这是我参与「第五届青训营 」笔记创作活动的第11天
重点内容
- 国内的黑灰产介绍
- 常见黑产技术分析
- 安全防护体系的建设
知识点介绍
常见黑灰产
- 诈骗
- 薅羊毛
- 黄牛
- 博彩
- 引流
- 跑分
- 木马
- 钓鱼
- 病毒
- 拖库
- 盗号
黑色产业链规模
- 中国“网络黑产”从业人员已超过150万,市场规模已经达到千亿级别-中国法院网2017年
- 截至2022年12月,haveibeenpwned已收录了120亿条账密数据
- 某互联网风控公司统计,2018年各类黑产攻击(业务层)总数超过300亿次
- 据不完全统计,2019年全网越有5000万左右的非实名手机卡被频繁用于各种欺诈活动
- 据不完全统计,进中国境内每天约有350万-400万个代理IP被用于各类欺诈活动
黑产团伙的发展趋势
-
规模化
- 借助脚本、软件来实现攻击的批量化
- 上游各类资源丰富,大大降低攻击成本,同时攻击成功率也比较高
-
组织化
- 多数以工作室的形式运作
- 团伙内多人分工明确,合作紧密
- 某些黑产甚至成立了公司
-
平台化
- 今年来出现了很多平台级的爬虫、群控、钓鱼、木马、网络攻击、DDoS攻击工具,攻击成本大大降低,且难以追查
- 各类平台将黑产手中零散的资源进行整合
常见黑灰产技术分析
2018年某银行业务逻辑漏洞
开户流程->实名认证->绑定银行卡->审核开户
- 实名认证的结果在移动端返回
- 审核宽松
导致只用身份证号就可注册
人脸识别对抗
最开始仅仅对比两张图片
一张证件照即可生成3d模型,再制作材质,通过脚本控制模型运动
定位对抗
- 定位打卡
- 摇一摇附近的人
- 出租车抢单
- 使用线下优惠
安全防护体系的建设
-
事前
-
情报监控
- 暗网
- 贴吧
- TG
- 破解论坛
-
SDLC
-
漏洞扫描
-
-
事中
-
渗透测试
-
威胁感知
- 用户行为异常
- 接口数据异常
- 恶意流量监测
-
风控/安全策略
-
-
事后
- 威胁建模
- 攻击溯源
使用的技术:
- 验证码
- 安全SDK
- 代理检测
- 人脸识别
- 黑产名单
- WAF
- IDS
- DLP
- 终端安全防护
- 行为审计
- ...
课后
-
身边是否有一些事情是可能与黑产有关的,如何辨别?
网络刷单,买卖资源,拉人,拼多多bug优惠券,电信诈骗,多账号使用新户优惠,恶意打假和赔偿,DDoS攻击,勒索病毒。以不正当手段盈利为目的。
-
你当前所学习和研究的技术,是否存在一些公开的安全问题,比如漏洞或者设计缺陷?如何避免他人利用这些问题来攻击你?
服务器部署服务端项目需要开放端口,数据库也需要使用端口,容易被恶意扫描篡改数据库内容,或将数据库上锁。之前我在测试一个以MongoDB为主数据库的服务时,为了方便测试打开了27017端口的防火墙。测试结束后忘记关闭,第二天数据库被上锁无法使用,所幸数据仅用于测试。注意防火墙的配置,可以将常用端口进行更换如MySQL的3306部署到13306 。
-
如果无法避免被攻击,如何将损失降低到最小?
重要数据分区保存,并进行备份。个人信息加密处理。配置防火墙。不适用原生sql防止注入。
