这是我参与「第五届青训营」伴学笔记创作活动的第15天。
黑产,即黑色产业链,近些年来,网络黑产已然成为一个难以忽视的安全问题来源。企业的信息安全体系是非常庞大的,任何一个环节都可能出现安全风险。其中,黑(灰)产是一个很重要的风险来源,也是历年来导致企业和用户损失最大的因素。了解和认识黑产的意图、手段和行为模式可以有效提升自己的安全意识,进而对黑产进行监控和防御。
国内黑产现状
在互联网中,存在着不少诈骗、薅羊毛、黄牛、引流、拖库等非法团体,也不乏木马、病毒、勒索软件等非法软件。这些都属于黑产的范畴。据统计,中国“网络黑产”的从业人员已经超过150万,地下市场规模达到千亿级别,信息泄露、IP盗用、电信诈骗等事件层出不穷。目前,国内黑产团伙呈现出规模化、组织化、平台化的发展趋势,具体来说,这些趋势有如下实际表现:
- 规模化
- 借助脚本、软件来实现攻击的自动化和批量化
- 上游各类资源丰富使攻击成本大大降低,同时攻击成功率也比较高
- 组织化
- 多数以工作室的形式运作
- 团伙内多人分工明确,合作紧密
- 某些黑产团伙甚至成立了公司
- 平台化
- 大量的平台级爬虫、群控、钓鱼、木马、DDoS攻击工具使攻击成本降低的同时增加了追查的难度
- 各类平台将黑产手中零散的资源进行了整合
总而言之,国内黑产目前仍具有较大的规模,个人和业务做好安全防护措施非常重要。
常见黑产技术
这里通过举例介绍一些黑产实际案例,以供了解并加以防护。
- 2018年某银行业务逻辑漏洞
- 某银行线上开户流程是:实名认证-绑定银行卡-审核开户
- 看似没有问题,但是由于前两个步骤是在客户端进行判断的,导致黑产能够通过伪造数据包来产生正确的客户端判断结果,从而能够通过审核成功开户
- 后果:黑产团队通过该漏洞获取了大量的虚假二类账户,继而使用这些账户到理财平台绑卡骗取试用金
- 人脸识别对抗技术
- 黑产目标:骗过人脸识别,从而通过人脸认证,实现非法入侵
- 技术手段:对照片进行人脸3D建模,生成可动态变化的人脸模型,继而对抗人脸识别
- 地理位置对抗
- 黑产目标:骗过地理位置认证,从而获取某些线下专有优惠、网约车抢单等
- 技术手段:通过软件修改定位信息
安全防御手段
为了防范黑产攻击,可以从事前、事中和事后三个方面来进行防范。
- 事前
- 情报监控
- SDLC
- 漏洞扫描
- 事中
- 渗透测试
- 威胁感知:包括用户行为异常、接口数据异常、恶意流量检测等
- 事后
- 威胁建模
- 攻击溯源
