本文主要根据《薅羊毛产业报告》内容和实际工作中的经验进行的一些思考。
首先思考一个问题,对于一个黑产来说,要想通过薅羊毛获取一定的收益,至少满足以下一个或者几个点:
- 发现可以薅羊毛的羊;
- 有足够多的账号;
- 可以进行自动化的操作;
羊毛出在羊身上,羊可能是商家的推广活动(领劵,抽奖,满减,送话费,冲流量等等),如果这些活动存在业务或者安全上的漏洞,原本的薅羊毛行为可能会演变成放羊血的行为,羊甚至因为失血过多而死亡,此种示例也不鲜见。
一般情况下,一个账号能薅到的羊毛有限,黑产可以通过注册大量的账号来薅,然后通过汇聚,变现等手段积小成大。另外,无论是注册账号,还是后续的薅的行为都需要借助自动化的操作,才能在短时间内薅足大量的羊毛。
薅羊毛行为已经从单人发展到群体化、规模化,形成了薅羊毛团伙和 一条完整的产业链。现在平台也开始越来越重视薅羊毛的危害性,往往会采取一些对应的防范措施。针对厂商的风控策略,羊毛党主要从以下几个方面展开对抗。
- 接口层面的对抗;
- 设备层面的对抗;
- 用户层面的对抗;
展开来说明一下:
接口对抗
-
自动化操作主要是程序来请求接口来模拟用户行为来实现的,在没有任何防护的情况下,黑产可以通过抓包来模拟用户请求,实现批量化操作。
-
风控端可以通过加签,body加密对接口进行保护,在没有获取到加密算法的情况下,黑产就直接模拟用户请求了。(此时如果存在可重放攻击的漏洞,就不需要解密了)
-
黑产通过逆向来获取加密算法来破解;此时接口保护,就变成逆向与反逆向,混淆与返混淆的对抗了。
-
如果通过模拟接口这条路已经被封的很严,还可以通过群控设备,按键精灵等绕过模拟接口,进行自动化操作;
设备对抗
目前大量的风控规则都是针对于设备层面的,比如一个设备登陆N多账号就会被判定为异常行为,比如有些拉新的活动会识别是否为新设备。
那么黑产如何绕过呢?主要还是通过改机工具,这样一个老设备就可以被识别成新设备了。
- 通过劫持系统函数,来对设备信息进行篡改,很明显这需要root权限。依次来绕过设备指纹有关的风控策略。所以在平台上埋点的设备指纹,如果发现root的机器要提高警惕;
- android:xposed框架;
- IOS:cydia框架;
- 模拟器:当前发展的高级形式,黑产逐步转向自制的ROMandroid模拟器。这些模拟器具有一键新机的功能,每次启动所有的系统参数都会随机发生变化,同时因为没有安装hook框架,所以比较难以识别;
用户对抗
上文已述,黑产需要掌握大量的账号。目前大部分系统的注册都需要绑定手机号,而且注册接口需要手机验证码和滑块验证码等一系列验证手段.
- 猫池:批量管理手机卡的软件,可以设置对应的手机号、自动读取短信、发送短信、拨打指定号码、批量设置呼叫转移等。比如酷卡软件收到的短信会放到mdb文件中,配合其他软件可以自动读取和识别短信验证码;
- 卡商:大部分是从运营商内部流出来的,有的时效很短,只能收发短信等。
- 接码平台:协助进行收集验证码消炎;可以提供API的方式,对接到自动化脚本和自动化工具中,实现批量化注册;
- 打码平台:可以采用机器学习或者人肉打码,解决验证码验证问题;
网友评论