heihui产行业简介

MusicDancing

已于 2024-04-21 12:18:56 修改

阅读量905

点赞数 19

分类专栏： FK学习文章标签： python

于 2024-04-20 22:43:23 首次发布

本文链接：https://blog.csdn.net/MusicDancing/article/details/138012714

版权

FK学习专栏收录该内容

22 篇文章 0 订阅

订阅专栏

本文探讨了2021年黑灰产在营销活动、刷量作弊、恶意引流、认证绕过、虚拟定位等多个场景的攻击手法，包括使用自动化工具、雇佣真人、IP伪装和API漏洞。同时，文章也关注了数据泄露问题的频发和新攻击态势下的风险对抗思路。

摘要由CSDN通过智能技术生成

参考：2021年黑灰产行业研究及趋势洞察报告

1. 有哪些场景面临大量黑灰产攻击？

1.营销活动场景 -- 该场景最为猖獗

1. 抹机及接码注册：黑灰产会使用抹机工具修改设备参数伪装成一台新设备，再配合联系卡商进行手机号接码，从而达到在同一台设备上注册多个小号给主账号完成助力任务，薅取活动奖励，或者注册多个新号领取奖励的目的。

2. 接单代刷助力：黑灰产掌握了针对营销活动的自动化批量助力的技术，收取费用帮助普通用户刷助力，进而完成任务得到奖励。

3. 利用业务规则缺陷：黑灰产发现其中活动的奖励，在业务侧没有得到全方位的防护，比如通过一些特殊动作可以获得，或者只需简单“技巧性操作”即可领取，便会对此活动进行大规模攻击。

4. 虚拟定位改城市：黑产使用修改定位的方式对活动进行攻击，从而领取活动奖励。此攻击方式常出现的场景主要有支付类、银行类、电商类、出行类平台的特定地区优惠领券活动。

5. 真人众包。

2. 刷量作弊风险场景

利用违规方法去提高相关账号功能数值(如：点赞量、关注量等)，最终达到伪造虚假流量、炒作热度、增加曝光等目的。这种刷量行为常常扰乱社区秩序、破坏社区生态，不利于优秀内容脱颖而出，并且增加了创作者的成本。

刷量作弊主要有三种：机器刷量(最传统、覆盖了所有主流平台)、真人刷量和养高级别账号刷量。但机器刷量因特征明显，比较好检测，因此无法有效的在部分检测严格的社区内容平台上作恶。

此时许多黑灰产就会提高作恶手法，开始雇佣真人来提升刷量效果。此外，部分高级黑灰产，还针对一些大型社区平台排名权重的计算规则，推出了高级别账号刷量功能，这类功能的主体往往是黑产长期持有、拥有很高粉丝数、被黑产养着的号，黑灰产利用这些账号，对外提供优化排名、热榜置顶等服务。

3. 恶意引流风险场景

恶意引流是黑灰产典型的作恶场景，一般使用脚本工具，利用平台的私信、评论、留言等功能，批量发布引流信息；也会有黑灰产在社交平台，发布“收粉”、“拉群”任务，要求普通用户拉好友进群，达到一定人数后，就以一定的金额收群，然后再把群转给下游的诈骗团伙等。

4. 认证绕过风险场景

黑灰产用虚假认证资料通过平台的资格检测环节，例如：

1. 用改装后的设备和人脸建模绕过人脸检测；

2. 用伪造的证件为账号取得相关认证等。

这类作恶行为会造成虚假身份、虚假企业认证等问题，不仅影响平台生态，还有可能会带来引流诈骗等问题。

5. 真人众包代下单风险场景

黑产雇佣真人远程下单，来批量薅取电商活动限购的优惠商品。该场景下，被雇佣的真人用户按照黑灰产提供的商品链接和地址下单，最后下单用户得到黄牛返还的款项和佣金，黑灰产收到商品并转卖获利。

2. 黑灰产发展现状

1. 规模庞大，面临数十万黑灰产攻击

对黑灰产营销活动攻击产生的舆情分析后，发现：“活动”、“教程”、“接单”、“注册”、“邀请”等词，出现很高频。说明，黑灰产往往会在各平台举办活动时寻找突破口，成功后会把方法在内部进行传播，或者转卖能力为“接单盈利的模式”，而他们的攻击场景，往往集中出现在新用户注册、邀请拉新等优惠权益较高的活动上面。

黑灰产作恶时，往往会在各大社交平台聚集，用于进行引流维护及同行间的交流，因此，统计各个作恶场景下，这些黑产在各大社交平台的账号数量，可以大致描绘出每个场景的黑产“从业者”规模。

2. 追求效率为先，黑灰产仍普遍采取各类自动化作恶工具

黑灰产会采用各类工具进行批量、自动化攻击，以达到短时间内获得更多收益的目的。主要的工具分为：

（1）定制型：

1. 手机端：按键精灵、autojs、多开/分身、Xposed、代理工具、虚拟定位为代表的模拟操控工具；

2. 电脑端：E语言为代表的协议工具。

两类背后都有大量的工具开发者和使用者，由于协议工具需要对应用进行破解，相比之下，模拟操控工具的门槛更低，数量更多。定制型黑灰产作恶工具中，51%攻击账号安全场景，其次才是营销作弊和广告引流。账号安全，一旦被攻击成功，则会引起一系列如：虚假注册、信息泄露等问题，对于此场景的风险防护策略不容忽视。

（2）通用型：主要是各类改机工具和虚拟定位工具。

a) 各类该机工具：

1. 安卓端改机工具主要有：软改、 ROM改机、硬改；

2. 苹果端改机工具以佐罗为主，此外还有爱伪装、爱新机、爱立思等。

黑灰产往往通过会员充值或租赁的形式，借助远程连接获取云手机的使用权限后进行攻击，一次攻击成功后，再借助平台的一键新机功能实现改机。

b) 虚拟定位工具：

1. 安卓手机端虚拟定位类工具有很多，代表性的是悟空分身；

2. 苹果手机端虚拟定位类工具：主要是任我行、天下游。

通用型黑灰产作恶工具中，虚拟定位工具主要在银行营销活动中被使用。支付类、银行类、电商类平台的特定地区优惠领券活动，最吸引黑灰产使用虚拟定位工具进行攻击。主要因为此类平台开展的限定地区领取权益的营销活动优惠力度大，且黑灰产能对领取的权益进行变现，故使用修改定位的方式进行获利。

3. 利益驱动为主，黑灰产在交易平台大量交易

对各大平台进行攻击后，会将自己的“战利品”分销变现，一般会选择在各大发卡网站上进行售卖，以获得收益。

发卡平台：是黑产特有的交易网站，可在上面陈列商品进行售卖，特点是伪装性强，一般一个链接对应一个店铺，而链接通常只有“内部人”才知道。

黑灰产第一大资源交易变现品类为账号类商品，占比近60%，其次是优惠券类商品，占比近15%。

（1）账号资源交易中主要涉及的TOP3行业是：内容行业、社交行业、电商行业。

1. 内容社区行业的黑灰产交易账号，最终被用于引流和刷量，是虚假流量和代写代发的核心资源；

2. 社交行业的黑灰产交易账号，主要用于引流和欺诈，此类账号的交易流转，是社交平台上内容风险和用户安全的问题根源；

3. 电商行业的黑产交易账号，主要用于薅取优惠权益，批量购买优惠商品。为了提高攻击效率，黑灰产多数情况下会提取这些账号的cookie或token数据，再配合工具完成自动化批量攻击。因此电商行业的账号大量交易，会带来平台的巨大资损。

（2）优惠券资源的来源主体还是以各大电商平头为主，占比超97%；而接近50%的会员转卖/代充发生在音视频及内容社区行业，其中大部分属于异业合作的特惠会员，黑产往往会从这些平台的合作方渠道获取优惠的会员，之后再以低于官方的价格进行售卖。

3. 黑灰产对抗资源变化情况

1. 资源重新调配，“断卡行动”后，黑手机卡资源以新的方式被利用。

从2020-10-10日起，国家对涉嫌违规的手机卡和银行卡实施“断卡行动”，之后黑灰产通过海外卡、拦截卡、私接等方式，避开了各类限制，使黑手机卡成功“死灰复燃”，为各个风险场景的作恶，提供了充足的弹药。与此同时，秒拨和代理资源的活跃，也为黑灰产供应着大量的IP 伪装资源。

传统黑手机卡：指非正常实名的手机SIM卡，渠道多样，有企业匿名、历史物联网卡、通信虚拟等等，主要特征是“在生命周期内被黑产固定持有”，即在这个期限内无论注册哪个平台，进行什么行为均可判断为恶意。

黑产开始更多的使用国外的传统黑手机卡对于国内公司进行业务攻击。另外黑产更多的使用拦截卡或 采用群接码的方式使用传统黑手机卡。

拦截卡：指通过设备硬件后门或软件App方式植入木马，拦截正常用户手机设备收到的短信内容，利用其进行恶意注册，主要特征是“手机号为自然人持有”。因这种黑卡采用拦截短信内容的方法进行恶意行为，称其为“拦截卡”；

群接码：具有高质量黑卡资源的黑产资源商，为防止被监测，以及汇聚客户资源，通过部署的私有化黑卡资源库，并向消费者定向发送手机号，并在QQ群接收验证码的方式进行注册登录的一种接码方式。

黑灰产接手机验证码的方式，除了转移到使用群接码之外，还更多的转移成了项目私接的形式，并且逐渐成为黑产的主要攻击方式。

项目私接：提供专属API 的形式进行接码，需要单独联系客服才能进行账号注册和充值，并且项目会受到限制，一个平台账号一般只能对接开户的单独项目和号码。

2. 更加善于伪装，使用IP方式进行身份绕过

黑灰产除了会使用各类工具进行自动化攻击外，还会使用IP资源进行身份伪装绕过(秒拨及代理平台等)。秒拨的底层思路：利用国内家用宽带拨号上网(PPPoE)的原理，每一次断线重连就会获取一个新的IP。这在与甲方的IP策略对抗层面，给予秒拨两个天然的优势：

1. IP池巨大：假设某秒拨机上的宽带资源属于A地区电信运营商，那么该秒拨机可拨到整个A地区电信IP池中的IP，少则十万量级，多则百万量级；

2. 难以识别：因为秒拨IP和正常用户IP取自同一个IP池，秒拨IP的使用周期(通常在秒级或分钟级)结束后，大概率会流转到正常用户手中，所以区分秒拨IP 和正常用户IP难度很大。

秒拨的这两大天然优势，对于黑产而言，是两道天然的屏障，同时也给甲方在风险IP 识别和判定上带来极大的挑战。

活跃的风险IP类型中，家庭宽带占比最高，达到65%，其次是数据中心。当前形势下与黑产在IP层面上的对抗，依靠传统的积累IP威胁情报库的方式，无法直接应用和落地到业务侧，典型的使用效果是：对黑IP的检出率很高，但对正常用户IP的误判率也很高。所以识别风险IP的核心依据应该是，该IP是否当下被黑产持有，IP的黑产使用周期和时间有效性这两个指标尤为重要，尤其是对于像家庭宽带IP、数据中心主机IP这种“非共享型”的IP。

对于像家庭宽带IP、数据中心主机IP这种“非共享型”的IP，精准识别出来的风险IP可以直接进行阻断或限制，针对基站、专用出口等“共享型”的IP，由于单个IP背后会有大量用户，不建议直接阻断或限制，可以参与加权或结合其他维度的数据进行综合判断。

4. 黑灰产攻击变化情况

因小程序高速发展带来的微信授权的大规模泛滥、数字化经济发展衍生的用户信息安全问题、因API的管理失控带来的数据泄露问题，都值得关注。

1. 微信授权攻击猖獗一时

黑灰产利用众多因违规被封、不能正常使用支付等重要业务功能，但仍然可以授权各类平台的微信号进行不同业务登录，从而生成新身份的微信登录攻击方式猖獗一时。此类微信授权登录的方式，主要有三种：

1. 使用62或A16数据，配合孔雀签或外星人工具进行微信账号登录后扫码授权。

a16、62数据是微信登录后产生的身份凭证数据，有了a16或者62数据就可以实现免账号密码，免验证登录微信；

2. 在手机上安装如“柠檬”等的微信授权工具后，唤醒工具跳转登录；

3. 使用如“利群”类微信授权平台，提供的API接口，集成到自动化工具中，进行登录。

这三类微信授权的作恶方式，为黑产提供了丰富的攻击弹药。但后来由于微信对于账号的治理，大量微信授权平台倒闭跑路，如今只有很少一部分存活。

2. 数据泄露问题频发，各个行业均面临威胁。

数据泄露事件覆盖各行业，快递/物流行业占比最高，达25%，其次为借贷和证券行业。数据泄露后，通常会被用于诈骗、广告推广和同行竞争等。以诈骗为例，每个行业数据泄露后的诈骗手法都有所区别，以下是TOP5行业常见诈骗手法：