互联网平台黑产解密(上)

简介: 互联网平台黑产解密(上)

这是一个最好的时代。互联网如此普及,市场有无限可能,大量的创业公司崛起,生活服务无不能连接到互联网,让人有了更多想象。


这也是最坏的时代。伴随着新型业务的出现和增长,黑色产业(以下简称黑产或黑灰产,不作具体区分)正在野蛮生长,而每个企业在初期都会缺乏风险控制意识,都曾为此付出过沉重代价,Uber 打车、拼多多、ofo、外卖、无数的 P2P 平台、无数的广告主……


羊毛党、水军、僵尸粉,这些都是大众熟悉的黑产,因为他们能够被大众接触到或者感触到。


然而黑产远不只这些,他们早已经形成了庞大的产业,始终紧盯着企业营销运营的手段,并让企业付出巨额代价。


1、黑产的危害


据不完全统计,中国网络的黑色产业规模已达千亿元的级别,手段五花八门,刷单让平台防不胜防,因被刷单而导致重大损失的案例举不胜举。图1~ 图4 分别是Uber、外卖、ofo、消费金融被黑产侵蚀的例证。

image.png

image.png

image.png

image.png


从中可以看出,刷单黑产已给企业造成严重的经济损失,刷单严重者,每日给企业造成的损失高达千万元,对于很多创业阶段的小企业来说,可谓致命一击。为此,国家针对刷单事件进行了立法支持,每年因为刷单而追究刑事责任的案件不在少数,全国第一个刷单案由杭州市余杭区人民法院公开宣判,“90后”刷单者李某某因犯非法经营罪被一审判决五年六个月,连同原判有期徒刑九个月并罚,决定执行有期徒刑五年九个月。


2017 年 11 月 4 日全国人大常委会通过了新修订的《中华人民共和国反不正当竞争法》,对刷单相关的法律条款进行了完善,明确规定了惩罚力度。


刷单影响到了每个互联网人。刷单严重的平台失去了消费者信任;面临刷单不公平竞争排名的情况,平台中安分经营的商家被逼着刷单,形成恶性循环。传统线下场景中,消费者可以看到实物,通过观察可以与商家建立初步信任,而互联网时代,消费者看不到实物,往往通过平台的信用体系(如评分、评论)做出判断。刷单破坏了这个体系,久而久之破坏了平台的生态。


然而黑产之大,绝非刷单一种形式,盗刷、诈骗、攻击、木马等花样层出不穷。消费金融的空前繁荣,让黑产有机会顺水推舟,涌入新兴产业中。黑产人员能通过搜集并整合各个渠道泄露的用户信息,用完成一幅拼图般的耐心,精心拼凑出每个用户信息。银行卡盗刷、透支让很多受害者几近倾家荡产,还要忍气吞声。目前信用卡相关法律尚不健全,持卡人的信用卡被盗刷后,需要向银行提供非本人刷卡的证明。即使是这样,很多银行要求在没有破案前,持卡人先对盗刷金额买单。


除了盗刷,欺诈更是不容忽视,据第三方统计,消费金融领域,超过 50% 的损失是由于欺诈导致的。欺诈即骗贷,某医美分期平台负责人曾公开表示,整个医美市场的贷款量大概是 60 亿元,其中就有 15 多亿元被骗贷者们攫取。黑产危害,可见一斑。


2、黑产的产生


1●有利益的地方就有黑产

新型互联网事物在推广期往往会采用补贴的手段吸引新客加入,补贴变相产生的诸如红包、赔付、优惠券等形式,成为黑产的关注焦点。创业者在业务不断扩张、求生存的阶段,重点更多放在产品的体验和业务不断完善上,加之在产品设计环节缺少抗风险意识,导致黑色力量与正常用户同时成长,甚至超越了正常用户的体量而使企业破产的情况也时有发生。


外卖行业里的满减优惠(指用户下单达到一定金额后减免一定额度),本意是吸引用户下单,提高客单价,但如果能打破满减次数限制,或者买卖双方串通起来,就会演变为作弊;金融领域的借贷,通过盗用他人的身份信息或者购买虚假信息骗贷;出行领域的“幽灵”司机则是团伙作案,牟取暴利(见图5)

image.png


2●泡沫效应

利益的驱使让黑产总有可乘之机。让很多人想不到的是,一些表面的繁荣其实只是海市蜃楼,主动刷单在很大程度上又助力了黑产的发展。一直以来,刷榜刷量行为是业内的一个比较隐晦的话题。应用程序开发者在应用商店上架自己的 App 后,苦于下载量、安装量上不去,开始尝试寻求刷榜的力量,一旦看到效果,便会变本加厉。


在这个产业链中,刷榜已是常态(见图6),就像正常商品一样明码标价,不少公司为了曝光自家的 App 都有此行为,刷榜行为几度让苹果应用商店更新了排名算法。微信公众号刷量事件更是戳破了行业泡沫,电商平台、外卖平台的投机商家也主动寻找中介帮自己提高销量。刷,已成为一些个体 / 企业宣传推广的常用手段,已成为一些群体的固定职业,已成为一些推广机构、中介平台的生存手段。在这个泡沫中主动要求刷量的行为助长了黑产气焰,而因此带动的黑产繁荣会给他们带来大量的损失。

image.png


因此,不论是平台漏洞导致的被动利益吸引,还是主动的“推广营销”行为,都为黑产的产生和增长提供了空间和助力。这两方面却又存在矛盾:针对平台漏洞,平台往往需要考虑风险控制措施来打压黑产;而主动的“推广营销”却让黑产继续“合理”存在,反过来再把技术手段应用于漏洞导致的利益,可谓环环相扣,冤冤相报。


除此之外,国内征信体系的不完善和大数据风控人才的欠缺,也给黑产的发展提供了机会。大数据风控的普及在国内还面临诸多痛点和难点,甚至被挂以虚名、实则无风控,让大数据风控在监管层面遇阻,这些都为暗处的黑产带来了便利。


3、黑产的类型


黑产都是为了利益而存在的,根据平台业务涉事方参与黑产能否直接获得金钱利益,可以分为两类

1. 直接套利型

主要的形式包括外卖平台上的套补贴,金融类的骗贷,共享单车的刷红包,打车行业的套补贴、线上推广的刷下载量和安装量,广告的刷曝光点击量等,以及为达到此目的而产生的虚假实体(如虚假用户、虚假商户、虚假司机、虚假媒体等)。这种类型的涉事方一般通过作弊、刷单,或者通过接活中介直接就可以获利。


2. 间接套利型

主要的形式包括电商中的刷量、刷排名,社交媒体上的刷榜、刷量,社区中的水军,以及以广告诈骗、垃圾灌水、黄色信息推广为主的内容型黑产等。这种类型的涉事方一般不能直接获得金钱利益,中间往往还需要转化,如刷排行的因为排名靠前导致更多曝光机会,进而带来更多新增用户;在贴吧发古怪文字加链接的水文,因为用户单击链接的次数增多而带来更多下载量。当然对于接活的黑产工作室来说,不存在直接、间接的概念,总是可以获利的。


根据黑产活动对业务的影响,又可以分为业务安全型和内容安全型:

1. 业务安全型

指对业务正常运转有影响的黑产,会导致业务的资产损失、生态破坏(劣币驱逐良币)以及体验变差、信用口碑下降等问题。包括上述的直接套利型和间接套利型中的刷量部分。

2. 内容安全型

主要是指内容不符合监管要求,以及不满足平台的内容管理规范和价值观的黑产。黑产作恶后的直观表现是在图、文、视频上肉眼可见。


事实上,不同的黑产类型在作案手法上差别较大,对抗的理念也会不同。直接套利型的黑产在不同业务场景上虽然手法区别不大,但与业务结合后,会产生“变异”,想要复制其他业务上的对抗方法,成本依然相当高,不过其命脉在于“利”,在获利空间上下功夫可以实现很好的效果。业务安全型的黑产在数据表征上就是异常,它们与绝大多数正常用户行为不同,因此,对抗业务安全型实际就是在做异常发现。


4、黑色产业链


黑产在实际操作过程中需要多方配合,他们以盈利为目的,有组织、分工明确地团伙式作案,追求低成本、高回报。根据分工不同,主要包括以下利益方。


1. 信息收集人员

主要负责盗取用户身份证号、银行卡号、手机号、手机 SIM 卡、微信账号等隐私信息。可以通过技术手段(如拖库、撞库等)偷到用户信息,也可以通过灰色交易收购大量旧手机、手机卡(一般称之为卡商)等囤积号码。手机卡一般来源于物联网卡、虚拟运营商的未实名卡(卡商可以通过收集网络数据进行实名化)、海外卡以及企业内部违法倒卖的实体卡号等,其中虚拟运营商的未实名卡(黑卡)占大比例。细数这里面的人员,包括办黑卡的卡商、收黑卡的卡商、制作猫池设备(参见图7)的厂家,以及号商(出售微信账号、支付宝账号等)。随着国家对隐私信息的保护力度加大,以及用户隐私保护意识的增强,以上身份信息获取难度大了很多,但依然有很多企业内部人员,利用职务之便非法倒卖用户数据。2020 年 7 月,铁岭市公安局破获了一起兜售实名微信号的黑产案件,数额巨大,而数据的来源就是某企业数据中心工作人员和某平台工作人员。

image.png


2. 验证码供应商

主要负责提供短信验证码、语音验证码。卡商提供的手机卡通过有通信能力的猫池设备接入验证码接码平台,专门用来收发短信,根据获取渠道不同,每条短信的费用从几分钱到几块钱浮动。通过自动化管理软件,管理众多手机号在不同平台的出现次数,同一个手机号可以在多家平台以新用户身份使用。此外,一般还配备可视化平台,对验证码发送请求量、成功率等指标有较为详细的监控,资费标准明码标价。提供这种服务的平台数不胜数,如易码、讯码、51 接码、E 码、火云、芒果、神话等,关键还有数不清的低调到没有名字的平台。这两年国内很多公司开始瞄准国外市场,针对国外的短信接码平台也涌现了一大波。图8 所示的是正在使用易码平台接收短信验证码,图9 所示的是 Z-SMS 提供的在线短信接码服务,无须登录即可看到短信内容。

image.png


除了短信验证码和语音验证码平台,还有打码平台,如图10 所示。在注册或异常登录环节,一般会设置图片验证码来屏蔽机器人,这种图片中含有字母、数字或者汉字等,人肉眼很容易识别,但是对于机器来说,需要大量的样本进行算法训练进行识别。而打码平台既提供机器识别能力,又提供人工解码能力,即雇佣人去解码,标注和解码一举两得。参与打码的人一般称为打码工,按打码数量计算收入,当然也会计算正确率。

image.png


3. 技术研发人员

主要负责模拟器、手机参数修改器、定位修改器、按键精灵等软件研发,这类技术研发并不一定是为了用于黑灰产,但却可以为黑灰产所用。例如,手机参数修改器可以做到一键修改手机参数;定位修改器可以让手机定位“穿越”到任何想去的地方,并可以模拟出轨迹。目前国外已经出现了采用人工智能技术进行刷好评的做法,效果逼真。国内一些电商平台也开始出现技术刷好评的现象,可以预见,未来黑产领域也将智能化。这不,以前黑灰产用单机加抹机神器(图11)就可以刷出一片天地,今天就连模拟器也换成了云手机,采用云指令技术,云端操作,可实现一台手机变多台,可以一键新机,可以改定位,成本也就日均一块钱。

image.png


4. 刷单中介 / 工作室

主要负责制定刷单攻略、联系客户、组织并实施技术刷单操作。把刷单攻略制作成详细可操作的教程,一份教程可卖几十元到上百元,通过 QQ 群、微信群等社交工具雇佣刷单人群。中介对各大平台的业务流程都很熟悉,承包任务,伪造信息,甚至公司内外勾结。目前很多工作室除了有很多“拉活儿”的销售商务,也具备信息采集、接码、技术研发等能力,能够在模拟器、云手机、按键精灵、脚本、木马等方面做很多研发工作。


5. 刷手

主要负责具体的刷单操作,这类群体中不乏学生、家庭妇女、乡村农民等各类型的刷单职业工作者和不知情被利用的人群,职业者往往遍布于各个刷单的论坛社区、QQ 群、微信群中。


图12 描述的即为黑色产业链的上下游,其中每个角色在实际中并不是单纯负责一个环节,比如卡商可以提供号商的能力,接码平台本身也可以兼作卡商。产业链中主要涉及设备、卡、号和软件,整个产业链围绕的核心就是解决这些资源的货源问题,而刷单中介 / 工作室主要是解决资源整合和人的问题。所以,做黑产与开一个网上店铺很相似,以前是自己解决货源问题,自己拉新做活动,而现在平台可以提供很多赋能工具。

image.png


5、黑产的焦点


只要有利益的地方就有可能存在黑产,但从黑产的角度看,是否值得黑,关键就在于事情的成本与收益的衡量,所以黑产往往聚焦于那些低成本高收益的行业,比如互联网金融行业、电商行业、O2O 行业。对于低成本低收益的行业,通过量的积累,也可以快速达到高收益的效果,比如初入市场阶段的创新型互联网产品,如 ofo 共享单车、滴滴打车等。针对相对稳定的互联网产品,因新增功能的推广涉及的利益引诱依然是黑产关注的焦点,比如支付宝推广阶段的分享红包。


据笔者不完全统计,目前黑产关注最多的行业有互联网金融、电商、O2O、社交、新兴行业、游戏(游戏行业的黑产与前面几个行业的黑产有很大区别,主要涉及外挂、私服、黑卡、盗号、挂马等手段,因笔者经验有限本书较少涉及)。


1●互联网金融

互联网金融中有两类比较常见的欺诈场景,一是刷新用户,二是假身份借贷(俗称骗贷)。自从 2013 年余额宝引爆互联网金融以来,各种金融产品层出不穷,为了吸引更多用户加入,各个平台都在新用户注册这块砸下重金。刷单者利用手机黑卡到各互联网金融平台大量注册新用户,平台补贴的新用户奖励大量落入刷手口袋中,效果大打折扣。


骗贷曾经形成了专门的产业链,由贷款中介推动,办理假资料,伪造账单、消费记录,钱一到位就彻底消失。消费分期和现金贷等小额贷款已成重灾区,骗贷者往往使用同一批资料,利用平台之间的信息不互通,短时间内在多家平台连续骗贷。目前业内逐步建立了数据共享机制和行业黑名单,防范骗贷现象,国家在对待金融风险方面也下了很大功夫,2019 年以后,互金相关的黑产随着行业发展逐步落幕。


2●电商和 O2O

电商和 O2O 领域的刷单基本是相通的,一般联合商家刷优惠、刷信誉、刷销量、刷排名等。刷优惠吸走了平台的资金,直接导致经济损失,其他的刷单则对平台的评价体系注入垃圾,损害平台口碑、误导用户,影响平台整体的生态平衡。在电商和 O2O 领域,一般涉及 B 端(商户)、C 端(用户)、物流和销售四部分,涉及的业务链条长,产品细节多,单一角色防控难以产生效果,往往一波未平一波又起,因此是黑产关注的行业里最复杂的一类。


3●社交行业

社交行业的黑产主要在社交平台大量注册小号,从事发广告、刷粉、刷阅读量、充当网络水军、传播色情内容、进行网络诈骗等。被黑产关注最多的社交平台主要是流量大的渠道,如微信、QQ、微博、陌陌、贴吧等。


4●新兴行业

不断涌现的新兴行业始终是黑产关注的重点,行业新生的产品往往因为快速抢占市场,在风险控制方面比较薄弱。典型的例子如共享单车、打车、众筹、P2P、区块链。


2017 年 4 月,ofo 推出红包车,打开 ofo 手机 App,在红包区范围内开锁,且骑行时间超过 10 分钟、距离达到 500 米,即可获得现金红包。因为 ofo 没有 GPS 定位,无法定位到每一辆小黄车,而且用户结束行程不用锁车,所以用户只要在规定的“红包车区域”内


选取任意一辆小黄车,输入 ofo 车牌号(甚至可以输入不在此区域的红包车)并获取密码,就能开启“骑行”状态了。操作十分容易,很快成为职业刷单者眼中的肥肉,正因为如此轻松就能赚钱,导致大量用户也加入刷 ofo 红包的活动中,可谓损失惨重。


随着新兴行业的逐渐成熟,风险会逐步可控,但又会继续出现新的行业,黑产就像野草般“春风吹又生”。


目录
相关文章
|
机器学习/深度学习 安全 大数据
互联网平台黑产解密(下)
互联网平台黑产解密(下)
547 0
互联网平台黑产解密(下)
|
安全 网络协议 网络安全
多家P2P网贷平台因DDOS攻击而倒闭,P2P平台该怎么应对?
最近这几年,国内P2P网贷平台大规模进入市场,在高速发展的同时,倒闭跑路、投资者信息安全等一系列问题层出不穷。一大波黑客也盯上了P2P平台这一块“肥肉”,黑客通过DDOS攻击P2P平台至服务器崩溃然后再索要钱财,不少P2P平台因害怕攻击产生业务损失而花钱了事,还有很多平台承受不住而被迫倒闭。
1926 0
新鲜出炉!2016 中国互联网仿冒态势分析报告
本报告由阿里巴巴安全部和中国信息通信研究院联合出品。
3740 0
|
安全 网络安全 Memcache
全国首例!阿里安全技术协助警方打掉最新型DDoS网络攻击平台
近日,阿里巴巴安全部专案团队协助浙江景宁警方打掉国内首个从事memcached DDoS攻击的大型网络黑灰团伙。
2777 0
|
安全
政府安全资讯精选 2018年第二期 工信部发布《工业控制系统信息安全行动计划》;平昌冬奥会或成为黑客攻击目标 部分组织已遭钓鱼;多部门联合开展公共信息资源开放试点工作
工信部发布《工业控制系统信息安全行动计划》;平昌冬奥会或称为黑客攻击目标 部分组织已遭钓鱼;多部门联合开展公共信息资源开放试点工作
1948 0
|
云安全 机器学习/深度学习 人工智能
金融安全资讯精选 2017年第十期 中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要
中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要,DNSMASQ多高危漏洞公告,阿里云安全数据智能团队负责人观点:安全算法,时代风口的交叉点
2129 0
下一篇
DataWorks