黑产的蔓延

      从近年来的多个黑产攻击事件的分析和深度追踪中，我们可以发现黑产已经全面渗透到互联网平台及金融机构的各个场景，迅速在全网蔓延，近几年呈现出愈演愈烈的趋势，给企业和社会造成了不可估量的损失。据统计，国内黑产成员超过 50 万人，黑产团伙之间已经形成了相互分工、紧密合作的产业生态。由于企业之间信息和数据的割裂，欺诈分子往往能顺利游走与不同平台之间。

业务安全的崛起

      黑产在互联网领域的横行无忌，从反面推动了互联网业务安全反欺诈领域的快速发展。互联网业务模式的不断创新决定了风险的复杂多变，如今业务安全行业的技术、产品和解决方案，已经覆盖了几乎所有的互联网业务常规场景，并且和传统安全领域也发生了深度的交集和融合。下面是常见的风控场景举例：

• 注册和登录场景的风控：如何对抗黑产注册虚假账号、养号的行为，如何对抗黑产暴力破解账户密码，如何对抗“撞库”攻击。黑产手中掌握了大量的手机号卡、公民信息和数以亿计的已泄露的互联网账号密码，这对任何一个互联网平台都是致命的威胁。
• 营销活动风控保护：营销活动发放的红包、游戏点券或其他建立如何才能够不被黑产团伙“薅羊毛”。
• APP 渠道推广保护：推广 APP 装机量投入巨额费用后，如何衡量真实效果。用户每安装激活一个 APP，平台需要支付 10 员甚至 20 元，黑产通过“手机农场”虚假安装已经是广告行业顽疾。
• 交易和支付场景风控：盗号支付如何解决、非法聚合支付如何解决、洗钱如何解决，这些合规性问题关乎支付平台和相关业务的生死。
• 接口安全保护：短信发送接口被坏人用于制作“短信炸弹”是大家都遇到过的场景。
• 内容安全：内容安全既包括“入”也包括“出”，“入”是检测用户发布到平台的内容是否包含“色情、反动、赌博和暴恐”等违规信息，“出”则是对抗专业爬虫大量获取网站内容信息。

黑产武器库概览

虚假号码

      现在互联网平台在用户注册时，几乎都需要手机号接收验证码进行二次认证。手机号已经成为网民的通行证，甚至是“网络身份证”。采用手机号接收短信进行验证，一方面解决了用户实名的问题，另一方面也比采用邮件验证等传统方式更为便捷。但是，在互联网黑色产业链中，源源不断地有人给黑产提供大量可用的手机号。这些手机号几乎成了所有互联网欺诈活动的根源，我们也称之为虚假号码。

猫池

      猫池其实是由多个 Modem 模块组合而成的，每个模块等同于一台简单通信功能的手机，附带有 SIM 卡槽、基带芯片、射频芯片、手机天线。每个 Modem 模块都可以独立控制，收发短信和拨打电话。我们可以通过 AT 指令控制猫池完成电话呼叫、挂断电话、读取短信列表相关操作，但是，由于 AT 指令不是很方便，于是市面上就出现了一些列配套的猫池管理软件，这些软件具备了非常完整的猫池管理功能。它们会把读取到的短信和通话记录信息保存到数据库文件中，可以使用其他程序读取到这个数据文件，获取短信和来电信息。

接码平台

      接码平台是“虚假号码”的集散地。在 2017 年以前，接码平台会从卡商手中低价收购大量手机卡，使用猫池进行管理，再开发管理系统和API，给黑产提供付费服务。

空号注册

      空号注册在互联网黑产的发展历程中算是昙花一现。2018 年 4 月，广西、湖南公安机关联合出动查处了长沙某科技公司，抓获多名犯罪嫌疑人。该公司在长达两年的时间里，一直扮演着接码平台的角色，给黑产提供了 300 多万个手机号。上文介绍的虚假号码都是有实体卡的，可以认为是运营商已经投放到市场使用，但是已经被用于大量接收短信验证码。事后查明，这家公司与运营商的内部人员进行了合作，通过非法渠道使用空号来接收短信验证码，以单条短信0.6元的价格在黑色产业链中提供服务。

流量卡和物联网卡

      过去几年运营商推出的各种套餐中，如“流量卡”受到不少人的青睐。在正常情况下，流量卡也需要进行实名制登记，一般的流量卡都可以收发短信，所以也就可以用于注册账号。很多榴莲工卡是有使用期限的，并不能像手机号一样长期使用，普通用户不会用于注册账号和验证身份。但是对于黑产来说，流量卡的时间周期已经足够使用了。
      物联网逐渐兴起后，市面上出现了一列比较便宜的流量卡，即物联网卡。这一类卡是运营商给物联网领域的企业使用的，用于物联网设备的通信。例如，共享单车，每一辆共享单车的电子锁内部都有一张物联网卡在工作。这些物联网卡使得每一辆单车都能够连接互联网上报车辆的位置、车锁状态等信息，同时能够接收云端的一些操作指令。这类物联网设备对流量的需求量是很小的，平均每个月的流量控制为2M~20M。如果不使用短信来发送指令的话，那么连短信功能都不需要。运营商在提供移动物联网能力的同时，会把大部分权限开放给物联网企业。其中包括分配每张卡的套餐、设置每张卡的功能和权限。某些企业在申请到物联网能力之后，会调整流量资源，把无法消耗的流量资源分配到一批物联网卡上，然后以较低价格转卖。这些物联网卡由于其价格优势，同时部分物联网卡不需要实名登记，所以一度也成为黑产的“香饽饽”。

手机rom后门

      在虚假号码产业链中，有一些高技术的团伙在用一种特殊的方式提供手机解码的能力，业内称为“老人机团伙”。“老人机团伙”拥有自己开发的手机rom系统，这些系统基于早期的MTK平台。他们在rom中预植入了后门逻辑，然后与很多公司合作生产出各种品牌的“老人机”。这些手机只提供了电话和短信功能，他们会以较低的价格投放市场售卖，并通过一些渠道销售到很多贫困地区。当一些老人以较低的价格买到这些手机插入手机卡后，rom中的后门就会通过短信的方式上报对应的手机号到黑产预埋的手机号中。黑产团伙使用这些手机号注册各类网络账号，当验证码发到老人手机上时会被后门再次转发到黑产手中。由于rom的后门有对应的屏蔽短信规则，使用者自己根本看不到这些短信，所以也无法察觉自己的手机号被黑产使用了，只能从运营商的短信详单里发现端倪。

代理IP

      代理是一种很常见的网络技术，各种形式的代理在今天的互联网中起到了非常重要的作用，可以说每一个网民都离不开它。黑产为了突破业务平台使用的IP黑名单、操作频率限制等风控策略，也常常使用代理IP来进行相关的攻击活动。

设备伪造工具

      业务风控除通过手机号、IP资源部署风控策略外，还会结合设备维度定制更加强效的防控策略，因此黑产会通过各种方式和工具伪造移动设备信息。改机工具、模拟器和各种hook框架都是黑产常用的作案工具。

改机工具

      设备（手机、电脑等）是互联网风控体系中的重要环节。IP和手机号都是运营商的资源，很多关键的风险属性和数据只有运营商才能掌握。而设备掌握在用户自己手中，互联网平台可以获取设备上的各种信息来做风控。设备数据的维度是相当丰富的，设备类策略规则运用得当能够起到非常好的防护作用。为了对抗设备端的风控技术，黑产也在不断地创新各种技术，改机工具就是其中值得注意的一类。

多开工具

      如果你希望在不root的情况下同时开启多个相同的应用程序，就可以使用多开工具。多开的工具在Android应用市场上架非常多，如LBE平行空间、360分身大师、多开分身等。多开工具一般自带修改系统参数功能，设置有个别多开工具还针对设备指纹进行了特殊处理。

硬改工具

      Android 是开源操作系统，开发者可以自己定制 rom。一些良动机的开发者，开发出可以随意修改手机操作系统参数的 rom 称为“硬改”。这种改机方式对于开发者难度较高，但在操作系统 framework 层面做了改动，APP 是完全无法检测的。

备份恢复/抹机恢复

      由于改机工具对抗激烈，2019年黑产将作案手段升级为了IOS设备备份恢复和抹机恢复。
      备份恢复是对IOS设备某一特定时期的数据进行备份，以备在需要时将设备恢复到某一时期的操作。例如，在安装某一应用程序之前先进行备份，然后使用完应用程序后进行备份还原，就会将设备还原到备份时的状态，而且一些系统的属性如 idfa、idfv等信息会发生变化。
      抹机恢复就是将设备完全重置，恢复成出厂设置。在这个过程中，用户的所有数据信息都会被清理，即抹机后就是一个理论上的新设备，进过测试使用某助手抹机的时间成本在3-5分钟，并且可以批量操作。

位置伪造工具

      想要修改手机 GPS 定位，可以使用改机工具修改 GPS Location，也可以使用业余无线电设备发送虚假的 GPS 信号。相对于 Android 而言，IOS 多了一些特殊的手法，可以在不越狱的手机上修改位置信息。iOS 7-10的系统可以利用备份还原开启系统地图自带的 Simulate Location功能，方便地修改自己的 GPS 位置。较新的iOS版本也可以通过 Xcode 的 Simulate Location 功能，自定义 GPX 文件实现真机的位置修改。

群控

      “设备农场”也被称为“群控系统”，是指通过技术手段远程控制大量移动设备的系统。这项技术在很多领域都有成熟的应用，如云测平台、自动化测试。黑产在自动化测试框架基础上增加了改机功能，用于批量操作真机注册、养号、机器人等。

版权属于：带翅膀的猫

本文链接：https://www.chengpengper.cn/archives/188/

转载时须注明出处及本声明