【反欺诈场景剖析】虚假帐号的产生和流转

【反欺诈场景剖析】是威胁猎人黑灰产报告的一个系列，咱们但愿经过对反欺诈实际场景的剖析出发，帮助企业发现业务风控过程重的核心关键点。此篇主要介绍反欺诈场景中虚假帐号的产生和流转规模化的背后，以及如何对黑灰产作恶的关键节点的监控来实现对企业自身虚假帐号风险的管控。根据威胁猎人鬼谷实验室统计，全网恶意注册发起的攻击每日就可达8327380次。虚假帐号平均每日活跃量可达1389107次，平均每张黑卡每日进行6次攻击。

恶意注册是业务风险的起点，也是企业风控的核心关键点。 当今黑产以恶意注册为表明的各种攻击资源已经高度的模块化和市场化，产业链不一样层级的团伙专一于不一样的任务而又配合严密，而究其根本，是强自动化使得攻击变得可复制，进而造成套路化的盈利模式，对企业资产形成威胁。若是企业没法及时发现问题，采起有效对抗策略，将在业务上面临巨大损失。
 

商业模式转变带来黑灰产核心资源的变化

黑灰产这条产业链伴随国内互联网发展二十余载，能够说是很是执着，也占尽了便宜。 早些年， 黑灰产就开始控制我的电脑作为肉鸡来进行Ddos、刷广告、安装流氓软件等变现。一台台实际的物理电脑就是黑灰产的核心资源，谁控制的越多，谁就赚的越多。

这个时代下的互联网黑灰产之因此是这种逻辑，也是由于互联网早期的商业模式很是集中在线上广告，在PC互联网时代这种线上广告的结算逻辑是以电脑设备为单位，各个互联网厂商也是以安装量、激活量及活跃量等来构建本身核心商业逻辑。

彼时，设备数量不仅是当时互联网黑灰产的核心资源，同时也是当时整个互联网的核心资源。

2007年第一台iPhone发布，打开了移动互联网的豁口，PC互联网世界经历大洗牌。 智能手机问世之后，开始把曾经存在在PC上的媒介、市场逐渐招揽到移动端来。

很快，互联网承载的业务场景由于移动属性呈现出爆发式增加，商业模式上我的付费能力及意愿也在快速加强，愈来愈多的人愿意享受内容付费带来的服务，如，开通VIP会员，购买线上课程等等。这时互联网产生的链接已经再也不只是内容和设备的链接，而是场景和个体的链接。

互联网的核心资源也从设备变成到了个体，存在于互联网中的每个网民就是新互联网时代的争夺对象。

与此同时，黑灰产也逐渐向移动互联网的场景转移。 咱们清楚地观察到，互联网黑灰产从以前的经过色情流量下发木马到用户电脑，取得电脑控制权后变现的模式，变成了经过大量手机号在各个互联网核心业务场景注册恶意帐号，并经过这些帐号在业务场景中变现的方式。
 

以恶意注册为核心资源的黑灰产做恶

随着商业模式的变化，电商平台薅羊毛、直播平台刷量、社交平台刷粉、网络诈骗等各类以虚假帐号为核心资源的黑灰产攻击开始涌现。

以直播平台刷量为例，经过刷量能够帮助主播上各类排行榜；给主播购买僵尸粉，能够增长主播的粉丝数；在主播的直播间购买水军，能够增长直播间人气等等。一方面，这些数据能够直接在平台折现成现金奖励，由此获利；另外一方面，伪造人气能够吸引更多的粉丝，进而经过粉丝打赏获利。

根据威胁猎人鬼谷实验室统计，全网恶意注册发起的攻击每日就可达8327380次。这背后涉及到的黑卡资源，平均每日活跃量可达1539107张，平均每张黑卡每日进行6次攻击。其中，受恶意注册影响最严重的行业有金融、电商、媒体、社交和生活服务。能够明显发现，恶意注册攻击的目标通常具备高盈利性质或是高流量性质，可见下游的变现需求是驱动恶意注册进行的根本。



每张黑卡的重复使用率都很是高，由于在中国国情下的黑灰产攻击具备明显的流动性，即同一行业每每面临共通的黑灰产攻击，攻击门槛更低、防御较弱的企业产品更容易吸引攻击。当某厂商攻击难度提升后，相关人员会迅速的转向同类别的其余厂商。各大企业在解决问题上的思路与措施有必定的类似性，也形成了黑产绕过方式与攻击工具的可复制性很是高。

在这样的状况下，若是企业不了解的黑灰产的攻击手段，没法识别其掌握的大量虚假帐号，就不能结合企业自身状况制定最低成本与最低损害正常业务的策略进行防守。

恶意注册规模化的背后是效率平台的发展

当今黑产以恶意帐号为表明的各种攻击资源已经高度的模块化和市场化，产业链不一样层级的团伙专一于不一样的任务而又配合严密，而究其根本，是强自动化使得攻击变得可复制，进而造成套路化的盈利模式，对企业资产形成威胁。

根据威胁猎人鬼谷实验室的研究分析发现， 恶意注册所得帐号为消耗型商品，各厂商经过各式安全策略处理做恶帐号的同时，新生的恶意注册帐号会不断填充被处理做恶帐号缺失的部分。虽然有些帐号在封禁后，能够经过发送短信、接收语音验证码等方式对帐号进行解封，但实际解封率极低，缘由有两点：一是黑产解封一个帐号花费的时间远长于注册帐号所需的时间；二是在不少场景下，黑灰产在帐号封禁前已经完成了变现，此时解封一个封禁帐号的价格成本远高于注册一个新帐号。

以下图，是同一时期内，新生恶意注册帐号和二次解封帐号的比例：

图为：恶意注册帐号新生量与解封量对比

能够看出，在同一时期内，恶意帐号的新注册量远远大于解封量。因而，在整个大批量恶意注册的过程当中，如何提高整个运做过程的效率和下降恶意注册的成本，是做恶的核心关键点。

因而在整个黑灰产的发展过程当中，“接码平台”“发卡平台”及其相关产业成为了恶意注册产业链中相当重要的一环。



图为：利用接码平台、发卡平台完成的产业链协助

接码平台——提高了整个黑灰产虚假注册的效率

接码平台其实是一个接收短信验证码平台，它诞生在移动互联网早期。当时黑灰产购买猫池设备，再插上上百张手机卡来模拟上百个天然人，完成对业务场景的恶意注册。恶意注册完以后再把设备和电话卡转卖或者租用给另一个黑灰产团队用于不一样业务场景的恶意注册。

这个过程其实很是低效。由于一个黑灰产要负责三个环节：


图为：过去利用猫池完成恶意注册

接码平台的诞生就像是一个黑灰产的“交易平台”，它的价值产生在特定两个互联网黑灰产业链节点之间。

帐号资源是众多黑产链最上游、最基础的需求，而数量众多的卡源卡商，经过接码平台能够直接在线上把手机卡的价值卖给出于中游的大量号商，取得高回报。

号商，经过接码平台的网页端，能够直接获取手机号和验证码，彻底不须要买入手机卡及相关设备，就能完成帐号的注册。


图为：利用接码平台完成恶意注册

接码平台负责链接卡商和有手机验证码需求的群体，提供软件支持、业务结算等平台服务，经过业务分红获利，通常为30%左右。

2016年11月，当时规模最大的接码平台爱码被警方查处，缴获黑卡700余万张，自此不少接码平台转入地下，有些平台也经过关闭新用户注册等措施来下降风险。以接码平台爱乐赞为例，在2018年1月关闭了新用户注册，致使平台一号难求，其平台帐号甚至达到每一个100元。目前市场已有的接码平台很是多，比较活跃的有：火云、爱乐赞、ema66六、60码、thewolf、玉米等。

随着验证码对抗的升级，注册项目再也不是经过单一的短信验证，有些须要语音验证，有些则须要二次验证，即须要注册用户使用注册的手机号向指定号码发送一条验证短信。接码平台也紧随市场变化不断升级，衍生出接收语音验证码、二次取号、发送短信的服务。

发卡平台——提高了黑灰产帐号流转的效率

发卡平台是把数字商品作自动化交易的平台，在号商完成大量帐号的注册后，他们会把恶意帐号整理后集中在发卡平台中列出，供处在产业链下游的用号方直接线上批量采购。

这就像在淘宝买一张话费充值卡同样，只是在应用的场景上，发卡平台如今已是互联网黑灰产的主要交易通道和协做平台。

用号方会根据自身做恶场景，经过发卡平台买入对应的虚假帐号，用以薅羊毛，平台刷量，帐号诈骗等场景。


图为：利用发卡平台完成帐号交易

根据威胁猎人对黑灰产的长期监测和资源统计，目前参与到发卡平台交易的黑灰产从业人员超过1万人，涉及的商品种类将近数千种，商品数量超过百万，年产值数亿元。

此外，经过追踪发卡平台上灰色商品的价格，咱们发现，价格是体现企业风控策略有效性和市场需求变化的一个很是直观的因素，商品价格越高，表明企业风控策略越有效，使得黑灰产做恶成本变高。但同时黑灰产经过攻击得到的收益也在提高，所以，在高成本的状况下，黑产依然会发起攻击，企业须要采起进一步的措施防范风险。

及时捕获黑灰产行为是控制风险的有效手段

在整个企业与黑灰产攻防战中，不一样企业的业务场景不一样会让整个攻防格局有区别。但黑灰产的核心资源始终是其控制的虚假帐号， 只要能在恶意注册这个点上对黑灰产施加有效的控制，对企业业务风控总体的风险就是相对可控的。

识别黑灰产资源

黑灰产在做恶和变现时都重度依赖于其手中持有的基础资源，包括但不限于手机号、IP、设备等。而这些黑灰产资源对于企业方来讲，是全黑的数据，若是能将将这些数据与自身业务数据进行匹配，就能够直接识别出恶意账号或黑灰产恶意行为，针对性的进行相应的风险控制。

分析黑产工具

黑灰产的攻击工具承载着黑灰产的攻击逻辑和利用的企业业务漏洞，经过对工具的监控和逆向，企业能够了解到自身存在哪些业务逻辑漏洞或者是哪些风控策略已经失效，从而提高整个攻防对抗的效率。

监控黑灰产交易变化

黑灰产交易品类和价格的变更，可以反映出企业必定周期内风控策略的有效性。例如，即便企业上线了风控策略，可是黑灰产仍然可以以很低的成本完成恶意账号的注册，则表示企业的风控策略失效了；另外一方面，若是发现黑灰产交易价格变高，反映出黑灰产攻击成本的上升，则能够看出企业的风控策略有了必定的效果。有效的风险评估，能更好地推进业务安全的落地和迭代。

如何对虚假帐号风险进行预警？

威胁猎人业务情报预警平台从黑灰产恶意注册的整个产业链出发，能对恶意注册的不一样阶段进行监控和预警，帮助企业发现和掌控本身面临的虚假帐号现状。

新增的恶意注册项目：黑灰产在实施恶意注册行为以前，首先要在相应的平台上建立一个新的项目，要求卡商提供一批可用于恶意注册的号码。而这个建立项目的行为就是黑灰产即将发起攻击的信号。威胁猎人业务情报预警平台能够经过对这一行为的监控，获取黑灰产的最新动向。

正在发生的恶意注册行为：黑灰产发起恶意注册时使用的自动化工具、利用的恶意资源、攻击的接口等，都是暴露攻击逻辑的路径。威胁猎人业务情报预警平台能够经过对这些行为的监控，帮助企业了解目前正在面临的业务安全问题，还原黑灰产攻击逻辑，进行有效的风险控制。

恶意帐号倒卖风险：在黑灰产完成注册以后，一般会将恶意注册的帐号放在发卡平台，以售卖的方式流转给其余团伙做恶。威胁猎人业务情报预警平台能够经过监控黑灰产新增或下架的帐号交易信息，及帐号交易价格的变更，帮助企业了解黑灰产攻击趋势的变更及自身风控的有效性。

关于咱们

威胁猎人是一家以业务安全情报能力见长的创新型安全企业，旨在为客户提供业务攻防情报，从防控到打击的全方位业务安全解决方案。自成立始，公司投入大量资源，打造了一整套国内领先的业务安全情报监控与预警体系，造成强大的黑灰产布控能力，为客户提供黑灰产情报及业务风控解决方案。目前已为腾讯、百度、阿里、华为等互联网企业提供业务安全服务。