这是我参与「第五届青训营 」笔记创作活动的第11天

1 概述

黑灰产，指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是，“黑产”指的是直接触犯国家法律的网络犯罪，“灰产”则是游走在法律边缘，往往为“黑产”提供辅助的争议行为。

1.1 产业链条及角色

1.1.1 上游及相关角色

产业链上游根据中游和下游的需求，生产和提供各类黑灰产资源。相当于制造业里的原材料“厂商”。

• 工具开发者

  • 制作相关黑产工具（注册、养号脚本；爬虫脚本；改机工具等）
  • 受制于所针对公司业务的调整，生存周期不确定

• 卡源卡商

• 猫池卡商

• 号商

• 黑客（窃取用户数据为主）

1.1.2 中游及相关角色

产业链中游负责将上游生产和提供的各类黑灰产资源进行包装和批量转售，多以各类平台或服务的形式存在。相当于制造业里的“中间商”，但会做一些二次加工。

• 接码平台

  • 连接卡商和羊毛党、号商等一些需要手机验证码的群体
  • 提供软件支持、业务结算等平台服务
  • 多通过业务分成获利

• 打码平台

  • 提供验证码识别服务，也以此获利

• 账号代售平台

  • 提供相对应需求的账号（这里就比较灰色，因为他们也面对普通用户服务）
  • 通过抽取相对应的佣金获利

• 工具代售平台

  • 对工作室、普通用户提供解决刷量需求的工具
  • 通过抽取相对应的佣金获利

• 地下黑市

  • 相关的黑灰产业群（QQ, Wechat, Telegram）、论坛，为工作室、普通用户 提供一个需求解决场所

1.1.3 下游及相关角色

下游负责直接执行黑灰产行为，多以工作室形式存在

• 刷量工作室

  • 通过解决普通用户的刷量需求获利

• 引流工作室

  • 解决客户的需求短时间内将大量短视频用户引向其他平台
  • 对引流人数和引向的平台设置不同的门槛，抽取佣金

• 主播工作室

  • 主要服务于高人气主播，利用相关工具刷人气 短时间内吸引其他用户观看，通过假聊工具营造人气火爆的场景（场控外挂）

1.2 业务分类

1、刷量：今日头条刷粉、刷评论、刷阅读量、刷收藏等业务

2、引流

3、内容爬取

1.3 刷量特征

2 防御策略

2.1 反欺诈策略

• 用户监测

  • 监测访问用户、终端、IP等信息（监测访问信息）
  • 建立用户、终端、IP等多维黑名单（建立多维黑名单库）
  • 将通过过滤的播放算进最终的有效流量

• 用户行为监测 TODO

  • 从多个维度对用户行为进行分析
  • 建立用户行为特征库
  • 过滤异常播放行为

• 监控系统

  • 建立多维监控系统，实施跟踪黑产的作弊手段
  • 及时发现异常播放数据
  • 补充异常流量特征

• 司法层面

  • 与第三方公司、公安部门合作

2.2 相关建议

2.2.1 监测类风险控制建议

• 对黑灰产相关论坛、社交群近期出现的新增高频词汇设定阈值，对超过阈值的词汇溯源
• 研究相关的黑灰产业链模式，对比核心产业链模式特征，总结产业链中角色交叉（结合数据分析板块一起看）衍生产业链的上游，并对上游人员监控。

2.2.2 防控类风险控制建议

• 对已发生事件追溯源头，通过分析产业链结构、成员角色、 成本、利润来设置不同的解决措施
• 对持续存在的结构模式，通过捕获市场上存在周期长且特征明显的工具进行逆向分析，提高对批量行为的审核和监控， 进一步提高黑灰产从业人员的成本

2.2.3 打击类风险控制建议

1、针对手机黑卡、黑IP

• 从第三方，专业公司获取经过审计的手机黑卡、恶意IP、高危漏洞等数据
• 将这些情报数据作为自己后台黑名单数据的补充情报库，在用户的业务活动流程中接入审计策略，对恶意注册、爬取等行为进行筛选、监控。

2、针对账号商人

• 结合恶意数据情报库（企业自建、第三方），对可以用户提高提高操作门槛（增加复杂验证码等），并且对这些用户进行重点监控
• 建立企业自身的恶意数据情报库，包括黑产掌握的黑卡号码、代理IP、泄露的账号密码等
• 一方面要结合自身后台数据的黑白名单，另一方面也要引入 第三方的支持，进行更全面的检测

3、针对黑产人员

• 分析灰黑产的流程和工具，对被攻击的接口请求进行特征汇总
• 在设备信息、注册信息重合度、 恶意用户的行为数据等方面，进行多维度的判断。参考数据分析模块的交叉分析。
• 对典型有效的黑灰产工具进行逆向，对存在业务逻辑漏洞 （TODO，翻阅业务安全的书）的方向调整，提高黑灰产工具的开发成本