【长文预警!】互联网黑色产业链是一个很大的话题,作为一个“产业”,三言两语是很难描述清楚的。
我试着从整个体系,以及黑产的一些发展历史来补充说明一下这个“行业”吧,主要偏重业务安全方面。
黑色产业链的从业人员,做的每一件事情,都是为了赚钱。他们常规的“工作”,便是通过各种规则漏洞、合法的不合法的手段、坑蒙拐骗偷,最终获利。这个行业如同富x康工厂一样,流程严谨,分步高效。
下面展开来说。
1. 账号
帐号这一层,获取的方式有2类,一类是盗号,另外一类,是自己注册。
1.1 批量注册
某度上搜索一下注册机、批量注册,或者到某宝上一搜,会发现无数的搜索结果,甚至可以批量买到一堆帐号。这些帐号可以用来参加各种抽奖活动、发广告、水军、骚扰等等。
一般来说,在最前端的注册口那里,会有轻量的拦截批量注册的策略,但不会做得很重,因为业务有拉新的KPI,做得太重有误杀的话,会影响业务营收。因此一般都是处于观察状态,即让你注册,但这些号一旦有小动作,就会被干掉。(做安全很不容易哒,又要保证业务安全,又要不阻碍业务营收,说多了都是泪啊 T^T)
具体怎么打击对抗又是一个长篇这里就不铺开讲了 =。=
1.2 盗号
盗号这个大家熟悉多了,就算自己没遇到过也看见过被人被盗。号码被盗的方式有两大手段,一是钓鱼,而是撞库。这是绝大部分号码被盗的方式。
你如果不想亲自盗号,嫌麻烦,可以直接买,有个东西叫“信封”,里面包含了各种帐号+密码的信息,专门有人做信封的。信封还有分很多分类的,比一手信老信,内容除了有帐号密码,还有帐号+支付密码,身份证+手机号,银行卡+银行卡密码……这个又可以讲很久,很多答案都提到了这个,不铺开了。
1.2.1 钓鱼
钓鱼的手段真的多得数不清,从最简单的“这里有你老公和一个女人开房的照片点开来看看http://www.sb.com”,到仿真客户端,花式百样任君选择,一不小心就掉坑。“这里有你的照片”这种太简单的咱们就不说了,仿真客户端这个真心坑,通常出现在网吧,或者非官方渠道下载客户端时出现。
假客户端跟真客户端长得一样一样的,你以为自己在一个真的客户端上输入帐号密码,实际上在一个假的客户端中输入了,然后那个假客户端把你的帐号密码盗走的同时,还十分“贴心”的帮你把帐号密码输入到真客户端中,让你顺利正常的使用,毫无PS痕迹,被盗了都不知道。
新被钓鱼的号码,从被钓到洗掉(花里面的钱、发广告等等),最短时间是多少?答案是少于6小时。
这里顺带吐槽一句,这种也是比较头疼的一种场景。
有时候明知道这个号码被钓鱼了(别问我怎么知道的,这是秘密),跟用户说你号码被钓鱼了,通常会换来别人一句白眼“我帐号好好的你有病啊”,那个时候明知道资料泄漏出去了只是别人还来不及作坏事,告诉好人又因为没证据别人不相信,真是心力交瘁啊。曾经有用户投诉过,说你们有KPI要求用户改密要每天到多少多少吧,怎么老提醒我改密码啊。
看到这个留言的时候真是一口老血吐屏幕上,谁会要求每天高改密量啊!改密量高了领导还找麻烦呢是不是你们最近哪里对抗没做好啊摔!好了吐槽完了下面继续说……
1.2.2 撞库
撞库是利用互联网上已经泄漏的资料,来批量进行测试,碰运气。
安全这个事情在某种层面上来说,是不分公司和行业的。csdn被暴库,会影响别的公司吗?当然会啊!大家扪心自问,自己手上有多少个网站的帐号密码是一样的?有多少密码是千百年不变的?这个是活生生的城门失火殃及池鱼的例子。
密码要分级管理,不要一个密码走天下
密码要分级管理,不要一个密码走天下
密码要分级管理,不要一个密码走天下
重要的事情说三遍。
1.3 验证码
正常人都不喜欢的验证码,是目前对抗自动机批量尝试的利器。验证码的作用,其实是提高一个帐号尝试登录所需要的时间,避免别人暴力把一个帐号的密码给爆出来。
黑产对抗验证码,以前都是图像识别;后来这种破解率不够高,就出现了人工打码,就是找人人肉敲验证码,一个验证码几分钱,提高破解率。
2. 获利
好,现在我手上有号码了,现在要开始赚钱了,好激动啊。
获利手段千千万啊,挑两类大的来说吧,一类是洗号(把帐号的钱、虚拟财产洗走),一类是间接获利(发广告、诈骗)。这是我自己的分类,官方没分类。不要少看劳动人民的智慧,黑产是一个密集创新的行业。
2.1 洗号
帐号有钱的,转走;游戏装备,交易……
这些现在比较难了其实,因为这种敏感操作一般都会再次验证身份,起码要输个手机验证码什么的,一般没那么容易。但也有通过钓鱼把手机验证码弄走的,钓手机验证码也是一个大的方向,通过手机种马、假页面等方式,让你把手机验证码输进去;还有更曲线救国的,拿到你的服务密码然后设个短信转移……
总之,就是把你帐号的钱都弄走就是了。
经常有人说,哎呀我这号没钱,被盗了就算了呗,我也懒得改密码了。这么想就错啦,关键看下面一点:
2.2 间接获利
一个没有钱的号码,怎么继续榨取剩余价值?
帐号有关系链吧?有隐私信息吧?这些都是钱。可以诈骗找人充话费,可以发广告,可以当水军,可以刷排行,可以获取信息做成一个信封卖钱……方式多了去了,知道把你的号最后一滴利用价值耗光,为止。
这还不够,号码有时还会被拿到市场再卖再洗,所以啊,被盗后,密码一定要改一个新的,别改一个跟之前一样的,治标不治本,过两天号码又被别人上了。
3. 最近流行的获利手段
不过这些都是比较老旧的方式了,刚也提到过,黑产是一个密集创新型行业,最近比较流行的几种赚钱的方式,一个叫薅羊毛,一个叫画皮诈骗,还有一个是身份冒用。
3.1 薅羊毛
羊毛党,各大烧钱产品最痛恨的羊毛党,通过各种规则漏洞,来赚商家的钱,活跃于各种返现、抽奖、新用户注册奖励等等活动中,月入几万不是梦,薅完就走,不留一条羊毛。给产品带来一堆无意义的僵尸号。不过这个东西,怎么说呢,见仁见智吧,说不定有些商家就是想花钱买数据,有些用户也只是小玩怡情没有批量搞……
3.2 画皮诈骗
画皮诈骗是让人比较恼火的一种诈骗方式,就是一个人,注册一个小号,然后复制了你老板的头像、签名、QQ空间、朋友圈等等信息,除了id外,其他都长得跟你老板一样,然后来加你,说是旧号不用了,以后用新号码。你通过后,过了一段时间,开始跟你拉家常侃大山,最后找你借钱,或者找你要一些机密信息(什么公司通讯录之类)。
这种十分难防,一是帐号是清白的,没盗号也没啥;二是以假乱真,真假美猴王现代版,傻傻分不清。当然还是有对抗的,而对于用户来说,一是要注意保护个人隐私,各种权限最好是好友可见或者指定用户可见,不要公开;二是对于新加的好友,一定要验证后才加;三是涉及到钱或者重要的资料,一定要电话确认再确认,提高警惕。
3.3 身份冒用
这种更多是快捷支付被冒用,前段时间xx宝的实名认证中,有N个子帐号的事情闹得沸沸扬扬的,也是这类。
大家想想,要开通快捷支付,需要什么资料?姓名、身份证、银行卡号、手机短信4个对吧,前面3个都是静态的,想想办法就弄到了,而手机短信呢,往你手机上种个木马,也搞定了。所以呀,大家一定要在官方下载软件(特别是安卓用户),不要乱安装软件啊……
4. 黑产历史
打字打到累了。。。
黑产在十几年前就有了,最早期啊,都是一个人一个人单兵作战,从盗号到获利一个人完成的。后来改成小作坊啦,团队合作;再后来形成产业链啦,术业有专攻,每个子模块都有人做啦,有专门写木马的,有专门整理信封的,上游从不管下游,东西卖掉完事;再后来,偷和盗没什么甜头了,就开始骗啦,以前是薄利多销,现在是一搞搞票大的啦,整个产业的规模越来越巨大,手法也越来越云端和隐蔽。
5. 总结
黑产真的可以说上三天三夜,上面说得都是比较浅的,希望能让大家多了解这个行业,从而能提高一点点在互联网上的安全意识,也是极好的。
手上有一本《中国互联网地下产业链白皮书》,感兴趣的可以关注公众号:灰领,回复:白皮书 仔细研读。
网友评论