【反欺诈场景剖析】虚假账号的产生和流转
前言:【反欺诈场景剖析】是威胁猎人黑灰产报告的一个系列,我们希望通过对反欺诈实际场景的剖析出发,帮助企业发现业务风控过程重的核心关键点。此篇主要介绍反欺诈场景中虚假账号的产生和流转规模化的背后,以及如何对黑灰产做恶的关键节点的监控来实现对企业自身虚假账号风险的管控。根据威胁猎人鬼谷实验室统计,全网恶意注册发起的攻击每日就可达8327380次。虚假账号平均每日活跃量可达1389107次,平均每张黑卡每日进行6次攻击。
恶意注册是业务风险的起点,也是企业风控的核心关键点。 当今黑产以恶意注册为代表的各类攻击资源已经高度的模块化和市场化,产业链不同层级的团伙专注于不同的任务而又配合严密,而究其根本,是强自动化使得攻击变得可复制,进而形成套路化的盈利模式,对企业资产造成威胁。如果企业无法及时发现问题,采取有效对抗策略,将在业务上面临巨大损失。
1 商业模式转变带来黑灰产核心资源的变化
黑灰产这条产业链伴随国内互联网发展二十余载,可以说是非常执着,也占尽了便宜。 早些年, 黑灰产就开始控制个人电脑做为肉鸡来进行Ddos、刷广告、安装流氓软件等变现。一台台实际的物理电脑就是黑灰产的核心资源,谁控制的越多,谁就赚的越多。
这个时代下的互联网黑灰产之所以是这种逻辑,也是因为互联网早期的商业模式非常集中在线上广告,在PC互联网时代这种线上广告的结算逻辑是以电脑设备为单位,各个互联网厂商也是以安装量、激活量及活跃量等来构建自己核心商业逻辑。
彼时,设备数量不只是当时互联网黑灰产的核心资源,同时也是当时整个互联网的核心资源。
2007年第一台iPhone发布,打开了移动互联网的豁口,PC互联网世界经历大洗牌。 智能手机问世以后,开始把曾经存在在PC上的媒介、市场逐渐招揽到移动端来。
很快,互联网承载的业务场景因为移动属性呈现出爆发式增长,商业模式上个人付费能力及意愿也在快速增强,越来越多的人愿意享受内容付费带来的服务,如,开通VIP会员,购买线上课程等等。这时互联网产生的连接已经不再只是内容和设备的连接,而是场景和个体的连接。
互联网的核心资源也从设备变成到了个体,存在于互联网中的每一个网民就是新互联网时代的争夺对象。
与此同时,黑灰产也逐渐向移动互联网的场景转移。 我们清楚地观察到,互联网黑灰产从之前的通过色情流量下发木马到用户电脑,取得电脑控制权后变现的模式,变成了通过大量手机号在各个互联网核心业务场景注册恶意账号,并通过这些账号在业务场景中变现的方式。
2 以恶意注册为核心资源的黑灰产作恶
随着商业模式的变化,电商平台薅羊毛、直播平台刷量、社交平台刷粉、网络诈骗等各种以虚假账号为核心资源的黑灰产攻击开始涌现。
以直播平台刷量为例,通过刷量可以帮助主播上各种排行榜;给主播购买僵尸粉,可以增加主播的粉丝数;在主播的直播间购买水军,可以增加直播间人气等等。一方面,这些数据可以直接在平台折现成现金奖励,由此获利;另一方面,伪造人气可以吸引更多的粉丝,进而通过粉丝打赏获利。
根据威胁猎人鬼谷实验室统计,全网恶意注册发起的攻击每日就可达8327380次。这背后涉及到的黑卡资源,平均每日活跃量可达1389107张,平均每张黑卡每日进行6次攻击。其中,受恶意注册影响最严重的行业有金融、电商、媒体、社交和生活服务。可以明显发现,恶意注册攻击的目标一般具有高盈利性质或是高流量性质,可见下游的变现需求是驱动恶意注册进行的根本。
图为:受恶意注册攻击行业占比
每张黑卡的重复使用率都非常高,因为在中国国情下的黑灰产攻击具有明显的流动性,即同一行业往往面临共通的黑灰产攻击,攻击门槛更低、防护较弱的企业产品更容易吸引攻击。当某厂商攻击难度提高后,相关人员会迅速的转向同类别的其他厂商。各大企业在解决问题上的思路与措施有一定的相似性,也造成了黑产绕过方式与攻击工具的可复制性非常高。
在这样的情况下,如果企业不了解的黑灰产的攻击手段,无法识别其掌握的大量虚假账号,就不能结合企业自身情况制定最低成本与最低损害正常业务的策略进行防守。
3 恶意注册规模化的背后是效率平台的发展
当今黑产以恶意账号为代表的各类攻击资源已经高度的模块化和市场化,产业链不同层级的团伙专注于不同的任务而又配合严密,而究其根本,是强自动化使得攻击变得可复制,进而形成套路化的盈利模式,对企业资产造成威胁。
根据威胁猎人鬼谷实验室的研究分析发现, 恶意注册所得账号为消耗型商品,各厂商通过各式安全策略处理作恶账号的同时,新生的恶意注册账号会不断填充被处理作恶账号缺失的部分。虽然有些账号在封禁后,可以通过发送短信、接收语音验证码等方式对账号进行解封,但实际解封率极低,原因有两点:
一是黑产解封一个账号花费的时间远长于注册账号所需的时间;
二是在很多场景下,黑灰产在账号封禁前已经完成了变现,此时解封一个封禁账号的价格成本远高于注册一个新账号。
如下图,是同一时期内,新生恶意注册账号和二次解封账号的比例:
图为:恶意注册账号新生量与解封量对比
可以看出,在同一时期内,恶意账号的新注册量远远大于解封量。于是,在整个大批量恶意注册的过程中,如何提升整个运作过程的效率和降低恶意注册的成本,是作恶的核心关键点。
于是在整个黑灰产的发展过程中,“接码平台”“发卡平台”及其相关产业成为了恶意注册产业链中至关重要的一环。
图为:利用接码平台、发卡平台完成的产业链协助
1.接码平台——提升了整个黑灰产虚假注册的效率
接码平台实际上是一个接收短信验证码平台,它诞生在移动互联网早期。当时黑灰产购买猫池设备,再插上上百张手机卡来模拟上百个自然人,完成对业务场景的恶意注册。恶意注册完之后再把设备和电话卡转卖或者租用给另外一个黑灰产团队用于不同业务场景的恶意注册。
这个过程其实非常低效。因为一个黑灰产要负责三个环节:
图为:过去利用猫池完成恶意注册
接码平台的诞生就像是一个黑灰产的“交易平台”,它的价值产生在特定两个互联网黑灰产业链节点之间。
账号资源是众多黑产链最上游、最基础的需求,而数量众多的卡源卡商,通过接码平台可以直接在线上把手机卡的价值卖给出于中游的大量号商,取得高回报。
号商,通过接码平台的网页端,可以直接获取手机号和验证码,完全不需要买入手机卡及相关设备,就能完成账号的注册。
图为:利用接码平台完成恶意注册
接码平台负责连接卡商和有手机验证码需求的群体,提供软件支持、业务结算等平台服务,通过业务分成获利,一般为30%左右。
2016年11月,当时规模最大的接码平台爱码被警方查处,缴获黑卡700余万张,自此很多接码平台转入地下,有些平台也通过关闭新用户注册等措施来降低风险。以接码平台爱乐赞为例,在2018年1月关闭了新用户注册,导致平台一号难求,其平台账号甚至达到每个100元。目前市场已有的接码平台非常多,比较活跃的有:火云、爱乐赞、ema666、60码、thewolf、玉米等。
随着验证码对抗的升级,注册项目不再是通过单一的短信验证,有些需要语音验证,有些则需要二次验证,即需要注册用户使用注册的手机号向指定号码发送一条验证短信。接码平台也紧随市场变化不断升级,衍生出接收语音验证码、二次取号、发送短信的服务。
2.发卡平台——提升了黑灰产账号流转的效率
发卡平台是把数字商品做自动化交易的平台,在号商完成大量账号的注册后,他们会把恶意账号整理后集中在发卡平台中列出,供处在产业链下游的用号方直接线上批量采购。
这就像在淘宝买一张话费充值卡一样,只是在应用的场景上,发卡平台现在已经是互联网黑灰产的主要交易通道和协作平台。
用号方会根据自身作恶场景,通过发卡平台买入对应的虚假账号,用以薅羊毛,平台刷量,账号诈骗等场景。
图为:利用发卡平台完成账号交易
根据威胁猎人对黑灰产的长期监测和资源统计,目前参与到发卡平台交易的黑灰产从业人员超过1万人,涉及的商品种类将近数千种,商品数量超过百万,年产值数亿元。
此外,通过追踪发卡平台上灰色商品的价格,我们发现,价格是体现企业风控策略有效性和市场需求变化的一个非常直观的因素,商品价格越高,代表企业风控策略越有效,使得黑灰产作恶成本变高。此时配合其他数据,若发现黑产发起攻击没有减少,那么原因是收益仍然高于成本,那么企业就需要继续进行对抗。
4 及时捕获黑灰产行为是控制风险的有效手段
在整个企业与黑灰产攻防战中,不同企业的业务场景不同会让整个攻防格局有区别。但黑灰产的核心资源始终是其控制的虚假账号, 只要能在恶意注册这个点上对黑灰产施加有效的控制,对企业业务风控整体的风险就是相对可控的。
识别黑灰产资源
黑灰产在作恶和变现时都重度依赖于其手中持有的基础资源,包括但不限于手机号、IP、设备等。而这些黑灰产资源对于企业方来说,是全黑的数据,如果能将将这些数据与自身业务数据进行匹配,就可以直接识别出恶意帐号或黑灰产恶意行为,针对性的进行相应的风险控制。
分析黑产工具
黑灰产的攻击工具承载着黑灰产的攻击逻辑和利用的企业业务漏洞,通过对工具的监控和逆向,企业可以了解到自身存在哪些业务逻辑漏洞或者是哪些风控策略已经失效,从而提升整个攻防对抗的效率。
监控黑灰产交易变化
黑灰产交易品类和价格的变动,能够反映出企业一定周期内风控策略的有效性。例如,即使企业上线了风控策略,但是黑灰产仍然能够以很低的成本完成恶意帐号的注册,则表示企业的风控策略失效了;另一方面,如果发现黑灰产交易价格变高,反映出黑灰产攻击成本的上升,则可以看出企业的风控策略有了一定的效果。有效的风险评估,能更好地推动业务安全的落地和迭代。
5 如何对虚假账号风险进行预警?
威胁猎人业务情报预警平台从黑灰产恶意注册的整个产业链出发,能对恶意注册的不同阶段进行监控和预警,帮助企业发现和掌控自己面临的虚假账号现状。
新增的恶意注册项目:黑灰产在实施恶意注册行为之前,首先要在相应的平台上创建一个新的项目。而这个创建项目的行为就是黑灰产即将发起攻击的信号。我们通过对这一情报的监控,可以随时获取黑灰产的最新动向。
正在发生的恶意注册行为:黑灰产发起恶意注册时使用的自动化工具、利用的恶意资源、攻击的接口等,都是暴露攻击逻辑的路径。这些情报可以用来及时的还原黑灰产攻击逻辑,进行有效的风险控制。
恶意账号倒卖风险:在黑灰产完成注册之后,通常会将虚假的账号放在发卡平台进行交易。威胁猎人情报预警能够实时监控到黑灰产虚假账号新增或下架交易信息及价格的变动,帮助企业了解黑灰产攻击趋势的变动及自身风控的有效性。
关于我们
威胁猎人是一家以业务安全情报能力见长的创新型安全企业,旨在为客户提供业务攻防情报,从防控到打击的全方位业务安全解决方案。自成立始,公司投入大量资源,打造了一整套国内领先的业务安全情报监控与预警体系,形成强大的黑灰产布控能力,为客户提供黑灰产情报及业务风控解决方案。目前已为腾讯、百度、阿里、华为等互联网企业提供业务安全服务。