这是我参与「第五届青训营」伴学笔记创作活动的第11天。今天的内容是关于黑灰产的监控与防御的，是很久没有看过的信息安全的内容。

1 国内黑产介绍

常见名称：诈骗、薅羊毛、黄牛、博彩、引流、跑分；以及黑客相关的木马、钓鱼、病毒、拖库、盗号、勒索软件等

事实上很难判断有多少人在从事黑灰产，但可以看到他们的影响范围。

haveibeenpwned 网站收录了近120亿条帐密数据，主要是邮箱和密码。

在中国，黑灰产的从业人员已超过百万量级，市场规模达到千亿级别（中国法院网，2017年）。2018年，黑产攻击业务层次数超过300亿。2019年约有5000万非实名手机卡被频繁用于各种欺诈活动。在中国境内每天约有350-400万个代理 IP 被用于各类欺诈活动。

目前的黑产团伙逐渐变得规模化、组织化、平台化。

2 常见黑产技术分析

案例1：银行开户（2018，已修复）

正常的开户流程是实名认证，绑定银行卡，审核开户。但实名认证的是否通过在移动端完成，这就导致了黑灰产可以通过修改数据包进行开户。

案例2：人脸识别对抗（已有解决方案）

人脸识别的过程包含判断是否为活体。黑灰产会通过照片对人脸进行建模，模拟人的行为进行人脸识别，目前已解决。

案例3：定位对抗

通过作弊工具模拟定位（违法行为），被用来打卡、微商摇一摇加好友、出租车抢单、部分线下优惠。

3 安全防护体系的建设

事前可以做情报监控（在暗网、贴吧、TG、破解论坛等信息密度较高的地方收集信息）、SDLC、漏洞扫描等，防患于未然。

事中可以进行渗透测试、威胁感知、设置风控/安全策略，降低损失。

事后可以对威胁建模、攻击溯源，预防下次攻击。

4 总结

黑灰产本质上是通过网络攻击来牟利。技术层面来说，维护网络安全是一个非常重要的命题。在技术上要兼顾功能和信息安全，在人的心态上也要保持警惕。记得本科上网络安全课做实验时候做模拟攻击，在模拟机上攻击成功之后总是心情复杂。虽然都是过时很多年的老风险，早已有了成熟的解决方案，但相比于写出代码实现功能的喜悦，模拟攻击更像是一边感受自己可以“威胁”别人，一边也在“被威胁”着。