分享热点新闻
打造优质自媒体!

黑人进攻和后卫|数字技术

不断变化的技术,不变的人性。

作者|匹配Q

编辑| A小姐

分析师|丁兆增

黑人进攻和后卫|数字技术 科学快报 第1张

“我很长时间没有遇到这么大的漏洞,你继续,我睡了。”

2019年1月20日上午1点30分,在一个由“羊毛派对”聚集的电报(Telegram,一个社交APP)小组中,一个“大爆炸”圈子说话。

这个晚上,大睡前半小时,一个电子商务平台推出了100元面额的通用优惠券,有效期为一年。

对职业羊毛党来说,这简直在送钱。

他们立即启动多张虚假账户凭证,然后在平台上购买Q币或为手机充值,机票直接变为成钱。

很快,这个漏洞在半小时内就被一个成熟的职业羊毛派对所充实,并传播到了大众。 “整个羊毛派对世界都沸腾了”,整晚都在失眠。

第二天,该平台发布了一份表声明,数千万张优惠券被盗。

作为数美科技黑产研究院院长,潜伏在羊毛党电报群里的Sw0rdH01der(化名)又一次近距离目睹了一场黑产狂欢。

地侧有黑色产品。

据统计,国内黑产从业者规模超过百万;2018年,黑产造成的损失已高达千亿级——这些数字还在迅速增长。

此时,黑色的河流和湖泊已经渗透到我们生活的角落,巨大的黑白攻击和防御战正在以地展开。偷袭者是一英尺高,狙击手是一英尺高。先进的技术武器逐一纳入应用程序。兴奋的程度不亚于一个斗智斗勇的间谍片。

而Sw0rdH01der所在的数美科技,正是揭开这一幕的一个绝佳视角:

自2015年6月初以来,几年的战斗已经与黑色生产的前线作斗争。

从流量奖励到交通紧张,美国成的数量立即恰逢移动互联网开启“下半年”,黑色生产逆转需求激增。

典型的欺诈风险包括支付欺诈,恶意退款,渠道流量欺诈,虚假用户拉动,机器抓取,非法内容,欺诈性广告流量,内容盗窃等;随着越来越多的传统行业进入互联网+“,美国和黑人生产之间的竞争已经从社交,电子商务,游戏,视频,在线旅游,在线教育等进一步扩展到银行,保险,证券,地生产,航空旅行,新零售等领域。

在不到4年的时间里,集美已经为银联,中信银行,万达,华润,苏宁,OPPO,小米,爱奇艺,瑞迅咖啡,B站,小红树等1000多家公司提供服务。一万种风险行为已经为全球超过20亿用户提供了保护。

在这场与贪婪的长期斗争中,利弊都遵循同样的规则:

以持续变化的技术手段,应对不变的人性。

1. “最赚钱的方法,都写在了刑法里”

黑人进攻和后卫|数字技术 科学快报 第2张

几年前,Sw0rdH01der帮助警方在华东地区地地区破获黑帮。

该团伙中有三个人:一个19岁负责技术,另外两个负责业务。他们的业务是一个“编码平台”——,为黑人制作人提供一套SaaS,这样他们就可以快速破解平台和APP验证码。

仅仅1年间,这个平均年龄不到25岁的三人团伙获利数千万元,而全部成本只有他们在居民楼里攒出来的十余台服务器和一年的电费——总投入仅几十万元。这惊人的利润率,真是应了那个段子:所有最赚钱的方法,都写在了刑法里。

黑产的暴利,源于中国互联网经济的超大体量。黑产圈的行话:水大,速来。

当水中最大的鱼是最酷的,它是2012年至2016年的移动互联网狂热,它也是平台的“失败期”和黑色生产“互相使用”,没有什么可担心的。

在那几年里,李艳红想要“200亿获得O2O”; Didi滴水,饥肠辘辘,美丽的团队,Mobai ofo开始战斗,并疯狂补贴。

有人估计,这些补贴中,可能有一半都被“羊毛党”薅走了。但当时各平台大多睁一只眼闭一只眼,因为只要DAU(日活)、MAU(月活)、GMV(总交易额)增速好看,资本就能持续到位。

但自2017年以来,情况已经逆转。

越来越昂贵的流量成是中国互联网的“新常态”。各公司的图腾也从DAU变为成。投资回报率(ROI):活动营销不能停止,但不能支付一分钱。黑色生产已从旧的“小糖果”改为成。今天的“金牛太太”——没有公司会让他们独自一人。

2017年,美国反欺诈企业的数量开始爆炸。

自2017年初以来,客户数量已从几十家增加到一千多家,每日反欺诈产品的数量已增加到30多亿。

在战场的另一边,在几个专业的黑皮肤打击者的攻击下,那些躺着赚钱的黑色产品也迅速崛起并迅速发展。他们已经由分散的士兵发展成为“群体式的行动”。

去年,集美遇到了非常有效的黑白合作。——在针对互联网公司的几个小时内,Black Products从多个VPN代理中调动了数十万个代理IP。从几十个代码平台拨打成千上万的手机号码,注册假账号遍布114全国城市。

2018年,根据某个头码平台(替代网站,APP验证码平台)的统计,游戏,社交和电子商务已被成作为黑色灾区。

黑人进攻和后卫|数字技术 科学快报 第3张

更复杂,更工业化的黑色生产业务席卷中国互联网。面对像美国这样的专业对手,黑白生产逐渐展开。

2. 黑产江湖

黑人进攻和后卫|数字技术 科学快报 第4张

目前,从上游到下游,黑色生产已形成成四个核心环节的情报收集,资源工具,黑色生产执行,套利实现,以及线报童,卡经销商,猫池,代理IP的诞生商人,编码平台,设备农场,黑人生产者,房地产大师,羊头(众包黑色生产任务的发行者)和许多其他种角色。

环节1-情报收集

挖掘报纸是获利的第一步。

黑人生产团伙将发挥特殊作用,收集信息,准确及时地传达活动,时间范围,收入实现形式和反欺诈规则等信息。

线路记者获得的情报来源通常是电报组(Telegram是一个加密的聊天软件,隐私保护非常极端,不受任何信息监督,该组可以加起来10万人,这在羊毛派对中很受欢迎从业者)。黑灰色制作论坛,QQ群,微信群等。

获得信息后,将有一个特殊的业务渗透人员和脚本小子来分析产品逻辑和所需资源——。什么活动,新帐户第一个或旧帐户拉,是否有地域,是否绑卡,然后收费钱充满,昵称的昵称确保一切准备就绪。

黑人进攻和后卫|数字技术 科学快报 第5张

黑色产品交换最新的“行业信息”

这只是“知识支付”中最“钱经”。常见的形式是情报负责人将建立一个微信/QQ /电报组,而那些需要它的人将会付钱。

根据Sw0rdH01der,情报组可以达到数千美元。——一组500人可以为情报领导者带来50万收入,而一组10 500人可以带来500万。

环节2-核心资源与工具准备

聪明的女人很难没有饭。可以在一个帐户中粉碎的羊毛通常具有产品限制。为了分批获利,提前准备“资源”是黑帮的首要任务。

“资源”包括:设备,帐号,手机号码,IP等。

以设备为例。从虚拟机,更改的设备和多开设备(在同一系统上,同时启动和运行多个相同的应用程序),然后到大型设备农场,黑色生产方法升级到光的速度。

设备农场的典型场景是,有几排机架可以在房间内容纳数百部手机,就像一个高科技的“蔬菜温室”。黑人生产的从业者通过集团控制软件和机床自动化大规模设备篡改。——数百台物理机器在24小时内改变了数十万个虚假设备。

黑人进攻和后卫|数字技术 科学快报 第6张

设备农场用手机

设备农场的运营商可以获利,并将设备农场租给下游黑人生产商可以以收取租金。

另一个例子是编码平台。目前,激烈的竞争迫使他们继续为“客户”带来更好的体验,竞争编码平台已经使用了AI。大约90%的请求由AI 成完成。对于AI无法准确判断的部分,系统会自动将其分发到手动编码平台。代码由成完成。同时,代码工作成果将反馈到AI并迭代更强大的模型,快速破解每个新的种验证码。

黑人进攻和后卫|数字技术 科学快报 第7张

快速切换多个编码平台的黑色生产界面

两年前,在Sw0rdH01der帮助破解的编码平台中,他们使用了TensorFlow和Caffe这样的深度学习平台,他们在研究机构和技术巨头的技术领域处于领先地位。

因此,对于专业黑色商品,今天的主流验证方法没有效果。

“第二次休息”,Sw0rdH01der多次提到这个词。

在互联网领域外,如金融业信用卡应用欺诈,有成组织地出售公民四件套信息(身份证,手机号码,银行卡,手持身份证照片)业务。目前,单套四套的市场价格已达到近1000元。

环节3-黑产实施

黑色产品的实施,即上游报告,资源,工具的使用,以及平台上羊毛等欺诈行为的实施。

这个链接没有太多的技术内容,只能赚到产业链中“硬钱”的三分之一,充满了具有技术背景的“脚本小子”。

他们中的大多数使用“简单语言”,即一种不需要任何英语基础,并且完全用汉字编码,这是黑人和灰色制作人所青睐的。

黑色行业还有一个完美的“培训系统”。它推出了为期一周的服务成和1月套餐,并编译了“代码平台加IG(一种机床),飞行模式切换IP(开启和关闭)飞行模式,可以快速更改移动设备的IP地地址)“ 等等。

环节4-变现套利

黑色生产的最终目标是实现套利,即通过现金提取和每个种价值套利。由于许多羊毛派对没有获得直接现金,黑色生产发展成为不可或缺的角色。——点成黄金“实现大师”。

实现主人的人才,渠道资源和议价能力(可以“选择”多少折扣)直接决定了他们获取非法利润的程度。

想象一下,当你使用银行和线下便利店发行的信用卡支付促销漏洞时,你怎么意识到当你来到一个方便面?普通人能做到吗?实现主人可以做到。

因此,在黑色生产中,掌握的实现是一个非常重要的角色。

“你需要了解足够的人,人们愿意以足够高的价格购买你的东西,可以谈论70%的折扣或20%的折扣,看看你的技能。” Sw0rdH01der告诉“风筝之光年”。

还有一个一种“卖酷”的取款器——蝎子。

这是金融欺诈中的常见角色。在窃取银行卡后,Black Production需要一个严格的流程来防止资金被跟踪。这些资金将被数十张甚至数百张银行卡所击中。侄子的职责是将现金带到分散每个地的ATM上。

在上述四个主要环节和许多角色的参与下,整个黑河流和湖泊都显示出强大的上下游敏捷响应能力和“相互支持精神”:

一旦出现漏洞,巨大的黑人生产者将在第一时间尝试攻击;一旦手段不起作用,“羊毛不够”篝火将迅速烧掉遍主要QQ /电报组,编码平台等技术供应后续跟进将很快;一旦编码平台第一次突破,它将在这场战斗中获得巨大的利润;在这场战斗之后,这种“高级”解决方案将被复制并迅速普及。

到2018年,随着许多美国服务客户进入海外扩张阶段,美国发现了一个新的发现:国内黑色已经产生了海洋!

美国进攻和防守团队的数量已经开始遇到客户服务,同时在“黑白”制作期间发送中英文产品简介。

没有比较就没有坏处。一个有点讽刺的现实是,国内黑色产品正在引领世界。

3.魔高一尺道高一丈

黑人进攻和后卫|数字技术 科学快报 第8张

国内黑色生产的快速升级,除了“富钱可以使鬼推”的利益驱动外,更直接的刺激是黑人生产者的存在。

在自然界,类似的“竞争协同进化”已上演千百年:

昆虫已经演变为植物的口器,植物将演变为对应于地。刺或毒素——是一英尺高,高度是一英尺,螺旋上升并向前移动。

让我们快速回顾一下美国在过去几年中经历的几轮攻防战:

黑产常见手法:从打接口、虚拟机到设备农场

Digital一直在与界面,虚拟机和设备农场三种的常见黑色生产操作进行对抗,难度从低到高升级。

2015年,当该公司仅为成时,面向美国的最受欢迎的遍黑色产品是接口和虚拟机。

这种两种方法类似,使用计算机模拟移动设备,如手机,虚假设备信息和网站和APP的服务器端通信。

这种低成这种方法是移动互联网大鱼时代的残余,刻有“好记忆”的平台当杀手不黑时,因为它操作简单,没有额外的资源,它仍然是主流的黑色One生产资料。

识别虚拟机的主要方式是引入设备标识判断逻辑。如果没有设备标识信息或信息不正确,则将其判断为界面“假客户端”。

识别虚拟机的方法并不困难。—— 一种方法是查看CPU和PC使用的虚拟机的CPU指令集架构与移动设备的CPU指令集架构有很大不同。 如果发现指令集属于PC而不是移动设备,并识别成功。

点击界面,虚拟机和中断。

此后,黑产不得不启用更高成本的新手段——用真实手机作恶,设备农场形态应运而生。

这里是数美与黑产对决的一个长期堡垒,攻防双方的手段交替进化,数美先后攻克了简单刷机(通过修改单个设备信息,如IMEI号,用一台手机模拟出多个移动设备)、复杂刷机(通过修改多维度设备信息模拟移动设备)、Hook改机(通过劫持系统函数、返还虚假信息模拟移动设备)和多开(通过劫持系统函数,同时在单台手机上打开几十个相同应用,如几十个微信,提高作恶效率),把黑产逼到了不得不启用“真机农场”的境地。

真正的机器农场,即“老而诚实”的地使用手机作为设备,与使用真实设计模拟几个虚假设备相比,其成已经非常高。

可很快,反欺诈工程师们也找到了应对真机农场的关键:即便不刷机、不Hook,群控却依然是黑产无法绕过的核心,所以在对群控多维痕迹进行专门检测后,真机农场也无所遁形。

设备农场,突破。

2018年的黑产新动向:云手机、硬件插件和积分墙

从2018年起,Digital已经开始迎合3种黑色生产的新潮流与到齐头:云手机,硬件插件和集成墙。

2018年9月下旬,云手机横空出世。就像其名称所展示的,这是云计算在黑产界的最新应用。

与“云手机”的匹配使得Sw0rdH01der令人难忘。

当时,Digital正在为一个直播平台提供服务,该平台推出了一项促销活动,即将内容返回平台货币并登录人民币。

诱人的兴趣吸引了所有黑色产品的争夺,而美国的数量迅速发现一种类似于虚拟机,但新的黑色产品具有略微不同的设备特性,并且在快速增加,加上智能炒作,这个很可能它可能是当时刚出现的云手机。

云移动电话和传统设备农场之间的最大区别在于它不是真正的移动电话,而是安装在云服务器上的虚拟移动电话。

在拥有云手机支持的新农场中,场景更“科幻”——挂在墙上不再是成数百部手机,而是一块Android装板,这些卡可以由电脑组控制,模拟一系列用户行为,例如正常智能手机的注册,点击和共享。

美国团队的数量立即加班,在异常发现的一天内收集市场上的所有11个云手机解决方案,实现两天内复发(即模拟黑色生产为成功攻击)和环境检测,并具备认识。

策略团队随后跟进,上线封堵方案——方兴未艾的云手机,被绞杀在了青春期。某视频平台因而避免了数千万元的潜在损失。

云手机,突破。

在云计算之外,黑产也开始用起了硬件插件。

去年底,就在云手机的热潮刚刚平息时,一个新“网红”又在黑产圈流传,情报群里最火热的信息都关于它:买大牛了吗?用大牛了吗?

然而,这就像“美国天网”反欺诈产品的含义:天网已经恢复,而不是泄漏。一周之内,这头大牛也被杀死了——。最初的大牛是可以插入个人果手机的硬件。它最强大的功能是插入后,它可以使Ping 果手机不“越狱”。在(开放用户操作权限)的情况下,实现了改变机器和篡改GPS的目的。

在弄清楚这个原则之后,只要确定了相关的特征,大牛就不会诞生。

大牛,破了。

最近半年,数美又遇到了目前这波黑产中最难搞定的Boss级手段——积分墙。

整体墙实际上是一个“人刷”,由羊头和羊群完成。 成。

厉害的羊头能触及多达万级乃至十万级的职业、半职业羊毛党。一旦有大漏洞出现,羊头就会将消息层层放出,组织大家一起薅——在由各种信号、传输协议连接的“平静互联网”中,羊头引领这支大军,进行着“夺金不用刀”的无声“抢劫”。开篇电商平台今年初的优惠券漏洞,就可以理解成一次惊动全网的“积分墙”。

积分墙的攻防难点在于,背后是真人、真设备。

“这很难确定,这是我们最近对抗的焦点,但现在几乎可以识别。” Sw0rdH01der告诉“风筝之光年”。

该识别方法也是基于成系统,主要通过团队特征和行为时序异常的维度,并结合通过大数据例程运行挖掘出的集成墙应用来实现风险控制。

在以上的具体攻防之外,Sw0rdH01der对黑产对抗有一个精到的认识:对抗黑产,其实是在与人斗,对抗的是人性,利用的也是人性。

在人性层面,一是要给对手创造“绝望感”。

“一定要进行深度防御。你的识别模型必须是一个无法攀爬的高墙。如果你不这样做,你会杀死它.这种会有意义。让黑色产品彻底破坏并再试一次。想法“。

而更根本的,是要直击黑产的核心利益和软肋。

值得强调的是,黑人生产中最关心和最痛苦的方面是“不赚钱”。

因此,与黑产的对抗,本质是一场成本的对决。

反过来上演的“黑色战争”似乎是西西弗斯推石头,徒劳无功,但它可以继续增加黑色0078ec9,让它们真的很痛苦。

例如,整体墙这种意味着长期存在,但过去它并不是主流,因为要组织真实的人,就要分享利益,成对于专业黑色商品来说太高了。随着像美国这样的黑白竞争对手,黑白生产被迫重启成高集成墙。

最后,“人性不仅在对手面”,最难的一场仗是自己。

当你凝视深渊时,深渊也在盯着你。

在与黑色生产的斗争中,比商业和技术能力更重要的是这种“价值底线”。

4.以一当百的法门黑人进攻和后卫|数字技术 科学快报 第9张

黑产数量如此庞大,而数美公司只有几百人。

如何以一当百?

这得益于数美形成的反欺诈整体逻辑——一个通用核心原则:打组合拳。

在经历了“简单规则”,“专家系统”,“机器学习引擎”等阶段后,美国的数量将不同于攻击方法到成一拳,精炼成一个整体系统——“全栈智能防御系统。“

Sotheme还从近四年的实践中总结了“反欺诈三法”:

反欺诈定律一:“好人”是多种多样的“好”,“坏人”是类似的“坏”。

反欺诈定律二:“好人”行为表现出高度信息一致性,“坏人”存在潜在的信息矛盾。

反欺诈定律三:“好人”的朋友通常也是“好人”,“坏人”的朋友通常也是“坏人”。

从三个法则出发,美国使用数以万计的基本功能,数千种先进功能,数百种风险模型和专家系统来构建“智能模型战略系统”,流程如下所示:

黑人进攻和后卫|数字技术 科学快报 第10张

“智能模型策略体系”之外,反黑产的另一要点是构建“纵深防御体系”,全面考虑了黑产全流程,在APP启动、账号注册、登录、关键业务行为(如支付、邀请、领券、下单、提现)等多个环节设下层层关卡,“一山放过一山拦”,最终实现“全局欺诈风险可控”。

复杂的全栈式智能防御,需要高效的协作,支撑数美做到这点的,是他们建立的一套反欺诈的全流程运营闭环:通过攻防、模型、数据挖掘等团队通力合作支持多个产品线和客户——攻防团队负责打前站,研究每个场景的对应风险;策略团队负责设计策略和查漏机制;模型团队负责调整或设计新模型;数据挖掘团队从海量数据里抽取建模特征;架构团队则负责维护整个系统的基础设施。

Sw0rdH01der把这套流程形容为“不停旋转的环”:

“反欺诈服务与一般SaaS不同。我们为客户提供的风险控制解决方案还包括整个流程操作系统,从攻击和防御到战略设计,战略验证,在线,到效率果监控,案例分析,最后回来。对于进攻和防守,此环不会旋转地,也不会旋转地。“

在上述链接中,Digital深入使用大数据和AI技术,使团队能够以自动化和高效的方式进行竞争。

5.进击的数美

黑人进攻和后卫|数字技术 科学快报 第11张

在内部精兵的支撑下,成立近四年的数美每年保持着3倍以上的营收增速,已成为国内反欺诈领域头部公司。

目前,Digital正在着手扩展行业,产品线和服务线。

数美创始人及CEO唐会军告诉「甲子光年」,从2018年开始,他明显感到直接面向C端的各类传统行业有了越来越强的反欺诈需求。

随着“互联网+”渗透到更多行业,传统领导者正在尝试与消费者建立直接的在线联系,而有线电视的地端运行,有黑色生产的机会和几个美国制造的地。

在该行业中,几家美国客户已经从互联网公司扩展到银行,保险,证券,地生产,航空公司,新零售和其他行业。

在产品上,数美则开始围绕用户运营提供全生命周期服务。

数美打造了以欺诈账号识别为核心的天网产品系列,和以智能内容过滤为核心的天净产品系列,两大产品系列形成了完整的反欺诈产品矩阵,涵盖金融、直播、社交、电商、游戏等行业的解决方案。

在服务上,数美已从拉新环节的反欺诈,扩展到了留存运营和数据保护。

一般而言,互联网产品将经历三个生命周期:关注流量的初始阶段; 成长期关注保留; 成成熟度也关注数据保护。在这种情况下,美国和美国将被拆除:羊毛党在反兴起活动的初期; 成长期反上市生态和内容生态恶意刷清单,维护号码和广告转移; 成成熟的反数据被盗,为客户完成生命周期被“保护”。

可预见的是,凡有利可图、有洞可钻之处,黑产就不会绝迹。而且随着社会经济、生活进一步“互联网化”,黑产规模注定会持续扩大。

对于美国的美丽,这意味着他们仍然有很多可以战斗。

在黑人生产者的最大希望中,他们可能更愿意无所事事。就像Sw0rdH01der在关于黑色制作的论坛中写的一样:

“Every cloud has a silver lining,好在,这个世界仍有数不清的你我他,致力于帮助这个世界重返光明。

愿天下无贼。”

END。