黑产系列02-黑产画像

黑产无利不起早，在利益的驱动下黑产几乎是屡禁不止，作为风控从业人员我们需要全方位的了解黑产，了解我们的对手，才能知己知彼，接下来我将结合我多年风控经验以及查阅的相关的资源，全方位介绍下黑产以及他们的主要攻击手段：

一、电商的黑产场景

薅羊毛
职业打假人，恶意退款
刷单
垃圾注册
发布垃圾广告、欺诈消息
欺诈店铺
非正常交易、洗钱店铺、盗刷店铺

二、黑产特点

年轻化
专业化
团伙化
不断迭代、攻防
真人众包化

三、黑产主要的技术手段如下：

1、黑产手机号：手机号是高危号段（虚拟号段 + 海外手机号）

国内高危号段：包括170，167，165等开头的虚拟号段
170，167，165等开头的手机号都是来自虚拟运营商，号码比较容易获得，并且很多不需要实名登记。这些手机号基本上都是来自移动和联通的虚拟运营商和物联网卡。
虚拟运营商是，相对于中国电信、移动和联通来说，通过租用传统运营商的通信资源开展电信业务的运营商。他们不需要像传统运营商那样去建设大量的基站等通信设施，但是需要向传统的运营商支付高额的租赁费用，因此在初期必须尽快大规模发展用户，虚拟运营商从2013年开放试点到现在已经发展了8年，尽管交出了1.2亿用户的成绩，但是并没有激发市场活力，反而成了骚扰电话和黑产的重灾区
海外号段：
由于国内对手机黑卡的监管越来越严格，打击越来越重，很多黑产将目光投向了港澳台以及境外很多国家的手机卡。这些境外手机号卡大部分来自美国、英国、缅甸、俄罗斯和香港等，这些号码不需要实名认证，容易批量获得，正慢慢成为内地黑产手机黑卡的替代品。

2、在线接码平台

接码平台：也成验证码平台。任何人都可以通过该平台选择手机号码用于短信验证码的接收服务。其中，上游的手机号有卡商提供，而接码平台只是提供供需服务。
简单来说，接码平台就是专门提供为他人接收来自第三方平台验证码提供给他人的资源平台。而这些验证码一部分来自卡商，另一份来自“众包兼职”。

第一代：早期的接码平台，一般通过大量非实名认证的手机黑卡，加上群控软件来实现大量验证码的收发。但是由于黑卡的聚集特征太过明显，例如归属地一致、号段聚集，很容易被风控策略所识别。除此之外，随着实名认证政策的收紧，黑卡也逐渐失去了效用。
第二代：依靠在手机硬件中嵌入恶意的木马程序，一旦用户启动手机，木马程序就被激活，被激活的木马程序能够在用户不知情的情况下读取手机信息，从而实现接码效果的功能。但是这类主要针对不规范的厂商生产的电子产品，覆盖程度远远不能满足黑产的需求
第三代：将验证码以众包的形式分配给正常用户，并通过兼职的手段吸引用户出租其短信服务，只要用户同意在相关平台并授权，APP就能够自动读取短信并将其反馈给平台，实现验证码的自动接收和分发。
那么获取验证码的作用是啥？
在于通过批量注册垃圾账号去获取平台侧发放给普通用户的权益，例如：红包。或者批量刷单、评价、发垃圾广告，发欺诈消息等来获取利益
由于第三代接码平台采用“众包”模式获取的手机号和验证码都来自普通正常用户，现有的风控策略模型很难识别这类账号的异常情况。

3、代理IP/秒拨IP

秒拨IP在2014年已经成为成熟的IP资源解决方案，在目前已经被广泛用于批量注册、刷单、投票等短时间内需要大量IP资源的风险场景，并且由于秒拨IP较难识别，对当前互联网的安全场景已经造成了巨大的危害

第一代：代理IP：
主要利用高性能的服务器进行全网扫描，扫描开放代理服务的服务器，或者是直接爬取其他代理网站的数据，收录有效代理IP和端口，以免费或者付费的形式交付给用户。此方式最大的弊端是代理IP的有效性和数量无法把控，代理网站无法把控，用户更无法把控，这就非常影响黑产做自动化攻击的效率。也有黑产利用VPN绕过甲方风控，VPN相对稳定，但是成本更高且有效IP数量有限，并不适用于黑产大规模批量化的攻击。

全网的代理IP数量相对有限，且早期代理服务一般都架设在数据中心的服务器上，不少甲方慢慢开始积累代理IP池，进一步打压了黑产使用代理IP的效果

第二代：秒拨IP

秒拨的底层思路就是利用国内家用宽带拨号上网（PPPoE）的原理，每一次断线重连就会获取一个新的IP。与时俱进的黑产掌握大量宽带线路资源，利用虚拟化和云计算的技术整体打包成了云服务，并利用ROS(软路由)对虚拟主机以及宽带资源做统一调配和管理。这种云服务交付给黑产用户其实就是云主机（俗称”秒拨机“），黑产用户可安装Windows或Linux系统，通过RDP、VNC或者SSH连接，部署自动断线重连切换IP以及攻击的工具后，便可发起攻击

IP池巨大：假设某秒波机上的宽带资源属于XX地区电信运营商，那么该秒拨机可拨到整个XX地区电信IP池中的IP，少则十万量级，多则百万量级；
秒拨IP难以识别：因为秒拨IP和正常用户IP取自同一个IP池，秒拨IP的使用周期（通常在秒级或分钟级）结束后，大概率会流转到正常用户手中，所以区分秒拨IP和正常用户IP难度很大。
这两个天然的优势也是秒拨是当前黑产主流IP资源的核心原因。
此外，黑产对秒拨还做了升级，称为”混拨“，即黑产把多个省市地区的秒拨资源打通，实现在单台秒拨机上就可以拨到全国上百个地区的IP资源。一台混拨机，成本低至48元/月
黑产还在不断扩大覆盖其秒拨IP资源的地域覆盖范围，甚至部分平台也可以提供美国、韩国。香港等非大陆IP资源。

秒拨已然成为支撑黑产与甲方在IP层面攻防的核心技术，也是当下业务安全行业的痛点之一

4、自动化脚本

自动化脚本：本质上就是用机器去模拟人的操作行为进行自动化的实现黑产想要的功能

账号类工具软件：主要针对注册场景和登录场景，实现的功能包括批量注册、扫号、鉴权和越权等。以注册软件为例，该工具直接和接码平台对接，用于接收短信验证码；同时内置VPS拨号功能，用于绕过厂商的IP限制策略，从而完成账号的批量注册。
刷单类工具软件：主要活跃在电商、自媒体、短视频等行业，主要功能包括刷成交量、阅读量、播放量、关注量、粉丝量、评论量等。该类型工具首先批量加载一批平台小号的Token，然后通过模拟网络请求的方式，访问指定的作品网址，最终可以成功刷取播放量。
这些自动化脚本在黑产的产业链中发挥着极其关键的作用

四、经验分享：

在大部分黑产链中，账号的质量和数量取决于黑产的投入产出比
一般，在风控较薄弱时，黑产会选择性价比较高的，虚拟手机号+手机号密码登陆的方式进行注册或者登陆，这样成本最低，连接码平台都不需要
随着风控的升级，这些方式被拦截后，黑产就会用接码平台的短验功能来注册
如果风控再严厉一些，高危号段都被拦截后，黑产就会升级成“人肉终包”的方式用更加正常的手机号来注册，风控拦截的难度也加大了
总之，随着风控的不断升级，黑产的投入产出比会越来越低，黑产的门槛也会越来越高
最终黑产一定会向着真人化的趋势发展，这给我们识别工作带了不少难度，风控要做的事不断精进业务能力和完善风控建设
需要认识到黑产行为是无法完全避免的，平台风控需要做的是提高黑产的作案成本，只有当整个行业的作弊成本提高，黑产认为无利可图，才会退出行业