0
2018年是流量红利的巅峰之年:社交领域,抖音对外宣布日活超过1.5亿;微信的全球用户账号数量突破10亿大关;电商方面数据同样惊人,淘宝作为电商巨头,平均每月用户活跃达6亿,相当于中国人口数量的一半;后起之秀拼多多的年度活跃买家超4亿。
社交和电商平台的疯狂增长改变了数亿人的生活方式,但同时黑灰产业的目光也聚焦在这方沃土,通过批量创建大量虚假账户、虚假点赞、虚假评论、盗号等手段牟取不法利益,危害在线用户权益和平台的健康生态。
社交平台和电商平台的运营中存在哪些欺诈?面对不断升级的欺诈手段又该如何应对?5月18日,雷锋网记者应邀参加了DataVisor维择科技智能风控沙龙,第一期活动以“黑产”为主题展开讨论。
沙龙由DataVisor中国区客户部负责人赵桦担任主持人,她向与会嘉宾介绍了今天的两位主讲人——DataVisor黑产研究员、高级技术经理周君桢以及DataVisor中国区技术负责人崔宏宇。
以下是雷锋网整理的此次沙龙分享内容:
一
周君桢曾在一线接触各类灰色中介和黑产从业人员,他深入暗网等多个交易平台进行研究,目前,他已经揭露社交平台批量注册手法,电商刷量手法数十种,撰写产业研究报告数十篇。
在主题为《批量注册黑产研究》的演讲中,周君桢就黑产的市场环境、操作手段以及实际案例为在会嘉宾进行了精彩分享。
DataVisor黑产研究员周君桢
150万黑产从业者,年产值达千亿
周君桢称,相比前些年,黑产越来越呈现出团伙性的活动行为,他们有专业的分工,还有一个相对规模化的运作流程。对于企业、个人,黑产集团的频繁活动无疑会对其造成极大损失。
2018年末,某知名咖啡连锁品牌启动了一次圣诞节前夕的营销活动——凡是通过APP注册账户的新会员均可获赠一份邀请券并可在线下兑换咖啡。
该活动在一天半之后被官方叫停(预计活动时长为一周)。原来,此次营销活动被黑产通过批量注册的方式拿到大量账号进行批量注册。在这之后,络绎不绝的消费券落入到黑产手中并在之后被用于线下兑换或者转卖。
“据统计,有40多万的账号是通过批量注册的方式拿到优惠券,活动进行了一天半已经达到一千多万的损失。这种行为对于线下门店是一个灾难性的干扰,因为这样不仅仅影响了消费者的用户体验,更会让企业的运营推广遭受很大损失。”
据粗略统计显示,近两年有150万的黑产从业人员,这其中包括一线的人员和一些上游的开发者以及黑客,黑产的年产值规模达到千亿级别,其对应的损失也是非常巨大。
周君桢在这里列出了四个常见的黑产攻击手段:
1、薅羊毛获利
新用户注册红包——很多企业推广新用户注册时的红包奖励机制。黑产只要通过无线手机号去注册这些账号,就会得到相应红包奖励,以此直接获利;
邀请奖励——包括一些自媒体平台在内,邀请奖励的活动机制已经见怪不怪。黑产往往会采用群组任务的模式批量邀请,以此牟利;
大额优惠——黑产通过前期的档案账号监控各大平台上商品的价格走势,一旦发现漏洞就优先获取大额优惠的权限,再通过优惠规定进行商品兑换或者转卖(变现);
2、虚假流量
拿到批量账号之后,黑产通过在社交平台刷流量、刷评论、刷点赞或刷阅读量获利,这样的恶意行为会直接影响平台的公正性。
以某宝刷单为例,如果交易都是通过刷单进行会直接影响到平台本身的系统推荐算法,那么低劣商品的店铺将具备与高质量店铺一样的权限和推荐位置。如果是一个正常用户输入关键词搜索该商品,劣质商铺曝光率激增会直接造成消费者投诉,给平台声誉带来影响。
3、恶意言论
恶意言论更多地涉及社交平台或者媒体平台,他们拿到大量账号,操纵发布涉黄、涉赌、涉
政的消息,从而影响到公共安全。为积极响应监管需求,通常会采取相应措施去规避这些行为。
4、垃圾营销
生活中常见的刷微博、刷新闻的行为,是通过一些垃圾账号进行批量发布,骚扰平台用户,影响用户体验。
黑产操作流程大揭秘
那么,黑产具体是如何执行操作的呢?在这里,周君桢从操作平台、操作软件和操作工具三个方面进行了介绍。
首先是操作平台。
1、接码平台
黑卡(手机卡)——由于国家对实名制的要求,一切平台注册来源都是手机号。通常来说,黑产获取的手机卡主要分为流量卡、实名卡和海外卡三种,他们会从运营商或者是卡商手中拿到大量的手机卡。
上述三种手机卡中,流量卡可以直接通过注册企业的方式拿到,而实名卡则需要黑产通过技术手段获取到实名信息,或者是很直白的向实际的网赚个体户来购买,从实名用户手中买来一个手机卡需要几十元。海外卡可以在国内正常使用,不需要实名,且价格便宜(一到两块)。
猫池——拿到黑卡之后,下一步骤就是养卡。通过猫池,黑产不仅可以在不同卡之间模拟定期拨打电话,还可以进行收发短信,甚至进行一些流量的消耗。这种模拟让黑卡的使用情况趋于正常的电话卡。
红圈中为接码售价
接码平台相当于是一个中介平台,它集合了所有的卡商用户,卡商会把它的电话卡寄存在这个平台。养卡的过程中,黑产从业者会通过API批量注册或者个人注册的方式拿到黑卡的验证码信息。接码平台可以对短信、语音验证码进行识别,从而用手机卡在各个平台进行注册。一条验证码的价格一般在一毛钱到四块钱左右。
2、打码平台
对于手机卡初测,大多数平台为了验证手机号主人的身份会先进行公共测试,这主要是为了验证操作者是人还是机器,打码平台的对接可以突破验证流程。
突破的具体方法,简单来说分为三种。第一个是通过A.I.识别,这种很简单的识别方式只适用于最简单的验证流程,在未来使用的会越来越少;第二个是通过脚本操作的方式,定点的取一个滑块元素进行验证;对于复杂的验证流程,可以通过人工打码方式完成,这是最原始的方式,其成功率也最高。
3、料商
手机号突破验证码限制,不仅仅只需要验证码一个要素,有的可能会需要机主的个人身份信息实名。料商平台上会有四件套(手机、身份证、银行卡和网盾)供卡商购买,一个四件套价格在1000到1200元不等。因此,目前很多人通过黑客手段从很多的网站平台获取资料,或者干脆粗暴的“收养”人肉。
再者是操作软件。
具备了基本条件后,有几种操作工具是黑客必不可少的“锦囊妙计”。
1、改机
手机通过安装安改机软件,后台平台会检测用户注册手机的一系列参数,比如说IMEI号或者是DSID这些号码。然后可以对该设备进行一键清机的操作刷掉历史注册的一系列参数,并模拟出一套新的参数。
当然,手机的原参数可以备份,因此支持后期登录恢复到之前状态。尽管目前有很多攻防手段可以拦截这种一键清机的操作,但改机本身种类各异,黑产开发者往往根据其用户需求开发出形形色色的软件功能,以达到清机目的。
2、改IP
网络环境下的操作,以修改GPS、IP为主。黑产会通过VPN的方式代理到一个网络平台上,可以在指定的IP领域进行切换;GPS也可以通过手段定位到任意位置。
最后是操作工具。
1、注册机
注册机集成了所有需要注册的要素,其主要实现了接码平台的全部功能。不同之处在于,有时验证过程需要模拟类似人手点击、截屏、模拟重力加速度等操作,在注册机上会有各种自动化工具的启动模块,更加方便黑产操作。
总结下来,黑产的操作流程为——首先通过解码平台拿到大量手机号和验证码,再通过打码平台通过行为验证码验证,然后从料商手中拿到个人信息进行辅助验证/注册,使用突破安全拦截的工具接管软件进行刷量等的操作。
周君桢称:“账号是一切黑产作恶的来源,因为现在没有什么是不需要账号的,这也体现出了账号的价值所在。因此,保护好手中的账号,就是预防黑产最有效的一步。”
二
崔宏宇负责过如Pinterest、Yelp、阿里巴巴和猎豹移动等大型互联网企业的机器注册、虚假评论、垃圾邮件、欺诈交易和虚假应用安装等场景的反欺诈建模 。在模型调优、特征工程和算法开发等领域都有着丰富的经验。
今天,她以《运用自动化AI技术打击“智能化”网络欺诈》为主题向在座嘉宾分享了黑产的攻击模式、攻击渠道、攻击周期和目标用户,并介绍了DataVisor无监督引擎的运作原理。
DataVisor中国区技术负责人崔宏宇
黑产也在“智能化”
随着互联网的发展,黑产团体作案的规律性越来越弱。由于很多账号的伪装做的很好,较为传统的检测工具并不能发现所有问题账号。
“这是因为黑产刻意寻找平台漏洞,并有目的的进行攻击。黑产试探性的探索平台的规则,比如说有些平台会设立新注册账号在几天之内不能做某些事情,黑产用一个诱饵账号可以试探出来,之后绕过即可。”
类似上述攻击模式不光出现在互联网平台,金融平台也会出现同类现象,这种情况下通过规则的制定来拦截很难有效。
为了更加清晰的解释上述观点,崔宏宇对黑产的攻击趋势变化进行了拆分讲解。
1、IP
IP在风控领域是一个比较重要的字段,几乎每家安全厂商都会有自己的IP黑名单库。在之前,黑产会用很多的代理IP来进行批量注册账号,或者是做虚假的下载安装这样的操作。但目前的统计表明,在DataVisor观察的所有欺诈账号中,只有9%来自于云服务账号。
和之前比,这个数字已经有所降低了。这也说明攻击者正慢慢的从云服务IP转向一些正常的IP,以更好的隐藏自己的来源。同时,黑产的IP代理工作更倾向于小的代理厂商,而绕开了策略相对完善的大厂。
此外,黑产选择IP的趋势正朝着正常的移动网络的IP转变。正常IP段行为更多,这使得拦截攻击的难度增加。
2、域名、电子邮件
研究发现,恶意域名的变化频次很高。以一个黑产群组为例,一次性域名更多,这使得传统的规则很难及时追踪到高频的域名变化。
图中是一个欺诈账号群组的数据,该群组涉及2000用户,有5000笔交易,涉及的转账金额有数百万美金。
据统计,该群组一共使用了119个域名,其中包含了一些很罕见的域名以及一次性域名。也有攻击者会在兼顾成本的情况下购买合规的域名,以此直接绕过审核程序。
3、用户名
通过用户名做风控规则,早期的攻击者会有用户名库做随机组合,其一定会出现高频重复的情况,可以通过一些规则进行风控。但是,现阶段有很多攻击者会在网络上去爬去真实的用户名,传统的风控系统将不再适用。
4、APP安装
现阶段APP安装造假并非只是到安装一步截止,甚至还会模拟用户的使用行为。这种情况下,传统风控系统很难发挥作用。
5、批量注册转向盗号
新注册的批量账号没有正常行为,这样很容易被风控系统策略抓住。因此,现阶段更多攻击者使用盗取账号,这让账号的历史、行为十分正常,因此就可以反复使用。
DataVisor无监督机器学习引擎
那么,上述的问题应该如何解决呢?崔宏宇称,DataVisor目前已经分析了400亿个事件,保护了全球7亿个账号。实践经验证明,AI加持下的风控系统更加实用。
传统的解决方案通常是设备指纹、规则引擎和有监督,它们不能及时应对黑产的变化。DataVisor开发了一套无监督的检测引擎。该引擎从全局角度在高维上做聚类分析,然后通过分析账号之间的关联抓到有关联的攻击群组。
这种无监督不需要前期的标签训练,因此可以在早期阶段批量预警。同时,无监督的方式可以覆盖上面提到几种无规律的变化情况,因为从单个维度来看就很难确定其攻击的来源,但群组分析就可以从全局角度分析出相对具象的结果。
“风控和业务之间的结合,可以让无监督机器学习从不同纬度对用户进行分组。为了降低对计算空间的需求,高维空间之间的相似性资源需要从单变量分析和多变量分析两个维度来进行降维分析。”
最终,分析后的群组会进行打分,根据其分布的维度情况,可以直观的观察到群组行为情况并对此进行封禁处理。
崔宏宇称,无监督的最大优势一方面在于可以检测一些尚未预料到和常态的黑产行为,另一方面能够适用于快速变化的攻击模式,不会衰减很快。
雷锋网得知,此次沙龙邀请到了来自来阿里巴巴、京东、美团、转转、每日优鲜、民生银行、小米、幸福消费等国内知名互联网企业和金融机构的超40位代表参加。
会上,各位嘉宾针对无监督算法积极提问,并就自身(公司)遇到的实际情况与两位演讲嘉宾展开激烈讨论。值得一提的是,此次沙龙仅为“维择下午茶”的首秀,后期将陆续在全国多地开展,分享更多关于安全方面的研究和发现,同时也以此作为DataVisor与行业内外沟通交流的桥梁。雷锋网雷锋网雷锋网
雷峰网原创文章,未经授权禁止转载。详情见转载须知。