这是我参与「第五届青训营 」伴学笔记创作活动的第 17 天
国内黑灰产
常见的黑灰产
诈骗、薅羊毛、黄牛、博彩、引流、跑分、木马、钓鱼、病毒、拖库、盗号……
黑色产业链
-
卡商(手机卡、银行卡)
-
打码平台
-
代理 IP 池
-
改机工具
-
群控系统
-
……
发展趋势
-
规模化
-
使用脚本、软件
-
上游资源丰富,大大降低了攻击成本,同时攻击成功率也比较高
-
-
组织化
-
多数以工作室的形式运作
-
团伙内多人分工明确
-
部分黑产甚至成立了公司
-
-
平台化
-
2022年来出现了很多平台级的爬虫、群控、DDoS攻击工具
-
各类攻击成品降低,且难以追查
-
各类平台将黑产手中的零散资源进行整合
-
常见黑产技术分析
有些东西讲师不方便讲,讲出来的东西已经是2020年之前的
银行卡注册漏洞
-
时间:2017年底
-
外包公司程序漏洞
-
本质上,在注册银行卡时并没有进行身份证校验(前端数据不可信性)
人脸识别对抗
-
时间:2018年
-
早期:自拍照片与身份证照片比对
- 使用接口上传照片或上传生成的照片
-
中期:录制视频判断是否为真人实拍
-
自动生成人脸模型 + 贴图
-
使用接口上传
-
-
后期:3D 动作 + 环境光
-
脚本生成 3D 动作
-
环境光(没讲
-
地理位置对抗
-
定位打卡
正常人的打卡月累计:
机器(这个没有做任何优化,有点大聪明)的打卡月累计:
-
摇一摇附近的人
- 微商加好友
-
出租车抢单
-
某些线下使用的优惠
安全防护体系的构建
事前
-
情报监控
-
暗网
-
贴吧
-
Telegram
-
各大破解论坛
-
-
漏洞扫描
事中
-
渗透测试
-
威胁感知
-
用户行为异常
-
接口数据异常
-
恶意流量监测
-
-
风控/安全策略
事后
-
威胁建模
-
攻击溯源
使用技术
验证码、安全SDK、代理检查、人脸识别、黑名单、WAF、IDA、DLP、终端安全防护、行为审计……
相关阅读
关于业务风控
《风控要略 互联网业务反欺诈之路》讲师参与编写
《互联网平台智能风控实战》
关于安全攻防
《白帽子讲web安全》
《Web安全深度剖析》
《Web安全机器学习入门》
上述几本都是入门级的书,挑一本即可
《SQL注入攻击与防御》数据库安全进阶
《linux服务器安全攻防》 主机安全进阶
关于安全体系建设
《互联网企业安全高级指南》
《大型互联网企业安全架构》
