这是我参与「第五届青训营 」伴学笔记创作活动的第 11 天

一、本堂课重点内容

• 国内黑产介绍
• 常见的黑产技术分析
• 安全防护体系的建设

二、详细知识点介绍

国内黑产介绍

定义

黑灰产，指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是，“黑产”指的是直接触犯国家法律的网络犯罪，“灰产”则是游走在法律边缘，往往为“黑产”提供辅助的争议行为。

黑产规模

• 中国"网络黑产"从业人员已超过150万，市场规模已经达到千亿级别
• 截止2022年12月,haveibeenpwned已收录了约120亿条账密数据
• 某互联网风控公司统计，2018年各类黑产攻击(业务层)总数超过300亿次
• 据不完全统计，2019年全网约有5000万左右的非实名手机卡被频繁用于各种欺诈活动
• 据不完全统计，仅中国境内每天约有350-400万个代理IP被用于各类欺诈活动

常见黑产类型

常见黑产：

• 诈骗
• 木马
• 薄羊毛
• 钓鱼
• 黄牛
• 病毒
• 博彩
• 拖库
• 引流
• 盗号
• 跑分
• 勒索软件

黑产团伙发展趋势

规模化

• 借助脚本、软件来实现攻击的批量化
• 上游各类资源丰富，大大降低攻击成本，同时攻击成功率也比较高

组织化

• 多数以工作室的形式运作
• 团伙内多人分工明确﹐合作紧密
• 某些黑产甚至成立了公司

平台化

• 今年来出现了很多平台级的爬虫、群控、钓鱼、木马、网络攻击、DDos攻击工具﹐攻击成本大大降低﹐且难以追查
• 各类平台将黑产手中零散的资源进行整合

常见的黑产技术分析

业务逻辑漏洞

典型例子有银行二三类卡漏洞，黑灰产从业人员不仅可以制作虚拟身份证图片，还可以通过网络抓包跳过其中一些步骤，从而轻松获取卡号。

人脸识别对抗

某些业务需要用户人脸识别，黑灰产从业人员通过某些软件用照片生成3D模型，甚至可以进一步模拟眨眼点头张嘴等动作，可以骗过系统通过人脸识别。

地理位置对抗

某些业务需要地理位置的辅助，例如定位打卡、附近的人、出租车抢单、线下优惠等业务，黑灰产从业者会通过某些软件修改手机定位从而达到利用某些好处的目的。

安全防护体系的建设

事前

• 情报监控
  • 暗网
  • 贴吧
  • TG
  • 破解论坛
• SDLC
• 漏洞扫描

事中

• 渗透测试
• 危险感知
  • 用户行为异常
  • 接口数据异常
  • 恶意流量检测
• 风控\安全策略

事后

• 威胁建模
• 攻击溯源

三、实践练习例子

暂无，作为非网安从业人员有进一步了解即可。

四、课后个人总结

本节课所学的内容为黑灰产的防御与监控，这是学校课本中从未提及过的知识，也进一步拓宽了我的视野，使得我在开发过程中更加注意安全的问题，有时候一个小小的安全漏洞就有可能给个人或者公司带来无法挽回的巨大损失，值得每一个开发人员注意。