【反欺詐場景剖析】虛假帳號的產生和流轉

【反欺詐場景剖析】是威脅獵人黑灰產報告的一個系列，咱們但願經過對反欺詐實際場景的剖析出發，幫助企業發現業務風控過程重的核心關鍵點。此篇主要介紹反欺詐場景中虛假帳號的產生和流轉規模化的背後，以及如何對黑灰產作惡的關鍵節點的監控來實現對企業自身虛假帳號風險的管控。根據威脅獵人鬼谷實驗室統計，全網惡意註冊發起的攻擊每日就可達8327380次。虛假帳號平均每日活躍量可達1389107次，平均每張黑卡每日進行6次攻擊。

惡意註冊是業務風險的起點，也是企業風控的核心關鍵點。 當今黑產以惡意註冊爲表明的各種攻擊資源已經高度的模塊化和市場化，產業鏈不一樣層級的團伙專一於不一樣的任務而又配合嚴密，而究其根本，是強自動化使得攻擊變得可複製，進而造成套路化的盈利模式，對企業資產形成威脅。若是企業沒法及時發現問題，採起有效對抗策略，將在業務上面臨巨大損失。
 

商業模式轉變帶來黑灰產核心資源的變化

黑灰產這條產業鏈伴隨國內互聯網發展二十餘載，能夠說是很是執着，也佔盡了便宜。 早些年， 黑灰產就開始控制我的電腦作爲肉雞來進行Ddos、刷廣告、安裝流氓軟件等變現。一臺臺實際的物理電腦就是黑灰產的核心資源，誰控制的越多，誰就賺的越多。

這個時代下的互聯網黑灰產之因此是這種邏輯，也是由於互聯網早期的商業模式很是集中在線上廣告，在PC互聯網時代這種線上廣告的結算邏輯是以電腦設備爲單位，各個互聯網廠商也是以安裝量、激活量及活躍量等來構建本身核心商業邏輯。

彼時，設備數量不僅是當時互聯網黑灰產的核心資源，同時也是當時整個互聯網的核心資源。

2007年第一臺iPhone發佈，打開了移動互聯網的豁口，PC互聯網世界經歷大洗牌。 智能手機問世之後，開始把曾經存在在PC上的媒介、市場逐漸招攬到移動端來。

很快，互聯網承載的業務場景由於移動屬性呈現出爆發式增加，商業模式上我的付費能力及意願也在快速加強，愈來愈多的人願意享受內容付費帶來的服務，如，開通VIP會員，購買線上課程等等。這時互聯網產生的鏈接已經再也不只是內容和設備的鏈接，而是場景和個體的鏈接。

互聯網的核心資源也從設備變成到了個體，存在於互聯網中的每個網民就是新互聯網時代的爭奪對象。

與此同時，黑灰產也逐漸向移動互聯網的場景轉移。 咱們清楚地觀察到，互聯網黑灰產從以前的經過色情流量下發木馬到用戶電腦，取得電腦控制權後變現的模式，變成了經過大量手機號在各個互聯網核心業務場景註冊惡意帳號，並經過這些帳號在業務場景中變現的方式。
 

以惡意註冊爲核心資源的黑灰產做惡

隨着商業模式的變化，電商平臺薅羊毛、直播平臺刷量、社交平臺刷粉、網絡詐騙等各類以虛假帳號爲核心資源的黑灰產攻擊開始涌現。

以直播平臺刷量爲例，經過刷量能夠幫助主播上各類排行榜；給主播購買殭屍粉，能夠增長主播的粉絲數；在主播的直播間購買水軍，能夠增長直播間人氣等等。一方面，這些數據能夠直接在平臺折現成現金獎勵，由此獲利；另外一方面，僞造人氣能夠吸引更多的粉絲，進而經過粉絲打賞獲利。

根據威脅獵人鬼谷實驗室統計，全網惡意註冊發起的攻擊每日就可達8327380次。這背後涉及到的黑卡資源，平均每日活躍量可達1539107張，平均每張黑卡每日進行6次攻擊。其中，受惡意註冊影響最嚴重的行業有金融、電商、媒體、社交和生活服務。能夠明顯發現，惡意註冊攻擊的目標通常具備高盈利性質或是高流量性質，可見下游的變現需求是驅動惡意註冊進行的根本。



每張黑卡的重複使用率都很是高，由於在中國國情下的黑灰產攻擊具備明顯的流動性，即同一行業每每面臨共通的黑灰產攻擊，攻擊門檻更低、防禦較弱的企業產品更容易吸引攻擊。當某廠商攻擊難度提升後，相關人員會迅速的轉向同類別的其餘廠商。各大企業在解決問題上的思路與措施有必定的類似性，也形成了黑產繞過方式與攻擊工具的可複製性很是高。

在這樣的狀況下，若是企業不瞭解的黑灰產的攻擊手段，沒法識別其掌握的大量虛假帳號，就不能結合企業自身狀況制定最低成本與最低損害正常業務的策略進行防守。

惡意註冊規模化的背後是效率平臺的發展

當今黑產以惡意帳號爲表明的各種攻擊資源已經高度的模塊化和市場化，產業鏈不一樣層級的團伙專一於不一樣的任務而又配合嚴密，而究其根本，是強自動化使得攻擊變得可複製，進而造成套路化的盈利模式，對企業資產形成威脅。

根據威脅獵人鬼谷實驗室的研究分析發現， 惡意註冊所得帳號爲消耗型商品，各廠商經過各式安全策略處理做惡帳號的同時，新生的惡意註冊帳號會不斷填充被處理做惡帳號缺失的部分。雖然有些帳號在封禁後，能夠經過發送短信、接收語音驗證碼等方式對帳號進行解封，但實際解封率極低，緣由有兩點：一是黑產解封一個帳號花費的時間遠長於註冊帳號所需的時間；二是在不少場景下，黑灰產在帳號封禁前已經完成了變現，此時解封一個封禁帳號的價格成本遠高於註冊一個新帳號。

以下圖，是同一時期內，新生惡意註冊帳號和二次解封帳號的比例：

圖爲：惡意註冊帳號新生量與解封量對比

能夠看出，在同一時期內，惡意帳號的新註冊量遠遠大於解封量。因而，在整個大批量惡意註冊的過程當中，如何提高整個運做過程的效率和下降惡意註冊的成本，是做惡的核心關鍵點。

因而在整個黑灰產的發展過程當中，「接碼平臺」「髮卡平臺」及其相關產業成爲了惡意註冊產業鏈中相當重要的一環。



圖爲：利用接碼平臺、髮卡平臺完成的產業鏈協助

接碼平臺——提高了整個黑灰產虛假註冊的效率

接碼平臺其實是一個接收短信驗證碼平臺，它誕生在移動互聯網早期。當時黑灰產購買貓池設備，再插上上百張手機卡來模擬上百個天然人，完成對業務場景的惡意註冊。惡意註冊完以後再把設備和電話卡轉賣或者租用給另一個黑灰產團隊用於不一樣業務場景的惡意註冊。

這個過程其實很是低效。由於一個黑灰產要負責三個環節：


圖爲：過去利用貓池完成惡意註冊

接碼平臺的誕生就像是一個黑灰產的「交易平臺」，它的價值產生在特定兩個互聯網黑灰產業鏈節點之間。

帳號資源是衆多黑產鏈最上游、最基礎的需求，而數量衆多的卡源卡商，經過接碼平臺能夠直接在線上把手機卡的價值賣給出於中游的大量號商，取得高回報。

號商，經過接碼平臺的網頁端，能夠直接獲取手機號和驗證碼，徹底不須要買入手機卡及相關設備，就能完成帳號的註冊。


圖爲：利用接碼平臺完成惡意註冊

接碼平臺負責鏈接卡商和有手機驗證碼需求的羣體，提供軟件支持、業務結算等平臺服務，經過業務分紅獲利，通常爲30%左右。

2016年11月，當時規模最大的接碼平臺愛碼被警方查處，繳獲黑卡700餘萬張，自此不少接碼平臺轉入地下，有些平臺也經過關閉新用戶註冊等措施來下降風險。以接碼平臺愛樂贊爲例，在2018年1月關閉了新用戶註冊，致使平臺一號難求，其平臺帳號甚至達到每一個100元。目前市場已有的接碼平臺很是多，比較活躍的有：火雲、愛樂贊、ema66六、60碼、thewolf、玉米等。

隨着驗證碼對抗的升級，註冊項目再也不是經過單一的短信驗證，有些須要語音驗證，有些則須要二次驗證，即須要註冊用戶使用註冊的手機號向指定號碼發送一條驗證短信。接碼平臺也緊隨市場變化不斷升級，衍生出接收語音驗證碼、二次取號、發送短信的服務。

髮卡平臺——提高了黑灰產帳號流轉的效率

髮卡平臺是把數字商品作自動化交易的平臺，在號商完成大量帳號的註冊後，他們會把惡意帳號整理後集中在髮卡平臺中列出，供處在產業鏈下游的用號方直接線上批量採購。

這就像在淘寶買一張話費充值卡同樣，只是在應用的場景上，髮卡平臺如今已是互聯網黑灰產的主要交易通道和協做平臺。

用號方會根據自身做惡場景，經過髮卡平臺買入對應的虛假帳號，用以薅羊毛，平臺刷量，帳號詐騙等場景。


圖爲：利用髮卡平臺完成帳號交易

根據威脅獵人對黑灰產的長期監測和資源統計，目前參與到髮卡平臺交易的黑灰產從業人員超過1萬人，涉及的商品種類將近數千種，商品數量超過百萬，年產值數億元。

此外，經過追蹤髮卡平臺上灰色商品的價格，咱們發現，價格是體現企業風控策略有效性和市場需求變化的一個很是直觀的因素，商品價格越高，表明企業風控策略越有效，使得黑灰產做惡成本變高。但同時黑灰產經過攻擊得到的收益也在提高，所以，在高成本的狀況下，黑產依然會發起攻擊，企業須要採起進一步的措施防範風險。

及時捕獲黑灰產行爲是控制風險的有效手段

在整個企業與黑灰產攻防戰中，不一樣企業的業務場景不一樣會讓整個攻防格局有區別。但黑灰產的核心資源始終是其控制的虛假帳號， 只要能在惡意註冊這個點上對黑灰產施加有效的控制，對企業業務風控總體的風險就是相對可控的。

識別黑灰產資源

黑灰產在做惡和變現時都重度依賴於其手中持有的基礎資源，包括但不限於手機號、IP、設備等。而這些黑灰產資源對於企業方來講，是全黑的數據，若是能將將這些數據與自身業務數據進行匹配，就能夠直接識別出惡意賬號或黑灰產惡意行爲，針對性的進行相應的風險控制。

分析黑產工具

黑灰產的攻擊工具承載着黑灰產的攻擊邏輯和利用的企業業務漏洞，經過對工具的監控和逆向，企業能夠了解到自身存在哪些業務邏輯漏洞或者是哪些風控策略已經失效，從而提高整個攻防對抗的效率。

監控黑灰產交易變化

黑灰產交易品類和價格的變更，可以反映出企業必定週期內風控策略的有效性。例如，即便企業上線了風控策略，可是黑灰產仍然可以以很低的成本完成惡意賬號的註冊，則表示企業的風控策略失效了；另外一方面，若是發現黑灰產交易價格變高，反映出黑灰產攻擊成本的上升，則能夠看出企業的風控策略有了必定的效果。有效的風險評估，能更好地推進業務安全的落地和迭代。

如何對虛假帳號風險進行預警？

威脅獵人業務情報預警平臺從黑灰產惡意註冊的整個產業鏈出發，能對惡意註冊的不一樣階段進行監控和預警，幫助企業發現和掌控本身面臨的虛假帳號現狀。

新增的惡意註冊項目：黑灰產在實施惡意註冊行爲以前，首先要在相應的平臺上建立一個新的項目，要求卡商提供一批可用於惡意註冊的號碼。而這個建立項目的行爲就是黑灰產即將發起攻擊的信號。威脅獵人業務情報預警平臺能夠經過對這一行爲的監控，獲取黑灰產的最新動向。

正在發生的惡意註冊行爲：黑灰產發起惡意註冊時使用的自動化工具、利用的惡意資源、攻擊的接口等，都是暴露攻擊邏輯的路徑。威脅獵人業務情報預警平臺能夠經過對這些行爲的監控，幫助企業瞭解目前正在面臨的業務安全問題，還原黑灰產攻擊邏輯，進行有效的風險控制。

惡意帳號倒賣風險：在黑灰產完成註冊以後，一般會將惡意註冊的帳號放在髮卡平臺，以售賣的方式流轉給其餘團伙做惡。威脅獵人業務情報預警平臺能夠經過監控黑灰產新增或下架的帳號交易信息，及帳號交易價格的變更，幫助企業瞭解黑灰產攻擊趨勢的變更及自身風控的有效性。

關於咱們

威脅獵人是一家以業務安全情報能力見長的創新型安全企業，旨在爲客戶提供業務攻防情報，從防控到打擊的全方位業務安全解決方案。自成立始，公司投入大量資源，打造了一整套國內領先的業務安全情報監控與預警體系，造成強大的黑灰產布控能力，爲客戶提供黑灰產情報及業務風控解決方案。目前已爲騰訊、百度、阿里、華爲等互聯網企業提供業務安全服務。