無監(jiān)督AI引擎下“摸瞎”的黑產(chǎn)“十八般武藝” | 維擇下午茶

2018年是流量紅利的巔峰之年：社交領(lǐng)域，抖音對外宣布日活超過1.5億；微信的全球用戶賬號數(shù)量突破10億大關(guān)；電商方面數(shù)據(jù)同樣驚人，淘寶作為電商巨頭，平均每月用戶活躍達6億，相當于中國人口數(shù)量的一半；后起之秀拼多多的年度活躍買家超4億。

社交和電商平臺的瘋狂增長改變了數(shù)億人的生活方式，但同時黑灰產(chǎn)業(yè)的目光也聚焦在這方沃土，通過批量創(chuàng)建大量虛假賬戶、虛假點贊、虛假評論、盜號等手段牟取不法利益，危害在線用戶權(quán)益和平臺的健康生態(tài)。

社交平臺和電商平臺的運營中存在哪些欺詐？面對不斷升級的欺詐手段又該如何應(yīng)對？5月18日，雷鋒網(wǎng)記者應(yīng)邀參加了DataVisor維擇科技智能風控沙龍，第一期活動以“黑產(chǎn)”為主題展開討論。

沙龍由DataVisor中國區(qū)客戶部負責人趙樺擔任主持人，她向與會嘉賓介紹了今天的兩位主講人——DataVisor黑產(chǎn)研究員、高級技術(shù)經(jīng)理周君楨以及DataVisor中國區(qū)技術(shù)負責人崔宏宇。

以下是雷鋒網(wǎng)整理的此次沙龍分享內(nèi)容：

 

一

周君楨曾在一線接觸各類灰色中介和黑產(chǎn)從業(yè)人員，他深入暗網(wǎng)等多個交易平臺進行研究，目前，他已經(jīng)揭露社交平臺批量注冊手法，電商刷量手法數(shù)十種，撰寫產(chǎn)業(yè)研究報告數(shù)十篇。

在主題為《批量注冊黑產(chǎn)研究》的演講中，周君楨就黑產(chǎn)的市場環(huán)境、操作手段以及實際案例為在會嘉賓進行了精彩分享。  

DataVisor黑產(chǎn)研究員周君楨

150萬黑產(chǎn)從業(yè)者，年產(chǎn)值達千億

周君楨稱，相比前些年，黑產(chǎn)越來越呈現(xiàn)出團伙性的活動行為，他們有專業(yè)的分工，還有一個相對規(guī)模化的運作流程。對于企業(yè)、個人，黑產(chǎn)集團的頻繁活動無疑會對其造成極大損失。

2018年末，某知名咖啡連鎖品牌啟動了一次圣誕節(jié)前夕的營銷活動——凡是通過APP注冊賬戶的新會員均可獲贈一份邀請券并可在線下兌換咖啡。

該活動在一天半之后被官方叫停（預(yù)計活動時長為一周）。原來，此次營銷活動被黑產(chǎn)通過批量注冊的方式拿到大量賬號進行批量注冊。在這之后，絡(luò)繹不絕的消費券落入到黑產(chǎn)手中并在之后被用于線下兌換或者轉(zhuǎn)賣。

“據(jù)統(tǒng)計，有40多萬的賬號是通過批量注冊的方式拿到優(yōu)惠券，活動進行了一天半已經(jīng)達到一千多萬的損失。這種行為對于線下門店是一個災(zāi)難性的干擾，因為這樣不僅僅影響了消費者的用戶體驗，更會讓企業(yè)的運營推廣遭受很大損失。”

據(jù)粗略統(tǒng)計顯示，近兩年有150萬的黑產(chǎn)從業(yè)人員，這其中包括一線的人員和一些上游的開發(fā)者以及黑客，黑產(chǎn)的年產(chǎn)值規(guī)模達到千億級別，其對應(yīng)的損失也是非常巨大。

周君楨在這里列出了四個常見的黑產(chǎn)攻擊手段：

1、薅羊毛獲利

• 新用戶注冊紅包——很多企業(yè)推廣新用戶注冊時的紅包獎勵機制。黑產(chǎn)只要通過無線手機號去注冊這些賬號，就會得到相應(yīng)紅包獎勵，以此直接獲利；

• 邀請獎勵——包括一些自媒體平臺在內(nèi)，邀請獎勵的活動機制已經(jīng)見怪不怪。黑產(chǎn)往往會采用群組任務(wù)的模式批量邀請，以此牟利；

• 大額優(yōu)惠——黑產(chǎn)通過前期的檔案賬號監(jiān)控各大平臺上商品的價格走勢，一旦發(fā)現(xiàn)漏洞就優(yōu)先獲取大額優(yōu)惠的權(quán)限，再通過優(yōu)惠規(guī)定進行商品兌換或者轉(zhuǎn)賣（變現(xiàn)）；

2、虛假流量

拿到批量賬號之后，黑產(chǎn)通過在社交平臺刷流量、刷評論、刷點贊或刷閱讀量獲利，這樣的惡意行為會直接影響平臺的公正性。

以某寶刷單為例，如果交易都是通過刷單進行會直接影響到平臺本身的系統(tǒng)推薦算法，那么低劣商品的店鋪將具備與高質(zhì)量店鋪一樣的權(quán)限和推薦位置。如果是一個正常用戶輸入關(guān)鍵詞搜索該商品，劣質(zhì)商鋪曝光率激增會直接造成消費者投訴，給平臺聲譽帶來影響。

3、惡意言論

惡意言論更多地涉及社交平臺或者媒體平臺，他們拿到大量賬號，操縱發(fā)布涉黃、涉賭、涉

政的消息，從而影響到公共安全。為積極響應(yīng)監(jiān)管需求，通常會采取相應(yīng)措施去規(guī)避這些行為。

4、垃圾營銷 

生活中常見的刷微博、刷新聞的行為，是通過一些垃圾賬號進行批量發(fā)布，騷擾平臺用戶，影響用戶體驗。

黑產(chǎn)操作流程大揭秘

那么，黑產(chǎn)具體是如何執(zhí)行操作的呢？在這里，周君楨從操作平臺、操作軟件和操作工具三個方面進行了介紹。

首先是操作平臺。

1、接碼平臺

• 黑卡（手機卡）——由于國家對實名制的要求，一切平臺注冊來源都是手機號。通常來說，黑產(chǎn)獲取的手機卡主要分為流量卡、實名卡和海外卡三種，他們會從運營商或者是卡商手中拿到大量的手機卡。

上述三種手機卡中，流量卡可以直接通過注冊企業(yè)的方式拿到，而實名卡則需要黑產(chǎn)通過技術(shù)手段獲取到實名信息，或者是很直白的向?qū)嶋H的網(wǎng)賺個體戶來購買，從實名用戶手中買來一個手機卡需要幾十元。海外卡可以在國內(nèi)正常使用，不需要實名，且價格便宜（一到兩塊）。

• 貓池——拿到黑卡之后，下一步驟就是養(yǎng)卡。通過貓池，黑產(chǎn)不僅可以在不同卡之間模擬定期撥打電話，還可以進行收發(fā)短信，甚至進行一些流量的消耗。這種模擬讓黑卡的使用情況趨于正常的電話卡。

  
  

紅圈中為接碼售價

接碼平臺相當于是一個中介平臺，它集合了所有的卡商用戶，卡商會把它的電話卡寄存在這個平臺。養(yǎng)卡的過程中，黑產(chǎn)從業(yè)者會通過API批量注冊或者個人注冊的方式拿到黑卡的驗證碼信息。接碼平臺可以對短信、語音驗證碼進行識別，從而用手機卡在各個平臺進行注冊。一條驗證碼的價格一般在一毛錢到四塊錢左右。

2、打碼平臺

對于手機卡初測，大多數(shù)平臺為了驗證手機號主人的身份會先進行公共測試，這主要是為了驗證操作者是人還是機器，打碼平臺的對接可以突破驗證流程。

突破的具體方法，簡單來說分為三種。第一個是通過A.I.識別，這種很簡單的識別方式只適用于最簡單的驗證流程，在未來使用的會越來越少；第二個是通過腳本操作的方式，定點的取一個滑塊元素進行驗證；對于復(fù)雜的驗證流程，可以通過人工打碼方式完成，這是最原始的方式，其成功率也最高。

3、料商

手機號突破驗證碼限制，不僅僅只需要驗證碼一個要素，有的可能會需要機主的個人身份信息實名。料商平臺上會有四件套（手機、身份證、銀行卡和網(wǎng)盾）供卡商購買，一個四件套價格在1000到1200元不等。因此，目前很多人通過黑客手段從很多的網(wǎng)站平臺獲取資料，或者干脆粗暴的“收養(yǎng)”人肉。

再者是操作軟件。

具備了基本條件后，有幾種操作工具是黑客必不可少的“錦囊妙計”。

1、改機

手機通過安裝安改機軟件，后臺平臺會檢測用戶注冊手機的一系列參數(shù)，比如說IMEI號或者是DSID這些號碼。然后可以對該設(shè)備進行一鍵清機的操作刷掉歷史注冊的一系列參數(shù)，并模擬出一套新的參數(shù)。

當然，手機的原參數(shù)可以備份，因此支持后期登錄恢復(fù)到之前狀態(tài)。盡管目前有很多攻防手段可以攔截這種一鍵清機的操作，但改機本身種類各異，黑產(chǎn)開發(fā)者往往根據(jù)其用戶需求開發(fā)出形形色色的軟件功能，以達到清機目的。

2、改IP

網(wǎng)絡(luò)環(huán)境下的操作，以修改GPS、IP為主。黑產(chǎn)會通過VPN的方式代理到一個網(wǎng)絡(luò)平臺上，可以在指定的IP領(lǐng)域進行切換；GPS也可以通過手段定位到任意位置。

最后是操作工具。

1、注冊機

注冊機集成了所有需要注冊的要素，其主要實現(xiàn)了接碼平臺的全部功能。不同之處在于，有時驗證過程需要模擬類似人手點擊、截屏、模擬重力加速度等操作，在注冊機上會有各種自動化工具的啟動模塊，更加方便黑產(chǎn)操作。

總結(jié)下來，黑產(chǎn)的操作流程為——首先通過解碼平臺拿到大量手機號和驗證碼，再通過打碼平臺通過行為驗證碼驗證，然后從料商手中拿到個人信息進行輔助驗證/注冊，使用突破安全攔截的工具接管軟件進行刷量等的操作。

周君楨稱：“賬號是一切黑產(chǎn)作惡的來源，因為現(xiàn)在沒有什么是不需要賬號的，這也體現(xiàn)出了賬號的價值所在。因此，保護好手中的賬號，就是預(yù)防黑產(chǎn)最有效的一步。”

 

二

崔宏宇負責過如Pinterest、Yelp、阿里巴巴和獵豹移動等大型互聯(lián)網(wǎng)企業(yè)的機器注冊、虛假評論、垃圾郵件、欺詐交易和虛假應(yīng)用安裝等場景的反欺詐建模 。在模型調(diào)優(yōu)、特征工程和算法開發(fā)等領(lǐng)域都有著豐富的經(jīng)驗。

今天，她以《運用自動化AI技術(shù)打擊“智能化”網(wǎng)絡(luò)欺詐》為主題向在座嘉賓分享了黑產(chǎn)的攻擊模式、攻擊渠道、攻擊周期和目標用戶，并介紹了DataVisor無監(jiān)督引擎的運作原理。

 DataVisor中國區(qū)技術(shù)負責人崔宏宇

黑產(chǎn)也在“智能化”

隨著互聯(lián)網(wǎng)的發(fā)展，黑產(chǎn)團體作案的規(guī)律性越來越弱。由于很多賬號的偽裝做的很好，較為傳統(tǒng)的檢測工具并不能發(fā)現(xiàn)所有問題賬號。

“這是因為黑產(chǎn)刻意尋找平臺漏洞，并有目的的進行攻擊。黑產(chǎn)試探性的探索平臺的規(guī)則，比如說有些平臺會設(shè)立新注冊賬號在幾天之內(nèi)不能做某些事情，黑產(chǎn)用一個誘餌賬號可以試探出來，之后繞過即可。”

類似上述攻擊模式不光出現(xiàn)在互聯(lián)網(wǎng)平臺，金融平臺也會出現(xiàn)同類現(xiàn)象，這種情況下通過規(guī)則的制定來攔截很難有效。

為了更加清晰的解釋上述觀點，崔宏宇對黑產(chǎn)的攻擊趨勢變化進行了拆分講解。

1、IP

IP在風控領(lǐng)域是一個比較重要的字段，幾乎每家安全廠商都會有自己的IP黑名單庫。在之前，黑產(chǎn)會用很多的代理IP來進行批量注冊賬號，或者是做虛假的下載安裝這樣的操作。但目前的統(tǒng)計表明，在DataVisor觀察的所有欺詐賬號中，只有9%來自于云服務(wù)賬號。

和之前比，這個數(shù)字已經(jīng)有所降低了。這也說明攻擊者正慢慢的從云服務(wù)IP轉(zhuǎn)向一些正常的IP，以更好的隱藏自己的來源。同時，黑產(chǎn)的IP代理工作更傾向于小的代理廠商，而繞開了策略相對完善的大廠。

此外，黑產(chǎn)選擇IP的趨勢正朝著正常的移動網(wǎng)絡(luò)的IP轉(zhuǎn)變。正常IP段行為更多，這使得攔截攻擊的難度增加。

2、域名、電子郵件

研究發(fā)現(xiàn)，惡意域名的變化頻次很高。以一個黑產(chǎn)群組為例，一次性域名更多，這使得傳統(tǒng)的規(guī)則很難及時追蹤到高頻的域名變化。

圖中是一個欺詐賬號群組的數(shù)據(jù)，該群組涉及2000用戶，有5000筆交易，涉及的轉(zhuǎn)賬金額有數(shù)百萬美金。

據(jù)統(tǒng)計，該群組一共使用了119個域名，其中包含了一些很罕見的域名以及一次性域名。也有攻擊者會在兼顧成本的情況下購買合規(guī)的域名，以此直接繞過審核程序。

3、用戶名

通過用戶名做風控規(guī)則，早期的攻擊者會有用戶名庫做隨機組合，其一定會出現(xiàn)高頻重復(fù)的情況，可以通過一些規(guī)則進行風控。但是，現(xiàn)階段有很多攻擊者會在網(wǎng)絡(luò)上去爬去真實的用戶名，傳統(tǒng)的風控系統(tǒng)將不再適用。

4、APP安裝

現(xiàn)階段APP安裝造假并非只是到安裝一步截止，甚至還會模擬用戶的使用行為。這種情況下，傳統(tǒng)風控系統(tǒng)很難發(fā)揮作用。

5、批量注冊轉(zhuǎn)向盜號

新注冊的批量賬號沒有正常行為，這樣很容易被風控系統(tǒng)策略抓住。因此，現(xiàn)階段更多攻擊者使用盜取賬號，這讓賬號的歷史、行為十分正常，因此就可以反復(fù)使用。

DataVisor無監(jiān)督機器學習引擎

那么，上述的問題應(yīng)該如何解決呢？崔宏宇稱，DataVisor目前已經(jīng)分析了400億個事件，保護了全球7億個賬號。實踐經(jīng)驗證明，AI加持下的風控系統(tǒng)更加實用。

傳統(tǒng)的解決方案通常是設(shè)備指紋、規(guī)則引擎和有監(jiān)督，它們不能及時應(yīng)對黑產(chǎn)的變化。DataVisor開發(fā)了一套無監(jiān)督的檢測引擎。該引擎從全局角度在高維上做聚類分析，然后通過分析賬號之間的關(guān)聯(lián)抓到有關(guān)聯(lián)的攻擊群組。

這種無監(jiān)督不需要前期的標簽訓(xùn)練，因此可以在早期階段批量預(yù)警。同時，無監(jiān)督的方式可以覆蓋上面提到幾種無規(guī)律的變化情況，因為從單個維度來看就很難確定其攻擊的來源，但群組分析就可以從全局角度分析出相對具象的結(jié)果。

“風控和業(yè)務(wù)之間的結(jié)合，可以讓無監(jiān)督機器學習從不同緯度對用戶進行分組。為了降低對計算空間的需求，高維空間之間的相似性資源需要從單變量分析和多變量分析兩個維度來進行降維分析。”

最終，分析后的群組會進行打分，根據(jù)其分布的維度情況，可以直觀的觀察到群組行為情況并對此進行封禁處理。

崔宏宇稱，無監(jiān)督的最大優(yōu)勢一方面在于可以檢測一些尚未預(yù)料到和常態(tài)的黑產(chǎn)行為，另一方面能夠適用于快速變化的攻擊模式，不會衰減很快。

雷鋒網(wǎng)得知，此次沙龍邀請到了來自來阿里巴巴、京東、美團、轉(zhuǎn)轉(zhuǎn)、每日優(yōu)鮮、民生銀行、小米、幸福消費等國內(nèi)知名互聯(lián)網(wǎng)企業(yè)和金融機構(gòu)的超40位代表參加。

會上，各位嘉賓針對無監(jiān)督算法積極提問，并就自身（公司）遇到的實際情況與兩位演講嘉賓展開激烈討論。值得一提的是，此次沙龍僅為“維擇下午茶”的首秀，后期將陸續(xù)在全國多地開展，分享更多關(guān)于安全方面的研究和發(fā)現(xiàn)，同時也以此作為DataVisor與行業(yè)內(nèi)外溝通交流的橋梁。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。