一、黑灰产作恶方式趋势演变

在2018年的时候,我们曾经讨论过互联网黑产工具软件在当时的情况并进行了专门的分析。在2020年,我们站在现在的时间点,回顾过去两年黑产的动向,发现黑产攻击的趋势:

1.黑产工具与产业链的整合程度进一步加深

黑产工具在经过长期的技术升级,相较于仅将接码平台与网络代理模块进行组合,已经实现了在单个工具中可以集成接码、打码、宽带秒拨、网络代理等多个针对绕过业务安全风控节点的功能。通过集成多个功能,黑产可利用工具实现定制化更强、功能更多的作恶行为。现在的黑产工具集成度更高,造成的影响也更大。

图1-黑产工具的变化

2. 黑产已开始尝试将自身攻击行为隐藏在其他用户的行为中

相较于以往,黑产已开始利用手机短信拦截卡和秒拨IP的方式去绕过业务安全风控模型以实现攻击。这两种攻击方式有一个共同点,就是使用的资源是与正常用户共用的,这导致在一般的风控模型下不会被判定为黑产行为。

图2-短信拦截卡增量占手机黑卡总增量比例变化

对于可以获得高利益的攻击,黑产还开始利用众包任务的方式,发布注册任务,用相对较低的价格获取到大量真人实名认证的账户。

本质上,真人作弊源于人的贪婪和惰性,驱动因素是互联网技术和企业与黑灰产长期攻防对抗,从而演化出了此类比较高级的作恶形态。近年来,这种模式和形态越发多元和丰富,从早期单一的兼职刷单,到如今的多行业、多场景、多任务的广泛渗透;从早期的只在PC端进行的单一手法的兼职,到如今以移动端为主;从早期的线上群组媒介(QQ群、YY语音等),到如今平台化、裂变化。

图3-与真人作弊任务发布者聊天

二、黑产作恶方法上的转变

接下来我们将从不同角度分析黑产作恶在方法上的转变

1.手机号的转变——短信拦截卡比例增高

在业务安全层面,识别黑产持有的恶意手机号码是一个持久战。利用现有的黑产手机号情报,一般都可以实现对黑产手机号的拦截。黑产面对来自业务安全的防御,也对持有的手机号进行了或多或少的改进:新采购的手机号先利用其“干净”的身份去注册高利润的账号,对高净值的账号注册结束后再打包给下游进行中低净值黑产进行利用,从而压榨一个手机号中的价值。但是这种由于黑产仍然需要去进行养号的工作,再加上运营商对这些号段的回收利用效率的提升,导致新采购手机号的可利用价值逐渐贬值。

伴随着近几年国内一些手机厂商推出大量面向低端市场和海外市场的产品,黑产在其中发现了可利用的机会。黑产通过在这些机型中植入可以拦截手机短信的木马,利用手机持有者的手机号进行短信的获取,再通过网络传输给黑产,从而实现利用该手机号进行牟利。

短信拦截卡这种黑卡从2018年底首次发现,由于其隐蔽性相对其他渠道更高,实际出现时间可能早于首次发现时间。2019年5月拦截卡数量出现一次增长爆发,平台聚集。得益于恶意注册市场需求的激发,拦截卡的增长速度迅猛,之后黑产持续补充相关“卡源”,使得拦截卡在手机黑卡产业中占据了自己的一席之地。

图4-手机黑卡中短信拦截卡占比统计

在这种作恶场景中,由于该手机号持有者为一般用户,导致该手机号在正常情况下不会被判定为黑产持有的手机号,当黑产利用其手机号进行恶意注册时,一般的业务安全体系不会将其判定为黑产注册行为,黑产就可以通过这种“漏洞”去进行获利。

2.真人作弊乱象——新客福利被黑灰产和羊毛党恶意赚取

除了用手机号黑卡批量注册需要被防范,一些平台的新客福利也有可能会被黑产赚取。

很多的垂直领域平台为了更好的吸纳新用户,会在平台内给这些新用户发放一些礼品卡、话费、平台礼金等高价值福利。部分平台为了防御黑产针对新用户福利的恶意攻击,会采取强制用户领取礼包前进行实名认证,这种方式确实直接避免了黑产利用工具自动化注册牟利,但是却拦截不了来自真实用户认证后再转售帐号的真人作弊行为。

从根源上讲,薅新用户福利一般都是由一些常见的羊毛党用户发现,然后发布到类似赚客吧等“专业薅羊毛”社区进行分享,到这里平台的损失还是可控的。如果发放的福利是第三方礼品卡或平台礼券这种可通过下游进行变现的,就会吸引黑产投入成本,利用真人众包的方式去进行牟利。

图5-某真人众包应用截图

根据Karma上的检测,真人作弊目标行业类型主要有以下几个部分,银行金融、电商、UGC平台和社交平台成为了黑产盯上的主要目标。按永安在线的预估,真人作弊产业每年产生约20亿元的悬赏金额流水、10亿元完成金额流水,直接对目标平台造成数十亿甚至百亿的损失。

图6-真人作弊目标行业类型占比

3.刷量方式隐蔽升级——从假肉鸡到真肉鸡

流量造假一直困扰着互联网广告行业,这是因为互联网广告的按量付费结算方式决定的,这个量既包含点击量,又包含曝光量。因为这些量化的指标,有些不法的广告平台采取一些手段,在广告点击和广告曝光上做手脚,通过造假的方式去完成广告触达指标,从而获得广告投放费用。

以前互联网广告流量作弊一般就是由专门的刷量工作室去接单,利用分身工具和IP代理工具伪装成大量设备进行刷量,这种刷量方法在现在的风控体系里通过IP画像可以很明显的发现,其IP一般为代理IP。

现在广告刷量花样就比较多了,有网页广告采用隐藏浮层的方式进行刷量,有软件广告通过恶意弹窗进行刷量,还有利用小众宽带进行宽带劫持弹窗刷量。通过这种方法,这些刷量平台和广告公司可以挣得盆满钵满,只有广告主成为冤大头。

而随着社交媒体的发展,广告刷量在社交媒体上又掀起了新的风潮,在Karma业务情报平台上我们可以看到有些黑产在售卖一些社交媒体帐号,声称帐号为平台内部漏洞号,刷量可快速上趋势榜前位。

图7-与社交媒体刷量相关联的黑产情报

三、新型黑产的可行应对方案介绍

1.拦截卡黑卡作恶方式

业务安全的攻防在过去长期是围绕着“人机识别”为基础的。黑产用的是假人、假设备、假号码。逐渐的黑产开始用真实的手机设备,现在也大规模的应用的真人的手机号码和IP资源。这无疑为业务安全攻防带来更多挑战,当判定对象已经被好人和坏人同时持有,识别的难度及误判的风险、客诉问题就都更加严峻。

面对拦截卡这种黑卡作恶,需要以“是否为持卡人本人操作”来区分是不是被黑产利用,这需要根据拦截卡本身特点和使用拦截卡攻击过程中的特征进行判定。

1)通过自身业务场景设置判断规则

2)根据拦截卡的出现频次,以及手机黑卡、黑IP的命中次数进行判定。

2.真人众包作恶方式

真人众包的作恶主要为通过发布众包任务的方式进行作恶,我们如果要应对的话首先需要知晓其作恶流程。上面对真人众包作弊流程进行了文字性描述,为了方便起见这里拿了某短视频应用真人作弊众包任务,可直观感受下黑产在下发真人众包作弊任务时的流程。

图8-某短视频众包任务流程

真人作弊的作恶可以通过情报维度和数据维度两个方面共同分析,对真人作弊帐号进行精准的定位。

1)情报维度的信息,获知哪里记录了礼品最快领取流程,可以帮助我们直接抹去和黑产之间的信息差,并在最短的时间夺取主动权.

2)数据维度可以用是否有异地登陆、异地登陆设备等特征去进行复合判断,以发现黑产动作特征,及时发现被黑产控制的帐号。

3.刷量方式的应对措施

对于广告投放商来说,一般都会对相关的广告投放加以统计代码进行数据统计。此时通过统计代码自带的页面统计功能发现恶意刷量的行径:

1)通过停留时长发现刷量的请求

2)可以通过对IP的检测发现是否是来自于刷量工作室的访问,从而清洗出相对干净的用户访问列表。

社交平台的刷量解决方案更倾向于结合真人作弊的定位方式进行分析,通过情报维度和数据维度发现被黑产控制进行刷量的帐号,然后根据特征进行一网打尽。

1)情报维度的信息,通过了解黑产可以进行刷量的操作点,对相关环节进行监控,拦截来自恶意手机卡和恶意IP的请求。.

2)数据维度可以用是否有异地登陆、异地登陆设备等特征去进行复合判断,以发现黑产动作特征,及时发现被黑产控制的帐号。

声明:本文来自永安在线反欺诈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。