这是我参与「第五届青训营 」伴学笔记创作活动的第 10 天

1.主要内容

• 黑灰产介绍
• 黑灰产技术分析
• 安全建设

2.本节详细内容

概述

在企业庞大的信息安全中各个环节里，黑灰产是网络安全人软最为关注的企业信息安全的风险来源，也是各个企业和用户历年来导致最大损失的因素。
如果某个平台或者业务被黑灰产盯上，可能是因为这个业务存在安全隐患被黑灰产利用，也可能只是被黑灰产当做牟利的垫脚石。对黑灰产的监控和防御，就是要了解他们的意图、手段和行为模式，避免被黑灰产攻击或者利用。

国内黑灰产介绍

• 一些常见的黑产：诈骗、薅羊毛、黄牛、博彩、引流、跑分、木马、钓鱼、拖库、盗号、勒索软件等

黑色产业规模

• 中国法院网2017年统计，中国网络黑产从业人员已经超过150万，市场规模已经达到千亿级别
• 截止到2022年12月，haveibeenpwned 已经收录了大约120亿条账户密码数据
• 某互联网风控公司统计，2018年各类黑产攻击（业务层）总数超过300亿次
• 据不完全统计，2019年全网约有5000万左右的非实名手机卡被频繁用于各种欺诈活动
• 据不完全统计，仅中国境内每天约有350-400万个代理IP被用于各种欺诈活动
• 其实还有更多

黑色产业链结构

卡商、号商、卡商、和众多开发者和自动化工具和平台组成了一个复杂的黑色产业链结构

黑产团伙发展趋势

• 规模化：借助脚本、软件等实现攻击或者操作的批量化，上游的资源丰富，大大降低了成本，也相应的提升了成功率
• 组织化：多数变成工作室形式，团伙内部分工明确合作紧密，有些甚至成立公司
• 平台化：平台级的各种攻击操作工具，攻击和操作成本大大降低，而且非常难追查；各个平台将黑产团伙手中零散的资源进行了整合

常见黑产技术分析

• 利用银行业务逻辑漏洞，进行开户流程中实名认证跳过操作，开户大量二类三类银行卡
• 人脸识别对抗，不需要真人，仅需要照片制作即可完成人脸识别
• 定位地理位置对抗，模拟用户地理位置，更改定位

3.安全体系建设

事前

• 各个方面的情报监控
• SDLC
• 漏洞扫描

事中（大部分情况都是事中）

• 渗透测试
• 威胁感知：用户行为异常、接口数据异常、恶意流量监测
• 风控/安全策略

事后（避免再发生，补救）

• 威胁建模
• 攻击溯源

4.课后总结

• 每一种验证码都是对抗，破解需要看多大的代价以及利益
• 大部分互联网公司都在做黑灰产盗用的存储监控
• 需要防护的方面非常多，安全方面是面试拧螺丝，工作造火箭
• 本节课只是科普，入门还算不上，感兴趣可以去看看黑镜调查
• 相关书籍阅读可以看学习手册

5.引用

字节直播课：黑灰产监控与防御
稀土掘金-后端学习资料
搜索 - FreeBuf网络安全行业门户