據不完全統計,我國每年有超過千億資金落入黑產的口袋,其中營銷場景成為了重災區,營銷場景的業務門檻低、利潤高、自動化達成率高等特性讓黑產流連忘返,同時也給各大公司營銷業務帶來了直接或間接損失;行業內的黑產五毒:羊毛黨、黃牛黨、打碼黨、金融欺詐黨、小程序網賺黨,也成了這裡的不速之客;那今天我們就揭秘下排名五毒之首的「羊毛黨」講述下他們是如何寄生在營銷場景,腐蝕著上億的營銷資金,我們又是如何進行的防禦對抗。
羊毛黨,網絡流行語,源於1999年央視春晚小品《昨天今天明天》裡的薅羊毛一詞,指利用規則漏洞或者通過鑽研規則,在規則之內獲取一些小利益,俗稱佔便宜。羊毛黨便是對薅羊毛用戶的戲稱;黑產鏈條中,羊毛黨的軍團是非常龐大,有組織性、較強的傳播性、較強的信息感知度、以及經過了多年的進化 已經持有精良的黑產武器(黑產的自動化工具平臺類,例如早期的貓池、箱控、刷活動工具等等)組成了羊毛軍團。
攻防實驗室,通過長期的調研攻擊者樣本數據,羊毛黨的行為數據、以及來自情報平臺的分析,大致劃分幾種攻擊方式:
接口層攻擊
接口層攻擊是較為常見的一種攻擊手段之一,黑產人員通過抓取業務請求數據,解析交互過程中調用接口的邏輯關係,寫成工具批量進行作惡。
搶購小助手工具
通常,通過業務接口集成工具化散播在網際網路上,供更多的人使用是黑產傳播性的一種表現,他們為了讓廣大的羊毛黨從四面八方發起進攻獲取利益,目的讓對應系統的風控人員從數據層面很難定位到團夥,從而難以打擊;第二,黑產會試探風控策略,有目的性的進行試探攻擊,識別策略邏輯;對應的智能風控通過策略、設備指紋、行為序列、模型、圖等相結合,早已形成一道智能屏障,讓黑產之路水洩不通。
接下來我們揭秘下接口層的集成工具搶購助手的邏輯:
登錄,登錄的環節黑產一般為了不暴露自身更多的信息會供養大量的攻擊帳號,根據業務的不同,帳號的性質也有所不同;黑產通過發卡平臺+接碼平臺這種方式登錄是黑產的常見的手段,那麼當黑產把工具散播到網絡上時,就會有大量的羊毛黨利用各種各樣的帳號類型,發起攻擊,這裡不乏有自己實名的帳戶,形成了數據樣本的複雜性;當登錄成功後,工具獲取到的是本次登錄態cookie, 黑產通過一些抓包工具會從真實的操作業務流程中,抓取對應的接口,進行分析、集成,把登錄+業務接口邏輯進行了封裝,就形成了搶購小助手工具了;達到了批量作惡的目的。
作為防守方智能風控系統會通過強大的輿情系統推送過來的發卡風險手機號識別一部分風險,同時設備指紋維度、行為序列組合判斷、以及策略的聚集性部署為這種短時高頻的刷單行為埋下的定時炸彈。
搶購小助手邏輯
業務層(UI層)
業務層薅羊毛是由一些有組織,有規模的高級黑產所使用的(存在一定的運營成本),也規避了接口層的弊端,比如:https協議接口無法獲取相關報文信息、接口層存在防刷限制等;為了獲取到利益,我們的對手比想像中要強大的多,接下來我們來看下批註的腳本的邏輯圖。
批註腳本邏輯圖
對於黑產來講,熟練的使用接碼平臺 + 發卡平臺是入門黑產黑科技門檻之一。
發卡平臺:負責提供大量不同類型的帳號,這裡面包含了實名帳號、未實名帳號、帳號+密碼以及帶CK帳號、老白帳號、新帳號、等等各種帳號的集結地,統稱發卡平臺。
接碼平臺:負責接收發卡平臺提供的手機號的簡訊消息(現階段已經有大量的接碼平臺轉移到QQ趨勢)。
紅手指:紅手指是一種雲控的手機,可以通過客戶端直接接入到雲端手機,提供方負責運營,收取一定的使用費用,也是近些年來黑產所使用的利器之一。
篡改工具:手機端的篡改工具是通過軟體形式,改變機型的屬性,讓機器的本身屬性發生變化的一種方式,篡改行為在黑產鏈所使用的目的主要是為了繞過智能風控-設備指紋進行非法行為,使用較為普遍。
通過發卡平臺 + 接碼平臺相結合登錄系統,讓風控難以發覺異常,黑產登錄後,才開啟了真正的拉鋸戰;魔高一尺道高一丈,攻防是在每一分每一秒間進行著,風控系統對於黑產來講,是一道不可逾越的屏障,一道道的策略為他們部下了天羅地網。經過這些年攻防進化,高端黑產人員也已經積累了一定的防守知識,形成了不同的攻擊策略,黑產為了繞過策略限制雲控+篡改軟體+自動化行為,試圖繞過智能風控,通過腳本控制雲端多個手機,每次操作,進行一次篡改設備,進行批量的操作的行為。這種攻擊成為業務層攻擊(UI攻擊),UI攻擊的特點在於,可以模擬普通用來操作頁面,讓風險感知降到最低,企圖繞過智能風控系統作惡。
這種行為早已讓智能風控所識破,黑產的攻擊在不斷的演變。智能風控在對抗黑產中的本質就是:在攻防中持續提升自身能力,得到自我學習和自我進化。
-----------------------------------------
(市場有風險,投資交易需謹慎。據此投資交易,風險自擔。)