一、报告要点
1、黑灰产业的发展从最早期的纯刷人气,刷粉丝,刷赞模式转向纯粹的为刷量和解决刷量的存在业务模式。
2、黑灰产的从业门槛逐渐降低,从最早期的专供上游工具,已经流向中下游。
3、2018年上半年刷量任务的需求主要依靠最火的自建站点模式完成刷量任务。
4、刷量相关群成员大多以工作室命名。同时工作室的数量也远高于去年。
5、账号售卖产业链成本正仍在增加。
6、新一代的改机工具,不仅价格低于早期,同时集成了代理IP+虚拟定位的功能。
7、同去年相比,产业链模式无明显变换,更多的是工具功能的开发,如改机工具新增的虚拟定位。
8、账号注册成本的降低,接码平台的曝光。越来越多的黑灰产入门人员开始涉入号商角色。
9、随着短视频行业的流量加剧,刷量产业链带来的账号需求远高于早期。
10、通过监控相关黑灰产群,热门教程逐渐成为仅次于刷量,刷粉、出售工具的热门话题。
11、短视频在上半年度(2018年)的总体风险评价为:高。
12、和去年相比,虚拟运营商的上卡数量远高于2017年。
13、2018年上半年捕获黑IP数量约占27.10%。
二、基本概念
1、报告中涉及到的术语
(1)引流:将短视频平台用户转到其他利于变现平台,包括但不限于微信、QQ。
(2)刷量:对短视频相关业务,采取作弊手段(刷作品播放量、刷粉丝、刷人气、刷赞等)。
(3)批量注册:利用改机工具,刷新设备指纹达到单部手机的复用,进而批量注册短视频平台账号。
2、报告中涉及到的行话/黑话
(1)接码平台:提供手机号,获取注册,解封,换绑短信的验证码平台。
(2)猫池:猫池厂家负责生产猫池设备,并将设备卖给卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备,在正常行业也有广泛应用,如邮电局、银行、证券商、各类交易所、各类信息呼叫中心等。猫池设备可以实现对多张手机卡的管理。
(3)改机工具:刷新设备指纹,解决单台设备注册上限的问题。
(4)卡商:卡商指通过各种渠道(如开皮包公司、与代理商打通关系等)从运营商或者代理商那里办理大量手机卡,通过加价转卖下游卡商赚取利润的货源持有者。
(5)养号:将批量注册的小号,不断发作品,关注用户,修改头像,主要目的是为了降低账号被封的概率。
(6)白号:指接入接码平台直接用手机号注册的账号,也称直登号。
(7)跳转号:指适用QQ号或者微博快捷登陆后,激活绑定转换而成的号码。
(8)直播号:开了直播权限,以及实验室有锁、无锁的账号。
(9)单双参号:指除账号密码携带其他参数的账号,一般用作于刷量。
(10)活粉:带有作品,个签,个人头像,模拟真实用户操作的一批账号。
(11)死粉:又称僵尸粉,这类账号,只是带有简单的个签和个人头像,账号活跃度低。
(12)刷粉:短时间内提高账号的粉丝数量。
(13)出粉:将个人无法消耗的人气流量,以交易“人头数”的形式,获取报酬。
(14)协议:通过通信协议进行,直接模拟接口通信进行攻击的工具。
3、报告中涉及到的情报术语
(1)开源情报:通过对公开的信息进行深度的挖掘分析,确认具体的威胁或事件,从而直接指导这些威胁或事件的具体决策和行动。
(2)闭源情报:通过对内部平台所监控到信息进行深度的挖掘分析,确认具体的威胁和事件,从而直接指导这些威胁或事件的具体决策和行动。
(3)工具情报:通过对黑灰产工具做深入的逆向分析,了解其攻击原理和攻击方式方法,然后通过聚类以及关联分析的方式挖掘出这个工具背后一系列的黑色产业链、黑产团伙、攻击目标和变种工具等等,从而描绘出一个以工具为源头的黑灰产产业链关系图谱。其能有效定位企业当前所处的风险状态,还原攻击特征迭代风控规则。
4、数据来源及取样说明
本报告的主要数据来源包括:
(1)文本类数据;通过定向监控手段获取的黑灰产交易与沟通信息,以及部分热点事件信息。
(2)样本类数据:通过广谱监控手段获取的黑灰产工具样本。
(3)流量类数据:通过蜜罐监控手段获取的黑灰产攻击流量数据。
(4)黑卡类数据:通过定向监控手段获取的手机黑卡数据。
(5)黑IP类数据:通过第三方合作、蜜罐监控手段获取的黑IP数据。
(6)风险账号类数据:通过蜜罐监控和暗网监控手段获得的风险账号数据。
(7)其他类数据:通过其他第三方合作和监控手段获得的黑灰产相关数据,包括但不限于上述的数据类型。
5、数据取样说明
本报告的数据取样主要采取以下几种方式:
(1)关键词取样:根据特定的关键词及关键词组合,从全集数据中提取与特定分析对象或特定分析场景有关的数据子集。主要用于数据统计或趋势分析。
(2)相似度采样:根据文本或样本数据的相似度,从全集数据中提取具有较高相似度的数据子集。主要用于数据分类统计或案例分析。
(3)随机采样:对未知类型或内容数据进行简单随机采样,抽样比例根据具体的分析场景决定,主要用于情报线索发现或关键词校验。
(4)分层采样:对已知工具/事件数据按既定的标签规则分为若干子集,对每个子集中的数据随机抽取部分数据进行分析,抽样比例根据具体分析场景决定,主要用于案例分析或关键词校验。
受限于数据获取的渠道、数据本身的变化、抽样概率的限制及样本噪点的影响,基于上述数据取样方式所得的数据分析结果与实际情况之间可能存在一定的偏差。因此,部分分析结果会采取人工经验判断方式进行修正,这部分数据我们会加以注明。
三、黑灰产链条定义
1、产业链上游及相关角色
产业链上游根据中游和下游的需求,生产和提供各类黑灰产资源。其主要相关角色包括:
(1)工具开发者:开发各类黑灰产工具,具备一定的研发能力,大多使用Python、Lua、易语言,有较强的反侦查能力,大多有固定的中游销售渠道,多为兼职。
(2)卡源卡商:多以正常业务为幌子,通过各种渠道从运营商或代理商获取手机卡资源向接码平台、号商等出售,并定期回收销号。其提供的手机卡按类型可分为:虚拟卡/实卡、语音卡/短信卡、海外卡/国内卡、流量卡/注册卡。
(3)猫池厂商:向接码平台提供猫池设备,可分为2G、3G、4G猫池。
(4)号商:大量注册平台账号,并以人工或工具方式养号,借助账号代售平台出售账号。
(5)黑客:通过技术或社会工程学手段发起攻击,多以窃取用户数据为主要目的,再通过地下黑市出售。
2、产业链中游及相关角色
产业链中游负责将上游生产和提供的各类黑灰产资源进行包装和批量转售,多以各类平台或服务的形式存在。其主要相关角色包括:
(1)接码平台:负责连接卡商和羊毛党、号商等有手机验证码需求的群体,提供软件支持、 业务结算等平台服务,通过业务分成获利。
(2)打码平台:为软件开发者、工作室、普通用户提供即时、精准的图片识别答题服务,通过识别验证码服务获利。
(3)帐号代售平台:对工作室、普通用户提供相对应需求的账号,通过抽取相对应的佣金获利。
(4)工具代售平台:对工作室、普通用户提供解决刷量需求的工具,通过抽取相对应的佣金获利。
(5)地下黑市:相关的黑灰产业群、论坛,为工作室、普通用户提供一个需求解决场所。
3、产业链下游及相关角色
产业链下游负责直接执行黑灰产行为,多以工作室形式存在。其主要相关角色包括:
(1)刷量工作室:通过解决普通用户的刷量需求获利。
(2)引流工作室:解决客户的需求短时间内将大量快手用户引向其他平台,对引流人数和引向的平台设置不同的门槛,抽取佣金。
(3)主播工作室:主要服务于高人气主播,利用相关工具刷人气短时间内吸引其他用户观看,通过假聊工具营造人气火爆的场景。
四、黑灰产业链分类
1、以账号为核心的黑灰产业链
1.1 核心产业链一:虚假注册
参考钻石模型,我们对虚假注册产业链的运转模式做出如下分析:
1.1.1 攻击者:开发者团队
(1)主要操作:通过出售批量注册、自动养号脚本;通过出售改机工具;通过售卖云控平台使用权获利。
1.2.4 受害者:短视频相关业务、正常用户
(1)被批量注册的小号,在养号过程中产生的低俗信息,很大程度上影响了正常用户的软件使用体验。
(2)通过小号刷量的作弊行为更是对其他原创视频作者的伤害,影响正常用户对短视频平台公平性的判断。
1.3 衍生产业链一:批量养号
参考钻石模型,我们对批量养号产业链的运转模式做出如下分析:
1.3.1 攻击者:号商
(1)主要操作:通过接码平台实现账号批量注册和过短信验证;通过短视频提取工具获得批量短视频作品资源;通过云控/群控平台批量模拟正常用户信息;通过刷量工具刷粉养号;对外出售养好的账号。
(2)白号:近期内批量注册的账号(可直登账号)。
(3)直播实名号:已开通直播权限并且实名认证的账号。
(4)直播非实名号:已开通直播权限但未实名认证的账号。
(5)跳转号:通过QQ、微博注册的相关账号,通过绑定手机生成(可直登)。
(4)代理IP池:主要负责提供IP批量注册账号,典型的有:蘑菇代理、站大爷、蚂蚁代理,成本约为4000-5000元/年。
(5)批量注册脚本:主要负责自动化批量注册账号,通常和云控平台搭配使用,在云控平台管理手机,对勾选的设备一键运行设定好的脚本,自动打开短视频app注册账号。
1.3.4 受害者/目标:正常用户、短视频平台
(1)号商养号过程中,产生的低俗信息影响正常用户的使用体验。
(2)批量注册的账号,经过养号行为之后,账号本身具备一定的权重,这类账号大量被用于刷量、引流可能会给短视频平台带来不良舆论。
1.4、衍生产业链二:虚假认证
1.4.1 攻击者:提单平台
通过平台提单的模式,仅需提供手机号、密码即可。
1.4.2 功能/能力:账号实名认证、直播代开
1.4.3基础设施:身份证、企业相关信息
提供身份证、企业相关信息用于各种账号类型的认证。认证加V的形式则提供相应的新浪微博会员认证和头条用户认证。
1.4.4 受害者:普通用户
认证号是被平台审核通过,具备真实信息备案的账号。相比其他原创作者账号,这类账号更容易吸收海量人气,引流难度远低于普通账号。被引流的普通用户会被带入各种诈骗模式,除去常见的苹果手机低卖的模式,还有被引流到后续连环诈骗的可能。
2、以流量为核心的黑灰产业链
2.1 核心产业链一:引流(向外)
参考钻石模型,我们对虚假注册产业链的运转模式做出如下分析:
2.1.1 攻击者:需求用户
(1)主要操作:
A.提交需求交由相对应的引流工作室,短时间内引入大量自有业务的适配人员;
(2)主要交易渠道:QQ群、微信群、论坛、Telegram群,以及自建或第三方的刷单业务平台。
2.5.3 基础设施:黑灰产业群,自建站点
(1)黑灰产业群:通过监控,热门教程词汇成为仅次于刷量,刷粉、引流的高频词汇。
(2)自建站点:以研究流量走向,出售热门教程为主的自建网站。该类站点售出教程涉及广泛,依附于目前流量火爆的平台。如快手、陌陌、微信、抖音、QQ不等。
(2)教程适用范围广,同时也提供相应的素材包内容。大大提降低了入门的门槛,加大了黑灰产从业人员数量。
1、刷量产业链活跃度呈上升趋势
1.1现象描述
1.1.1成本变化
通过对上半年度的相关黑灰产产业链上中下游监控,我们发现黑灰产业的发展和短视频的成长同样迅速,从最早期的纯刷人气,刷粉丝,刷赞模式转向纯粹的为刷量和解决刷量的存在业务模式。从对工具市场的监控,我们发现黑灰产的从业门槛逐渐降低,从最早期的专供上游工具,已经流向中下游。
如下是最新捕获的针对快手最全的工具列表:
通过对黑灰产群内主流的各类刷量工具,发现2018年上半年的刷量模式极大一部分通过提单自建站点完成刷量任务,这类站点与早期的卡盟有着类似的发展模式。
1.1.3 规模变化
黑灰产的从业人员早期主要集中于产业链中上游,下游人数远低于中上游部分,到现在发展往中下游扩散。自建站点、购买刷量工具,操作知识门槛几乎为零的要求,使得人人都能完成刷量的任务,刷量相关群成员大多以工作室命名。同时工作室的数量也远高于去年。
1.2 成因分析
刷量产业链从业人员往中下游发展的趋势的主要原因如下:
(1)黑灰产产业链模式越见规模化,从业人员角色分工明确。
(2)上游部分主要成员为开发者人员和号商,早期支付渠道多以微信,网上银行为主,而一套虚假的支付方式成本颇高。大力发展中下游产业链,可以减少上游人员的曝光度,从而增强隐秘性。
(3)收益短期内远低于早期,但刷单任务源源不断从下级提交,这种量级的刷单需求是早期无法获取的。
2、账号售卖产业链成本正仍在增加
2.1 现象描述
账号售卖价格小幅度上涨,账号稳定售出,通过对其产出模式各个环节的监控,我们对各个环节进行剖析。
2.1.1 成本变化
接码平台
接码平台负责连接卡商和羊毛党、号商等有手机验证码需求的群体,提供软件支持、业务结算等平台服务,通过业务分成获利。接码平台很多,活跃的有数十家,比较知名的有:Thewolf、星辰、爱乐赞、玉米(现“菜众享”)等,其中Thewolf和星辰可以接语音验证码。
2016年11月,当时最大的平台爱码被警方查处。
2017年12月,多家接码平台倒闭合并。
2018年4月,爱乐赞平台关闭用户注册功能。
2018年6月,Thewolf平台内部商讨将国内业务转移至海外。
随着接码平台曝光事件逐渐增多,如今大部分接码平台已转移至地下,甚至存在锁IP的情况(只能通过固定IP进行访问)。对于需要大量手机黑卡注册小号的号商而言,接码平台上卡效率远低于去年,但目前号商大多已有稳定的输入渠道(受制于其隐密性,暂无更详细的信息)。
改机工具、云控平台
改机工具和云控平台逐渐成为号商的稳定账号输出模式,从而实现全自动批量注册、养号一条龙。这类养号措施的第一步是需要对移动设备ROOT,获取最高权限。相比去年nzt改机工具的市场逐渐下滑,新生代的改机工具功能更全面,且价格低于早期的改机工具。
新一代的改机工具,不仅价格低于早期,同时集成了代理IP+虚拟定位的功能。
2. 1. 2 成本变化
最新的账号产出,在某种程度上几近还原了真实用户的日常使用。补足了代理IP半真实的短板,降低了养号环节封号的概率。同去年相比,产业链模式无明显变换,更多的是工具功能的开发,如改机工具新增的虚拟定位。
2.1.3 规模变化
账号注册成本的降低,接码平台的曝光。越来越多的黑灰产入门人员开始涉入号商角色。工具获取渠道,多以论坛、社交群为主。单个账号的盈利2-7元,但成本集中在1-2元。除去暴利带来的可见收益,可见的海量刷量需求让账号溢出已成为过去式问题,完全不必担心账号过剩带来的滞销问题。
(7)苹果后续:当客户付款提交之后,将这类付款用户出粉给提供苹果后续服务的诈骗团伙。以伪造苹果或物流公司对付款用户进行再次诈骗。而网上商城的源码,则可通过互联网随意获取,通过修改后台参数,伪造物流信息。
3.1.2 成因分析
苹果业务早已流传许久,生存时间远大于短视频行业的发展周期。如今短视频行业的巨大流量,吸引了一大批黑灰产从业人员奔向这块可口的“蛋糕”。诈骗手段层数不穷,虚假的认证信息不仅保障了从业人员的真实身份,也可以在短时间内获取大量粉丝的信任。这条产业链从粉丝拉新到信任培养,再到后期的变现,玩法简单暴力,当然这仅仅是诈骗手段的冰山一角。
六、年度总体风险控制建议
1、上半年度总体风险评价
短视频在上半年度(2018年)的总体风险评价为:高。
(1)账号类产业链风险:高
产业链数量:新增虚假认证、精准引流
产业链规模:上升
产业链成本:下降
(2)流量类产业链风险:高
产业链数量:新增刷量提单平台
产业链规模:上升
产业链成本:下降
2、行业上半年度总评评价
2.1手机黑卡
(1)手机黑卡运营商对比
通过对2018年上半年捕获的黑卡进行筛选,来自传统运营商的黑卡数量和来自虚拟运营商的黑卡数量持平。和去年相比,虚拟运营商的上卡数量远高于2017年。
以下两张图展示了在非虚拟号段上和虚拟号段上三大运营商的黑卡数量对比:
在非虚拟号段上,将近一半的手机黑卡来自于中国移动,约三分之一来自中国联通,中国电信最少。在虚拟号段上,绝大多数是中国联通的手机黑卡,和去年相比电信上卡数量高于移动。
(2)手机黑卡归属地分布
以下是依据黑卡归属地统计的数据,广东省十分抢眼,在黑卡归属地省份排名中遥遥领先,省内的广州、深圳、东莞和佛山也在黑卡归属地城市中名列前茅。
2.2 代理IP
对比2018年上半年度(2018年1月-2018年7月)捕获的攻击源信息,分析IP地域来源数据,全球黑IP分布图和top20来源国家如下:
2.3 从业人员
以“刷量”、“引流”等词语为关键词,结合排名较靠前的短视频平台对QQ群进行抓取,发现相关的QQ群数量庞大,地域分布也呈现一定的特点。
2.3.1引流
我们对引流群内人员性别、年龄段、地域进行汇总。引流群平均人数最多,达到767,群规模以1000人为主。
2.3.2 刷量
我们对刷量群内人员性别、年龄段、地域进行汇总。刷量群平均人数和群规模持平,达到1122.4,群规模以2000人为主。
3、黑灰产监测类风险控制建议
(1)对黑灰产相关论坛、社交群近期出现的新增高频词汇设定阈值,对超过阈值的词汇溯源。
(2)研究相关的黑灰产业链模式,对比核心产业链模式特征,总结产业链中角色交叉衍生产业链的上游,并对上游人员监控。
4、黑灰产防控类风险控制建议
(1)对已发生事件追溯源头,通过分析产业链结构、成员角色、成本、利润来设置不同的解决措施。
(2)对持续存在的结构模式,通过捕获市场上存在周期长且特征明显的工具进行逆向分析,提高对批量行为的审核和监控,进一步提高黑灰产从业人员的成本。
5、黑灰产打击类风险控制建议
通过对各条产业链的监控,我们有如下几点建议:
针对手机黑卡、黑IP:
(1)对于这一环节,作为企业,最快捷的方式是从专业公司获取经过审计的手机黑卡、恶意IP、高危账号等数据。
(2)将其作为自己后台黑白名单数据的补充情报库,在注册或活动流程中接入审计策略,对恶意注册进行筛选监控等。
针对账号商人:
(1)结合恶意数据情报库,对可疑用户提高注册门槛、增加复杂验证码等,并对这些用户进行重点监控,当其进行敏感操作时,进行防护。
(2)设立恶意数据情报库,包括黑产掌握的黑卡号码、使用的代理IP、已经泄露的账号密码数据等。
(3)一方面要结合自身后台数据的黑白名单,另一方面也要引入第三方的支持,进行更全面的检测。
针对黑产技术人员:
(1)透过分析黑产的注册流程和攻击工具,对被攻击接口的请求特征汇总,以区别虚假注册用户和正常用户。
(2)批量行为都是有迹可循的。企业可以针对恶意用户的行为偏好和其在黑产中的使用广度,在设备信息、注册信息重合度、恶意用户的行为数据等方面,进行多维度的判断。
(3)通过对典型有效的黑灰产工具的逆向,对存在业务逻辑漏洞的方向调整,提高黑灰产工具的开发成本。
当前短视频平台仍处于快速增长期,不断有新的平台涌入市场,并且同质化较低,各个平台定位、内容和目标群体之间仍存在差异化的竞争。但对于黑灰产从业人员而言,一套产业链模式就可以复刻在任何一个短视频平台。当对旧平台的攻防成本日渐增高,对于黑灰产从业人员而言,新生代的短视频平台更像是“雪中送炭”。因此,不仅要对已存在的产业链模式深入了解,更应该去深追其背后黑产从业人员的角色定位,只有了解之后才能对衍生的新增产业链加以控防。
转型的最终目的 -提质降本增效
