首頁 > 信息安全 > 正文

【最全干貨】黑產套路多,全棧式實時反欺詐,看這一篇就夠了

2019-06-20 09:20:59  來源:51cto

摘要:2019年1月20日凌晨1點半,在某“羊毛黨”聚集的電報(Telegram,一款社交APP)群里,一位圈內“大佬”發話道。
關鍵詞: 數美科技
  “很久沒有碰到這么大的漏洞了,你們繼續,我睡了。”
 
  2019年1月20日凌晨1點半,在某“羊毛黨”聚集的電報(Telegram,一款社交APP)群里,一位圈內“大佬”發話道。
 
  這天夜里,就在大佬睡前半小時,某電商平臺上線了一張面額100元的全場通用優惠券,有效期1年。
 
  對職業羊毛黨來說,這簡直在送錢。
 
  他們立刻啟動多個虛假賬號領券,再在平臺內購買Q幣或給手機充值,券直接變成錢。
 
  很快,這一漏洞便從半小時內就薅得盆滿缽滿的職業羊毛黨,擴散到了大眾群體。“整個羊毛黨世界沸騰了”,一夜無眠。
 
  第二天,該平臺發表聲明,數千萬元優惠券被盜。
 
  作為數美科技黑產研究院院長,潛伏在羊毛黨電報群里的Sw0rdH01der(化名)又一次近距離目睹了一場黑產狂歡。
 
  有利益的地方就有黑產。
 
  據統計,國內黑產從業者規模超過百萬;2018年,黑產造成的損失已高達千億級——這些數字還在迅速增長。
 
  此刻,黑產江湖已滲透進我們生活的角角落落,龐大的黑產攻防戰正在一波三折地展開。偷襲者魔高一尺,狙擊者道高一丈,先進的科技武器被逐一納入應用,精彩程度不亞于一部斗智斗勇的激烈諜戰片。
 
  而Sw0rdH01der所在的數美科技,正是揭開這一幕的一個絕佳視角:
 
  自2015年6月成立以來,數美一直戰斗在對抗黑產的最前線。
 
  從流量紅利到流量吃緊,數美成立時恰逢移動互聯網開啟“下半場”,黑產對抗需求劇增。
 
  典型欺詐風險包括支付盜刷、惡意退款、渠道流量作弊、虛假用戶拉新、機器搶券、違法違規內容、欺詐廣告導流、內容盜爬等;隨著越來越多傳統行業走向“互聯網+”,數美與黑產的較量又進一步從社交、電商、游戲、視頻、在線旅游、在線教育等延伸到了銀行、保險、證券、地產、航旅、新零售等領域。
 
  不到4年間,數美已服務了銀聯、中信銀行、萬達、華潤、蘇寧、OPPO、小米、愛奇藝、瑞幸咖啡、B站、小紅書等千余家企業,每日攔截超過3000萬次風險行為,累計保護了全球20億以上的用戶。
 
  在這場關于貪念的持久戰中,正反雙方都遵循著同一個法則:
 
  以持續變化的技術手段,應對不變的人性。
 
  一.最賺錢的方法,都寫在了刑法里
 
  幾年前,Sw0rdH01der曾協助警方破獲了一個華東地區黑產團伙。
 
  團伙一共三人:一位19歲少年負責技術,另兩人負責商務。他們的生意是“打碼平臺”——給黑產執行方提供一套SaaS,讓他們能快速破解各平臺和APP驗證碼。
 
  僅僅1年間,這個平均年齡不到25歲的三人團伙獲利數千萬元,而全部成本只有他們在居民樓里攢出來的十余臺服務器和一年的電費——總投入僅幾十萬元。這驚人的利潤率,真是應了那個段子:所有最賺錢的方法,都寫在了刑法里。
 
  黑產的暴利,源于中國互聯網經濟的超大體量。黑產圈的行話:水大,速來。
 
  水最大魚最爽時,是2012年到2016年的移動互聯網狂飆期,也是平臺和黑產“相互利用”、相安無事的“曖昧期”。
 
  那幾年,李彥宏要“200億砸出個O2O”;滴滴快滴,餓了么美團,摩拜ofo相繼開戰,狂撒補貼。
 
  有人估計,這些補貼中,可能有一半都被“羊毛黨”薅走了。但當時各平臺大多睜一只眼閉一只眼,因為只要DAU(日活)、MAU(月活)、GMV(總交易額)增速好看,資本就能持續到位。
 
  但從2017年開始,形勢逆轉了。
 
  越來越貴的流量成為中國互聯網“新常態”,各公司圖騰也從DAU變成了ROI(投資回報率):活動營銷不能停,卻也一分錢不能費。黑產便從昔日的“帶量小甜甜”變成了今日的“拜金牛夫人”——不會再有公司對他們放任不管了。
 
  數美的反欺詐業務,正是在2017年開始了爆發式增長。
 
  2017年初至今,數美客戶數從幾十家擴展到千余家,旗下反欺詐產品的日訪問量增長到30余億次。
 
  而戰場另一側,在數美這類專業黑產打擊者的狙擊下,本來躺著掙錢的黑產也翻身躍起,飛速進化,已由散兵游勇發展為“集團式作戰”。
 
  去年,數美曾遇到過一次效率驚人的黑產大協作——在針對一家互聯網公司的薅羊毛中,短短幾小時內,黑產從多個VPN代理商處調動了十幾萬個代理IP,從數十個接碼平臺調用了幾十萬手機號,注冊的虛假賬號遍布全國114個城市。
 
  2018年,根據某頭部接碼平臺(代接網站、APP驗證碼的平臺)數據統計,游戲、社交和電商已成為黑產重災區。
 
  /var/folders/k1/75j82b7j54s7mvn88345phz40000gn/T/com.microsoft.Word/WebArchiveCopyPasteTempFiles/640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1&wx_co=1
 
  更純熟、更工業化的黑產操作正席卷中國互聯網,在數美這樣的專業對抗者面前,一幅黑產眾生相逐漸展開。
 
  二.黑產江湖
 
  目前,從上游到下游,黑產已形成了情報收集、資源工具、黑產執行、變現套利四大核心環節,誕生了線報小子、卡商、貓池、代理IP商、打碼平臺、設備農場、黑產實施者、變現師傅、羊頭(眾包黑產任務的發放人)等多種角色。
 
  環節一。情報收集
 
  挖掘線報是獲利的第一步。
 
  黑產團伙中會有專門角色負責線報收集,把哪家要做活動、時間范圍、收益變現形式、反欺詐規則等信息準確及時傳達清楚。
 
  線報人員獲取情報的來源通常是電報群(Telegram作為一個加密聊天軟件,隱私保護做的十分極致,不受任何信息監管,同時群組最多可添加10萬人,深受羊毛黨從業人士喜愛)、黑灰產論壇、QQ群、微信群等。
 
  信息獲取后,會有專門的業務滲透人員和腳本小子分析清楚產品邏輯和必需資源——什么端的活動、新帳號首單還是老帳號拉活、是否有地域性、是否需綁卡,然后該充錢的充錢,該屯號的屯號,確保萬事俱備。
 
 /var/folders/k1/75j82b7j54s7mvn88345phz40000gn/T/com.microsoft.Word/WebArchiveCopyPasteTempFiles/640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1&wx_co=1
 
  黑產交換最新“行業信息”
 
  這簡直是最有“錢景”的“知識付費”。常見形態是情報頭子會建一個微信/QQ/電報群,有需求者交錢入群。
 
  據Sw0rdH01der介紹,一個情報群會費可達上千元——一個500人的群,就能為情報頭子帶來50萬的收入,十個500人的群就是500萬收入。
 
  環節二。核心資源與工具準備
 
  巧婦難為無米之炊,單個帳號能薅的羊毛通常有產品限制。為了批量獲利,提前備好“資源”是黑產團伙的重中之重。
 
  “資源”包括:設備、賬號、手機號、IP等。
 
  以設備為例,從虛擬機、改機設備、多開設備(在同一系統上,同時啟動運行多個同一應用),再到大規模設備農場,黑產手段在光速升級。
 
  設備農場的典型場景是,房間里豎著數排能掛數百臺手機的機架,仿佛一個高科技的“蔬菜大棚”。黑產從業者通過群控軟件、改機工具進行自動化大規模的設備篡改——數百物理機器,在短短24小時內就可以篡改出數十萬個虛假設備。
 
  /var/folders/k1/75j82b7j54s7mvn88345phz40000gn/T/com.microsoft.Word/WebArchiveCopyPasteTempFiles/640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1&wx_co=1
 
  掛滿手機的設備農場
 
  設備農場的運營者可以自己牟利,也可以將設備農場租賃給下游黑產實施方,以收取租金。
 
  再如打碼平臺。目前,激烈的競爭逼迫他們不斷給“客戶”帶來更好的體驗,有競爭力的打碼平臺早已用上了AI。90%左右的請求由AI完成,對于AI沒有判斷準確的部分,系統會自動分發給人工打碼平臺,由碼工完成,同時,碼工的工作成果又會反饋給AI,不斷迭代出更強大的模型,快速破解各種新型驗證碼。
 
  /var/folders/k1/75j82b7j54s7mvn88345phz40000gn/T/com.microsoft.Word/WebArchiveCopyPasteTempFiles/640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1&wx_co=1
 
  快速切換多個打碼平臺的黑產交互界面
 
  以Sw0rdH01der協助破獲的那家打碼平臺來說,兩年前,他們就用上了TensorFlow、Caffe等深度學習平臺,與科研院所和科技巨頭一同走在技術前沿。
 
  正因如此,對專業黑產來說,現今的主流驗證手段都沒什么作用。
 
  “秒破”,Sw0rdH01der多次提到了這個詞。
 
  在互聯網領域之外,比如金融行業信用卡的申請欺詐上,還有成組織地販賣公民四件套信息(身份證、手機號、銀行卡、手持身份證照片)的商家。目前,單組四件套市價已達近千元。
 
  環節三。黑產實施
 
  黑產實施,即利用上游線報、資源、工具,對平臺實施薅羊毛等欺詐行為。
 
  這個環節沒太多技術含量,只能賺到產業鏈上1/3的“辛苦錢”,充斥著技術背景一般的“腳本小子”。
 
  他們大多使用“易語言”,這是一種不需要任何英文基礎,完全以漢字編碼的語言,深受黑灰產從業者的青睞。
 
  黑產行業內還有完善的“培訓體系”,推出了一周速成、一月包會的服務,編出了“接碼平臺加IG(一種改機工具),飛行模式切IP(打開再關閉飛行模式,可以快速變更移動設備的IP地址)”等朗朗上口的黑產教學順口溜。
 
  環節四。變現套利
 
  黑產作惡的最終目的是變現套利,即通過提現和各種價值套利方式進行變現。由于很多羊毛黨薅到的不是直接的現金,黑產中便演化出了一個不可或缺的角色——點物成金的“變現師傅”。
 
  變現師傅的人脈、渠道資源和議價能力(能以多大的折扣“銷贓”),直接決定了他們獲取不法利潤的豐厚程度。
 
  試想一下,當你利用某銀行和某線下便利店合作推出的信用卡支付促銷漏洞,薅來一屋子方便面時,你如何變現?一般人能做到嗎?變現師傅就能做到。
 
  所以在黑產中,變現師傅是個很有門檻的角色。
 
  “你要認識足夠多的人,人家愿意給足夠高的價買你的東西,能談到七折還是八折,看你的本事。”Sw0rdH01der告訴「甲子光年」。
 
  還有一種“賣苦力”的變現者——騾子。
 
  這是金融欺詐中的常見角色。盜刷銀行卡后,黑產需要一套嚴密的流程來避免資金被追蹤。這些資金會被打到數十張乃至數百張銀行卡上,騾子的職責就是騎著摩的到分散各地的ATM機中取出現金。
 
  在上述四大環節、眾多角色的參與中,整個黑產江湖已呈現出強烈的上下游敏捷響應能力和“互助精神”:
 
  一旦某漏洞出現,龐大的黑產實施方會在第一時間嘗試攻擊;一旦手段不靈,“羊毛薅不到了”的烽火就會迅速燃遍各大QQ/電報群,打碼平臺等技術供應者隨即快速跟進;一旦哪個打碼平臺率先突破,它就能在此次戰役中大賺一筆;而經此一役,這種“先進”解決方案又會被爭相復制,快速普及。
 
  到2018年,隨著數美服務的許多客戶進入海外擴張階段,數美又有了一個新發現:國內黑產出海了!
 
  數美攻防團隊在“搭訕”黑產時,已開始遇到同時發送中英文產品簡介的客服。
 
  沒有對比就沒有傷害,一個有些諷刺的現實是,國內黑產已領先全球。
 
  三.魔高一尺道高一丈
 
  國內黑產的快速升級,除了“有錢能使鬼推磨”的利益驅動外,更直接的刺激因素正是黑產對抗者的存在。
 
  在自然界,類似的“競爭協同進化”已上演千百年:
 
  昆蟲進化出了啃食植物的口器,植物就會相應地進化出利刺或毒素——魔高一尺,道高一丈,螺旋上升,協同向前。
 
  讓我們快速回顧一下數美在過去幾年經歷的幾輪攻防戰:
 
  黑產常見手法:從打接口、虛擬機到設備農場
 
  數美先后與打接口、虛擬機和設備農場三種常見的黑產操作對陣,難度從低到高依次升級。
 
  2015年公司剛成立時,數美面臨的最普遍的黑產是打接口和虛擬機。
 
  這兩種手法比較相似,都是用電腦模擬手機等移動設備,以虛假設備信息和網站、APP的服務器端通信。
 
  這種低成本手段是移動互聯網水大魚大時期的遺留物,銘刻著各平臺未對黑產痛下殺手時的“美好記憶”,由于操作簡便,不需額外資源,仍是目前主流的黑產手段之一。
 
  識別打接口的主要方式是:引入設備標識判斷邏輯,沒有任何設備標識信息或信息不正確,就會被判斷為打接口“假客戶端”。
 
  識別虛擬機的方法也不算困難——其中一種方法是看CPU、PC上虛擬機使用的CPU指令集架構和移動設備會有明顯差別,如果發現指令集屬于PC而非移動設備,則識別成功。
 
  打接口、虛擬機,攻破。
 
  此后,黑產不得不啟用更高成本的新手段——用真實手機作惡,設備農場形態應運而生。
 
  這里是數美與黑產對決的一個長期堡壘,攻防雙方的手段交替進化,數美先后攻克了簡單刷機(通過修改單個設備信息,如IMEI號,用一臺手機模擬出多個移動設備)、復雜刷機(通過修改多維度設備信息模擬移動設備)、Hook改機(通過劫持系統函數、返還虛假信息模擬移動設備)和多開(通過劫持系統函數,同時在單臺手機上打開幾十個相同應用,如幾十個微信,提高作惡效率),把黑產逼到了不得不啟用“真機農場”的境地。
 
  而真機農場,就是“老老實實”地把一臺手機當做一個設備來用,相比用一臺真實設計模擬數個虛假設備,其成本已十分高昂。
 
  可很快,反欺詐工程師們也找到了應對真機農場的關鍵:即便不刷機、不Hook,群控卻依然是黑產無法繞過的核心,所以在對群控多維痕跡進行專門檢測后,真機農場也無所遁形。
 
  設備農場,攻破。
 
  2018年的黑產新動向:云手機、硬件插件和積分墻
 
  從2018年起,數美又開始遇到齊頭并進的3種黑產新趨勢:云手機、硬件插件和積分墻。
 
  2018年9月下旬,云手機橫空出世。就像其名稱所展示的,這是云計算在黑產界的最新應用。
 
  和“云手機”的對決,讓Sw0rdH01der記憶深刻。
 
  當時,數美正在服務某直播平臺,該平臺推出了看內容返平臺幣和簽到返人民幣的推廣優惠。
 
  誘人的利益引得各路黑產紛紛來戰,數美很快在其中發現了一種與虛擬機相似,但設備特征略有差異的新型黑產,且在快速起量,結合情報推測,這很有可能是當時剛興起的云手機。
 
  云手機和傳統設備農場的最大區別是:它背后并不是一個真正的手機,而是一套搭載在云服務器上的虛擬手機。
 
  在云手機加持的新型農場里,場景更加“科幻”——掛在墻上的不再是成百上千的手機,而是一片片裝載了安卓的板卡,這些板卡可被電腦群控,模擬正常智能手機的注冊、點擊、分享等一系列用戶行為。
 
  數美團隊隨即加班加點,在發現異常的一天內收集了市面上全部11款云手機方案,在兩天內實現了復現(即模擬黑產進行成功攻擊)和環境檢測,并具備了識別能力。
 
  策略團隊隨后跟進,上線封堵方案——方興未艾的云手機,被絞殺在了青春期。某視頻平臺因而避免了數千萬元的潛在損失。
 
  云手機,攻破。
 
  在云計算之外,黑產也開始用起了硬件插件。
 
  去年底,就在云手機的熱潮剛剛平息時,一個新“網紅”又在黑產圈流傳,情報群里最火熱的信息都關于它:買大牛了嗎?用大牛了嗎?
 
  不過就像數美反欺詐產品“天網”的寓意:天網恢恢,疏而不漏。一周之內,大牛也被干掉了——原來大牛是一款可插裝在蘋果手機上的硬件,它最牛的功能是,是插上之后,能讓蘋果手機在不“越獄”(開放用戶操作權限)的情形下實現改機和篡改GPS的目的。
 
  搞清了這個原理后,只要識別出相關特征,大牛也就不牛了。
 
  大牛,攻破。
 
  最近半年,數美又遇到了目前這波黑產中最難搞定的Boss級手段——積分墻。
 
  積分墻其實就是“人刷”,由羊頭和羊群協作完成。
 
  厲害的羊頭能觸及多達萬級乃至十萬級的職業、半職業羊毛黨。一旦有大漏洞出現,羊頭就會將消息層層放出,組織大家一起薅——在由各種信號、傳輸協議連接的“平靜互聯網”中,羊頭引領這支大軍,進行著“奪金不用刀”的無聲“搶劫”。開篇電商平臺今年初的優惠券漏洞,就可以理解成一次驚動全網的“積分墻”。
 
  積分墻的攻防難點在于,背后是真人、真設備。
 
  “很難識別,這也是我們近期對抗的重點,不過現在也快識別得差不多了。”Sw0rdH01der告訴「甲子光年」。
 
  識別的方法也自成體系,主要通過團伙特征和行為時序異常等維度來綜合判斷,再結合通過大數據例行運營挖掘出的積分墻應用,一起做到風險可控。
 
  在以上的具體攻防之外,Sw0rdH01der對黑產對抗有一個精到的認識:對抗黑產,其實是在與人斗,對抗的是人性,利用的也是人性。
 
  在人性層面,一是要給對手創造“絕望感”。
 
  “一定要做縱深防御,你的識別模型,要一上來就是一堵高不可攀的墻,不搞則已,一搞搞死,這種防才有意義,讓黑產完全斷了再試一試的念想。”
 
  而更根本的,是要直擊黑產的核心利益和軟肋。
 
  值得強調的是,黑產最在意、最痛的是“沒得賺”。
 
  因此,與黑產的對抗,本質是一場成本的對決。
 
  輪番上演的“黑產戰事”看似西西弗斯推石頭,徒勞往復,但它卻能持續提高黑產的成本,讓他們真正肉痛。
 
  比如,積分墻這種手段由來已久,但在過去不是主流,因為要組織真人,就要群分利益,對職業黑產來說成本太高。而隨著數美這樣的黑產對抗者通過輪輪攻防對黑產步步緊逼,越來越多的黑產不得不重啟成本高昂的積分墻。
 
  最后,“人性不僅在對手面”,最難的一場仗是自己。
 
  當你凝視深淵時,深淵也在凝視你。
 
  在與黑產的戰事中,比業務和技術能力更重要的是這條“價值觀底線”。
 
  四.以一當百的法門
 
  黑產數量如此龐大,而數美公司只有幾百人。
 
  如何以一當百?
 
  這得益于數美形成的反欺詐整體邏輯——一個通用核心原則:打組合拳。
 
  在經歷了“簡單規則”、“專家系統”、“機器學習引擎”等階段后,數美將不同出擊手法擰成一個拳頭,提煉成了一個整體系統——“全棧式智能防御體系”。
 
  數美還從近4年的實踐中總結出了“反欺詐三定律”:
 
  反欺詐定律一:“好人”是多種多樣的“好”,“壞人”是類似的“壞”。
 
  反欺詐定律二:“好人”行為表現出高度信息一致性,“壞人”存在潛在的信息矛盾。
 
  反欺詐定律三:“好人”的朋友通常也是“好人”,“壞人”的朋友通常也是“壞人”。
 
  從三定律出發,數美用數萬基礎特征、數千高級特征、數百組風險模型和專家系統構成了一套“智能模型策略體系”,其流程如下圖所示:
 
  /var/folders/k1/75j82b7j54s7mvn88345phz40000gn/T/com.microsoft.Word/WebArchiveCopyPasteTempFiles/640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1&wx_co=1
 
  “智能模型策略體系”之外,反黑產的另一要點是構建“縱深防御體系”,全面考慮了黑產全流程,在APP啟動、賬號注冊、登錄、關鍵業務行為(如支付、邀請、領券、下單、提現)等多個環節設下層層關卡,“一山放過一山攔”,最終實現“全局欺詐風險可控”。
 
  復雜的全棧式智能防御,需要高效的協作,支撐數美做到這點的,是他們建立的一套反欺詐的全流程運營閉環:通過攻防、模型、數據挖掘等團隊通力合作支持多個產品線和客戶——攻防團隊負責打前站,研究每個場景的對應風險;策略團隊負責設計策略和查漏機制;模型團隊負責調整或設計新模型;數據挖掘團隊從海量數據里抽取建模特征;架構團隊則負責維護整個系統的基礎設施。
 
  Sw0rdH01der把這套流程形容為“不停旋轉的環”:
 
  “反欺詐服務和一般SaaS不一樣,我們提供給客戶的風控解決方案同時包含全流程運營體系,從攻防到策略設計、策略驗證、上線,再到效果監控,案例分析,最終又會回到攻防,這個環會不停地旋轉,不停地旋轉。”
 
  以上各環節,數美深入使用了大數據、AI技術,以自動化的高效手段讓團隊得以精兵上陣。
 
  五.進擊的數美
 
  在內部精兵的支撐下,成立近四年的數美每年保持著3倍以上的營收增速,已成為國內反欺詐領域頭部公司。
 
  目前,數美正著手推進行業、產品線和服務線的拓展。
 
  數美創始人及CEO唐會軍告訴「甲子光年」,從2018年開始,他明顯感到直接面向C端的各類傳統行業有了越來越強的反欺詐需求。
 
  隨著“互聯網+”滲透進更多行業,傳統龍頭都在試圖與消費者建立直接線上聯系,而有線上運營的地方,就有黑產的可乘之機和數美的用武之地。
 
  在行業上,數美的客戶已從互聯網公司擴展到銀行、保險、證券、地產、航旅、新零售等行業。
 
  在產品上,數美則開始圍繞用戶運營提供全生命周期服務。
 
  數美打造了以欺詐賬號識別為核心的天網產品系列,和以智能內容過濾為核心的天凈產品系列,兩大產品系列形成了完整的反欺詐產品矩陣,涵蓋金融、直播、社交、電商、游戲等行業的解決方案。
 
  在服務上,數美已從拉新環節的反欺詐,擴展到了留存運營和數據保護。
 
  一般而言,一個互聯網產品會經歷三個生命周期:初創期關注流量;成長期關注留存;成熟期還關注數據保護。對此數美依次拆招:初創期防拉新活動的羊毛黨;成長期防榜單生態和內容生態的惡意刷榜、養號和廣告導流;成熟期防數據盜爬,為客戶完整生命周期“保駕護航”。
 
  可預見的是,凡有利可圖、有洞可鉆之處,黑產就不會絕跡。而且隨著社會經濟、生活進一步“互聯網化”,黑產規模注定會持續擴大。
 
  對數美來說,這意味著他們還有很多仗要打。
 
  而在黑產對抗者最美好的奢望里,他們也許寧愿自己無事可做。就像Sw0rdH01der在某論壇一篇講黑產的帖子里寫的那樣:
 
  “Every cloud has a silver lining,好在,這個世界仍有數不清的你我他,致力于幫助這個世界重返光明。
 
  愿天下無賊。”

第二十九屆CIO班招生
法國布雷斯特商學院MBA班招生
法國布雷斯特商學院碩士班招生
法國布雷斯特商學院DBA班招生
責編:chenjian
真人龙虎斗游戏