这是我参与「第五届青训营」伴学笔记创作活动的第 11 天

前言

本次我们会简单介绍国内黑灰产的情况，挑选了几种比较经典的黑产作弊手段进行详细分析，帮助大家对黑灰产这个群体有一定的了解，提升我们的安全意识。

国内黑产介绍

常见的黑产类型

• 诈骗
• 薅羊毛
• 黄牛
• 博彩
• 引流
• 跑分
• 木马
• 钓鱼
• 病毒
• 钓鱼
• 拖库
• 盗号
• 勒索软件

黑色产业链规模

• 截止2022年12月，haveibeenpwned已收录了约129亿条账密数据
• 据不完全统计，2019年全网约有5000万左右的非实名手机卡被频繁用于各种欺诈活动
• 据不完全统计，仅中国境内每天约有350~400万个代理IP被用于各类欺诈活动

黑色产业链结构（部分）

黑产的发展趋势

• 规模化

  • 借助脚本、软件实现批量化攻击
  • 整合上游各类资源，大大降低了攻击成本，同时使得攻击成功率高

• 组织化

  • 多数以工作室的形式运作
  • 团队分工明确，合作紧密
  • 某些黑产甚至成立了公司

• 平台化

  • 平台级别的爬虫、群控、钓鱼、木马、网络攻击、DDos攻击工具，攻击成本大大降低，且难以追查
  • 各类平台将黑产中零散的资源进行整合

常见的黑产技术分析

• 业务逻辑漏洞的暴露
• 例如，通过某银行业务逻辑的漏洞，绕过银行开户的用户实名认证环节，后期利用其洗钱或者诈骗等
• 对于人脸识别的生成对抗
  • 通过从照片到各种3D人脸模型，模拟人脸识别过程的一些动作来欺骗系统。
• 地理位置的对抗
  • 定位打卡
  • 摇一摇附近的人
  • 出租车抢单
  • 某些线下使用的优惠

安全防护体系的建设

建设阶段：

• 事前

  • 情报监控，了解黑产情报发展

    • 暗网
    • 贴吧
    • TG
    • 各类破解和漏洞论坛平台

  • SDLC

  • 漏洞扫描

• 事中

  • 渗透测试

  • 威胁感知

    • 用户行为异常感知
    • 接口数据异常的感知
    • 恶意流量的检测

  • 风控/安全策略

• 事后

  • 威胁建模 避免再次发生威胁以及建立起应对威胁的流程
  • 攻击溯源 掌握和发掘攻击者的入侵方向，进行行为特征的整理

防护体系建设依托的工具与方法:

• 验证码、安全SDK、代理检测、人脸识别、黑产名单
• WAF、IDS、DLP、终端安全防护、行为审计

引用

• 「黑灰产监控与防御」第五届字节跳动青训营 - 后端专场