【反欺詐場景剖析】是威脅獵人黑灰產報告的一個系列,我們希望通過對反欺詐實際場景的剖析出發,幫助企業發現業務風控過程重的核心關鍵點。此篇主要介紹反欺詐場景中虛假賬號的產生和流轉規模化的背後,以及如何對黑灰產做惡的關鍵節點的監控來實現對企業自身虛假賬號風險的管控。根據威脅獵人鬼谷實驗室統計,全網惡意註冊發起的***每日就可達8327380次。虛假賬號平均每日活躍量可達1389107次,平均每張×××每日進行6次***。
惡意註冊是業務風險的起點,也是企業風控的核心關鍵點。 當今黑產以惡意註冊爲代表的各類***資源已經高度的模塊化和市場化,產業鏈不同層級的團伙專注於不同的任務而又配合嚴密,而究其根本,是強自動化使得***變得可複製,進而形成套路化的盈利模式,對企業資產造成威脅。如果企業無法及時發現問題,採取有效對抗策略,將在業務上面臨巨大損失。
商業模式轉變帶來黑灰產核心資源的變化
黑灰產這條產業鏈伴隨國內互聯網發展二十餘載,可以說是非常執着,也佔盡了便宜。 早些年, 黑灰產就開始控制個人電腦做爲肉雞來進行Ddos、刷廣告、安裝流氓軟件等變現。一臺臺實際的物理電腦就是黑灰產的核心資源,誰控制的越多,誰就賺的越多。
這個時代下的互聯網黑灰產之所以是這種邏輯,也是因爲互聯網早期的商業模式非常集中在線上廣告,在PC互聯網時代這種線上廣告的結算邏輯是以電腦設備爲單位,各個互聯網廠商也是以安裝量、激活量及活躍量等來構建自己核心商業邏輯。
彼時,設備數量不只是當時互聯網黑灰產的核心資源,同時也是當時整個互聯網的核心資源。
2007年第一臺iPhone發佈,打開了移動互聯網的豁口,PC互聯網世界經歷大洗牌。 智能手機問世以後,開始把曾經存在在PC上的媒介、市場逐漸招攬到移動端來。
很快,互聯網承載的業務場景因爲移動屬性呈現出爆發式增長,商業模式上個人付費能力及意願也在快速增強,越來越多的人願意享受內容付費帶來的服務,如,開通VIP會員,購買線上課程等等。這時互聯網產生的連接已經不再只是內容和設備的連接,而是場景和個體的連接。
互聯網的核心資源也從設備變成到了個體,存在於互聯網中的每一個網民就是新互聯網時代的爭奪對象。
與此同時,黑灰產也逐漸向移動互聯網的場景轉移。 我們清楚地觀察到,互聯網黑灰產從之前的通過×××流量下發***到用戶電腦,取得電腦控制權後變現的模式,變成了通過大量手機號在各個互聯網核心業務場景註冊惡意賬號,並通過這些賬號在業務場景中變現的方式。
以惡意註冊爲核心資源的黑灰產作惡
隨着商業模式的變化,電商平臺薅羊毛、直播平臺刷量、社交平臺刷粉、網絡詐騙等各種以虛假賬號爲核心資源的黑灰產***開始涌現。
以直播平臺刷量爲例,通過刷量可以幫助主播上各種排行榜;給主播購買殭屍粉,可以增加主播的粉絲數;在主播的直播間購買水軍,可以增加直播間人氣等等。一方面,這些數據可以直接在平臺折現成現金獎勵,由此獲利;另一方面,僞造人氣可以吸引更多的粉絲,進而通過粉絲打賞獲利。
根據威脅獵人鬼谷實驗室統計,全網惡意註冊發起的***每日就可達8327380次。這背後涉及到的×××資源,平均每日活躍量可達1539107張,平均每張×××每日進行6次***。其中,受惡意註冊影響最嚴重的行業有金融、電商、媒體、社交和生活服務。可以明顯發現,惡意註冊***的目標一般具有高盈利性質或是高流量性質,可見下游的變現需求是驅動惡意註冊進行的根本。
每張×××的重複使用率都非常高,因爲在中國國情下的黑灰產***具有明顯的流動性,即同一行業往往面臨共通的黑灰產***,***門檻更低、防護較弱的企業產品更容易吸引***。當某廠商***難度提高後,相關人員會迅速的轉向同類別的其他廠商。各大企業在解決問題上的思路與措施有一定的相似性,也造成了黑產繞過方式與***工具的可複製性非常高。
在這樣的情況下,如果企業不瞭解的黑灰產的***手段,無法識別其掌握的大量虛假賬號,就不能結合企業自身情況制定最低成本與最低損害正常業務的策略進行防守。
惡意註冊規模化的背後是效率平臺的發展
當今黑產以惡意賬號爲代表的各類***資源已經高度的模塊化和市場化,產業鏈不同層級的團伙專注於不同的任務而又配合嚴密,而究其根本,是強自動化使得***變得可複製,進而形成套路化的盈利模式,對企業資產造成威脅。
根據威脅獵人鬼谷實驗室的研究分析發現, 惡意註冊所得賬號爲消耗型商品,各廠商通過各式安全策略處理作惡賬號的同時,新生的惡意註冊賬號會不斷填充被處理作惡賬號缺失的部分。雖然有些賬號在封禁後,可以通過發送短信、接收語音驗證碼等方式對賬號進行解封,但實際解封率極低,原因有兩點:一是黑產解封一個賬號花費的時間遠長於註冊賬號所需的時間;二是在很多場景下,黑灰產在賬號封禁前已經完成了變現,此時解封一個封禁賬號的價格成本遠高於註冊一個新賬號。
如下圖,是同一時期內,新生惡意註冊賬號和二次解封賬號的比例:
圖爲:惡意註冊賬號新生量與解封量對比
可以看出,在同一時期內,惡意賬號的新註冊量遠遠大於解封量。於是,在整個大批量惡意註冊的過程中,如何提升整個運作過程的效率和降低惡意註冊的成本,是作惡的核心關鍵點。
於是在整個黑灰產的發展過程中,“接碼平臺”“髮卡平臺”及其相關產業成爲了惡意註冊產業鏈中至關重要的一環。
圖爲:利用接碼平臺、髮卡平臺完成的產業鏈協助
接碼平臺——提升了整個黑灰產虛假註冊的效率
接碼平臺實際上是一個接收短信驗證碼平臺,它誕生在移動互聯網早期。當時黑灰產購買貓池設備,再插上上百張手機卡來模擬上百個自然人,完成對業務場景的惡意註冊。惡意註冊完之後再把設備和電話卡轉賣或者租用給另外一個黑灰產團隊用於不同業務場景的惡意註冊。
這個過程其實非常低效。因爲一個黑灰產要負責三個環節:
圖爲:過去利用貓池完成惡意註冊
接碼平臺的誕生就像是一個黑灰產的“交易平臺”,它的價值產生在特定兩個互聯網黑灰產業鏈節點之間。
賬號資源是衆多黑產鏈最上游、最基礎的需求,而數量衆多的卡源卡商,通過接碼平臺可以直接在線上把手機卡的價值賣給出於中游的大量號商,取得高回報。
號商,通過接碼平臺的網頁端,可以直接獲取手機號和驗證碼,完全不需要買入手機卡及相關設備,就能完成賬號的註冊。
圖爲:利用接碼平臺完成惡意註冊
接碼平臺負責連接卡商和有手機驗證碼需求的羣體,提供軟件支持、業務結算等平臺服務,通過業務分成獲利,一般爲30%左右。
2016年11月,當時規模最大的接碼平臺愛碼被警方查處,繳獲×××700餘萬張,自此很多接碼平臺轉入地下,有些平臺也通過關閉新用戶註冊等措施來降低風險。以接碼平臺愛樂贊爲例,在2018年1月關閉了新用戶註冊,導致平臺一號難求,其平臺賬號甚至達到每個100元。目前市場已有的接碼平臺非常多,比較活躍的有:火雲、愛樂贊、ema666、60碼、thewolf、玉米等。
隨着驗證碼對抗的升級,註冊項目不再是通過單一的短信驗證,有些需要語音驗證,有些則需要二次驗證,即需要註冊用戶使用註冊的手機號向指定號碼發送一條驗證短信。接碼平臺也緊隨市場變化不斷升級,衍生出接收語音驗證碼、二次取號、發送短信的服務。
髮卡平臺——提升了黑灰產賬號流轉的效率
髮卡平臺是把數字商品做自動化交易的平臺,在號商完成大量賬號的註冊後,他們會把惡意賬號整理後集中在髮卡平臺中列出,供處在產業鏈下游的用號方直接線上批量採購。
這就像在淘寶買一張話費充值卡一樣,只是在應用的場景上,髮卡平臺現在已經是互聯網黑灰產的主要交易通道和協作平臺。
用號方會根據自身作惡場景,通過髮卡平臺買入對應的虛假賬號,用以薅羊毛,平臺刷量,賬號詐騙等場景。
圖爲:利用髮卡平臺完成賬號交易
根據威脅獵人對黑灰產的長期監測和資源統計,目前參與到髮卡平臺交易的黑灰產從業人員超過1萬人,涉及的商品種類將近數千種,商品數量超過百萬,年產值數億元。
此外,通過追蹤髮卡平臺上灰色商品的價格,我們發現,價格是體現企業風控策略有效性和市場需求變化的一個非常直觀的因素,商品價格越高,代表企業風控策略越有效,使得黑灰產作惡成本變高。但同時黑灰產通過***獲得的收益也在提升,因此,在高成本的情況下,黑產依然會發起***,企業需要採取進一步的措施防範風險。
及時捕獲黑灰產行爲是控制風險的有效手段
在整個企業與黑灰產***戰中,不同企業的業務場景不同會讓整個***格局有區別。但黑灰產的核心資源始終是其控制的虛假賬號, 只要能在惡意註冊這個點上對黑灰產施加有效的控制,對企業業務風控整體的風險就是相對可控的。
識別黑灰產資源
黑灰產在作惡和變現時都重度依賴於其手中持有的基礎資源,包括但不限於手機號、IP、設備等。而這些黑灰產資源對於企業方來說,是全黑的數據,如果能將將這些數據與自身業務數據進行匹配,就可以直接識別出惡意帳號或黑灰產惡意行爲,針對性的進行相應的風險控制。
分析黑產工具
黑灰產的***工具承載着黑灰產的***邏輯和利用的企業業務漏洞,通過對工具的監控和逆向,企業可以瞭解到自身存在哪些業務邏輯漏洞或者是哪些風控策略已經失效,從而提升整個***對抗的效率。
監控黑灰產交易變化
黑灰產交易品類和價格的變動,能夠反映出企業一定週期內風控策略的有效性。例如,即使企業上線了風控策略,但是黑灰產仍然能夠以很低的成本完成惡意帳號的註冊,則表示企業的風控策略失效了;另一方面,如果發現黑灰產交易價格變高,反映出黑灰產***成本的上升,則可以看出企業的風控策略有了一定的效果。有效的風險評估,能更好地推動業務安全的落地和迭代。