这是我参与「第五届青训营 」伴学笔记创作活动的第 8 天
黑灰产概要
黑灰产,指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是,“黑产”指的是直接触犯国家法律的网络犯罪,“灰产”则是游走在法律边缘,往往为“黑产”提供辅助的争议行为。
国内的黑产介绍
咋骗、薅羊毛、黄牛、博彩、引流、跑分、木马、钓鱼、病毒、拖库、盗号等一些黑产。
目前国内的黑产规模已经超过大约150万、在从事黑产的研发等,具不完全统计、中国内就每天有350玩个代理ip被用于从事咋骗活动。
规模化:借助脚本和服务器实现批量化、上游资源丰富大大降低攻击成本、同时攻击成功率也很高。
组织化:多数以工作室的形式分析、团伙内多人分工明确、合作紧密
平台化:近年来出现了许多平台级的爬虫、群控、钓鱼、木马、网络攻击、等
常见的黑产技术分析
例如2018年某银行就有业务逻辑漏洞,具体就可以用假的身份证和一些照片进行开户验证(而没去用实时的人脸识别系统去进行验证)。
一般正常用户的定位是比较分散和有很强的随机性,如果是非正常用户的定位(例如开了代理服务器的,那么就会特别特别的集中于某些好的城市就在那一个区域内)、实际上也是因为黑产一般都是批量化的所以会出现这样的情况。
安全防护体系建设
可以分为这样的时间顺序来进行建设
事前:情报监控例如暗网、贴吧、等,SDLC、漏洞扫描等
事中:渗透测试、威胁感知(用户行为、接口数据异常、恶意流量监控)
事后:威胁建模、攻击溯源
