2018年上半年短視頻行業黑灰產研究報告
聲明:
本報告版權屬於威脅獵人情報中心,並受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的,應註明「來源:威脅獵人」。違反上述聲明者,將追究其相關法律責任。
一、報告要點
1、黑灰產業的發展從最早期的純刷人氣,刷粉絲,刷贊模式轉向純粹的為刷量和解決刷量的存在業務模式。
2、黑灰產的從業門檻逐漸降低,從最早期的專供上游工具,已經流向中下游。
3、2018年上半年刷量任務的需求主要依靠最火的自建站點模式完成刷量任務。
4、刷量相關群成員大多以工作室命名。同時工作室的數量也遠高於去年。
5、賬號售賣產業鏈成本正仍在增加。
6、新一代的改機工具,不僅價格低於早期,同時集成了代理IP+虛擬定位的功能。
7、同去年相比,產業鏈模式無明顯變換,更多的是工具功能的開發,如改機工具新增的虛擬定位。
8、賬號註冊成本的降低,接碼平台的曝光。越來越多的黑灰產入門人員開始涉入號商角色。
9、隨著短視頻行業的流量加劇,刷量產業鏈帶來的賬號需求遠高於早期。
10、通過監控相關黑灰產群,熱門教程逐漸成為僅次於刷量,刷粉、出售工具的熱門話題。
11、短視頻在上半年度(2018年)的總體風險評價為:高。
12、和去年相比,虛擬運營商的上卡數量遠高於2017年。
13、2018年上半年捕獲黑IP數量約佔27.10%。
二、基本概念
1、報告中涉及到的術語
(1)引流:將短視頻平台用戶轉到其他利於變現平台,包括但不限於微信、QQ。
(2)刷量:對短視頻相關業務,採取作弊手段(刷作品播放量、刷粉絲、刷人氣、刷贊等)。
(3)批量註冊:利用改機工具,刷新設備指紋達到單部手機的復用,進而批量註冊短視頻平台賬號。
2、報告中涉及到的行話/黑話
(1)接碼平台:提供手機號,獲取註冊,解封,換綁簡訊的驗證碼平台。
(2)貓池:貓池廠家負責生產貓池設備,並將設備賣給卡商使用。貓池是一種插上手機卡就可以模擬手機進行收發簡訊、接打電話、上網等功能的設備,在正常行業也有廣泛應用,如郵電局、銀行、證券商、各類交易所、各類信息呼叫中心等。貓池設備可以實現對多張手機卡的管理。
(3)改機工具:刷新設備指紋,解決單台設備註冊上限的問題。
(4)卡商:卡商指通過各種渠道(如開皮包公司、與代理商打通關係等)從運營商或者代理商那裡辦理大量手機卡,通過加價轉賣下游卡商賺取利潤的貨源持有者。
(5)養號:將批量註冊的小號,不斷發作品,關注用戶,修改頭像,主要目的是為了降低賬號被封的概率。
(6)白號:指接入接碼平台直接用手機號註冊的賬號,也稱直登號。
(7)跳轉號:指適用QQ號或者微博快捷登陸後,激活綁定轉換而成的號碼。
(8)直播號:開了直播許可權,以及實驗室有鎖、無鎖的賬號。
(9)單雙參號:指除賬號密碼攜帶其他參數的賬號,一般用作於刷量。
(10)活粉:帶有作品,個簽,個人頭像,模擬真實用戶操作的一批賬號。
(11)死粉:又稱殭屍粉,這類賬號,只是帶有簡單的個簽和個人頭像,賬號活躍度低。
(12)刷粉:短時間內提高賬號的粉絲數量。
(13)出粉:將個人無法消耗的人氣流量,以交易「人頭數」的形式,獲取報酬。
(14)協議:通過通信協議進行,直接模擬介面通信進行攻擊的工具。
3、報告中涉及到的情報術語
(1)開源情報:通過對公開的信息進行深度的挖掘分析,確認具體的威脅或事件,從而直接指導這些威脅或事件的具體決策和行動。
(2)閉源情報:通過對內部平台所監控到信息進行深度的挖掘分析,確認具體的威脅和事件,從而直接指導這些威脅或事件的具體決策和行動。
(3)工具情報:通過對黑灰產工具做深入的逆向分析,了解其攻擊原理和攻擊方式方法,然後通過聚類以及關聯分析的方式挖掘出這個工具背後一系列的黑色產業鏈、黑產團伙、攻擊目標和變種工具等等,從而描繪出一個以工具為源頭的黑灰產產業鏈關係圖譜。其能有效定位企業當前所處的風險狀態,還原攻擊特徵迭代風控規則。
4、數據來源及取樣說明
本報告的主要數據來源包括:
(1)文本類數據;通過定向監控手段獲取的黑灰產交易與溝通信息,以及部分熱點事件信息。
(2)樣本類數據:通過廣譜監控手段獲取的黑灰產工具樣本。
(3)流量類數據:通過蜜罐監控手段獲取的黑灰產攻擊流量數據。
(4)黑卡類數據:通過定向監控手段獲取的手機黑卡數據。
(5)黑IP類數據:通過第三方合作、蜜罐監控手段獲取的黑IP數據。
(6)風險賬號類數據:通過蜜罐監控和暗網監控手段獲得的風險賬號數據。
(7)其他類數據:通過其他第三方合作和監控手段獲得的黑灰產相關數據,包括但不限於上述的數據類型。
5、數據取樣說明
本報告的數據取樣主要採取以下幾種方式:
(1)關鍵詞取樣:根據特定的關鍵詞及關鍵片語合,從全集數據中提取與特定分析對象或特定分析場景有關的數據子集。主要用於數據統計或趨勢分析。
(2)相似度採樣:根據文本或樣本數據的相似度,從全集數據中提取具有較高相似度的數據子集。主要用於數據分類統計或案例分析。
(3)隨機採樣:對未知類型或內容數據進行簡單隨機採樣,抽樣比例根據具體的分析場景決定,主要用於情報線索發現或關鍵詞校驗。
(4)分層採樣:對已知工具/事件數據按既定的標籤規則分為若干子集,對每個子集中的數據隨機抽取部分數據進行分析,抽樣比例根據具體分析場景決定,主要用於案例分析或關鍵詞校驗。
受限於數據獲取的渠道、數據本身的變化、抽樣概率的限制及樣本噪點的影響,基於上述數據取樣方式所得的數據分析結果與實際情況之間可能存在一定的偏差。因此,部分分析結果會採取人工經驗判斷方式進行修正,這部分數據我們會加以註明。
三、黑灰產鏈條定義
1、產業鏈上游及相關角色
產業鏈上游根據中游和下游的需求,生產和提供各類黑灰產資源。其主要相關角色包括:
(1)工具開發者:開發各類黑灰產工具,具備一定的研發能力,大多使用Python、Lua、易語言,有較強的反偵查能力,大多有固定的中游銷售渠道,多為兼職。
(2)卡源卡商:多以正常業務為幌子,通過各種渠道從運營商或代理商獲取手機卡資源向接碼平台、號商等出售,並定期回收銷號。其提供的手機卡按類型可分為:虛擬卡/實卡、語音卡/簡訊卡、海外卡/國內卡、流量卡/註冊卡。
(3)貓池廠商:向接碼平台提供貓池設備,可分為2G、3G、4G貓池。
(4)號商:大量註冊平台賬號,並以人工或工具方式養號,藉助賬號代售平台出售賬號。
(5)黑客:通過技術或社會工程學手段發起攻擊,多以竊取用戶數據為主要目的,再通過地下黑市出售。
2、產業鏈中游及相關角色
產業鏈中游負責將上游生產和提供的各類黑灰產資源進行包裝和批量轉售,多以各類平台或服務的形式存在。其主要相關角色包括:
(1)接碼平台:負責連接卡商和羊毛黨、號商等有手機驗證碼需求的群體,提供軟體支持、 業務結算等平台服務,通過業務分成獲利。
(2)打碼平台:為軟體開發者、工作室、普通用戶提供即時、精準的圖片識別答題服務,通過識別驗證碼服務獲利。
(3)帳號代售平台:對工作室、普通用戶提供相對應需求的賬號,通過抽取相對應的傭金獲利。
(4)工具代售平台:對工作室、普通用戶提供解決刷量需求的工具,通過抽取相對應的傭金獲利。
(5)地下黑市:相關的黑灰產業群、論壇,為工作室、普通用戶提供一個需求解決場所。
3、產業鏈下游及相關角色
產業鏈下游負責直接執行黑灰產行為,多以工作室形式存在。其主要相關角色包括:
(1)刷量工作室:通過解決普通用戶的刷量需求獲利。
(2)引流工作室:解決客戶的需求短時間內將大量快手用戶引向其他平台,對引流人數和引向的平台設置不同的門檻,抽取傭金。
(3)主播工作室:主要服務於高人氣主播,利用相關工具刷人氣短時間內吸引其他用戶觀看,通過假聊工具營造人氣火爆的場景。
四、黑灰產業鏈分類
1、以賬號為核心的黑灰產業鏈
1.1 核心產業鏈一:虛假註冊
參考鑽石模型,我們對虛假註冊產業鏈的運轉模式做出如下分析:
1.1.1 攻擊者:開發者團隊(1)主要操作:通過出售批量註冊、自動養號腳本;通過出售改機工具;通過售賣雲控平台使用權獲利。
1.1.2 能力/功能:相關黑灰產工具
(1)註冊、養號腳本:大多使用Python、Lua、易語言編寫,受制於各大短視頻公司業務調整,生存周期不確定。註冊類腳本售價2000元/年、養號類腳本售價1500元/年。
(2)改機工具:主要負責更改手機串號,更改手機型號,更改MAC地址,更改無線網路參數,模擬SIM卡參數,模擬手機運營商,更改手機號等等幾百項手機參數。典型的有:nzt改機工具 、xx抹機,售價約為300元/年。
(3)群控、雲控平台:主要負責讓連接的多部手機根據既定腳本批量執行操作。典型的有:觸動雲控、俠客手機群控,售價約為38元/台/年。
1.1.4 受害者:短視頻平台賬號註冊環節主要針對虛假註冊等業務,虛假註冊操作流程主要依靠雲控平台、批量註冊腳本的開發者、接碼平台。通過目前已捕獲的註冊腳本,我們發現虛假註冊的流程和去年相比無明顯變化。通過運行批量註冊腳本、調用接碼平台簡訊驗證碼API介面完成賬號註冊,最終本地生成一個.txt文件(包含手機號、密碼、手機參數)。
1.2 核心產業鏈二:賬號售賣
1.2.1 攻擊者:號商
(1)主要操作:通過直接出售賬號給普通用戶;通過批量出售賬號給刷量工作室或相關代售賬號代售平台代為出售賺取利益。
1.2.2 能力/功能:賬號
(1)老號:通過自動化批量註冊工具產出的賬號,再有過一段時間養號行為的賬號。這類賬號通常附帶一些作品,對於平台而言老號具有一定的權重性。老號的類型包括但不限於nzt工具產出、批量註冊機產出、跳轉號形式。
(2)跳轉號:指使用QQ號或者微博快捷登錄後,激活綁定(利用接碼平台綁定業務)而轉化而成的平台賬號。這裡使用的QQ和微博號多數通過批量註冊工具產出,在原平台不具備用戶影響力。被用作授權其他平台,購買成本僅幾分錢。
(3)白號:也稱為直登號,指接入接碼平台直接用手機號註冊的賬號,通過導入頭像和昵稱可以批量註冊。
(4)單雙參號:指攜帶參數的賬號(包括但不限於手機型號、網路狀態、安卓版本、登入token),適用於刷粉、刷量掛人氣工具。
1.2.3 基礎設施:相關黑灰產群、論壇 、刷量工作室
(1)相關黑灰產群:通過群內散發大量出售賬號信息,內容大概以:賬號類型+價格、賬號類型+賬號代售平台鏈接。
(2)工具售賣工作室:指售賣工作室自產的工具或開發者人員交由工作室代售的工具,這類刷量工具需要倚靠大量小號完成刷量任務。
1.2.4 受害者:短視頻相關業務、正常用戶
(1)被批量註冊的小號,在養號過程中產生的低俗信息,很大程度上影響了正常用戶的軟體使用體驗。
(2)通過小號刷量的作弊行為更是對其他原創視頻作者的傷害,影響正常用戶對短視頻平台公平性的判斷。
1.3 衍生產業鏈一:批量養號
參考鑽石模型,我們對批量養號產業鏈的運轉模式做出如下分析:
1.3.1 攻擊者:號商
(1)主要操作:通過接碼平台實現賬號批量註冊和過簡訊驗證;通過短視頻提取工具獲得批量短視頻作品資源;通過雲控/群控平台批量模擬正常用戶信息;通過刷量工具刷粉養號;對外出售養好的賬號。
(3)成本估算:1-2元
(4)盈利估算:老號4-6元,白號2-3元
(5)交易規模:暫無相關數據可統計交易規模。
1.3.2 能力/功能:賬號(1)老號:批量註冊的賬號經過養號一段時間售出(可直登、用於工具刷量),在2018年07月間監測到快手老號售價約為5-7元。
(2)白號:近期內批量註冊的賬號(可直登賬號)。(3)直播實名號:已開通直播許可權並且實名認證的賬號。
(4)直播非實名號:已開通直播許可權但未實名認證的賬號。
(5)跳轉號:通過QQ、微博註冊的相關賬號,通過綁定手機生成(可直登)。
1.3.3 基礎設施:接碼平台、雲控/群控平台、改機工具、代理IP池、批量註冊腳本
(1)接碼平台:主要負責提供大量手機號碼註冊賬號,接碼平台很多,活躍的有數十家,比較知名的有:Thewolf、星辰、愛樂贊、玉米(現「菜眾享」)等,其中Thewolf和星辰可以接語音驗證碼。
(2)雲控/群控平台:主要負責讓連接的多部手機根據既定腳本批量執行操作。典型的有:觸動雲控、俠客手機群控,成本約為38元/台/年。
(3)改機工具:主要負責更改手機串號,更改手機型號,更改MAC地址,更改無線網路參數,模擬SIM卡參數,模擬手機運營商,更改手機號等等幾百項手機參數。典型的有:nzt改機工具、xx抹機,成本約為300元/年。
(4)代理IP池:主要負責提供IP批量註冊賬號,典型的有:蘑菇代理、站大爺、螞蟻代理,成本約為4000-5000元/年。
(5)批量註冊腳本:主要負責自動化批量註冊賬號,通常和雲控平台搭配使用,在雲控平台管理手機,對勾選的設備一鍵運行設定好的腳本,自動打開短視頻app註冊賬號。
1.3.4 受害者/目標:正常用戶、短視頻平台
(1)號商養號過程中,產生的低俗信息影響正常用戶的使用體驗。
(2)批量註冊的賬號,經過養號行為之後,賬號本身具備一定的權重,這類賬號大量被用於刷量、引流可能會給短視頻平台帶來不良輿論。
1.4 衍生產業鏈二:虛假認證
1.4.1 攻擊者:提單平台
通過平台提單的模式,僅需提供手機號、密碼即可。
1.4.2 功能/能力:賬號實名認證、直播代開1.4.3基礎設施:身份證、企業相關信息提供身份證、企業相關信息用於各種賬號類型的認證。認證加V的形式則提供相應的新浪微博會員認證和頭條用戶認證。
1.4.4 受害者:普通用戶認證號是被平台審核通過,具備真實信息備案的賬號。相比其他原創作者賬號,這類賬號更容易吸收海量人氣,引流難度遠低於普通賬號。被引流的普通用戶會被帶入各種詐騙模式,除去常見的蘋果手機低賣的模式,還有被引流到後續連環詐騙的可能。
2、以流量為核心的黑灰產業鏈
2.1 核心產業鏈一:引流(向外)
參考鑽石模型,我們對虛假註冊產業鏈的運轉模式做出如下分析:
2.1.1 攻擊者:需求用戶
(1)主要操作:
A.提交需求交由相對應的引流工作室,短時間內引入大量自有業務的適配人員;
B.通過使用相關的人氣帶掛工具,在直播時通過發起編輯好的假聊內容誘使用戶引入相關平台;
C.通過偽造的認證信息短時間獲取大量人氣流量,通過作品引流到相關變現平台;
D.通過視頻解析軟體,盜取人氣高的作品偽裝自產作品,截取人氣流量,通過二次編輯的作品引流至其他平台;
2.1.2 能力/功能:精準引流、出粉
(1)短時間滿足客戶的流量需求,對客戶自有業務吸收一批適配的人員流量。
(2)對於自身無法消耗的人氣流量,以交易自養的微信群、QQ群為主,這類交易售價針對群人頭數設置不同價位,完成出粉的目的。
2.1.3 基礎設施:引流喊話工具、評論置頂工具
2.1.4 受害者:短視頻平台、原創作者、正常用戶
(1)引流可能導致短視頻平台固有的正常用戶流失,同時被引入的平台可能涉及違法犯罪活動,會對短視頻平台本身造成不良輿論。
(2)被盜取的原創視頻,對原創作者而言截取的不僅僅是人氣流量,更多的是對作品的原創性熱枕下降。
(3)低劣、惡俗的引流模式中涉及的話術,可能引起正常用戶的軟體體驗,對平台本身監管垃圾信息存在質疑。
2.2 核心產業鏈二:刷量(向內)
參考鑽石模型,我們對虛假註冊產業鏈的運轉模式做出如下分析:
2.2.1攻擊者:普通用戶、刷量工作室
(1)主要操作:通過向工作室或相關刷量平台提交刷量任務;通過使用刷量工具進行刷量任務。
2.2.2 能力/功能:漲粉絲、提高作品播放量
如下對快手業務為期一個季度的業務價格監控:
如下對抖音業務為期一個季度的業務價格監控:
2.2.3 基礎設施:刷量工具、人氣代掛工具
(1)刷作品播放:通過導入小號文本中的賬號,並對作品本身連接提取用戶ID下發任務,調用小號進行訪問作品,完成刷播放任務。
(2)人氣代掛工具:通過調用工具里的小號文件中的單雙參數,按調整的頻率依次掛入直播間。工具功能包括但不限於對送禮用戶自動點關注、自動回復感謝、假聊(設定大量不同的文字內容,通過工具發出)。
2.3 受害者:短視頻業務
刷量業務不僅僅針對短視頻行業,刷量背後的是一批以刷為生的遊走法律邊緣的不法分子。
(1)刷量對短視頻公司而言除去海量的介面攻擊之外,帶來的更多是催生其他黑灰產業的成長(包括但不限於號商、開發者人員)。
(2)其他原創作者和短視頻平台是刷量業務造成傷害的承載者。通過刷量短時間可以使得作品內容被推上熱搜,但真正能長期吸粉的主要因素應該是優質的作品內容。
2.4 衍生產業鏈一:視頻解析
2.4.1 攻擊者:開發者人員、號商
(1)視頻解析工具的作用是採集並下載無水印的原創作品。
(2)視頻解析工具,可以幫助號商養號期間的作品內容填充,降低賬號被封的概率。
(3)高質量的原創作品盜用可以應用於其他平台,用來蘊養一個熱門賬號。
2.4.2 功能/能力:視頻採集、去水印
2.4.3 基礎設施:自建站點、採集工具
(1)通過搭建第三方站點,通過作品的鏈接下載原創作品。
(2)通過採集工具,可以獲取熱門作品的播放次數、點贊次數達到篩選優質作品的目的。
2.4.4 受害者:原創作者
(1)高質量的原創作品往往會吸收大量的粉絲,盜用作品往往可以截取原創作者的粉絲收益。
(2) 原創作者面對作品的盜用,往往會懷疑平台的公平性,或是對內容原創的熱枕降低。
2.5 衍生產業鏈一:教程售賣
2.5.1攻擊者:開發者人員、號商
(1)主要操作:通過對養號行為存活率高的賬號總結一套高存活養號流程;通過對引流市場引流技術的匯總出一套熱門引流技術;通過對小號的個簽修改歸納出一套存活度高的話術;通過總結已有可信的賬號售賣渠道出一套信息匯總。
(2)主要交易渠道:QQ群、微信群、論壇,以及自建站點。
2.5.2 功能/能力:熱門、存活度高
(1)熱門:提供相對應快速上熱門且小概率被封號的教程。
(2)存活度高:存活度是售賣教程的另一大特色,也是突出點。
2.5.3 基礎設施:黑灰產業群,自建站點
(1)黑灰產業群:通過監控,熱門教程辭彙成為僅次於刷量,刷粉、引流的高頻辭彙。
(2)自建站點:以研究流量走向,出售熱門教程為主的自建網站。該類站點售出教程涉及廣泛,依附於目前流量火爆的平台。如快手、陌陌、微信、抖音、QQ不等。
2.5.4 受害者:短視頻平台
(1)熱門教程短時間內可以給售賣者提供大量資金,用於小號的產出。
(2)教程適用範圍廣,同時也提供相應的素材包內容。大大提降低了入門的門檻,加大了黑灰產從業人員數量。
五、黑灰產業鏈變化情況
1、刷量產業鏈活躍度呈上升趨勢
1.1現象描述
1.1.1成本變化通過對上半年度的相關黑灰產產業鏈上中下游監控,我們發現黑灰產業的發展和短視頻的成長同樣迅速,從最早期的純刷人氣,刷粉絲,刷贊模式轉向純粹的為刷量和解決刷量的存在業務模式。從對工具市場的監控,我們發現黑灰產的從業門檻逐漸降低,從最早期的專供上游工具,已經流向中下游。
如下是最新捕獲的針對快手最全的工具列表:
這是從產業鏈中游的一家工具代售室流出的價目表,該工作室發展穩定,對已購買的用戶提供永久更新的福利。從售價和工具類型可以明顯看出如今短視頻行業的黑灰產業進入門檻遠低於2017年,這不僅僅導致黑灰產入門人員的激增,也映射出黑灰產工具開發者的能力穩定提升,開發效率高的特點。
1.1.2 模式變化
刷量產業鏈的變化主要集中在中下游部分。在早期,刷量多以個人工作室為主,利用相關的群發軟體,在短視頻相關QQ群中散發大量的刷量類型價目表。
群內喊話模式,依然是黑灰產獲取任務需求的主要模式,但2018年上半年刷量任務的需求主要依靠最火的自建站點模式完成刷量任務。
這類站點模式的優點是可以不斷吸收新人的加入,同時對從業人員的操作水平沒有任何要求。下級代理完全可以通過一部手機亦或是電腦偶爾上架貨品盈利,盈利模式靠賺取商品和上級代理的差價,站點的收益極其可觀。
通過對黑灰產群內主流的各類刷量工具,發現2018年上半年的刷量模式極大一部分通過提單自建站點完成刷量任務,這類站點與早期的卡盟有著類似的發展模式。
1.1.3 規模變化
黑灰產的從業人員早期主要集中於產業鏈中上游,下遊人數遠低於中上游部分,到現在發展往中下游擴散。自建站點、購買刷量工具,操作知識門檻幾乎為零的要求,使得人人都能完成刷量的任務,刷量相關群成員大多以工作室命名。同時工作室的數量也遠高於去年。
1.2 成因分析
刷量產業鏈從業人員往中下游發展的趨勢的主要原因如下:
(1)黑灰產產業鏈模式越見規模化,從業人員角色分工明確。
(2)上游部分主要成員為開發者人員和號商,早期支付渠道多以微信,網上銀行為主,而一套虛假的支付方式成本頗高。大力發展中下游產業鏈,可以減少上遊人員的曝光度,從而增強隱秘性。
(3)收益短期內遠低於早期,但刷單任務源源不斷從下級提交,這種量級的刷單需求是早期無法獲取的。
2、賬號售賣產業鏈成本正仍在增加
2.1 現象描述
賬號售賣價格小幅度上漲,賬號穩定售出,通過對其產出模式各個環節的監控,我們對各個環節進行剖析。
2.1.1 成本變化
接碼平台
接碼平台負責連接卡商和羊毛黨、號商等有手機驗證碼需求的群體,提供軟體支持、業務結算等平台服務,通過業務分成獲利。接碼平台很多,活躍的有數十家,比較知名的有:Thewolf、星辰、愛樂贊、玉米(現「菜眾享」)等,其中Thewolf和星辰可以接語音驗證碼。
2016年11月,當時最大的平台愛碼被警方查處。
2017年12月,多家接碼平台倒閉合併。
2018年4月,愛樂贊平台關閉用戶註冊功能。
2018年6月,Thewolf平台內部商討將國內業務轉移至海外。
隨著接碼平台曝光事件逐漸增多,如今大部分接碼平台已轉移至地下,甚至存在鎖IP的情況(只能通過固定IP進行訪問)。對於需要大量手機黑卡註冊小號的號商而言,接碼平台上卡效率遠低於去年,但目前號商大多已有穩定的輸入渠道(受制於其隱密性,暫無更詳細的信息)。
改機工具、雲控平台
改機工具和雲控平台逐漸成為號商的穩定賬號輸出模式,從而實現全自動批量註冊、養號一條龍。這類養號措施的第一步是需要對移動設備ROOT,獲取最高許可權。相比去年nzt改機工具的市場逐漸下滑,新生代的改機工具功能更全面,且價格低於早期的改機工具。
新一代的改機工具,不僅價格低於早期,同時集成了代理IP+虛擬定位的功能。
2. 1. 2 成本變化
最新的賬號產出,在某種程度上幾近還原了真實用戶的日常使用。補足了代理IP半真實的短板,降低了養號環節封號的概率。同去年相比,產業鏈模式無明顯變換,更多的是工具功能的開發,如改機工具新增的虛擬定位。
2.1.3 規模變化
賬號註冊成本的降低,接碼平台的曝光。越來越多的黑灰產入門人員開始涉入號商角色。工具獲取渠道,多以論壇、社交群為主。單個賬號的盈利2-7元,但成本集中在1-2元。除去暴利帶來的可見收益,可見的海量刷量需求讓賬號溢出已成為過去式問題,完全不必擔心賬號過剩帶來的滯銷問題。
2.2 成因分析
隨著短視頻行業的流量加劇,刷量產業鏈帶來的賬號需求遠高於早期。號商不必擔心賬號過剩帶來的滯銷問題,同時相應的註冊類工具也不再僅局限於上游部分,使得從業人員的增加,以號商角色的從業人員數量同2017年相比增長明顯,賬號的成本同2017年相比,價格穩定,價格市場僅受工具效果的波動。
3、其他值得注意的產業鏈動態
3.1 蘋果業務
3.1.1 現象描述通過對引流市場的監控,我們發現2018年上半年度一條年入千萬級別的灰色產業鏈。
(1)虛假認證:將普通的賬號,通過虛假的資料,升級為平台的認證賬號。
(2)吸粉:通過偽造的認證信息短時間內以搬運高質量作品獲取大量粉絲。
(3)引流:將流量引入QQ、微信中,通常以個簽中帶薇、v類同wei的字詞為主。
(4)養號:將以蘊養好的QQ空間/朋友圈偽造成完整的明星或網紅的動態空間,通過在微博、媒體等渠道搬運明星、網紅動態培養粉絲的信任。
(5)蘋果業務:偽造或轉發,將蘊養的粉絲導入一個精心布置的詐騙場景。該詐騙場景以出售低價蘋果手機為主。
(6)培養客戶:利用相關的作圖軟體,編輯聊天截圖、轉賬截圖,營造出交易火爆的場景。
(7)蘋果後續:當客戶付款提交之後,將這類付款用戶出粉給提供蘋果後續服務的詐騙團伙。以偽造蘋果或物流公司對付款用戶進行再次詐騙。而網上商城的源碼,則可通過互聯網隨意獲取,通過修改後台參數,偽造物流信息。
3.1.2 成因分析蘋果業務早已流傳許久,生存時間遠大於短視頻行業的發展周期。如今短視頻行業的巨大流量,吸引了一大批黑灰產從業人員奔向這塊可口的「蛋糕」。詐騙手段層數不窮,虛假的認證信息不僅保障了從業人員的真實身份,也可以在短時間內獲取大量粉絲的信任。這條產業鏈從粉絲拉新到信任培養,再到後期的變現,玩法簡單暴力,當然這僅僅是詐騙手段的冰山一角。
3.2 教程售賣類增多
通過監控相關黑灰產群,熱門教程逐漸成為僅次於刷量,刷粉、出售工具的熱門話題。
(1)該類教程的主要來源於號商,號商養號過程,通過測試,總結出來的一套話術,降低賬號被封的概率。
(2)除去改簽名話術,也存在如何提高上熱門的教程,如在作品內插入高亮字體。
熱門教程中,以引流類教程為主,受制於精準引流的私密性,暫時無法了解到精準引流的具體流程。
六、年度總體風險控制建議
1、上半年度總體風險評價
短視頻在上半年度(2018年)的總體風險評價為:高。
(1)賬號類產業鏈風險:高
產業鏈數量:新增虛假認證、精準引流
產業鏈規模:上升
產業鏈成本:下降
(2)流量類產業鏈風險:高
產業鏈數量:新增刷量提單平台
產業鏈規模:上升
產業鏈成本:下降
2、行業上半年度總評評價
2.1手機黑卡
(1)手機黑卡運營商對比
通過對2018年上半年捕獲的黑卡進行篩選,來自傳統運營商的黑卡數量和來自虛擬運營商的黑卡數量持平。和去年相比,虛擬運營商的上卡數量遠高於2017年。
以下兩張圖展示了在非虛擬號段上和虛擬號段上三大運營商的黑卡數量對比:
在非虛擬號段上,將近一半的手機黑卡來自於中國移動,約三分之一來自中國聯通,中國電信最少。在虛擬號段上,絕大多數是中國聯通的手機黑卡,和去年相比電信上卡數量高於移動。
(2)手機黑卡歸屬地分布
以下是依據黑卡歸屬地統計的數據,廣東省十分搶眼,在黑卡歸屬地省份排名中遙遙領先,省內的廣州、深圳、東莞和佛山也在黑卡歸屬地城市中名列前茅。
2.2 代理IP
對比2018年上半年度(2018年1月-2018年7月)捕獲的攻擊源信息,分析IP地域來源數據,全球黑IP分布圖和top20來源國家如下:
2018年上半年捕獲黑IP數量約佔27.10%。從統計的黑IP來源國家數據統計,發達國家的黑IP數量要多於發展中國家,可以簡單理解為,發達國家擁有更多的互聯網設備,也就擁有更多的IP資源,所以黑IP的數量與互聯網設備的數量成正比。
從來源城市數據看來,top榜單中多數以美國城市為主,中國城市數量緊隨其後。上榜的城市都是經濟較為發達的城市。
2.3 從業人員
以「刷量」、「引流」等詞語為關鍵詞,結合排名較靠前的短視頻平台對QQ群進行抓取,發現相關的QQ群數量龐大,地域分布也呈現一定的特點。
2.3.1 引流
我們對引流群內人員性別、年齡段、地域進行匯總。引流群平均人數最多,達到767,群規模以1000人為主。
2.3.2 刷量我們對刷量群內人員性別、年齡段、地域進行匯總。刷量群平均人數和群規模持平,達到1122.4,群規模以2000人為主。
3、黑灰產監測類風險控制建議
(1)對黑灰產相關論壇、社交群近期出現的新增高頻辭彙設定閾值,對超過閾值的辭彙溯源。
(2)研究相關的黑灰產業鏈模式,對比核心產業鏈模式特徵,總結產業鏈中角色交叉衍生產業鏈的上游,並對上遊人員監控。
4、黑灰產防控類風險控制建議
(1)對已發生事件追溯源頭,通過分析產業鏈結構、成員角色、成本、利潤來設置不同的解決措施。
(2)對持續存在的結構模式,通過捕獲市場上存在周期長且特徵明顯的工具進行逆向分析,提高對批量行為的審核和監控,進一步提高黑灰產從業人員的成本。
5、黑灰產打擊類風險控制建議
通過對各條產業鏈的監控,我們有如下幾點建議:
針對手機黑卡、黑IP:
(1)對於這一環節,作為企業,最快捷的方式是從專業公司獲取經過審計的手機黑卡、惡意IP、高危賬號等數據。
(2)將其作為自己後台黑白名單數據的補充情報庫,在註冊或活動流程中接入審計策略,對惡意註冊進行篩選監控等。
針對賬號商人:
(1)結合惡意數據情報庫,對可疑用戶提高註冊門檻、增加複雜驗證碼等,並對這些用戶進行重點監控,當其進行敏感操作時,進行防護。
(2)設立惡意數據情報庫,包括黑產掌握的黑卡號碼、使用的代理IP、已經泄露的賬號密碼數據等。
(3)一方面要結合自身後台數據的黑白名單,另一方面也要引入第三方的支持,進行更全面的檢測。
針對黑產技術人員:
(1)透過分析黑產的註冊流程和攻擊工具,對被攻擊介面的請求特徵匯總,以區別虛假註冊用戶和正常用戶。
(2)批量行為都是有跡可循的。企業可以針對惡意用戶的行為偏好和其在黑產中的使用廣度,在設備信息、註冊信息重合度、惡意用戶的行為數據等方面,進行多維度的判斷。
(3)通過對典型有效的黑灰產工具的逆向,對存在業務邏輯漏洞的方向調整,提高黑灰產工具的開發成本。
寫在最後:
當前短視頻平台仍處於快速增長期,不斷有新的平台湧入市場,並且同質化較低,各個平台定位、內容和目標群體之間仍存在差異化的競爭。但對於黑灰產從業人員而言,一套產業鏈模式就可以復刻在任何一個短視頻平台。當對舊平台的攻防成本日漸增高,對於黑灰產從業人員而言,新生代的短視頻平台更像是「雪中送炭」。因此,不僅要對已存在的產業鏈模式深入了解,更應該去深追其背後黑產從業人員的角色定位,只有了解之後才能對衍生的新增產業鏈加以控防。
※修補DoublePulsar支持攻擊Windows Embedded系統
※嵌入式系統的安全技術分析(二)
TAG:嘶吼RoarTalk |