这是我参与「 第五届青训营 」伴学笔记创作活动的第 12 天 黑灰产,指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是,黑产指的是直接触犯国家法律的网络犯罪,灰产则是游走在法律边缘,往往为黑产提供辅助的争议行为。
一些常见的黑产
- 诈骗
- 薅羊毛
- 黄牛
- 博彩
- 引流
- 跑分
- 木马
- 钓鱼
- 病毒
- 拖库盗号
- 勒索软件
黑产团伙的发展趋势
-
规模化
- 借助脚本、软件来实现攻击的批量化
- 上游各类资源丰富,大大降低攻击成本,同时攻击成功率也比较高
-
组织化
- 多数以工作室的形式运行
- 团伙内多人分工明确,合作紧密
- 某些黑产甚至成立了公司
-
平台化
- 近年来出现了很多平台级的爬虫、群控、钓鱼、木马、网络攻击、DDos攻击工具、攻击成本大大降低、且难以追查
- 各类平台将黑产手中零散的资源进行整合,对黑产
安全防护体系的建设
- 事前:情报监控:暗网、贴吧、TG、破解论坛;SDLC; 漏洞扫描
- 事中:渗透测试 ;威胁感知:用户行为异常、接口数据异常、恶意流量检测;风控/安全策略
- 事后:威胁建模;攻击溯源
业务中处理黑产的手段
在识别出黑产之后,运营的第一步一定是在业务中对黑产进行处理。处理的手段有很多种,它们能起到的效果也截然不同。接下来,我们就来具体分析一下这些手段的特点和它们能产生的效果。
-
直接拦截 在不同的识别模式下,黑产的拦截方案也不同:同步模式下,我们可以直接拒绝黑产的当次登录请求;异步和离线模式下,我们可以拒绝对应的账号在登录后继续使用业务。
-
验证拦截 验证黑产的方式有两种:人机验证和同人验证。首先是人机验证。人机验证的目的是区分人和机器的操作,防止黑产利用机器去自动化刷取业务的利益。同人验证主要是区分进行操作的是不是用户本人,防止账号被盗用。
-
假数据拦截 直接拦截和验证拦截都是生活中比较常见的拦截方式,那这里,我再讲一种在爬虫场景中比较常见的拦截方式,就是通过假数据的形式来拦截黑产的行为。
