黑灰产的英文翻译是Black Market,被定义为通过人工方式或者技术手段实施的操纵网络信息内容,获取违法利益、破坏网络生态秩序的行为。对很多人来说,黑灰产的代名词就是“薅羊毛”。实际上,除了薅羊毛,每个行业都存在一些典型的黑灰产欺诈场景。
黑灰产的最大特点但就是逐利。只要是能产生利益的地方几乎逃不开黑灰产的觊觎。即使表面看上去获利很低,但黑灰产依然会想办法通过批量操作来规模获利。
目录
- 黑灰产的典型形态搬运洗稿恶意营销撰写黑稿黑账号刷粉刷量
- 黑灰产的发展趋势
- 黑灰产的攻击方式
- 黑灰产的产业链条上游环节中游环节下游环节
- 黑灰产的防控手段
- 出行行业黑灰产研究出行行业风险分布出行行业常用黑产资源出行行业攻击成本
黑灰产的典型形态
搬运洗稿
指使用技术或手动编辑,通过对他人文章进行同义词替换、语态语序转化、段落调整、删减、拼凑等方式进行二次表达而形成新的文章内容,本质是对他人原创作品的一种非正当性使用。搬运洗稿信息广泛存在于微信公众号推文、自媒体各类账号发文、视频剪辑拼接中。
搬运洗稿的产业链上游是技术员开发售卖洗稿工具,中游是专业洗稿团队批量接单,下游是自媒体账号为引流购买洗稿服务。
搬运洗稿的盈利模式丰富,不同参与主体有不同的盈利模式:
- 洗稿团队靠批量洗稿和售卖洗稿教程获利;
- 自媒体通过洗稿“爆款”文章赚取平台补贴和承接广告;
- 洗稿平台通过发 “爆款”热文引流赚取流量收益。
搬运洗稿大多是“人工+机器”的双轨洗稿模式且多为招募网络写手组建专业洗稿团队批量接单。
恶意营销
指营销公司或个人为了取得商业利益,选择在特定时机利用煽动性话语刺激公众情绪、博取舆论关注,从而获取利益。如2020年华南海鲜市场供货商忏悔书事件,以抢流量、炒作为业的团伙将2016年旧帖拼接篡改后,再换上和疫情有关的标题“蹭热点”,通过“曝光巨大内幕” 等字样博取眼球,使帖文迅速获得超10万阅读量。
恶意营销的产业链是一条诱导变现的完整黑产链,上游是营销号注册,中游是内容生产引流,下游是自媒体诱导变现。
恶意营销的盈利模式有三种:
- 通过“水涨船高”盈利,“涨粉”到一定程度实现流量变现;
- 通过 “移花接木”盈利,通过插入跳转链接获得相应受益,吸引粉丝点开后实现恶意变现;
- 通过“无中生有”盈利,通过编造谣言等不实信息进行所谓“撤稿费”的敲诈。
恶意营销的运营特点包括:
- 蹭热点,夸大扭曲事实,借社会热点事件蹭流量是营销号最常见做法;
- 燃情绪,渲染负面情绪,如“金钱、性、暴力、歧视”等主题的信息内容;
- 搅浑水,正反搅动舆情,同一营销公司的水军持两种对立观点,“左右手互搏”,利用公众朴素情感,搅混舆论。
撰写黑稿
指部分企业出于打压竞争对手、巩固自身利益等目的,借自媒体之手发出黑稿抹黑对手,并安排“推手”或 “水军”进行二次传播。为了最大化发挥黑稿效力,黑稿通常选择在竞争对手的重要经营节点对外发布。
撰写黑稿的产业链表现为从注册自媒体账号,到生产内容引流,再到引流变现盈利,形成完整的黑稿产业链,其中包含授意企业、黑稿写手、黑稿发布者等参与者。
撰写黑稿的盈利模式:
- 职业收取“封口费”,诋毁企业后上门“谈合作”,索要“封口费”“保护费”;
- 拿钱帮抹黑竞争对手,利用竞争对手的负面信息撰写文章,在平台发布传播,混淆视听,获得高额收益。
撰写黑稿的运营特点:
- 角度选取贴近社会热点,如人身健康、财产安全、隐私泄露、房价走向等;
- 内容设定夸张不实,多是拼凑信息或者对其中一点进行放大,再添加有倾向性观点,配上博人眼球的标题;
- 传播灵活形成矩阵,通常会由影响力较大的公众号发布负面新闻,其余“小号”跟进和炒作,并在微信、微博、今日头条等多个平台同步发布,同时雇“水军”评论和转载,尽可能实现攻击效果最大化;
- 人员结构复杂多元,不仅有专门的自媒体,还有记者、公关公司、第三方评价机构等群体,这些人不仅对企业消息有更深层次的了解,还更为熟悉写作、 传播等规律,进一步增加了所谓自媒体的“效力”。
黑账号
指各平台出现账号倒卖的现象,形成一条成熟的产号、养号、卖号的产业。黑账号的产业链表现为上游产号、恶意注册账号,中游养号、恶意运营管理账号,下游出号,获得违法违规利润的特点。
黑账号的盈利模式包括:
- 实施诈骗;
- 向平台“薅羊毛”;
- 开展广告营销等。
黑账号的运营特点包括:
- “手机黑卡卡商”通过特殊渠道获得手机黑卡;
- “黑产交易平台”为“手机黑卡卡商”和“虚假账号号商”提供交易中介服务;
- “虚假账号号商”实现虚假账号注册并提供给下游网络犯罪。
刷粉刷量
指提高粉丝数量、互动数量,依靠流量产生利润, 形成刷流量产业。刷粉刷量的产业链上游是工具开发者和账号商,主要通过技术手段在各大网络平台注册账号,生产假粉丝;中游是流量业务代理商,为广撒网寻求客户,账号商通常会招募数量众多的代理商售卖粉丝;下游是需求用户。
刷粉刷量的盈利模式:
- 注册账号引流变现,
- 售卖软件,
- 面对课程教学等获利。
刷粉刷量的运营特点:
- 利用刷粉软件进行自动刷粉操作,
- 招募真人粉丝模拟人工自主访问,
- 自媒体刷粉刷量赚取流量。
除以上形态外,还涉及诱导粉丝消费、音视频软色情贩卖、刷帖控评、算法滥用、集群炒作、人海投诉等,还有问题组合出现的情况。网络信息内容黑灰产治理具有复杂性、系统性特点,从其产业链可见,在网络信息内容生态体系中,内容生产端始终是问题源头和重要环节。应对网络信息内容黑灰产挑战,需明晰各方责任,斩断非法利益链,实现协同共治。
黑灰产的发展趋势
与以前相比,黑灰产的攻击方式或手段有了很大变化,主要体现在以下三方面:
- 从早期单一的兼职刷单,到如今的多行业、多场景、多任务的广泛渗透;
- 从早期的只在 PC 端进行单一手法的兼职,到如今以移动端为主;
- 从早期的线上群组媒介(QQ 群、YY 语音等),到如今的平台化和裂变化。
从成本和收益来看,黑灰产的攻击成本主要来源于其发起攻击时所需要的各种资源,主要有:
- 账号资源:在目标业务上注册的虚假账号
- IP资源:为绕过目标的 IP 风控,购买代理或秒拨 IP
- 设备:在设备上安装目标应用
- 自动化工具:批量操控多台设备的群控工具,修改设备信息,从而伪造新设备的改机工具等
黑灰产的收益则是业务营销费用的损失。有一些收益比较直接,比如现金红包,可以直接提现;还有一些收益需要变现,例如优惠券。不过,黑灰产有发卡平台、回收平台等成熟的变现渠道,所以变现也不成问题。
近年来,以云计算、大数据和人工智能等代表的新技术的出现或应用,在某种程度上也加速了黑灰产的发展。云计算的发展让个人搭建和维护一个网络平台的成本大大降低,其中包括黑灰产产业链中的一些平台,像提供虚假注册手机号的接码平台、提供海量IP地址的代理和秒拨平台、提供图像和滑动等验证码绕过服务的打码平台、提供交易和变现渠道的发卡平台等,很多搭建在国内或海外的云服务器上。这些平台的大量出现,打通了黑灰产的上下游供给,不仅降低了攻击成本,而且还提供了 API 接口等方式便于自动化,进一步提升了攻击效率,让黑灰产可以更容易地实施大规模的批量攻击,收益也更大。
从更大的角度黑灰产的发展趋势:
- 以量取胜。目前,市面上大部分黑灰产都采取以量取胜,比如养号、刷量、薅羊毛等。使用这种策略的黑灰产从业者,它们充分利用“长尾效应”,本着“苍蝇腿上也是肉”的原则,把蛋糕做大。
- 黑产资源平台化。过去几年,这个趋势已经很明显。在黑灰产领域,有很多需求庞大的基础资源,比如手机号、IP、设备、身份证、银行卡、支付渠道和自动化攻击工具等。各个类型的资源都发展出了专业的供应商,可以按需取用,极大降低了黑灰产从业者的从业门槛。
- 技术对抗迭代转向资源效率迭代。黑灰产的一个典型变化是,从早期的技术对抗迭代模式,逐渐转向资源效率的迭代。在技术对抗迭代的时代,黑灰产从业者往往通过技术栈来保证自己的优势。当资源平台化后,黑灰产入行门槛大大降低。生产效率更多是通过资源利用率来提升,例如早期群控系统需要摆满房间的真实手机,后来被手机硬件厂商整合成箱控,一块主板能切割出几十台手机,再后来直接做成云手机的模式,连实体都不需要。
黑灰产的攻击方式
攻击服务可以划分为“过身份”、“多身份”、“批量化”三大模块,其中每个模块涉及到多种攻击技术。
- 过身份:利用伪造身份、人脸等方式绕过平台认证,可以注册虚假账号并正常参与平台业务和活动;
- 多身份:利用多开、改机、改定位等技术伪造多个“正常”设备,从而绕过平台对于单身份的限制;
- 自动化:利用自动化脚本或群控工具,批量完成注册、登录、点击等业务操作。
机器作弊
通过自动化的机器程序来伪造真实的用户行为,它又分为协议攻击和脚本攻击两种。
- 协议攻击指的是通过破解业务前端和服务器的通信协议,直接伪造并发起注册登录等业务请求;
- 脚本攻击指的是通过编写按键精灵、autojs 等脚本,操控前端应用或网页的界面元素,比如输入框自动填入账号密码、自动点击登录按钮。
值得注意的是,前者不需要有设备安装业务应用,攻击成本更低,更容易规模化,危害也更大。
真人作弊
与机器作弊不同,真人作弊背后是一个个真实的人,黑灰产往往通过发布赏金任务,吸引真人协助其完成作恶。
不过,随着近年来甲方业务风控的不断加强,机器作弊很多时候会被识别出来,而真人作弊识别难度非常大,因此真人作弊越来越多,模式和形态越发多元和丰富。
黑灰产的产业链条
黑灰产之所以能有现在的发展,关键是其形成了一个分工明确、协助紧密的成熟产业链。据了解,整个黑灰产的产业链大致可以分为上游、中游和下游三个环节,其中,上游提供资源和技术,下游进行作恶和变现,而中游则连接上游和下游。
整个产业链中,比较关键的部分包括上游是否能持续稳定的提供可靠的资源和技术,下游是否能有稳定的变现途径或渠道,中游是否能高效的连接上游和下游,保持稳定的供需关系。如果这几点不出问题,整个产业链的运作就会很顺畅。
上游环节
黑卡运营商
手机黑卡是指没有在运营商进行实名认证,被不法分子利用进行薅羊毛攻击、实施通讯信息诈骗等违法犯罪活动的移动电话卡。
黑卡运营商通常与三大运营商代理勾结,他们在获得大量手机卡后通过加价转卖给下游手机卡商赚取利润。其黑卡主要来源有:实名卡、物联网卡、海外卡以及虚拟卡。
- 实名卡:实名卡主要是通过拖库撞库、木马、钓鱼等方式从网上收集大量身份证信息,并通过黑卡运营商批量验证得到的。
- 物联网卡:物联网卡是由三大运营商业提供的 4G/3G/2G 卡,硬件和外观与普通 SIM 卡相似,但采用专用号段,并加载针对智能硬件和物联网设备的专业化功能,满足智能硬件和物联网行业对设备联网的管理需求以及集团公司连锁企业的移动信息化应用需求。主要有基础通信、财务信息查询、终端状态查询、业务统计分析四大功能。物联网卡无需进行实名验证,由企业申请办理,一般仅需提供营业执照,实际操作中,营业执照通过财务公司操作,大概需要花费 1000 元左右即可成功注册,部分运营商对营业执照审核不够严谨,甚至会为灰产定制专用的物联网卡套餐。这种物联网卡多为免月租或者 1 元月租,根据能否接听电话,分为短信卡(也称“注册卡”)和语音卡。
- 海外卡:在国家实行实名制后,黑卡运营商直接从海外购入手机卡,这些卡无需实名认证,花费很少,非常切合黑产利益。
- 虚拟卡:由虚拟运营商提供的电话卡。虚拟运营商是指拥有技术、设备供应、市场营销等能力,与传统三大运营商在某项或者某几项业务上形成合作关系的合作伙伴。虚拟运营商就像是代理商,他们从移动、联通、电信三大基础运营商那里承包一部分通讯网络的使用权,然后通过自己的计费系统、客服号、营销和管理体系把通信服务卖给消费者。
猫池厂商
猫池厂商负责生产猫池设备,并将设备卖给卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备,在正常行业有广泛的应用,如邮局、银行、证劵商、各类交易所、各类信息呼叫中心等,猫池设备可以实现对多张卡的管理。
手机卡商
手机卡商从黑卡运营商那里大量购买手机黑卡,将手机黑卡插入猫池设备并接入收码平台,然后通过收码平台接收各种验证码业务,根据业务类型的不同,每条验证码可以获得 0.1元-0.3元不等的收入。
接码平台
负责连接卡商和有手机验证码需求的群体,提供软件支持、业务结算等平台服务,通过业务分成获利,一般为30%左右。
打码平台
很多网站都会通过图片验证码来识别机器行为,对非正常请求进行拦截。因此打码平台已成为大多数黑产软件必备的模块之一,为黑产软件提供接口,突破网站为辨别机器还是人类行为而设置的图片验证码。
文字、图像、声音等验证码的技术难度较高,打码平台通常难以完全依赖技术手段实现自动操作。国内的打码平台,以往主要依靠低廉的劳动力。他们对无法技术解决的验证码使用人工打码进行破解。这种方式广泛传播到了大量第三世界国家,导致全球有近百万人以此为生。打码工人 平均每码收入1-2分钱,熟练工每分钟可以打码20个左右,每小时收入10-15 元。
随着技术的发展,打码平台也与时俱进,逐渐产生了使用人工智能打码的平台,引入大量验证码数据对识别系统进行训练,将机器识别验证 码的能力提高了2000倍,价格降低到了每千次15-20元,为撞库等需要验证的业务提供了极大的便利。
IP代理
IP作为互联网空间中最基础的身份标识,一直以来都是争夺对抗最激烈的攻防点。这是一个高度成熟产业,国内代理、国外代理、国内秒拨软件等。
因为目前机房的服务器IP基本已经被标识,所以这部分代理IP基本无法使用,所以需要有大量的家庭住宅IP。国外可以走代理,有专门的服务商在提供动态住宅IP,比如luminati代理、911代理以及oxylabs代理,单价很高。国内基本都是秒拨软件实现的,秒拨的底层思路就是利用国内家用宽带拨号上网(PPPoE)的原理,每一次断线重连就会获取一个新的IP,秒拨两个天然的优势:
- IP池巨大:假设某秒波机上的宽带资源属于XX地区电信运营商,那么该秒拨机可拨到整个XX地区电信IP池中的IP,少则十万量级,多则百万量级;
- 难以识别:因为秒拨IP和正常用户IP取自同一个IP池,秒拨IP的使用周期(通常在秒级或分钟级)结束后,大概率会流转到正常用户手中,所以区分秒拨IP和正常用户IP难度很大。
改机工具
刷新设备指纹,解决单台设备注册的上限。
Android和iOS都有很多相应的改机工具。Android改机大部分都基于Xposed框架,需要root;iOS大多基于Cydia框架,需要越狱。
- Xposed号称Android上最强大的神器,它是一个框架,上面有很多模块,这些模块都依赖于xposed这个框架,之所以称xposed是第一神器,就是因为这些模块可以完成许多匪夷所思的功能,例如:修改微信的界面,自动抢红包模块,自定义程序的文本,防止微信消息撤回,防止BAT三大流氓的全家桶相互唤醒、连锁启动,锁屏后自动干掉APP防止后台运行耗电,还有很多修改App或手机数据的装B模块等等。
- AWZ国内最新支持iOS全系系统的一键新机、全息备份、位置伪装、ASO辅助工具,手机一键新机,轻松修改设备参数,功能定时更新,多重保障软件稳定运行,为用户提供更好体验。为iPhone/iPad提供反越狱检测,修改系统序列号、型号、系统版本、运营商、地理位置、MAC、UUID、IMEI、IDFA、SSID应用全息备等一系列强大功能。
群控平台
群控是指通过一台电脑或者手机设备控制批量手机的行为,可以分为线控和云控两种形式。 线控是指信号 发生器与被控制的手机设备通过线缆进行连接的; 云控指手机搭载了云技术可以实现远程控制,可以用任意一台PC通过云端控制手机终端上的任何资料,随意调取自己所需的信息,或者使用另一部手机用ID登录云服务器。通过群控工具,可以实现一台终端对多台手机的控制,与改机工具进行搭配,可以在短时间内制造成千 上万不同设备的信息,适用于羊毛党的批量攻击。
- 群控:指通过系统自动化控制集成技术,把多个手机操作界面直接映射到电脑显示器,实现由一台电脑来控制几十台甚至上百台手机的效果。以某社交平台群控为例,它是在群控体系基础上,针对其定制化、批量模仿正常个人用户操作的软硬件集成体系。它以群控体系+各种批量模仿脚本的方法,完成批量操作,其所有任务执行都是同时进行的。
- 箱控:是群控的进化变种,把手机核心组件都做到一个箱子,去掉一些用不上的硬件,做成的专门的群控设备,一个箱子可操控多台手机的多个APP,具体方法是使用了一款名为appium的安卓自动化测试工具,通过文字、控件id、控件名称等直接定位到APP的控件进行操作。
- 传统云控:通过无线连接。电脑通过后台发送指令到云端,云端的指令再发到手机群,继而执行任务。理论上,一台电脑可以控制上千台手机
- 新型云控:主要指的是通过云端协议外挂的形式,发送数据包与服务器进行交互,自定义进行登录互联网帐号、绑定邮箱、更改密码等操作。一台电脑一个账号就可以操控上万个帐号。
中游环节
盗号
盗号,就是通过一定手段,盗取他人账号和密码,
- 初级盗号以钓鱼为主,钓鱼就是以假乱真,欺骗你自己输入帐号密码。
- 中级盗号以木马/键盘钩子记录为主,讲究驱动级钩子,过杀毒软件。
- 高级盗号以入侵网站为主,讲究渗透,注入,提权,后门。
扫号
扫号就是利用了网络上公开的数据不停的对网站提交身份验证的数据包(比如常见的登录验证),来验证是否是本站会员,也就是撞库。
养号
批量注册小号,不断发作品、关注用户,修改头像,主要目的是为了降低账号被封的概率。
账号恶意注册是恶意行为的源头,整个流程已趋于专业化、从业人员十万级,形成了手机验证码服务平台、打码平台、注册软件开发团伙、垃圾账号分销平台等一条龙服务。 批量性恶意注册主要是通过软件实现的,具体流程如下图:
跳转号
指适用QQ号或者微博快捷登录的账号,激活绑定转换而成的号码。
恶意注册商也就是号商,注册海量的社交帐号,并通过脚本工具获取62数据或A16数据。
这两个数据是某社交平台用户登录新设备后生成的加密文件,这个文件储存在其安装目录中,下次运行时检测到该文件就可以自动登录。如果把这个文件中的数据导入到另一部设备中,那么这部设备也可以跳过登录验证的步骤直接登录账号。
恶意注册商就是通过这种手法,搭配注册的社交账号、密码进行售卖,黑产团伙购买后在云控平台上登录使用。
发卡平台
把数字商品做自动化交易的平台,在号商完成大量账号的注册后,他们会把恶意账号整理后集中在发卡平台中列出,供处在产业链下游的用号方直接线上批量采购。
互联网黑灰产业链的交易环节是由一个分层的交易环境构成,除了我们熟悉的暗网之外,交易量更大且交易内容更丰富的就要提到国内已经非常繁荣的“发卡平台灰色生态”,发卡平台灰色产业链支撑了国内黑灰产的规模化和效率提升。
发卡平台的本质是互联网黑灰色产业链发展到一定阶段后,对产业链自身效率提升的刚需引导出的产物。早期基于信任的个体交易早已不能满足快速发展的黑灰产的需求,发卡平台的出现,极大地提升了黑灰产交易双方的协作效率。
在发卡平台出售的商品中,账号类商品数量最多,占比为59.12%,账号是黑灰产进行攻击的基础资源,所售账号种类涉及到众多行业,比如社交、电商、娱乐、生活服务等等;发卡平台另一活跃商品类型为各大影视会员卡密,占比为23.18%,包括但不限于腾讯视频、爱奇艺、优酷等。
下游环节
引流
引流黑产下游主要包括黑五类产品销售、色情诈骗和杀猪盘等。
刷量
刷直播平台的播放量、点赞评论、收藏
薅羊毛
平台补贴
黑灰产的防控手段
某种意义上,黑灰产就像业务的影子一样,基本不可能“斩尽杀绝”,除非业务也“死掉”。当阳光斜射,影子就变大,唯有烈日高悬时,影子才会变得最小。研究黑产的四个要素:
- 人:从事该项黑灰产的人,他们是谁?他们聚集在哪里?
- 资源:从事该项黑灰产需要什么前置资源?从哪里获取?
- 路径:攻击方法是什么?操作流程是什么样?网络路径是什么样?
- 变现:黑灰产收益是通过什么方式变现?在哪里变现?
在黑灰产对抗过程中,研究者的挑战在于针对某个黑灰产业链,怎样弄清楚这四大要素(人、资源、路径、变现)。因为只有搞清楚这四大要素,研究者才能拥有全景视角,才能在整个黑灰产业链条上寻找最佳对抗点切入。
在黑灰产的对抗中,风控技术非常重要。一般来说,好的风控和产品的耦合度是比较高的,需要根据产品特征进行定制。在他看来,风控能力一般分为数据和策略两部分。
数据的来源通常分为三类:
- 源自黑灰产业链的研究。直接在产业链研究的渠道上获取精准风控数据,比如黑产手机号、黑产出口IP等。
- 源自用户恶意行为的分析。针对已知的恶意行为建立模型,筛选出恶意用户的相关数据。
- 源自风险数据的关联分析。在上述两类数据的基础上,进行更大范围的关联分析,圈定更多风险数据。
在策略方面,策略需要根据产品具体设计,例如社交、游戏和电商等不同的产品线,它会有不同的风控策略体系。
- 核身策略。它的意思是搞清楚不同账号是否对应了相同的人。最常见的就是不同账号出现了同一绑定的手机号、同一的收货地址、同一的 IP、同一设备的 ID、同一支付 ID、同一历史行为和同一地理位置等,这是最基础的风控规则。
- 异常用户特征。长期未登录,只参与本次活动;设备登录过多个账号的用户;设备 root 用户;设备中装有特定作弊相关 app 的用户…
- 不同用户出现聚集性特征。同 IP;同 WiFi 地址;同地理位置;连续手机号段;同样的操作路径、速度;不同用户出现交叉现象,比如互为好友等情况…
通过定义大量类似的规则,筛选出可疑风险用户群,在相应的产品或活动策略上进行降权处理,都能较好地降低黑灰产给企业带来的经济或口碑损失。
从大方向上黑灰产分为两大类:“手术刀型”和“狼牙棒型”。
- 手术刀型:目标明确,常以点对点精准攻击为主,典型的表现行为比如入侵、诈骗和游戏外挂等。
- 狼牙棒型:其特点是没有明确的目标,或者目标非常多,以量取胜。典型的有网络扫描、DDoS、恶意注册、撞库、刷量、薅羊毛、恶意爬虫和各种恶意机器人程序。
目前,大部分企业面临的业务安全问题,通常集中在“狼牙棒型”的黑灰产上。
企业要有效的打击黑灰产,最有效的方式是需要了解自身业务存在哪些黑灰产相关的攻击场景,熟悉对方的作恶成本,包括所需的资源、时间、金钱、渠道及收益等。
出行行业黑灰产研究
共享出行已是大众出行常用方式,业务部门推出多种营销活动以促进拉新率及留存率,有利益的地方就有黑产,此类现金烧钱业务场景下催生了拉新助力提现和代下单灰色服务,此类攻击上游黑产资源稳定,下游可直接/间接通过论坛、社交、发卡平台等渠道变现,攻击各家出行平台方式虽不同,下游获利变现渠道基本一致。
对黑产常攻击的几家出行平台,当前/历史开展的营销活动进行对比,结果如下表格所示:
新用户营销活动:
助力营销活动:
从上表可看出,对于新用户的拉新及老用户的留存各平台都投入了较多营销预算,这也是吸引众多黑产加入出行行业的原因。
出行行业风险分布
出行行业司机端的业务风险主要为抢单、刷单、账号解封、代开户、实名认证等,主要针对具有庞大司机群体的出行平台,随着出行平台的严厉打击,此类业务风险较前几年相比已很难形成规模化产业链。除个别头部企业,由于前期账号体系较为简易,导致市场存量黑号较多。
目前用户端是整个出行行业的重灾区,从注册登录到营销、下单、交易,整个流程存在不同的业务风险。
业务场景 | 业务风险 | 作弊方式 |
注册登录 | 扫号、撞库、垃圾注册、虚假注册 | 自动化软件 / 人工 |
营销 | 虚假裂变、真人作弊 | 自动化软件 / 人工 |
下单 | 认证绕过、实名伪造、代下单 | 人工 |
支付&绑卡 | 预支付绕过、冒名代绑、黑卡支付 | 人工 |
有钱赚的地方就有黑产,依附于出行市场下的黑色产业链已初具雏形。
出行行业常用黑产资源
黑产作案离不开各种资源,出行平台的特点及业务薄弱点决定了黑产使用的资源和工具,通常情况下,黑产会利用成熟的工具及资源作案。
IP资源
IP是绕不过的黑产资源。目前黑产所使用的IP主要为代理IP和秒拨IP两类,通常情况下,黑产会通过更换当前IP隐藏自己真实的IP,以绕过出行平台IP维度相关的风控策略。
移动端可通过代理类APP切换当前上网IP,近期黑产常用的代理APP有爱加速、豌豆代理等。
web端可购买代理IP网站提供的IP,或通过VPS拨号换IP。代理IP网站可以API形式批量输出IP,便于黑产集成在自动化软件中,常见的有熊猫代理、芝麻代理等。
而拨号VPS已成为一条成熟的产业链,随便打开一个VPS网站都可以看到如下信息,适用于营销、挂机等场景,符合黑产需求,自动化软件运行在VPS中即可切换IP,薅羊毛必备。
号码资源
号码资源已经是非常成熟的黑色产业链,而黑产通常走接码平台或线下对接的形式获取号码资源,用于批量注册账号。目前市面上活跃的接码平台有:海豚云、番茄云等。
接码平台项目分为公开对接和专属对接两类,随着政策的管控,平台存活周期变短,接码平台的号码质量也逐渐变差,公开对接的号码大多为N手号码,虚商号段及流量卡号码较多,黑产很难在各家出行平台获利,但仍能够在风控体系薄弱的平台赚的盆满钵满。
专属对接和线下对接是黑产首选的手机号资源,成本较公开对接卡贵,多为新卡,但省去了新老号检测这一步,可快速提升获利速度。
目前,市面上活跃的接码平台有近百个,而这些平台部分可通过搜索引擎直接搜索到,更多的则通过云盘的形式传播,通过QQ群、土豆群、电报群、黑产论坛、发卡平台等平台布局,链接上游卡商及下游开发者、羊毛党,将号码资源的价值发挥到极致。
除接码平台和线下对接外,近两年出现的拦截黑卡也被用于黑灰产项目,据我们观察,此类数据也通过API的形式下放,提供给下游黑产用于注册、营销等场景,涉及平台包括抖音、淘宝、拼多多等。
设备资源
模拟器、云手机、群控设备是黑产常用的设备资源,便于批量化操作,可达到一定的规模。市面上的模拟器已经较成熟,功能丰富,支持修改机型、模拟定位、多开系统等功能,成本低,符合黑产的作案要求。而很多平台对于模拟器、云手机的容忍度较高,这也纵容了黑产的作恶行为,吸引更多的羊毛党加入黑产大军。目前黑产使用较多的有:雷电模拟器、逍遥模拟器等。
云手机也是黑产常用的作案工具,很多平台在设备维度的检测很难追赶上市面上黑产工具的迭代速度,黑产在旧版本应用上屡试不爽。目前比较常见的云手机有红手指、多多云等。
群控也是黑产常用的手段,二手交易平台、QQ群、土豆群、电报群、发卡平台等媒介均可购买设备及群控管理工具,功能丰富,注册养号拉新等场景均可使用,满足各大工作室及个体户的需求。而在黑产论坛上,也可发现免费的群控系统,或付费的定制化群控系统,满足不同群体黑产团伙的需求。
工具资源
黑产通常使用多开、改机工具、虚拟定位等工具绕过设备维度的风险识别,相关的黑产工具资源也非常稳定。
多开软件可在设备中实现分身功能,便于黑产注册账号在诸多场景中获利。目前多开类应用主要分为三类,一类是通过修改Framework,常见的系统自带分身如小米分身、华为分身,此外还可通过修改APK、虚拟化技术实现等方式进行多开,如幻*分身、大*助手。
如下图所示,黑产利用多开分身制作多个曹*出行分身接码登录打车。目前市面上的主流多开软件自带模拟机型、虚拟定位等功能,伪造一个新设备,以绕过各家平台的检测。
目前iOS端主要为软改工具,如市面上传播度较广的爱伪装、igrimace、佐罗等,具备伪装设备越狱状态、可修改核心设备参数绕过设备恢复逻辑实现一键新机等功能,而如天下游、任我行等iOS端的虚拟定位软件,可实现修改定位功能。
Android主要为硬改和软改,软改通常修改的是应用层的数据,通过HOOK的方式篡改数据,硬改将相关硬件参数直接写入内存地址达到修改设备参数的目的。目前市面上流行的安卓端的改机类工具比较多,如抹机王、XX抹机神器、微霸改机、Magisk等。
虚拟定位类软件,市面上常见的大多数都是基于xposed二次开发的,需要配合其他工具一起使用,如改机工具、代理应用。
其他资源
很多出行平台需要经过实名、绑卡、认证等环节才能进行打车、拉新等操作,这时需要购买相应的数据以绕过风控,而相应数据的买卖也已经是成熟的产业链,可通过社交软件、发卡平台出售,也可通过众包平台真人作弊以达到相应的目的。
下图为某社交平台公开售卖料子信息的聊天截图。
而有些数据依托于发卡平台交易,如海外信用卡,其黑话为“毛c”,这些黑话很难从字面上去理解其含义,需要根据数据特征去判断,这也是业务情报团队监控时的难点。
对于滴*出行、曹*出行这种可绑定支付宝账号进行免密支付的平台,可通过购买支付宝账号进行预支付绕过,此类第三方账号的买卖也是非常成熟的产业链。
出行行业攻击成本
对于黑产来说,能够获利才是最终的目的,投入与产出需达到某个平衡点才值得花时间和人力作案。针对出行行业的攻击成本,我们粗略统计了相关的资源成本价格,可供参考。
成本的叠加并不能真实体现黑产的投入成本,真实成本需要考虑实际的黑产使用场景。IP、号码、料子等资源为必备资源,设备资源为可复用资源,而考虑到不同平台的攻击手法不同,设备资源与工具资源组合使用的方法不同,相应攻击成本体现为一个价格区间,而非一个固定值。