阿里巴巴發佈《2015數據風控年報》，互聯網業務黑色產業鏈分析

完整版PDF《2015數據風控年報》下載，請點擊這裏

---------------------------------------------------------

第一章  2015年數據風控回顧

2015年電商、網遊及互聯網金融飛速發展，各類創業公司經過活動形式的補貼來獲取用戶、培養用戶的消費習慣，但高額的補貼、優惠同時也催生了「黑色產業鏈」，由「黃牛」、「打碼手」、「羊毛黨」組成的團伙已經造成了專業化組織，從業人數過百萬，他們內部有着明確分工，嚴重破壞了商業活動的目的，侵佔了數以億計的活動資金，使正常的用戶享受不到活動的直接好處，這些行爲距離欺詐只有一步之遙。

2015年的網絡犯罪也變得更加專業化、規模化、組織化，國內外各行業出現信息泄露引發的重大安全事故20餘起，有帳戶風險的用戶量超過十億。

互聯網在改變傳統商業的同時，一樣也使以欺詐、偷竊等方式來獲取利益的惡意行爲甚至犯罪發生了根本性變化；利用互聯網分佈式信息能夠同步共享的能力，讓「黑產」參與方之間能夠實時、多方、多角度地互動溝通。這種網狀、協同方式是相對於傳統犯罪鏈最大的優點，除了專業的「黑客」、「黃牛」，這個網絡還鏈接了萬倍的外圍成員，他們所作的事僅僅是「打碼」、「發短信」、虛假交易、不符合實際的評論，輕鬆獲利。

第二章  互聯網業務黑色產業鏈分析

目前黑產的日交易額可達數億，但這僅是冰山一角，那些冰山下的更爲複雜隱蔽，黑產的總體規模難以估測，其未知的能力更讓人恐懼。

2.1 黑色產業鏈綜述

黑產現現在已經有了十分紅熟的商業運做模式，產業鏈複雜、隱蔽、高效，是一個緊密結合的複雜鏈條。

在產業鏈的上游是一個基礎性的環節，承擔着挖掘、製做生產和供應的職責，支持着衆多類型的網絡黑產，爲其提供重要資料。黑產的上游包括提供驗證碼識別服務、手機驗證碼服務平臺、自動化的軟件工具，以及爲黑產提供身份信息與帳號生產原材料的社工庫等。

中游是網絡帳號提供商及交易交流平臺，在產業鏈中充當帳號生產者和各類服務提供者的角色，是溝通上下游的橋樑。
產業鏈的下游主要是利用非正常渠道的網絡帳號進行欺詐、盜竊、刷單等惡意行爲的團伙，他們衝在最前線，與網絡用戶正面交鋒，給用戶帶來直接的利益損失。

圖1 網絡黑色產業鏈全景圖

 

黑產人員以17至21歲的男性爲主，主要分佈在江蘇、廣東、浙江、山東等沿海省份，這也符合經濟發展水平和人口密集度的分佈。

圖2 黑產從業人員的Top區域分佈

 

相比2014年，黑產在今年總收入千億級，手機驗證碼平臺相關黑產總收入最高，刷單平臺相關黑產人均收入最高。

黑產具有專業的攻防能力、100%精力投入、完整的產業鏈結構和分工，及各類先進的檢測工具等，而企業或開發者沒有相應的安全攻防經驗、沒有精力和時間投入到安全攻防中，致使他們之間是一場沒有硝煙、實力懸殊的戰爭。

圖3 企業和開發者與黑產之間是一場實力懸殊的戰爭

 

2.2 黑產上游：打碼平臺、手機驗證碼平臺、黑產軟件

1. 打碼平臺（圖片驗證碼平臺）
不少網站都會經過圖片驗證碼來識別機器行爲，對非正常請求進行攔截。所以打碼平臺已成爲大多數黑產軟件必備的模塊之一，爲黑產軟件提供接口，突破網站爲辨別機器仍是人類行爲而設置的圖片驗證碼。

黑產組織社會低收入人員在打碼平臺上人肉識別圖片驗證碼（每一個僅需0.001元至0.25元），即可輕鬆繞過圖片驗證碼的防控。2015年，打碼平臺的充值客戶數比2014年增加了27%，充值金額增加了40%。

圖4 圖片驗證碼平臺的運做鏈路

 

打碼平臺從業人員（碼工）主要分佈在浙江、廣東、河南等區域。

圖5 圖片驗證碼平臺的Top區域分佈

 

2. 手機驗證碼平臺
手機驗證碼平臺經過整合多方手機驗證碼商家的資源，做爲交易平臺銜接驗證碼賣家與買家。

買家可將手機驗證碼平臺上得到的手機號填入所需註冊驗證的網站，而後平臺就會給買家返回收到的驗證碼，從而經過網站的驗證，通常來講這類手機號是一次性使用。有的網站爲了應對以上行爲，會對用戶的手機號進行反覆驗證，所以開始有手機驗證碼平臺提供了可長期使用的手機號。一個手機驗證碼收費從0.1元到3元不等，相較用實體手機卡成本更爲低廉。

圖6 手機驗證碼平臺的運做鏈路

 

手機驗證碼平臺的使用量逐月遞增，2015年平臺的充值人數是2014年的3倍，充值金額是2014年的2.6倍，漲幅迅猛。 

圖7 手機驗證碼平臺充值人數和金額的同比增加

 

另外一方面，手機驗證碼平臺的手機號主要是來源於中國移動、中國聯通、中國電信和虛擬運營商，歸屬地主要是廣東、陝西、浙江、河南爲主，使用手機驗證碼平臺的人員主要分佈在廣東、江蘇、河南、福建等地。

圖8 手機驗證碼平臺的Top區域分佈

 

2015年，手機驗證碼平臺主要用於社交、電商、金融、生活等行業，總佔比88%，這些手機號一半以上都是用於帳號註冊。

圖9 手機黑卡流向的行業

 

3. 黑產軟件

黑產軟件涉獵普遍，包括刷單、盜號、註冊、搶購、信息採集、信息羣發等，具體制做銷售鏈路以下。

圖10 軟件的製做銷售鏈路

 

2.3 黑產中游：惡意註冊、盜號

1.  惡意註冊
帳號惡意註冊是惡意行爲的源頭，整個流程已趨於專業化、從業人員十萬級，造成了手機驗證碼服務平臺、打碼平臺、註冊軟件開發團伙、垃圾帳號分銷平臺等一條龍服務。批量性惡意註冊主要是經過軟件實現的，具體流程以下圖。

圖11 註冊軟件批量註冊的流程

 

2.  盜號
黑產在登陸環節經過暴力破解、撞庫等方式，來獲取用戶信息進而盜取帳號。

圖12 黑產盜號流程

 

盜號團伙從黑客手中收購一批拖庫而來的帳號數據，後將數據與各大P2P、社交、O2O等網站進行匹配，經過俗稱的「撞庫」以得到所需網站的帳號密碼。盜號團伙掌握網站的帳號密碼後經過洗號，剝離有價值的帳號，經過各類渠道銷售帳號獲利。

2.4 黑產下游：利益套現

黑產經過上中游的準備，最終將進行利益套現，主要的形式包括活動刷單、欺詐、盜竊、勒索等。

活動刷單是專業團伙經過獲取多個帳號，使用多個設備，以自動或手動的方式突破平臺業務邏輯限制，進行直接謀取暴利的行爲。活動刷單是互聯網企業在推廣時廣泛遇到的威脅，主要發生在秒殺、零元購、紅包、優惠券等活動中。

圖13 活動刷單的流程

 

當今互聯網+環境下，刷單現象很是嚴重、利潤率很高，行業分工愈來愈細，逐漸成爲支柱性黑客產業鏈。其中熱門活動被刷的機率達100%，如某品零元購活動、某知名旅遊公司促銷紅包被刷等案例家常便飯，這些被刷的資金直接流入黑產。

圖14 2015年部分活動刷單案例

2.5 風險防控方案

雖然整個產業鏈涉及多個環節，但關鍵動做均是經過網絡帳戶進行，通常來說主要涉及三個相互關聯的業務場景：

註冊場景：大部分網上行爲都是基於帳號進行，是「黑產」一切活動的基礎、彈藥，帳號量的多少、帳號的質量，基本與「黑產團伙」獲利成正比，從各平臺帳號買賣的價格，也能夠直接反饋出各平臺利益及防控的效果。識別惡意註冊，並進行攔截和打擊，減小「黑產」可以使用的帳號量，可有效減小活動做弊、垃圾消息、欺詐等風險 。

登陸場景：登陸是一道門檻，經過用戶行爲及設備特徵的分析，大部分的刷庫、盜號、活動做弊等風險都可以在登陸時識別，提升惡意帳號登陸門檻，對刷庫及被盜風險帳號增長相應驗證。好比，登陸環節經過驗證碼、短信驗證都可下降帳號使用風險。在找密、用戶信息修改場景也會面臨登陸相同的風險，可採用相同的防控方法。

活動（交易）場景：這個是「黑產」對抗的主戰場，也是減小其獲利的直接戰場，這裏的對抗措施，不能只簡單的識別風險，還須要考慮帳戶的價值，經過機器行爲風險與價值雙緯度判斷，使用身份驗證與優惠力度雙槓杆調節來使「灰產」無利可圖。

2015年，阿里聚安全推出了基於場景的數據風控服務，提供風險評估、風險識別、風險控制的實時防控功能。更多服務介紹和接入，請登陸阿里聚安全官網。

圖15 阿里聚安全數據風控功能

第三章  數據風控發展趨勢

帳號做爲「網絡黑色產業鏈」關鍵要素，已經能夠做爲一種攻防效果的衡量指標，帳號的買賣價格、帳號供應量，能夠直接反映出「黑產」規模與被攻擊趨勢。
基於帳戶安全的「黑產」已經呈現高回報、高技術、低成本的增加態勢，2016年這種趨勢將會更具爆發性。

1.  「人肉」、「社工」模式規模將擴大
2016年基於業務規則漏洞，採用「人肉」、「社工」方式的惡意組織規模將擴大，惡意註冊、帳號買賣、盜號、隱私信息買賣、消息推廣、刷單、活動做弊等「黑產」各環節均能獲利，高回報也將吸引大量人員加入，許多環節已經「人肉」替代了「技術」，風險識別也須要從原來設備、環境更多的向用戶行爲作綜合判斷。

2.  「實時化」風險識別能力須要加強
2015年，經過與網絡犯罪的攻防戰，雙方響應時間逐漸縮短，從註冊一個帳號到獲利，已經從原來Ｔ＋Ｎ縮短到分鐘級。2016年的對抗將是「實時計算」，實時發現風險、解決風險將是風控系統的發展趨勢，因爲實時風控系統的建設成本較高，像阿里聚安全這類提供專業實時安全服務的能力將成爲主流。

3.  「多樣化驗證」將成爲主流
2015年，大量的帳戶被盜，已經讓用戶對於密碼失去信心，「去密碼」化，將會成爲一種趨勢，基於風險的「多樣化可配置驗證」將成爲平衡安全與體驗的重要手段。

----------------------------------------------------------

完整版PDF《2015數據風控年報》下載，請點擊這裏