黑灰產欺詐場景剖析:虛假賬號的產生和流轉
前言:【反欺詐場景剖析】是威脅獵人黑灰產報告的一個系列,我們希望通過對反欺詐實際場景的剖析出發,幫助企業發現業務風控過程重的核心關鍵點。此篇主要介紹反欺詐場景中虛假賬號的產生和流轉規模化的背後,以及如何對黑灰產做惡的關鍵節點的監控來實現對企業自身虛假賬號風險的管控。根據威脅獵人鬼谷實驗室統計,全網惡意註冊發起的攻擊每日就可達8327380次。虛假賬號平均每日活躍量可達1389107次,平均每張黑卡每日進行6次攻擊。
惡意註冊是業務風險的起點,也是企業風控的核心關鍵點。 當今黑產以惡意註冊為代表的各類攻擊資源已經高度的模塊化和市場化,產業鏈不同層級的團夥專註於不同的任務而又配合嚴密,而究其根本,是強自動化使得攻擊變得可複製,進而形成套路化的盈利模式,對企業資產造成威脅。如果企業無法及時發現問題,採取有效對抗策略,將在業務上面臨巨大損失。
1 商業模式轉變帶來黑灰產核心資源的變化
黑灰產這條產業鏈伴隨國內互聯網發展二十餘載,可以說是非常執著,也佔盡了便宜。 早些年, 黑灰產就開始控制個人電腦做為肉雞來進行Ddos、刷廣告、安裝流氓軟體等變現。一臺臺實際的物理電腦就是黑灰產的核心資源,誰控制的越多,誰就賺的越多。
這個時代下的互聯網黑灰產之所以是這種邏輯,也是因為互聯網早期的商業模式非常集中在線上廣告,在PC互聯網時代這種線上廣告的結算邏輯是以電腦設備為單位,各個互聯網廠商也是以安裝量、激活量及活躍量等來構建自己核心商業邏輯。
彼時,設備數量不只是當時互聯網黑灰產的核心資源,同時也是當時整個互聯網的核心資源。
2007年第一臺iPhone發布,打開了移動互聯網的豁口,PC互聯網世界經歷大洗牌。 智能手機問世以後,開始把曾經存在在PC上的媒介、市場逐漸招攬到移動端來。
很快,互聯網承載的業務場景因為移動屬性呈現出爆髮式增長,商業模式上個人付費能力及意願也在快速增強,越來越多的人願意享受內容付費帶來的服務,如,開通VIP會員,購買線上課程等等。這時互聯網產生的連接已經不再只是內容和設備的連接,而是場景和個體的連接。
互聯網的核心資源也從設備變成到了個體,存在於互聯網中的每一個網民就是新互聯網時代的爭奪對象。
與此同時,黑灰產也逐漸向移動互聯網的場景轉移。 我們清楚地觀察到,互聯網黑灰產從之前的通過色情流量下發木馬到用戶電腦,取得電腦控制權後變現的模式,變成了通過大量手機號在各個互聯網核心業務場景註冊惡意賬號,並通過這些賬號在業務場景中變現的方式。
2 以惡意註冊為核心資源的黑灰產作惡
隨著商業模式的變化,電商平臺薅羊毛、直播平臺刷量、社交平臺刷粉、網路詐騙等各種以虛假賬號為核心資源的黑灰產攻擊開始湧現。
以直播平臺刷量為例,通過刷量可以幫助主播上各種排行榜;給主播購買殭屍粉,可以增加主播的粉絲數;在主播的直播間購買水軍,可以增加直播間人氣等等。一方面,這些數據可以直接在平臺折現成現金獎勵,由此獲利;另一方面,偽造人氣可以吸引更多的粉絲,進而通過粉絲打賞獲利。
根據威脅獵人鬼谷實驗室統計,全網惡意註冊發起的攻擊每日就可達8327380次。這背後涉及到的黑卡資源,平均每日活躍量可達1389107張,平均每張黑卡每日進行6次攻擊。其中,受惡意註冊影響最嚴重的行業有金融、電商、媒體、社交和生活服務。可以明顯發現,惡意註冊攻擊的目標一般具有高盈利性質或是高流量性質,可見下游的變現需求是驅動惡意註冊進行的根本。
圖為:受惡意註冊攻擊行業佔比
每張黑卡的重複使用率都非常高,因為在中國國情下的黑灰產攻擊具有明顯的流動性,即同一行業往往面臨共通的黑灰產攻擊,攻擊門檻更低、防護較弱的企業產品更容易吸引攻擊。當某廠商攻擊難度提高後,相關人員會迅速的轉向同類別的其他廠商。各大企業在解決問題上的思路與措施有一定的相似性,也造成了黑產繞過方式與攻擊工具的可複製性非常高。
在這樣的情況下,如果企業不瞭解的黑灰產的攻擊手段,無法識別其掌握的大量虛假賬號,就不能結合企業自身情況制定最低成本與最低損害正常業務的策略進行防守。
3 惡意註冊規模化的背後是效率平臺的發展
當今黑產以惡意賬號為代表的各類攻擊資源已經高度的模塊化和市場化,產業鏈不同層級的團夥專註於不同的任務而又配合嚴密,而究其根本,是強自動化使得攻擊變得可複製,進而形成套路化的盈利模式,對企業資產造成威脅。
根據威脅獵人鬼谷實驗室的研究分析發現, 惡意註冊所得賬號為消耗型商品,各廠商通過各式安全策略處理作惡賬號的同時,新生的惡意註冊賬號會不斷填充被處理作惡賬號缺失的部分。雖然有些賬號在封禁後,可以通過發送簡訊、接收語音驗證碼等方式對賬號進行解封,但實際解封率極低,原因有兩點:
一是黑產解封一個賬號花費的時間遠長於註冊賬號所需的時間;
二是在很多場景下,黑灰產在賬號封禁前已經完成了變現,此時解封一個封禁賬號的價格成本遠高於註冊一個新賬號。
如下圖,是同一時期內,新生惡意註冊賬號和二次解封賬號的比例:
圖為:惡意註冊賬號新生量與解封量對比
可以看出,在同一時期內,惡意賬號的新註冊量遠遠大於解封量。於是,在整個大批量惡意註冊的過程中,如何提升整個運作過程的效率和降低惡意註冊的成本,是作惡的核心關鍵點。
於是在整個黑灰產的發展過程中,「接碼平臺」「發卡平臺」及其相關產業成為了惡意註冊產業鏈中至關重要的一環。
圖為:利用接碼平臺、發卡平臺完成的產業鏈協助
1.接碼平臺——提升了整個黑灰產虛假註冊的效率
接碼平臺實際上是一個接收簡訊驗證碼平臺,它誕生在移動互聯網早期。當時黑灰產購買貓池設備,再插上上百張手機卡來模擬上百個自然人,完成對業務場景的惡意註冊。惡意註冊完之後再把設備和電話卡轉賣或者租用給另外一個黑灰產團隊用於不同業務場景的惡意註冊。
這個過程其實非常低效。因為一個黑灰產要負責三個環節:
圖為:過去利用貓池完成惡意註冊
接碼平臺的誕生就像是一個黑灰產的「交易平臺」,它的價值產生在特定兩個互聯網黑灰產業鏈節點之間。
賬號資源是眾多黑產鏈最上游、最基礎的需求,而數量眾多的卡源卡商,通過接碼平臺可以直接在線上把手機卡的價值賣給出於中游的大量號商,取得高回報。
號商,通過接碼平臺的網頁端,可以直接獲取手機號和驗證碼,完全不需要買入手機卡及相關設備,就能完成賬號的註冊。
圖為:利用接碼平臺完成惡意註冊
接碼平臺負責連接卡商和有手機驗證碼需求的羣體,提供軟體支持、業務結算等平臺服務,通過業務分成獲利,一般為30%左右。
2016年11月,當時規模最大的接碼平臺愛碼被警方查處,繳獲黑卡700餘萬張,自此很多接碼平臺轉入地下,有些平臺也通過關閉新用戶註冊等措施來降低風險。以接碼平臺愛樂贊為例,在2018年1月關閉了新用戶註冊,導致平臺一號難求,其平臺賬號甚至達到每個100元。目前市場已有的接碼平臺非常多,比較活躍的有:火雲、愛樂贊、ema666、60碼、thewolf、玉米等。
隨著驗證碼對抗的升級,註冊項目不再是通過單一的簡訊驗證,有些需要語音驗證,有些則需要二次驗證,即需要註冊用戶使用註冊的手機號向指定號碼發送一條驗證簡訊。接碼平臺也緊隨市場變化不斷升級,衍生出接收語音驗證碼、二次取號、發送簡訊的服務。
2.發卡平臺——提升了黑灰產賬號流轉的效率
發卡平臺是把數字商品做自動化交易的平臺,在號商完成大量賬號的註冊後,他們會把惡意賬號整理後集中在發卡平臺中列出,供處在產業鏈下游的用號方直接線上批量採購。
這就像在淘寶買一張話費充值卡一樣,只是在應用的場景上,發卡平臺現在已經是互聯網黑灰產的主要交易通道和協作平臺。
用號方會根據自身作惡場景,通過發卡平臺買入對應的虛假賬號,用以薅羊毛,平臺刷量,賬號詐騙等場景。
圖為:利用發卡平臺完成賬號交易
根據威脅獵人對黑灰產的長期監測和資源統計,目前參與到發卡平臺交易的黑灰產從業人員超過1萬人,涉及的商品種類將近數千種,商品數量超過百萬,年產值數億元。
此外,通過追蹤發卡平臺上灰色商品的價格,我們發現,價格是體現企業風控策略有效性和市場需求變化的一個非常直觀的因素,商品價格越高,代表企業風控策略越有效,使得黑灰產作惡成本變高。此時配合其他數據,若發現黑產發起攻擊沒有減少,那麼原因是收益仍然高於成本,那麼企業就需要繼續進行對抗。
4 及時捕獲黑灰產行為是控制風險的有效手段
在整個企業與黑灰產攻防戰中,不同企業的業務場景不同會讓整個攻防格局有區別。但黑灰產的核心資源始終是其控制的虛假賬號, 只要能在惡意註冊這個點上對黑灰產施加有效的控制,對企業業務風控整體的風險就是相對可控的。
識別黑灰產資源
黑灰產在作惡和變現時都重度依賴於其手中持有的基礎資源,包括但不限於手機號、IP、設備等。而這些黑灰產資源對於企業方來說,是全黑的數據,如果能將將這些數據與自身業務數據進行匹配,就可以直接識別出惡意帳號或黑灰產惡意行為,針對性的進行相應的風險控制。
分析黑產工具
黑灰產的攻擊工具承載著黑灰產的攻擊邏輯和利用的企業業務漏洞,通過對工具的監控和逆向,企業可以瞭解到自身存在哪些業務邏輯漏洞或者是哪些風控策略已經失效,從而提升整個攻防對抗的效率。
監控黑灰產交易變化
黑灰產交易品類和價格的變動,能夠反映出企業一定週期內風控策略的有效性。例如,即使企業上線了風控策略,但是黑灰產仍然能夠以很低的成本完成惡意帳號的註冊,則表示企業的風控策略失效了;另一方面,如果發現黑灰產交易價格變高,反映出黑灰產攻擊成本的上升,則可以看出企業的風控策略有了一定的效果。有效的風險評估,能更好地推動業務安全的落地和迭代。
5 如何對虛假賬號風險進行預警?
威脅獵人業務情報預警平臺從黑灰產惡意註冊的整個產業鏈出發,能對惡意註冊的不同階段進行監控和預警,幫助企業發現和掌控自己面臨的虛假賬號現狀。
新增的惡意註冊項目:黑灰產在實施惡意註冊行為之前,首先要在相應的平臺上創建一個新的項目。而這個創建項目的行為就是黑灰產即將發起攻擊的信號。我們通過對這一情報的監控,可以隨時獲取黑灰產的最新動向。
正在發生的惡意註冊行為:黑灰產發起惡意註冊時使用的自動化工具、利用的惡意資源、攻擊的介面等,都是暴露攻擊邏輯的路徑。這些情報可以用來及時的還原黑灰產攻擊邏輯,進行有效的風險控制。
惡意賬號倒賣風險:在黑灰產完成註冊之後,通常會將虛假的賬號放在發卡平臺進行交易。威脅獵人情報預警能夠實時監控到黑灰產虛假賬號新增或下架交易信息及價格的變動,幫助企業瞭解黑灰產攻擊趨勢的變動及自身風控的有效性。
如何對虛假賬號風險進行預警?
威脅獵人業務情報預警平臺從黑灰產惡意註冊的整個產業鏈出發,能對惡意註冊的不同階段進行監控和預警,幫助企業發現和掌控自己面臨的虛假賬號現狀。
新增的惡意註冊項目:黑灰產在實施惡意註冊行為之前,首先要在相應的平臺上創建一個新的項目,要求卡商提供一批可用於惡意註冊的號碼。而這個創建項目的行為就是黑灰產即將發起攻擊的信號。威脅獵人業務情報預警平臺可以通過對這一行為的監控,獲取黑灰產的最新動向。
正在發生的惡意註冊行為:黑灰產發起惡意註冊時使用的自動化工具、利用的惡意資源、攻擊的介面等,都是暴露攻擊邏輯的路徑。威脅獵人業務情報預警平臺可以通過對這些行為的監控,幫助企業瞭解目前正在面臨的業務安全問題,還原黑灰產攻擊邏輯,進行有效的風險控制。
惡意賬號倒賣風險:在黑灰產完成註冊之後,通常會將惡意註冊的賬號放在發卡平臺,以售賣的方式流轉給其他團夥作惡。威脅獵人業務情報預警平臺可以通過監控黑灰產新增或下架的賬號交易信息,及賬號交易價格的變動,幫助企業瞭解黑灰產攻擊趨勢的變動及自身風控的有效性。
關於我們
威脅獵人是一家以業務安全情報能力見長的創新型安全企業,旨在為客戶提供業務攻防情報,從防控到打擊的全方位業務安全解決方案。自成立始,公司投入大量資源,打造了一整套國內領先的業務安全情報監控與預警體系,形成強大的黑灰產布控能力,為客戶提供黑灰產情報及業務風控解決方案。目前已為騰訊、百度、阿里、華為等互聯網企業提供業務安全服務。
推薦閱讀:
