您的位置:主页 > led全彩大屏 > 2021年黑灰产行业研究及趋势洞察报告

2021年黑灰产行业研究及趋势洞察报告

发布日期:2022-01-14 23:20   来源:未知   阅读:

  本报告由永安在线·鬼谷实验室独家编写,联合深圳市网络与信息安全行业协会 、安全419、数说安全共同发布。如需转载、摘编或利用其它方式使用本报告文字或观点请联系永安在线。

  永安在线依托于丰富的情报数据,对2021年黑灰产行业进行了全面的梳理,我们发现:

  无论是从行业规模、攻击效率,还是收益变现上,国内黑灰产产业仍然非常成熟和发达。

  在攻防层面,黑灰产具有顽强的生命力和对抗能力,这一点在其资源的使用上,表现的尤为突出:

  // 黑手机号——“断卡行动”虽然对其造成了有效的打击,但黑灰产已经通过海外卡/拦截卡/私接等方式“死灰复燃”;

  在攻击变化上,紧密的结合当前风险缺口进行攻击,表现在:微信授权的猖獗使用以及API漏洞的使用。

  黑灰产会更多的使用私接形式进行接码,且国外黑手机卡对平台的攻击会越来越多;

  黑灰产改机、虚拟定位等工具推陈出新,不断为黑灰产在营销作弊等场景提供支持;

  基于这些发现及趋势研判,我们总结提炼出未来对于黑灰产治理的对抗思路及策略,并对治理已卓有成效的企业进行案例分析、分享最佳实践,期望帮助更多企业/机构了解并有效防控黑灰产攻击带来的风险。

  营销活动、刷量作弊、恶意引流、认证绕过、真人众包代下单五大场景,在2021年面临大量黑灰产攻击。其中,营销活动场景最为猖獗,每天发生5起被攻击事件。除营销场景外,刷量作弊、恶意引流、认证绕过、真人众包代下单场景中,共活跃着数十万黑灰产。

  2021年,永安在线亿余条黑灰产相关的舆情,仅在营销活动场景,全年就发生了1800多条黑灰产攻击事件,平均每天约发生5起。

  永安在线对黑灰产营销活动攻击产生的舆情进行分析后,发现:“活动”、“教程”、“接单”、“注册”、“邀请”等词,出现很高频。这说明,黑灰产往往会在各平台举办活动时寻找突破口,一旦有方法突破风控,就会把方法在内部进行传播,或者转卖能力为“接单盈利的模式”,而他们的攻击场景,往往集中出现在新用户注册、邀请拉新等优惠权益较高的活动上面。

  //接码及抹机注册、接单代刷助力,成为2021年黑灰产在营销活动场景的主要攻击方式

  永安在线年的黑灰产营销活动攻击事件,进行了攻击方式分析,可以看出TOP5皆为常见的攻击方式:

  (5)线的数据可见,营销活动场景的黑灰产攻击,并没有改变太多手法,依然普遍采取主流方式。

  针对平台开展的邀请好友助力领取奖励类和新用户注册领取奖励类的营销活动,黑灰产会使用抹机工具修改设备参数伪装成一台新设备,再配合联系卡商进行手机号接码,从而达到在同一台设备上注册多个小号给主账号完成助力任务,薅取活动奖励,或者注册多个新号领取奖励的目的。

  针对平台开展的邀请好友助力领取奖励类的营销活动,黑灰产掌握了针对该营销活动的自动化批量助力的技术,由于活动奖励的优惠券、平台权益、商品变现对普通用户也有诱惑,故黑灰产会收取费用帮助这些普通用户刷助力,进而完成任务得到奖励。

  此攻击方式常出现的场景主要有打车出行行业的助力得打车优惠券、美妆行业的助力得化妆品、电商行业的助力得商品等活动。

  针对平台开展的各类做任务领取奖励的营销活动,当黑灰产发现其中活动的奖励,在业务侧没有得到全方位的防护,比如通过一些特殊动作可以获得,或者只需简单“技巧性操作”即可领取,便会对此活动进行大规模攻击。

  针对平台开展的限定地区领取权益的营销活动,当黑产发现该权益的优惠力度大且能变现,便会使用修改定位的方式对该活动进行攻击,从而领取活动奖励。此攻击方式常出现的场景主要有支付类、银行类、电商类、出行类平台的特定地区优惠领券活动。

  //营销活动场景外,刷量作弊、恶意引流、认证绕过等场景,共活跃着数十万黑灰产

  除营销活动外,2021年常见的作恶场景还有:刷量作弊、恶意引流、认证绕过、真人众包代下单等。

  黑灰产作恶时,往往会在各大社交平台聚集,用于进行引流维护及同行间的交流,因此,统计各个作恶场景下,这些黑产在各大社交平台的账号数量,可以大致描绘出每个场景的黑产“从业者”规模。

  以在各社交平台活跃的账号进行统计的话,刷量作弊、恶意引流、认证绕过、真人众包代下单的账号数分别是:13W+、11W+、10W+、2W+ 。

  刷量作弊、恶意引流、认证绕过这三类场景,在可监控到的范围内,黑灰产社交平台活跃账号规模都超过了10W。电商代下单活跃账号规模虽只有2W+,但却比2020年增加了两倍。

  刷量作弊,指的是:利用违规方法去提高相关账号功能数值(如:点赞量、关注量等),最终达到伪造虚假流量、炒作热度、增加曝光等目的。这种刷量行为常常扰乱社区秩序、破坏社区生态,不利于优秀内容脱颖而出,并且增加了创作者的成本。

  2021年,刷量作弊的攻击形式主要有三种:机器刷量、真人刷量和养高级别账号刷量。其中,机器刷量为最传统的刷量形式,这类刷量的攻击面几乎覆盖了所有主流平台,也是各大平台治理的重点。

  但机器刷量因特征明显,比较好检测,因此无法有效的在部分检测严格的社区内容平台上作恶。此时,许多黑灰产就会提高作恶手法,开始雇佣真人来提升刷量效果。

  此外,部分高级黑灰产,还针对一些大型社区平台排名权重的计算规则,推出了高级别账号刷量功能,这类功能的主体往往是黑产长期持有、拥有很高粉丝数、被黑产养着的号,黑灰产利用这些账号,对外提供优化排名、热榜置顶等服务。

  恶意引流,在2021年依然是黑灰产典型的作恶场景,他们一般会使用脚本工具,利用平台的私信、评论、留言等功能,批量发布引流信息;也会有黑灰产在社交平台,发布“收粉”、“拉群”任务,他们往往会要求普通用户拉好友进群,达到一定人数后,就以一定的金额收群,然后再把群转给下游的诈骗团伙等。

  认证绕过,指的是黑灰产用虚假认证资料通过平台的资格检测环节。例如:用改装后的设备和人脸建模绕过人脸检测,用伪造的证件为账号取得相关认证等。这类作恶行为会造成虚假身份、虚假企业认证等问题,不仅影响平台生态,还有可能会带来引流诈骗等问题。

  真人众包代下单,指的是黑产雇佣真人远程下单,来批量薅取电商活动限购的优惠商品。该场景下,被雇佣的真人用户按照黑灰产提供的商品链接和地址下单,最后下单用户得到黄牛返还的款项和佣金,黑灰产收到商品并转卖获利。

  据永安在线年真人众包代下单的作弊量有显著增长,相关黑灰产账号数比2020年增长了2倍。这反映了在平台加强风控后,黑产无法通过单人调用多账号来完成作恶,而是转向线

  黑灰产在进行作恶时,会采用各类工具进行批量、自动化攻击,以达到短时间内获得更多收益的目的。主要的黑灰产工具分为定制型和通用型,黑灰产定制型又分为电脑端的协议工具和手机端的脚本工具,通用型主要是各类改机工具、虚拟定位工具等。

  2021年,永安在线万款黑灰产定制型工具,其中手机端工具9.93万款,占比56.5%;电脑端工具7.65万款,占比43.5%,手机端黑灰产工具数量高于电脑端13个百分点。

  电脑端的主要是E语言为代表的协议工具,手机端的主要是按键精灵/autojs为代表的模拟操控工具,两类背后都有大量的工具开发者和使用者;由于协议工具需要对应用进行破解,相比之下,模拟操控工具的门槛更低,因此数量也更多。

  2021年监控到的手机端黑灰产作恶工具中,主要作恶类型是:按键精灵、autojs、多开/分身、Xposed、代理工具、虚拟定位。

  其中,占比最高的是按键精灵和autojs,合计超42%。可以看出,手机端还是以脚本类型的作恶工具为主。

  在典型的6大类风险中,2021年监控到的黑灰产定制型作恶工具的攻击场景,对应占比分别是:账号安全,51.48%;营销作弊,21.7%;广告引流,11.97%;刷量刷单,8%;内容爬取,6.43%;支付欺诈,0.42%。

  可见,账号安全和营销作弊,是被攻击的重灾区,尤其是账号安全场景,一旦被攻击成功,则会引起一系列如:虚假注册、信息泄露等问题,对于此场景的风险防护策略不容忽视。

  4大改机工具类型中,安卓端改机工具可以概括为三种,分别是:软改、ROM改机、硬改,在2021年,我们共监控到10余种此类工具;苹果端改机工具以佐罗为主,类似的,还有爱伪装、爱新机、爱立思等。

  此外,依托于改机技术的云手机平台,也逐渐成为了黑灰产使用的工具。黑灰产往往通过会员充值或租赁的形式,借助远程连接获取云手机的使用权限后进行攻击,一次攻击成功后,再借助平台的一键新机功能实现改机。此类云手机平台有:河马云、红手指、多多云手机、雷电云手机、云帅云手机、华云云手机、双子星云手机、NBE云、点动云手机等。

  永安在线余个安卓手机端虚拟定位类工具,以及任我行、天下游2个主要的苹果手机端虚拟定位类工具,目前在黑灰产侧用于攻击营销活动的主流工具是任我行(苹果手机端虚拟定位)和悟空分身(安卓手机端虚拟定位)。

  并且,通过对2021年的情报数据分析得出,支付类、银行类、电商类平台的特定地区优惠领券活动,最吸引黑灰产使用虚拟定位工具进行攻击,在所有虚拟定位攻击相关的事件中,占比分布是:57%、14%、13%。主要因为此类平台开展的限定地区领取权益的营销活动优惠力度大,且黑灰产能对领取的权益进行变现,故使用修改定位的方式进行获利。

  黑灰产在对各大平台进行攻击后,会将自己的“战利品”分销变现,此时,黑灰产一般会选择在各大发卡网站上进行售卖,以获得收益。

  发卡平台:类似“淘宝”,黑产特有的交易网站,在上面可以陈列商品进行售卖,特点是伪装性强,一般一个链接对应一个店铺,而链接通常只有“内部人”才知道。

  2021年,永安在线+个发卡网站,在这些黑灰产交易网站上,共有16W+店铺在售卖各类黑灰产资源,合计6大类,30+个商品品类。

  黑灰产第一大资源交易变现品类为账号类商品,占比近60%,其次是优惠券类商品,占比近15%。

  2021年,永安在线监控的黑灰产市场全年的账号资源交易中,主要涉及的TOP3行业是:内容行业,35.70%;社交行业,24.58%;电商行业,23.32%。

  内容社区行业的黑灰产交易账号,最终被用于引流和刷量,是虚假流量和代写代发的核心资源。

  社交行业的黑灰产交易账号,主要用于引流和欺诈,此类账号的交易流转,是社交平台上内容风险和用户安全的问题根源。

  电商行业的黑产交易账号,主要用于薅取优惠权益,批量购买优惠商品。为了提高攻击效率,黑灰产多数情况下会提取这些账号的cookie或token数据,再配合工具完成自动化批量攻击。因此,电商行业的账号大量交易,会带来平台的巨大资损。

  黑灰产在对各大平台进行攻击后,会将自己的“战利品”分销变现,此时,黑灰产一般会选择在各大发卡网站上进行售卖。在账号类交易之外的黑灰产资源变现商品品类中,优惠券资源交易占比最高,达66.03%,其次是会员代充,占比17.59%。

  黑灰产优惠券资源的来源主体还是以各大电商平头为主,占比超97%;而接近50%的会员转卖/代充发生在音视频及内容社区行业,其中大部分属于异业合作的特惠会员,黑产往往会从这些平台的合作方渠道获取优惠的会员,之后再以低于官方的价格进行售卖。

  据永安在线观察,“断卡行动”虽然对黑灰产造成了有效的打击,但他们通过海外卡、拦截卡、私接等方式,避开了各类限制,使黑手机卡成功的“死灰复燃”,为各个风险场景的作恶,提供了充足的弹药。这种对抗上的变化,体现出黑灰产顽强的生命力和对抗能力。

  国家从2020年10月10日开始,对涉嫌违规的手机卡和银行卡实施“断卡行动”,这两种卡都是黑灰产最主要的作恶资源,而在“断卡行动”开展的一年多以来,作为必不可少的一环,黑灰产在手机卡资源的使用上有了新的趋势。

  永安在线月,恰好就是传统黑手机卡月活跃量的拐点:在这之前一直维持着较高的增长水平,在这之后,整体趋势上不断下降。

  *传统黑手机卡:指非正常实名的手机SIM卡,渠道多样,有企业匿名、历史物联网卡、通信虚拟等等,主要特征是“在生命周期内被黑产固定持有”,即在这个期限内无论注册哪个平台,进行什么行为均可判断为恶意。

  “断卡行动”之后的14个月里,国外传统黑手机卡的月活跃量基本上都高于国内传统黑手机卡的月活跃量。这一方面是因为“断卡行动”主要打击的是国内的手机卡,但另一方面也表明,黑产开始更多的使用国外的传统黑手机卡对于国内公司进行业务攻击。

  断卡行动的2020年10月,恰好也是拦截卡和传统黑手机卡月活跃量占比的拐点:在2020年10月的“断卡行动”后的14个月里,拦截卡月活跃量基本高于传统黑手机卡的月活跃量。可见在“断卡行动”后,黑产更多的使用拦截卡作为作恶资源。

  (拦截卡:指通过设备硬件后门或软件App方式植入木马,拦截正常用户手机设备收到的短信内容,利用其进行恶意注册,其主要特征是“手机号为自然人持有”。因这种黑卡采用拦截短信内容的方法进行恶意行为,我们简称其为“拦截卡”)

  从群接码数据和活跃的接码群上看,在“断卡行动”后,无论是群接码数据还是活跃的接码群都大幅增加,可见,“断卡行动”让大部分卡商感觉到了风险,因此在传播方式上,普遍把传统黑手机卡,从接码平台上转移到了隐蔽性更高、私密性更好的群接码上。

  群接码:群接码是具有高质量黑卡资源的黑产资源商,为防止被监测,以及汇聚客户资源,通过部署的私有化黑卡资源库,并向消费者定向发送手机号,并在QQ群接收验证码的方式进行注册登录的一种接码方式。

  //“断卡行动”后,除群接码方式外,黑灰产也更多的使用项目私接的形式进行接码

  黑灰产接手机验证码的方式,除了转移到使用群接码之外,还更多的转移成了项目私接的形式:提供专属API的形式进行接码,需要单独联系客服才能进行账号注册和充值,并且项目会受到限制,一个平台账号一般只能对接开户的单独项目和号码。

  而从2020年、2021年两年的,黑手机卡私接验证码舆情变化上看:在断卡行动后,项目私接的舆情有一个很明显的上升,之后的11月虽有回落,但依然比10月“断卡行动”前高7倍。而且,在这之后,项目私接的每月舆情数都在不断增加,在2021年10月达到高峰,之后的11月、12月舆情虽有回落,但依然维持在较高水平,可见“项目私接”形式的手机验证码获取,逐渐成为黑产的主要攻击方式。

  黑灰产除了会使用各类工具进行自动化攻击外,还会使用IP资源进行身份伪装绕过。

  2021年,永安在线监控的秒拨IP日活跃平稳,它已然成为支撑黑产与甲方在IP层面博弈的核心技术,也是当下业务安全行业的痛点之一。

  秒拨的底层思路就是利用国内家用宽带拨号上网(PPPoE)的原理,每一次断线重连就会获取一个新的IP。这在与甲方的IP策略对抗层面,给予秒拨两个天然的优势:

  IP池巨大:假设某秒拨机上的宽带资源属于A地区电信运营商,那么该秒拨机可拨到整个A地区电信IP池中的IP,少则十万量级,多则百万量级;

  难以识别:因为秒拨IP和正常用户IP取自同一个IP池,秒拨IP的使用周期(通常在秒级或分钟级)结束后,大概率会流转到正常用户手中,所以区分秒拨IP和正常用户IP难度很大。

  秒拨的这两大天然优势,对于黑产而言,是两道天然的屏障,同时也给甲方在风险IP识别和判定上带来极大的挑战。

  2021年活跃的风险IP类型中,家庭宽带占比最高,达65%,其次是数据中心,占比达7%。

  当前形势下与黑产在IP层面上的对抗,依靠传统的积累IP威胁情报库的方式,无法直接应用和落地到业务侧,典型的使用效果是:对黑IP的检出率很高,但对正常用户IP的误判率也很高。

  所以,识别风险IP的核心依据应该是,该IP是否当下被黑产持有,IP的黑产使用周期和时间有效性这两个指标尤为重要,尤其是对于像家庭宽带IP、数据中心主机IP这种“非共享型”的IP。

  对于像家庭宽带IP、数据中心主机IP这种“非共享型”的IP,精准识别出来的风险IP可以直接进行阻断或限制,针对基站、专用出口等“共享型”的IP,由于单个IP背后会有大量用户,不建议直接阻断或限制,可以参与加权或结合其他维度的数据进行综合判断。

  2021年,在黑灰产攻击上也出现了一些突出的现象,如:因小程序高速发展带来的微信授权的大规模泛滥、数字化经济发展衍生的用户信息安全问题、因API的管理失控带来的数据泄露问题,都值得大家关注。

  2021年,黑灰产利用众多因违规被封、不能正常使用支付等重要业务功能,但仍然可以授权各类平台的微信号进行不同业务登录,从而生成新身份的微信登录攻击方式猖獗一时。

  第一种是,使用62或A16数据,配合孔雀签或外星人工具进行微信账号登录后扫码授权。

  a16、62数据是微信登录后产生的身份凭证数据,有了a16或者62数据就可以实现免账号密码,免验证登录微信。

  第三种是,使用如“利群”类微信授权平台,提供的API接口,集成到自动化工具中,进行登录。

  这三类微信授权的作恶方式,为黑产提供了丰富的攻击弹药,从2021年开始,此类微信授权便逐渐规模化,在发展高峰期间,甚至达到了:活跃的授权平台数十家,活跃的授权APP数十个的规模,同时,黑产市场上活跃的微信账号也超百万量级。

  但后来由于微信对于账号的治理,大量微信授权平台倒闭跑路,而这项黑产“生意”,也如昙花一现,迅速凋零,到如今只有很少一部分存活。

  除此之外,基于微信授权平台开发的自动化工具数量也在巅峰之后,极速下降。

  2021年,经过永安在线人工运营和专家分析,共监测到有效数据泄露情报事件共1700余起,涉及企业近500家,涉及30多个行业。其中11月份事件数量剧增,较10月份上涨2倍,这主要因为双十一购物节后大量电商网购、物流快递信息泄露导致。

  其中,快递/物流行业为数据泄露事件数排名第一的行业,占比为25%;借贷行业排名第二,占比近21%,证券行业排名第三,占比近15%。

  根据永安在线对国内各行业的,数据资产泄露风险监测统计结果显示,快递/物流行业为数据泄露事件数排名第一的行业,占比为25%;借贷行业排名第二,占比近21%,证券行业排名第三,占比近15%。

  泄露后的数据,通常会被用于诈骗、广告推广和同行竞争等。以诈骗为例,每个行业数据泄露后的诈骗手法都有所区别,以下是TOP5行业常见诈骗手法:

  2021年泄露的数据中,数据类型主要集中在平台用户信息,占比达98%;其次是公民个人信息、数据库账号、后台源码信息等。

  平台用户信息泄露,极有可能会被用于各种类型的营销推广,同时也是诈骗频发的重要原因。

  黑产进行数据交易,主要集中在隐蔽性较高的渠道,其中,Telegram占比近80%、暗网占比近19%。

  数据资产的数字经济时代的重要性不言而喻,在目前已成为一种新型生产要素,推动着各行各业的发展。因此,对数据的窃取变成了黑灰产作恶的重要部分。API作为承载数据流转和业务功能实现的核心,在2021年成为黑灰产攻击的焦点,也是致使数据泄露事件频繁的重要原因。

  //大量黑灰产作恶工具攻击API接口,涉及场景丰富,其中账号场景接口数占比高达63%

  永安在线万款黑产工具中,提取出了大量被攻击的API接口,涉及场景包括:登录场景、验证码场景、注册场景、活动场景、内容场景等。

  其中,遭受攻击的API接口占比最高的是登录场景,达44%;其次是验证码场景,达22.2%;第三是注册场景,达19.31%。

  2021年永安在线余起数据泄露事件进行分析后发现,引发数据资产泄露最大的原因有:

  (1)API管控不当造成的内部安全缺陷,占比达45.45%,这主要是企业数据流转节点的不断增多,导致大量无法感知到的API暴露在外,被黑产利用并进行攻击导致;

  值得一提的是,在排名第三的原因——内部人员泄露中,也有很大的可能是内部人员越权而非法利用了API,或者是离职员工权限未及时收回导致。因此,实际上因API管控不当造成的数据泄露风险已超过50%,这是在当下数据安全管控趋严的环境下,众多平台首先要解决的问题。

  2021年7月,国内某大型教育机构的40万条用户信息数据,在暗网被售卖。经验证分析,证实为:数据接口暴露在外,API被爬取导致;

  2021年8月,国内某房地产开发商的公司内部员工通讯录、销售合同等以及客户信息档案明细数据,在暗网被进行售卖。经验证分析,证实为:数据接口暴露在外,API被爬取导致;

  2021年9月,国内头部旅游公司的大量航班订单数据,包括:个人姓名、手机号、飞机起降时间、航班号等敏感信息,在数据交易平台被售卖。经验证分析,证实为:内部系统API,被内鬼利用获取数据导致;

  2021年10月,国内头部物流公司后台系统的订单数据,包括:寄件人姓名、手机号、运单编号、产品类型以及配送信息等敏感数据,以每日5万条的量级在数据交易平台被售卖。经验证分析,证实为:离职员工数据访问权限,未及时收回导致;

  2021年11月,国内某大型航空公司的航班数据,包括:航班信息、用户姓名、手机号等内容,在数据交易平台被售卖,量级达1千多万条。经验证分析,证实为:内部数据API,被离职员工利用导致;

  2021年12月,国内某证券公司的客户信息数据,包括:用户姓名、手机号、开户时间、交易情况等敏感数据,以每日1万多条的量级在数据交易平台被售卖。经验证分析,证实为:内部系统数据API管控疏忽导致。澳门论坛六肖资料12码

------分隔线----------------------------