此之外,随着实名认证政策的收紧,黑卡也逐渐失去了效用。
- 第二代:依靠在手机硬件中嵌入恶意的木马程序,一旦用户启动手机,木马程序就被激活,被激活的木马程序能够在用户不知情的情况下读取手机信息,从而实现接码效果的功能。但是这类主要针对不规范的厂商生产的电子产品,覆盖程度远远不能满足黑产的需求
- 第三代:将验证码以众包的形式分配给正常用户,并通过兼职的手段吸引用户出租其短信服务,只要用户同意在相关平台并授权,APP就能够自动读取短信并将其反馈给平台,实现验证码的自动接收和分发。
那么获取验证码的作用是啥?
在于通过批量注册垃圾账号去获取平台侧发放给普通用户的权益,例如:红包。或者批量刷单、评价、发垃圾广告,发欺诈消息等来获取利益
由于第三代接码平台采用“众包”模式获取的手机号和验证码都来自普通正常用户,现有的风控策略模型很难识别这类账号的异常情况。
3、代理IP/秒拨IP
秒拨IP在2014年已经成为成熟的IP资源解决方案,在目前已经被广泛用于批量注册、刷单、投票等短时间内需要大量IP资源的风险场景,并且由于秒拨IP较难识别,对当前互联网的安全场景已经造成了巨大的危害
- 第一代:代理IP:
主要利用高性能的服务器进行全网扫描,扫描开放代理服务的服务器,或者是直接爬取其他代理网站的数据,收录有效代理IP和端口,以免费或者付费的形式交付给用户。此方式最大的弊端是代理IP的有效性和数量无法把控,代理网站无法把控,用户更无法把控,这就非常影响黑产做自动化攻击的效率。也有黑产利用VPN绕过甲方风控,VPN相对稳定,但是成本更高且有效IP数量有限,并不适用于黑产大规模批量化的攻击。
全网的代理IP数量相对有限,且早期代理服务一般都架设在数据中心的服务器上,不少甲方慢慢开始积累代理IP池,进一步打压了黑产使用代理IP的效果
- 第二代:秒拨IP
秒拨的底层思路就是利用国内家用宽带拨号上网(PPPoE)的原理,每一次断线重连就会获取一个新的IP。与时俱进的黑产掌握大量宽带线路资源,利用虚拟化和云计算的技术整体打包成了云服务,并利用ROS(软路由)对虚拟主机以及宽带资源做统一调配和管理。这种云服务交付给黑产用户其实就是云主机(俗称”秒拨机“),黑产用户可安装Windows或Linux系统,通过RDP、VNC或者SSH连接,部署自动断线重连切换IP以及攻击的工具后,便可发起攻击
秒拨已然成为支撑黑产与甲方在IP层面攻防的核心技术,也是当下业务安全行业的痛点之一
4、自动化脚本
自动化脚本:本质上就是用机器去模拟人的操作行为进行自动化的实现黑产想要的功能