暴利的黑灰产年入千万不是梦,一个草根背后的挖金故事
受电影的潜移默化,一般人对黑客的印象,要么是戴墨镜披风衣、在赛博空间穿梭自如的网络大盗,要么是木讷寡言、一心沉迷破解与反破解的技术宅男。
而张,既不是大盗,也不是宅男。比起"黑客",他更愿意称自己为"商人"。
作为一名成功的"商人",张从草根到身家千万,仅仅用了三年时间。
"其实,我们和一般的互联网服务提供商没啥两样,都是致力于用创新的技术和产品,来满足用户需求。"张所说的用户需求,其实指的是黑产玩家的需求,而且是强需求。
有需求,也就意味着机会丛生。凭着早年的一些经验,张深谙一切黑产活动的基本运行模式——黑灰产业形形色色、日异月殊,始终离不开资源作为底层支撑。IP地址,就是一种不可或缺的资源。
黑产IP所牵涉的业务范围及规模远超常人想象,它凭借着巨大的需求效应盘踞在地下市场已久。其中,像张这样擅于发掘底层需求的掘金者不在少数。真正的掘金之地,都是在源头之上建立供给,在荒蛮之中建立秩序。
今天,防水墙寻根溯源,通过深度追踪调研及黑市监控数据分析,聚焦关键人物"张"及其带领的强大实力Team,真实还原一个黑产底层需求产业的面貌和秩序。
01、寻根
今年年初,乔开始着手经营一家游戏工作室,以兜售高级游戏账号和代练为主业。为了实现盈利,工作室需要注册大量的游戏账号。但乔很快就遇到了瓶颈——几乎所有游戏都规定,短时间内同一IP只能注册一个账号。
经圈里熟人介绍,乔辗转找到了张。令乔头疼不已的难题,在张看来再简单不过。通过张提供的"秒拨动态IP服务",工作室轻松绕过了游戏的IP判定策略,问题迎刃而解。
实际上,像乔一样被互联网厂商IP策略绊住的黑产从业者不在少数。当前,IP判定是互联网账号体系中最基础的安全策略之一,举几个例子:
·
某个水军组织被公关公司雇佣,需在各大社交平台大量发帖。然而大部分社交网站都规定1分钟内同一IP的发帖次数不能超过3次。
·
某盗版漫画工作室,想要批量爬取某动漫网站上的独家漫画,但由于版权授权仅限中国台湾,该网站限定台湾IP才可访问这些漫画。
·
某羊毛党团伙,计划进攻某电商的周年营销活动,但该活动为了防止恶意刷券,规定同一IP只能参加一次领券活动。
寻根究底,一切恶意活动在产业化之后,都离不开底层资源的支撑。获取大量或特定归属地的IP资源,是大部分黑产从业人员的首要需求。而老张所经营的行当——秒拨动态IP服务,就是为了满足了这样的需求。
近年来,由强需求拉动的IP资源再分发,成了黑产链条的一个精细化环节,专门提供IP资源的秒拨IP黑产应运而生。而老张老早就瞄准IP资源这个刚需市场,并不断深挖、拓张、变形,一跃成为地下产业链中最上游的供货商之一。
秒拨动态IP技术,自然不是什么摧城拔寨的黑客武器,却为地下世界80%以上的黑灰产活动提供着基础支持,包括薅羊毛、爬虫、诈骗、群控、挂机、游戏代练、撞库晒密、刷量等等。利用秒拨IP,黑产分子能实现快速变换IP或指定IP归属地,绕过时间、地域、次数的限制,直接洞穿行业的IP安全策略,将锋利的獠牙伸向各个互联网业务。
02、觅迹
谭某原是一名无业游民,常年活跃在各大黑产群里,左右逢源,野路子多。三年前,张在一个资源交流群里结识了谭某,两人一拍即合,合伙搞起了IP资源倒卖这门生意。
"创业"之初,老张出大钱,担任公司老板;谭某则包揽起资源采购的重活儿,主要从全国各地运营商、云服务商处购入IP资源,也就是替公司"入货"。后来,陆陆续续组建成7人团队,各司其职,像个正儿八经的网络科技公司。
摸清门路之后,张带领团队系统化地搭建了秒拨动态IP集群,将多种网络IP资源捆绑集成,再根据秒级切换IP、隐藏IP、VPN、群控等不同功能,集成了好几种不同的产品,挂在网站上按天、按周、按月租售。生意越做越大,IP资源池也在不断扩张。公司网站甚至高调地挂上了"IP数量业内No.1"的大字招牌。
乘着下游黑产发展的东风,老张的平台在过去两三年里迅速崛起。如今,平台累计用户量已达到15万,日活用户近5万——也就意味着,每一天都有5万黑产从业者从老张这里获得不可或缺的IP资源,进而对互联网业务敲脂吸髓,作恶牟利。
防水墙发现,底层市场的牟利模式非常清晰——掌握了最基础的资源后,就能向上摄取上层黑产的利润。而上层黑产的进一步发展,又反过来抬升基础资源的价值。这三年间,黑市中IP产品的利润翻了又翻。凭借着越揽越大的资源池和多款精细的IP集成产品,如今老张团伙年收入达到1800万+,利润率达到260%。以监控的其中一款IP切换产品为例,其年销售额就达到百万量级,且持续上升中。
03、暗昧
黑产圈里混久了,自然积攒下不少口碑和熟客。凭借着这些人脉关系,张的Team搞起了"私人订制"服务。
这里说的"私人订制",是指针对不同互联网业务模式、根据不同客户需求,量身定制IP相关服务,如社交帐号资料爬取、手游工作室养号、电商账号批量注册等等。
不过,这些暗昧之事在网站上难寻踪迹。防水墙追踪挖掘发现,所有交易一律私下联系,不走公开平台,这就使得所有定制服务都在私密圈子里悄然进行着。经"熟人"引荐进入这个私人定制服务的圈子后,我们发现,每单定制服务定价5万元起,价格无上限——隐藏在台面之下的这部分生意,才真正是老张公司的收入大头。而以老张为首的秒拨IP团伙,所涉及业务极其广泛,共针对800多款互联网业务为黑产提供定制服务,以社交类和游戏类业务为主。
资源的获取越便捷简单,网络黑产的攻击门槛就越低,互联网业务所面临的威胁就越大。前方的羊毛党、刷票党、挂机党等各门各派,与后方源源不断提供IP资源服务的后勤团伙,连成一条严丝合缝的暗黑产业链,共同侵蚀互联网厂商的利益。
04、分销
国内互联网产业发展二十余年,黑产底层需求市场的淘金者,始终稳稳占据一席之地,分食暴利,这吸引了一波又一波的逐利者投身其中。
然而,新进场的玩家摩拳擦掌,环顾四周,却发现老玩家早已占山为王,实在没有太多余地可开疆辟土。要想分一杯羹,最便捷的途径就是选择"加盟",成为老玩家的下级代理。
"我们以开放的理念,通过资源共享、技术共享,让跟随我们的合作伙伴得到丰厚的回报。"被张说得如此冠冕堂皇的,其实是黑产中风生水起的"分销模式"——总代理给下级代理提供秒拨IP的集成技术和产品,由其代为销售,或继续往下发展代理。其中,一级代理的月销量低至数万,高达数十万。各级代理每个月按照销量的22%~33%上返费用,上返金额从数千元到数万元不等。
据防水墙追踪,发展至今,以张为引领的"超级总代",目前下辖代理层级已达到3级,代理人数近200人。由此,这个掌握百万黑产资源的"商人",站在金字塔的塔尖,掌管着他的资源分发小帝国,各级代理如兵卒散落各地,招揽客户,聚敛无厌。通过发展分销模式,老张野心勃勃地侵占着IP供给市场更大的蛋糕。
05、思考
张的故事,只是黑产底层需求市场的一个缩影。其发家史大可谱写成一个秘而不宣的江湖故事。
我们都喜欢江湖故事,我们也同在这一方江湖中。在互联网黑产圈深挖十多年,防水墙见证了数个互联网风口的快速转换,见证了行业上演着一场又一场资源和流量的争夺之战,也见证了各门各派黑灰产业的萌芽、发展、鼎盛、衰败,以及产业链条承上启下的转换变化。
在长期研究黑产的作恶模式及利益链条后,我们发现黑产攻击活动都有一大共同点——从一种攻击形式出现,到进化出成熟的产业链路,再到攻击到达受害者,整个过程有一个完整的生命周期。
那么,如果我们能从攻击酝酿阶段,到攻击发起阶段,再到变现收尾阶段,全面感知并牢牢掐住攻击经过的每一个关键路径,掌握攻击各链路所涉及的人员、人际、行为、设备、资源、流量、手法等信息,就能提前堵源、破链、狙击。基于这种对抗理念,我们看到的不是我们遭受了多少次攻击,而是谁在盯着我们、谁准备攻击我们、攻击会从哪些路径来……
以秒拨IP黑产为例,我们以攻击人员及其使用的关键资源为抓手,从攻击酝酿阶段开始溯源,并先于攻击方到达被攻击方的防御前沿,对攻击者使用的关键资源给予阻击拦截,而非等攻击到达时再对攻击本身做拦截。这样,便能使对抗形成"敌方未攻我先控"的局面。这是威胁情报感知的价值所在。
揭秘黑产、灰产项目,培养你的发散性思维
解密互联网骗局 分享网赚项目解析 分享网络营销技术 深挖内幕、曝光各类套路奇点网络
本文由奇点网络编辑发布
奇点网络 有思想的安全新媒体
刷单手段繁多 参与者“知法犯法”
记者经过多方调查发现,刷单黑灰产链条主要由商家、中介、刷手等参与者组成,通过微信群、刷单自建平台、闲鱼等进行组织分发。刷手大多是学生、家庭主妇、灵活就业等群体,每单佣金3—6元不等,根据商品价格浮动。
刷单手段繁多,主要包括四种类型:一、商家自行刷好评,通过邀请亲朋好友,或使用日常与商家有明显关联的实名账号进行不实评价;二、商家通过第三方公司批量注册账号,为自己的店铺刷好评及制造虚假数据;三、商家自行或通过第三方刷单公司,在微信、淘宝、闲鱼等平台发布众包任务,消费者不到店发布虚假好评;四、商家自行或通过第三方公司雇佣专业写手或组织达人素人账号,免费体验并按要求发布好评,用户接到黑灰产中介任务后,前往指定商家消费,以好评方式免费兑换商家的服务,也有用户从中获取一定的报酬。
事实上,随着以大众点评为代表的互联网平台近年来持续加大对刷单炒信行为的打击力度,以及普法工作的广泛开展,刷单参与者对其违法行为心知肚明,但因为利益驱动,仍旧让许多人“知法犯法”。
“隐蔽性强、难取证”成治理难题 织密藩篱需多方共建
业内人士表示,目前刷单炒信违法行为仍存在隐蔽性强、取证难度大等特点,也是各大互联网平台在治理过程中的“拦路虎”。
“如果没有一套完整的风控系统,很难识别出越来越隐蔽的作案手段。平台除了在技术识别能力上不断提升‘阻断拦截’,还会叠加人工审核机制,动态识别违规行为。”大众点评相关负责人表示,平台针对不同场景,已建立相应的技术防控手段进行主动识别和打击,并结合投诉、举报、处置规则等方式进行综合治理。“我们会协助好执法部门,对刷单炒信行为发现一起、打击一起,绝不手软。”
2021年,最高人民法院明确定性刷单炒信属“网络黑灰产”;2022年,最高人民法院发布《关于充分发挥司法职能作用助力中小微企业发展的指导意见》,提出要依法严惩刷单炒信等不正当竞争行为;“金口碑”案则是人民法院通过裁判严惩刷单炒信等不诚信行为的司法实践,加强了网络经营行为的法制治理,用司法保障平台、商家和消费者的合法权益。(完)
中国证券报 2019-01-22 11:54
“薅上一天,够吃一年。”这句“羊毛党”中流行的口头禅在日前拼多多被“薅羊毛”事件中成为现实,并揭开了国内网络黑灰产的冰山一角。中国证券报记者调查发现,网络黑灰产已形成年产值达千亿级别的庞大“黑金”利益链,并通过上中下游的严密分工构建起了一个密切协作的网络,轻则让企业遭受数千万元损失,重则让企业直接破产。
网络安全专家在接受中国证券报记者采访时表示,近几年黑灰产的技术手段越来越强,形式日益多样化,而且绝大部分面向云业务和移动应用等形态。传统的“老三样”安全产品——防火墙、入侵检测和防病毒已不能解决问题。要有效治理黑灰产,需要建立更科学、系统化的安全机制,并广泛应用大数据分析等手段来发现和解决问题。
产值庞大 危害巨大
“事件发生时正值我们进行‘年货节’大促,期间有大批量平台正常发放的优惠券被消耗,黑灰产团伙就是挑准了这个时机下手的。至1月20日上午9点,遭盗取优惠券和正常优惠券的总和突破平台预设阈值,系统监控到异常并自动报警后被发现,我们在第一时间修复了相关漏洞,并报警。”拼多多风控团队负责人李明(化名)告诉中国证券报记者。
这起事件,揭开了国内黑灰产“黑金”利益链的冰山一角。
2018年5月发布的《数字金融反欺诈白皮书》显示,2017年我国黑产从业人员超过150万人,年产值达千亿级别。与之相比,我国的网络安全市场规模还不足400亿元。从暗扣话费、广告流量变现、手机应用分发,到木马刷量、勒索病毒、控制肉鸡挖矿,网络黑产无处不在,而“薅羊毛”正是黑灰产的重要盈利模式之一。
360-ADLab安全专家陈卓健向中国证券报记者介绍,“我们把这些专门在互联网上伺机‘薅羊毛’的称作‘羊毛党’,他们一般会比较关注互联网中快速发展起来的公司,因为这些公司为了快速发展会做一些注册送优惠券的活动,黑产团伙发现漏洞后,会从接码平台中申请大量手机号进行注册获取优惠券,然后进行变现。”
“羊毛党”不仅仅是占小便宜那么简单,很多是游走在违法犯罪的边缘。李明介绍,“这次事件中的优惠券,是我们与江苏卫视《非诚勿扰》节目合作时因录制需要特殊生成的优惠券类型,仅供现场嘉宾使用,从未出现在平台正常的线上促销活动中,是黑产团伙通过非正常途径生成二维码扫码后获得,上海警方已经以涉嫌网络诈骗罪立案。”
近年来,中招的不止拼多多,最近的一起案例是2018年12月17日,在星巴克上线的“星巴克APP注册新人礼”营销活动中,黑灰产利用大量手机号注册星巴克APP的虚假账号,并成功领取活动优惠券。随后,星巴克紧急下线了该活动。网络安全厂商“威胁猎人”估计,短短一天半时间,如不及时止损,按普通中杯售价估算,星巴克损失可能达1000万元。
“大公司被薅走几千万可能不会对公司发展造成太大影响,但很多初创公司在发展初期亟须通过营销活动增加注册用户量,直接被薅走一大笔营销费用,收获的却是一大堆‘僵尸用户’,可能直接导致公司破产。”陈卓健坦言。
分工明确 密切协作
中国证券报记者调查发现,网络黑产不但产值庞大、危害巨大,而且已经形成了分工明确、上中下游紧密协作的产业链。
志翔科技产品副总裁伍海桑向中国证券报记者介绍说,“黑灰产产业链分为上、中、下游,而且各个环节一环扣一环,是紧密协作的关系。上游和源头是基础性技术环节,主要承担的是网络黑产的技术开发环节,如验证码识别、自动化软件等,以及利用软件、网站及运营商的后台漏洞批量注册虚假账号、恶意账号和养号等。”
在拼多多的案例中,李明指出,“通过该非正常途径生成的二维码,原本每个认证信息的用户仅可领取一张无门槛100元优惠券。而非此前网络流传的单个ID可以‘无限领取’。因此,有黑灰产团伙通过‘养猫池’(用手机卡蓄养大量虚拟账号)等不法手段,实现N张手机黑卡同时作业,批量盗取该种优惠券。”
“黑灰产链条的中游扮演账号提供商和交易交流平台的角色,主要是对其活动进行组织、运营和推广,包括通过建立大量的‘羊毛党’QQ群发展下线;产业链的下游则利用这些虚假账号和恶意木马等进行欺诈、盗窃、钓鱼、刷单等各种类型的恶意行为,最终达到变现目的。”伍海桑表示。
中国证券报记者加入一个1000多人的“羊毛党”QQ群后发现,群管理员不断在群里刷新“薅羊毛”的线报,一位群成员告诉记者,“这只是一个散群,一个‘羊头’能同时管理十几个像这样的散群,盈利模式也有很多,比如他们会请黑客去‘挖洞’破解平台的活动,除了自己‘薅羊毛’,还会把破解方法在群里兜售,甚至直接免费发布在群里。”
黑灰产团伙在变现和反侦察方面也有一套成熟的经验。在拼多多的案例中,李明介绍,“盗取优惠券后,黑灰产团伙通过手机话费、Q币等虚拟充值的方式,试图在短时间内迅速转移不当所得。同时,为了达成‘法不责众’的效果,迅速通过网络和社交群将二维码分享出去,诱导一些普通消费者跟风扫码,并编造谣言混淆视听,试图逃避刑责。”
建立新安全机制加强防范
李明表示,本次事件造成的实际损失大概率能控制在1000万元以内。为进一步加强“特殊优惠券”相关风控体系,拼多多已成立技术专组。但是,此次事件还是在业内引发了广泛的讨论与反思。
“近几年黑灰产的技术手段越来越强,形式也日益多样化,而且绝大部分都面向云业务和移动应用等形态。传统的‘老三样’安全产品——防火墙、入侵检测和防病毒已不能解决问题,要有效治理黑灰产需要建立更科学、系统化的安全机制,并广泛应用大数据分析等手段来发现和解决问题。”伍海桑表示。
他指出,对抗黑灰产,首先要从观念上打破过去的简单修墙围堵式安全理念,在云业务时代,让安全变得动态,围绕数据为中心,以身份权限为新的边界构建自动化和智能化安全体系,同时将大数据分析和人工智能、机器学习等新的技术运用于安全体系中,做到对安全事件的事前侦知、事中及时察知阻断,事后快速溯源修复漏洞。
“从企业的角度而言,围绕核心数据和核心业务来构建安全机制,既要防外也要防内。同时,要基于业务加强风险管控,变传统的‘人治’为‘技防’,并时刻加强对员工关于安全和风险防范意识的培训,及时升级系统来查漏补缺。另外,也需要安全企业、各个行业、运营商、服务提供商和监管执法部门等多方合作。”伍海桑表示。
陈卓健认为,“企业要有效防范黑灰产,关键是两点:一是需要常态化的审查自己的业务是否存在漏洞,甚至是业务流程需要介入安全测试环节,主要包括安全上的漏洞和业务逻辑上的漏洞;二是需要进一步规划和加强自身的风控能力,比如对电商平台原有的图片验证码,短信验证这些防护进行加固,以防止由于黑灰产活动造成的损失。”
最近几年,各大网络安全厂商也针对黑灰产的猖獗进行了针对性的研究。以360为例,公司开发的“三六零智控”便可以对黑灰产行为识别,“目前公司内部的金融、直播等这些业务都在使用三六零智控的服务。通过三六零智控发现了不少黑灰产活动,实实在在挽回了不少经济损失。”陈卓健表示。(记者 任明杰)
经侦查,专案组发现该“欧易OKEX”APP系个人伪造的数字货币交易平台。围绕源代码制作贩卖、服务器租赁、域名贩卖、引流推广等环节,上海警方全方位深挖境内“黑灰产”链条,迅速查明涉嫌诈骗的卫某某、詹某某等20余名嫌疑人。今年7月中下旬,上海警方实施收网行动。
经审查,犯罪嫌疑人卫某某、詹某某等人对为境外诈骗窝点非法提供源代码编写、服务器租赁、域名贩卖的犯罪事实供认不讳。目前,卫某某等15人因涉嫌帮助信息网络犯罪活动罪已被公安机关依法刑事拘留,詹某某等13人因涉嫌帮助信息网络犯罪活动罪被依法取保候审,案件正在进一步审理中。
【拓展资料】
上海警方成功侦破一起以数字货币投资理财为名的电信网络诈骗案,抓获犯罪嫌疑人28名,缴获涉案电脑17余台、手机30余部,查实案件25起,涉案金额550万。
7月中下旬,上海警方分别赶赴河南、安徽、江苏等地实施集中收网行动。
5月27日,家住上海金山新城的李女士向上海市公安局金山分局报案,称其在一款名为“欧易”的数字货币投资平台,被骗人民币90余万元。李女士告诉记者,早在2019年的时候,她曾经投资过一个名叫“有利网”的P2P平台,后来该平台爆雷,李女士损失了约几万元。就在她上网发帖控诉此事的时候,没想到又被以受害者自居的骗子盯上。
闲聊几天后,犯罪嫌疑人开始向受害者推荐一款数字货币交易平台。他告诉李女士,只要往里面存5000元,就可以赚30%也就是1500元的利润,同时还有200美金作为奖励金。虽然一开始李女士对客服要求转账到私人账户也有些疑虑,但很快她就相信了对方。
200美金的成功提现极大增强了李女士的投资信心。此后的时间里,嫌疑人分别以赠送理财金为诱惑,引诱李女士在该平台先后充值了近60万元。随着投入金额变多,李女士也心生不安希望可以拿回本金。但当她向该平台客服提出要求时,对方则表示要存够10万美金才能拿回本金。
最终,去除提现到账的两百美金,李女士共前后给该诈骗平台充值了90.27万,再一次次要回本金无望后,她选择去报了警。
