前言：【反欺詐場景剖析】是威脅獵人黑灰產(chǎn)報告的一個系列，我們希望通過對反欺詐實際場景的剖析出發(fā)，幫助企業(yè)發(fā)現(xiàn)業(yè)務(wù)風(fēng)控過程重的核心關(guān)鍵點。此篇主要介紹反欺詐場景中虛假賬號的產(chǎn)生和流轉(zhuǎn)規(guī)?；谋澈?，以及如何對黑灰產(chǎn)做惡的關(guān)鍵節(jié)點的監(jiān)控來實現(xiàn)對企業(yè)自身虛假賬號風(fēng)險的管控。根據(jù)威脅獵人鬼谷實驗室統(tǒng)計，全網(wǎng)惡意注冊發(fā)起的攻擊每日就可達(dá)8327380次。虛假賬號平均每日活躍量可達(dá)1389107次，平均每張黑卡每日進(jìn)行6次攻擊。

惡意注冊是業(yè)務(wù)風(fēng)險的起點，也是企業(yè)風(fēng)控的核心關(guān)鍵點。 當(dāng)今黑產(chǎn)以惡意注冊為代表的各類攻擊資源已經(jīng)高度的模塊化和市場化，產(chǎn)業(yè)鏈不同層級的團(tuán)伙專注于不同的任務(wù)而又配合嚴(yán)密，而究其根本，是強自動化使得攻擊變得可復(fù)制，進(jìn)而形成套路化的盈利模式，對企業(yè)資產(chǎn)造成威脅。如果企業(yè)無法及時發(fā)現(xiàn)問題，采取有效對抗策略，將在業(yè)務(wù)上面臨巨大損失。

1 商業(yè)模式轉(zhuǎn)變帶來黑灰產(chǎn)核心資源的變化

黑灰產(chǎn)這條產(chǎn)業(yè)鏈伴隨國內(nèi)互聯(lián)網(wǎng)發(fā)展二十余載，可以說是非常執(zhí)著，也占盡了便宜。 早些年， 黑灰產(chǎn)就開始控制個人電腦做為肉雞來進(jìn)行Ddos、刷廣告、安裝流氓軟件等變現(xiàn)。一臺臺實際的物理電腦就是黑灰產(chǎn)的核心資源，誰控制的越多，誰就賺的越多。

這個時代下的互聯(lián)網(wǎng)黑灰產(chǎn)之所以是這種邏輯，也是因為互聯(lián)網(wǎng)早期的商業(yè)模式非常集中在線上廣告，在PC互聯(lián)網(wǎng)時代這種線上廣告的結(jié)算邏輯是以電腦設(shè)備為單位，各個互聯(lián)網(wǎng)廠商也是以安裝量、激活量及活躍量等來構(gòu)建自己核心商業(yè)邏輯。

彼時，設(shè)備數(shù)量不只是當(dāng)時互聯(lián)網(wǎng)黑灰產(chǎn)的核心資源，同時也是當(dāng)時整個互聯(lián)網(wǎng)的核心資源。

2007年第一臺iPhone發(fā)布，打開了移動互聯(lián)網(wǎng)的豁口，PC互聯(lián)網(wǎng)世界經(jīng)歷大洗牌。 智能手機問世以后，開始把曾經(jīng)存在在PC上的媒介、市場逐漸招攬到移動端來。

很快，互聯(lián)網(wǎng)承載的業(yè)務(wù)場景因為移動屬性呈現(xiàn)出爆發(fā)式增長，商業(yè)模式上個人付費能力及意愿也在快速增強，越來越多的人愿意享受內(nèi)容付費帶來的服務(wù)，如，開通VIP會員，購買線上課程等等。這時互聯(lián)網(wǎng)產(chǎn)生的連接已經(jīng)不再只是內(nèi)容和設(shè)備的連接，而是場景和個體的連接。

互聯(lián)網(wǎng)的核心資源也從設(shè)備變成到了個體，存在于互聯(lián)網(wǎng)中的每一個網(wǎng)民就是新互聯(lián)網(wǎng)時代的爭奪對象。

與此同時，黑灰產(chǎn)也逐漸向移動互聯(lián)網(wǎng)的場景轉(zhuǎn)移。 我們清楚地觀察到，互聯(lián)網(wǎng)黑灰產(chǎn)從之前的通過色情流量下發(fā)木馬到用戶電腦，取得電腦控制權(quán)后變現(xiàn)的模式，變成了通過大量手機號在各個互聯(lián)網(wǎng)核心業(yè)務(wù)場景注冊惡意賬號，并通過這些賬號在業(yè)務(wù)場景中變現(xiàn)的方式。

2?以惡意注冊為核心資源的黑灰產(chǎn)作惡

隨著商業(yè)模式的變化，電商平臺薅羊毛、直播平臺刷量、社交平臺刷粉、網(wǎng)絡(luò)詐騙等各種以虛假賬號為核心資源的黑灰產(chǎn)攻擊開始涌現(xiàn)。

以直播平臺刷量為例，通過刷量可以幫助主播上各種排行榜；給主播購買僵尸粉，可以增加主播的粉絲數(shù)；在主播的直播間購買水軍，可以增加直播間人氣等等。一方面，這些數(shù)據(jù)可以直接在平臺折現(xiàn)成現(xiàn)金獎勵，由此獲利；另一方面，偽造人氣可以吸引更多的粉絲，進(jìn)而通過粉絲打賞獲利。

根據(jù)威脅獵人鬼谷實驗室統(tǒng)計，全網(wǎng)惡意注冊發(fā)起的攻擊每日就可達(dá)8327380次。這背后涉及到的黑卡資源，平均每日活躍量可達(dá)1389107張，平均每張黑卡每日進(jìn)行6次攻擊。其中，受惡意注冊影響最嚴(yán)重的行業(yè)有金融、電商、媒體、社交和生活服務(wù)。可以明顯發(fā)現(xiàn)，惡意注冊攻擊的目標(biāo)一般具有高盈利性質(zhì)或是高流量性質(zhì)，可見下游的變現(xiàn)需求是驅(qū)動惡意注冊進(jìn)行的根本。

圖為：受惡意注冊攻擊行業(yè)占比

每張黑卡的重復(fù)使用率都非常高，因為在中國國情下的黑灰產(chǎn)攻擊具有明顯的流動性，即同一行業(yè)往往面臨共通的黑灰產(chǎn)攻擊，攻擊門檻更低、防護(hù)較弱的企業(yè)產(chǎn)品更容易吸引攻擊。當(dāng)某廠商攻擊難度提高后，相關(guān)人員會迅速的轉(zhuǎn)向同類別的其他廠商。各大企業(yè)在解決問題上的思路與措施有一定的相似性，也造成了黑產(chǎn)繞過方式與攻擊工具的可復(fù)制性非常高。

在這樣的情況下，如果企業(yè)不了解的黑灰產(chǎn)的攻擊手段，無法識別其掌握的大量虛假賬號，就不能結(jié)合企業(yè)自身情況制定最低成本與最低損害正常業(yè)務(wù)的策略進(jìn)行防守。

3?惡意注冊規(guī)?；谋澈笫切势脚_的發(fā)展

當(dāng)今黑產(chǎn)以惡意賬號為代表的各類攻擊資源已經(jīng)高度的模塊化和市場化，產(chǎn)業(yè)鏈不同層級的團(tuán)伙專注于不同的任務(wù)而又配合嚴(yán)密，而究其根本，是強自動化使得攻擊變得可復(fù)制，進(jìn)而形成套路化的盈利模式，對企業(yè)資產(chǎn)造成威脅。

根據(jù)威脅獵人鬼谷實驗室的研究分析發(fā)現(xiàn)， 惡意注冊所得賬號為消耗型商品，各廠商通過各式安全策略處理作惡賬號的同時，新生的惡意注冊賬號會不斷填充被處理作惡賬號缺失的部分。雖然有些賬號在封禁后，可以通過發(fā)送短信、接收語音驗證碼等方式對賬號進(jìn)行解封，但實際解封率極低，原因有兩點：

一是黑產(chǎn)解封一個賬號花費的時間遠(yuǎn)長于注冊賬號所需的時間；

二是在很多場景下，黑灰產(chǎn)在賬號封禁前已經(jīng)完成了變現(xiàn)，此時解封一個封禁賬號的價格成本遠(yuǎn)高于注冊一個新賬號。

如下圖，是同一時期內(nèi)，新生惡意注冊賬號和二次解封賬號的比例：

圖為：惡意注冊賬號新生量與解封量對比

可以看出，在同一時期內(nèi)，惡意賬號的新注冊量遠(yuǎn)遠(yuǎn)大于解封量。于是，在整個大批量惡意注冊的過程中，如何提升整個運作過程的效率和降低惡意注冊的成本，是作惡的核心關(guān)鍵點。

于是在整個黑灰產(chǎn)的發(fā)展過程中，“接碼平臺”“發(fā)卡平臺”及其相關(guān)產(chǎn)業(yè)成為了惡意注冊產(chǎn)業(yè)鏈中至關(guān)重要的一環(huán)。

圖為：利用接碼平臺、發(fā)卡平臺完成的產(chǎn)業(yè)鏈協(xié)助

1.接碼平臺——提升了整個黑灰產(chǎn)虛假注冊的效率

接碼平臺實際上是一個接收短信驗證碼平臺，它誕生在移動互聯(lián)網(wǎng)早期。當(dāng)時黑灰產(chǎn)購買貓池設(shè)備，再插上上百張手機卡來模擬上百個自然人，完成對業(yè)務(wù)場景的惡意注冊。惡意注冊完之后再把設(shè)備和電話卡轉(zhuǎn)賣或者租用給另外一個黑灰產(chǎn)團(tuán)隊用于不同業(yè)務(wù)場景的惡意注冊。

這個過程其實非常低效。因為一個黑灰產(chǎn)要負(fù)責(zé)三個環(huán)節(jié)：

圖為：過去利用貓池完成惡意注冊

接碼平臺的誕生就像是一個黑灰產(chǎn)的“交易平臺”，它的價值產(chǎn)生在特定兩個互聯(lián)網(wǎng)黑灰產(chǎn)業(yè)鏈節(jié)點之間。

賬號資源是眾多黑產(chǎn)鏈最上游、最基礎(chǔ)的需求，而數(shù)量眾多的卡源卡商，通過接碼平臺可以直接在線上把手機卡的價值賣給出于中游的大量號商，取得高回報。

號商，通過接碼平臺的網(wǎng)頁端，可以直接獲取手機號和驗證碼，完全不需要買入手機卡及相關(guān)設(shè)備，就能完成賬號的注冊。

圖為：利用接碼平臺完成惡意注冊

接碼平臺負(fù)責(zé)連接卡商和有手機驗證碼需求的群體，提供軟件支持、業(yè)務(wù)結(jié)算等平臺服務(wù)，通過業(yè)務(wù)分成獲利，一般為30%左右。

2016年11月，當(dāng)時規(guī)模最大的接碼平臺愛碼被警方查處，繳獲黑卡700余萬張，自此很多接碼平臺轉(zhuǎn)入地下，有些平臺也通過關(guān)閉新用戶注冊等措施來降低風(fēng)險。以接碼平臺愛樂贊為例，在2018年1月關(guān)閉了新用戶注冊，導(dǎo)致平臺一號難求，其平臺賬號甚至達(dá)到每個100元。目前市場已有的接碼平臺非常多，比較活躍的有：火云、愛樂贊、ema666、60碼、thewolf、玉米等。

隨著驗證碼對抗的升級，注冊項目不再是通過單一的短信驗證，有些需要語音驗證，有些則需要二次驗證，即需要注冊用戶使用注冊的手機號向指定號碼發(fā)送一條驗證短信。接碼平臺也緊隨市場變化不斷升級，衍生出接收語音驗證碼、二次取號、發(fā)送短信的服務(wù)。

2.發(fā)卡平臺——提升了黑灰產(chǎn)賬號流轉(zhuǎn)的效率

發(fā)卡平臺是把數(shù)字商品做自動化交易的平臺，在號商完成大量賬號的注冊后，他們會把惡意賬號整理后集中在發(fā)卡平臺中列出，供處在產(chǎn)業(yè)鏈下游的用號方直接線上批量采購。

這就像在淘寶買一張話費充值卡一樣，只是在應(yīng)用的場景上，發(fā)卡平臺現(xiàn)在已經(jīng)是互聯(lián)網(wǎng)黑灰產(chǎn)的主要交易通道和協(xié)作平臺。

用號方會根據(jù)自身作惡場景，通過發(fā)卡平臺買入對應(yīng)的虛假賬號，用以薅羊毛，平臺刷量，賬號詐騙等場景。

圖為：利用發(fā)卡平臺完成賬號交易

根據(jù)威脅獵人對黑灰產(chǎn)的長期監(jiān)測和資源統(tǒng)計，目前參與到發(fā)卡平臺交易的黑灰產(chǎn)從業(yè)人員超過1萬人，涉及的商品種類將近數(shù)千種，商品數(shù)量超過百萬，年產(chǎn)值數(shù)億元。

此外，通過追蹤發(fā)卡平臺上灰色商品的價格，我們發(fā)現(xiàn)，價格是體現(xiàn)企業(yè)風(fēng)控策略有效性和市場需求變化的一個非常直觀的因素，商品價格越高，代表企業(yè)風(fēng)控策略越有效，使得黑灰產(chǎn)作惡成本變高。此時配合其他數(shù)據(jù)，若發(fā)現(xiàn)黑產(chǎn)發(fā)起攻擊沒有減少，那么原因是收益仍然高于成本，那么企業(yè)就需要繼續(xù)進(jìn)行對抗。

4?及時捕獲黑灰產(chǎn)行為是控制風(fēng)險的有效手段

在整個企業(yè)與黑灰產(chǎn)攻防戰(zhàn)中，不同企業(yè)的業(yè)務(wù)場景不同會讓整個攻防格局有區(qū)別。但黑灰產(chǎn)的核心資源始終是其控制的虛假賬號， 只要能在惡意注冊這個點上對黑灰產(chǎn)施加有效的控制，對企業(yè)業(yè)務(wù)風(fēng)控整體的風(fēng)險就是相對可控的。

識別黑灰產(chǎn)資源

黑灰產(chǎn)在作惡和變現(xiàn)時都重度依賴于其手中持有的基礎(chǔ)資源，包括但不限于手機號、IP、設(shè)備等。而這些黑灰產(chǎn)資源對于企業(yè)方來說，是全黑的數(shù)據(jù)，如果能將將這些數(shù)據(jù)與自身業(yè)務(wù)數(shù)據(jù)進(jìn)行匹配，就可以直接識別出惡意帳號或黑灰產(chǎn)惡意行為，針對性的進(jìn)行相應(yīng)的風(fēng)險控制。

分析黑產(chǎn)工具

黑灰產(chǎn)的攻擊工具承載著黑灰產(chǎn)的攻擊邏輯和利用的企業(yè)業(yè)務(wù)漏洞，通過對工具的監(jiān)控和逆向，企業(yè)可以了解到自身存在哪些業(yè)務(wù)邏輯漏洞或者是哪些風(fēng)控策略已經(jīng)失效，從而提升整個攻防對抗的效率。

監(jiān)控黑灰產(chǎn)交易變化

黑灰產(chǎn)交易品類和價格的變動，能夠反映出企業(yè)一定周期內(nèi)風(fēng)控策略的有效性。例如，即使企業(yè)上線了風(fēng)控策略，但是黑灰產(chǎn)仍然能夠以很低的成本完成惡意帳號的注冊，則表示企業(yè)的風(fēng)控策略失效了；另一方面，如果發(fā)現(xiàn)黑灰產(chǎn)交易價格變高，反映出黑灰產(chǎn)攻擊成本的上升，則可以看出企業(yè)的風(fēng)控策略有了一定的效果。有效的風(fēng)險評估，能更好地推動業(yè)務(wù)安全的落地和迭代。

5?如何對虛假賬號風(fēng)險進(jìn)行預(yù)警？

威脅獵人業(yè)務(wù)情報預(yù)警平臺從黑灰產(chǎn)惡意注冊的整個產(chǎn)業(yè)鏈出發(fā)，能對惡意注冊的不同階段進(jìn)行監(jiān)控和預(yù)警，幫助企業(yè)發(fā)現(xiàn)和掌控自己面臨的虛假賬號現(xiàn)狀。

新增的惡意注冊項目：黑灰產(chǎn)在實施惡意注冊行為之前，首先要在相應(yīng)的平臺上創(chuàng)建一個新的項目。而這個創(chuàng)建項目的行為就是黑灰產(chǎn)即將發(fā)起攻擊的信號。我們通過對這一情報的監(jiān)控，可以隨時獲取黑灰產(chǎn)的最新動向。

正在發(fā)生的惡意注冊行為：黑灰產(chǎn)發(fā)起惡意注冊時使用的自動化工具、利用的惡意資源、攻擊的接口等，都是暴露攻擊邏輯的路徑。這些情報可以用來及時的還原黑灰產(chǎn)攻擊邏輯，進(jìn)行有效的風(fēng)險控制。

惡意賬號倒賣風(fēng)險：在黑灰產(chǎn)完成注冊之后，通常會將虛假的賬號放在發(fā)卡平臺進(jìn)行交易。威脅獵人情報預(yù)警能夠?qū)崟r監(jiān)控到黑灰產(chǎn)虛假賬號新增或下架交易信息及價格的變動，幫助企業(yè)了解黑灰產(chǎn)攻擊趨勢的變動及自身風(fēng)控的有效性。

關(guān)于我們

威脅獵人是一家以業(yè)務(wù)安全情報能力見長的創(chuàng)新型安全企業(yè)，旨在為客戶提供業(yè)務(wù)攻防情報，從防控到打擊的全方位業(yè)務(wù)安全解決方案。自成立始，公司投入大量資源，打造了一整套國內(nèi)領(lǐng)先的業(yè)務(wù)安全情報監(jiān)控與預(yù)警體系，形成強大的黑灰產(chǎn)布控能力，為客戶提供黑灰產(chǎn)情報及業(yè)務(wù)風(fēng)控解決方案。目前已為騰訊、百度、阿里、華為等互聯(lián)網(wǎng)企業(yè)提供業(yè)務(wù)安全服務(wù)。