黑灰产监控与防御|青训营笔记

这是我参与「第五届青训营」伴学笔记创作活动的第 5 天

在后面会依次倒叙回顾之前的学习课程，便于复习~

一、课程重点内容

• 国内的黑产介绍
• 常见的黑灰产技术

下面是对课程重点内容的思考与总结，有问题或者错误，可以批评指正呐~

二、黑灰产的概念与现象

• 黑产规模

  

  • 这是haveibeenpwned网站上面的查询页面，用于判断你的信息是否被泄露，如果出现pwned，那么恭喜你，你的数据被泄露了。

  

  • 截止2022年12月，haveibeenpwned已收录了约120亿条账密数据
  • 某互联网风控公司统计，2018年各类黑产攻击（业务层）总数超过300亿次
  • 据不完全统计，2019年全网约有5000万左右的非实名手机卡被频繁用于各种欺诈活动
  • 据不完全统计，仅中国境内每天约有350-400万个代理IP被用于各类欺诈活动

• 常见的黑产类型

  

  • 类型1：网络账号恶意注册。是指不以正常使用为目的，使用虚假的或者非法取得的身份信息，以人工和自动工具结合方式绕过企业风控实施网络账号批量注册的行为。黑产团伙利用这些网络账号开展网络诈骗、抢票屯号、恶意抢券、虚假流量营销等活动。以针对某大型电商平台的真实事件为例，该平台推出“新注册用户送40元代金券”活动，结果黑产团伙在5天内集中60多万个黑卡注册为新用户，骗取代金券后通过各种渠道倒卖套现。
  • 类型2：在线博彩平台。随着在线支付和智能手机的普及，地下赌场已经迅速完成互联网“转型”，变为具备完整技术链条的在线博彩平台。制作团队专门负责快速开发赌博游戏App；运维团队大量租用境外服务器保证赌博游戏持续在线；资金团队在境内开设大量空壳公司和金融账户收取并转移赌资；营销团队雇佣黑客入侵正规网站植入赌博暗链，以此提高赌博网站的搜索引擎排名。
  • 类型3：违规广告联盟。为色情、博彩、高利贷等违法网站提供广告投放服务，一旦用户点击广告，就会跳转到这些违法网站上，如果用户继续使用这些网站或从网站下载软件，可能会遭遇植入木马、网络诈骗等侵害行为。广告联盟通常精心挑选盗版影视、不正规小说、非正规借贷等“灰色”网站作为广告的投放地，一方面这些“灰色”网站往往缺乏内容审核机制，另一方面这些网站的用户更有可能点击相应的广告，从而产生更好的广告“效益”。
  • 类型4：浏览器主页劫持。是指浏览器主页在用户不知情或被诱导同意的情况下，被各类软件应用甚至恶意程序修改为指定的网站地址，从而将用户引导至特定网站。浏览器主页劫持主要有三类方式，一是某些知名应用软件在安装和使用过程中引导用户修改主页，二是第三方软件捆绑安装浏览器并锁定主页，三是恶意软件或木马病毒篡改浏览器主页，影响用户正常上网体验。

• 黑色产业链结构

  

  网络诈骗产业链通常可以分为4个主要环节和15种具体不同的分工。这4大环节包括：开发制作、批发零售、诈骗实施和分赃销赃。而15个具体的分工工种为：钓鱼编辑、木马开发、盗库黑客、钓鱼零售商、域名贩子、个信批发商、银行卡贩子、电话卡贩子、身份证贩子、电话诈骗经理、短信群发代理、在线推广技师、财务会计师、ATM小马仔、分赃中间人等。在某些特殊情况下，还有有其他的“专业人士”参与到网络诈骗活动中来

三、常见的黑灰产技术

• 云手机

  黑灰产技术不断迭代，主要目标是：“提升攻击效率、降低攻击成本”，而风控的目标之一：“提高诈骗成本”。所以黑灰产与风控之间的攻守对抗是彼此博弈，相爱相杀！

  • 背景：传统的群控系统是电脑控制N台手机，可以统一管理和批量操作多个账号。这套系统，有一个最大的问题就是成本太高，仅控制终端、hob架台、手机等就需要花费数万元。为降低设备购买成本，云手机和箱控从黑产界脱颖而出。

  • 现身：云手机是一种应用了云计算技术搭建的交互系统，是指一种搭建在云服务器上的虚拟手机，让使用者通过电脑/手机操作端来操作在云服务器上一定数量的虚拟云手机。

    

• 虚拟定位

  • 定义：虚拟定位2.0，基于手机地理位置的模拟工具，可以通过对位置的模拟改变当前位置，设备无需root权限，只需通过模拟软件、第三方工具等就可以改变所在位置的经纬度，可以穿越到任何地方。传统的对于地理位置模拟的防控，技术探索更多是在root环境下的识别，虚拟定位2.0，对风险防控能力提出了更高的要求。
  • 攻击场景：恶意骗取营销资源：利用虚拟定位技术修改地理位置，冲破商家（如电商平台、信贷平台等）对地理位置的限制，恶意骗取营销资源。

四、课程总结

第一次感受到黑产的可怕，白帽子的职责太重了，我们的学习也不能落下啊！