[04业务场景] 11 - 黑灰产监控与防御 | 青训营笔记

137 阅读3分钟

这是我参与「第五届青训营」伴学笔记创作活动的第11天。今天的内容是关于黑灰产的监控与防御的,是很久没有看过的信息安全的内容。

1 国内黑产介绍

常见名称:诈骗、薅羊毛、黄牛、博彩、引流、跑分;以及黑客相关的木马、钓鱼、病毒、拖库、盗号、勒索软件等

事实上很难判断有多少人在从事黑灰产,但可以看到他们的影响范围。

haveibeenpwned 网站收录了近120亿条帐密数据,主要是邮箱和密码。

在中国,黑灰产的从业人员已超过百万量级,市场规模达到千亿级别(中国法院网,2017年)。2018年,黑产攻击业务层次数超过300亿。2019年约有5000万非实名手机卡被频繁用于各种欺诈活动。在中国境内每天约有350-400万个代理 IP 被用于各类欺诈活动。

目前的黑产团伙逐渐变得规模化、组织化、平台化。

2 常见黑产技术分析

案例1:银行开户(2018,已修复)

正常的开户流程是实名认证,绑定银行卡,审核开户。但实名认证的是否通过在移动端完成,这就导致了黑灰产可以通过修改数据包进行开户。

案例2:人脸识别对抗(已有解决方案)

人脸识别的过程包含判断是否为活体。黑灰产会通过照片对人脸进行建模,模拟人的行为进行人脸识别,目前已解决。

案例3:定位对抗

通过作弊工具模拟定位(违法行为),被用来打卡、微商摇一摇加好友、出租车抢单、部分线下优惠。

3 安全防护体系的建设

事前可以做情报监控(在暗网、贴吧、TG、破解论坛等信息密度较高的地方收集信息)、SDLC、漏洞扫描等,防患于未然。

事中可以进行渗透测试、威胁感知、设置风控/安全策略,降低损失。

事后可以对威胁建模、攻击溯源,预防下次攻击。

4 总结

黑灰产本质上是通过网络攻击来牟利。技术层面来说,维护网络安全是一个非常重要的命题。在技术上要兼顾功能和信息安全,在人的心态上也要保持警惕。记得本科上网络安全课做实验时候做模拟攻击,在模拟机上攻击成功之后总是心情复杂。虽然都是过时很多年的老风险,早已有了成熟的解决方案,但相比于写出代码实现功能的喜悦,模拟攻击更像是一边感受自己可以“威胁”别人,一边也在“被威胁”着。