原創(chuàng) 鬼谷實(shí)驗(yàn)室 永安在線情報(bào)平臺(tái)

報(bào)告聲明

本報(bào)告由永安在線·鬼谷實(shí)驗(yàn)室獨(dú)家編寫(xiě)，聯(lián)合深圳市網(wǎng)絡(luò)與信息安全行業(yè)協(xié)會(huì) 、安全419、數(shù)說(shuō)安全共同發(fā)布。如需轉(zhuǎn)載、摘編或利用其它方式使用本報(bào)告文字或觀點(diǎn)請(qǐng)聯(lián)系永安在線。

導(dǎo) 讀

永安在線依托于豐富的情報(bào)數(shù)據(jù)，對(duì)2021年黑灰產(chǎn)行業(yè)進(jìn)行了全面的梳理，我們發(fā)現(xiàn)：

無(wú)論是從行業(yè)規(guī)模、攻擊效率，還是收益變現(xiàn)上，國(guó)內(nèi)黑灰產(chǎn)產(chǎn)業(yè)仍然非常成熟和發(fā)達(dá)。

在攻防層面，黑灰產(chǎn)具有頑強(qiáng)的生命力和對(duì)抗能力，這一點(diǎn)在其資源的使用上，表現(xiàn)的尤為突出：

// 黑手機(jī)號(hào)——“斷卡行動(dòng)”雖然對(duì)其造成了有效的打擊，但黑灰產(chǎn)已經(jīng)通過(guò)海外卡/攔截卡/私接等方式“死灰復(fù)燃”；

// IP偽裝——使用秒撥和代理平臺(tái)“靈活”繞過(guò)各平臺(tái)的風(fēng)險(xiǎn)檢測(cè)。

在攻擊變化上，緊密的結(jié)合當(dāng)前風(fēng)險(xiǎn)缺口進(jìn)行攻擊，表現(xiàn)在：微信授權(quán)的猖獗使用以及API漏洞的使用。

在對(duì)數(shù)據(jù)進(jìn)行全面的分析之后，我們預(yù)測(cè)出了2022年黑灰產(chǎn)走勢(shì)：

因API管控不當(dāng)引發(fā)的數(shù)據(jù)泄露會(huì)越來(lái)越多，API安全問(wèn)題越來(lái)越被重視；

黑灰產(chǎn)會(huì)更多的使用私接形式進(jìn)行接碼，且國(guó)外黑手機(jī)卡對(duì)平臺(tái)的攻擊會(huì)越來(lái)越多；

黑灰產(chǎn)改機(jī)、虛擬定位等工具推陳出新，不斷為黑灰產(chǎn)在營(yíng)銷作弊等場(chǎng)景提供支持；

真人眾包攻擊依然為風(fēng)控難點(diǎn)，真人代下單成為重點(diǎn)場(chǎng)景。

基于這些發(fā)現(xiàn)及趨勢(shì)研判，我們總結(jié)提煉出未來(lái)對(duì)于黑灰產(chǎn)治理的對(duì)抗思路及策略，并對(duì)治理已卓有成效的企業(yè)進(jìn)行案例分析、分享最佳實(shí)踐，期望幫助更多企業(yè)/機(jī)構(gòu)了解并有效防控黑灰產(chǎn)攻擊帶來(lái)的風(fēng)險(xiǎn)。

報(bào)告目錄

一、2021年黑灰產(chǎn)發(fā)展現(xiàn)狀

二、2021年黑灰產(chǎn)對(duì)抗資源變化情況

三、2021年黑灰產(chǎn)攻擊變化情況

四、2022年黑灰產(chǎn)攻擊趨勢(shì)洞察

五、新攻擊態(tài)勢(shì)下的風(fēng)險(xiǎn)對(duì)抗思路

六、甲方最佳防護(hù)實(shí)踐案例

一、2021年黑灰產(chǎn)發(fā)展現(xiàn)狀

01

規(guī)模依然龐大，五大風(fēng)險(xiǎn)，面臨數(shù)十萬(wàn)黑灰產(chǎn)攻擊

營(yíng)銷活動(dòng)、刷量作弊、惡意引流、認(rèn)證繞過(guò)、真人眾包代下單五大場(chǎng)景，在2021年面臨大量黑灰產(chǎn)攻擊。其中，營(yíng)銷活動(dòng)場(chǎng)景最為猖獗，每天發(fā)生5起被攻擊事件。除營(yíng)銷場(chǎng)景外，刷量作弊、惡意引流、認(rèn)證繞過(guò)、真人眾包代下單場(chǎng)景中，共活躍著數(shù)十萬(wàn)黑灰產(chǎn)。

//2021年平均每天發(fā)生5起營(yíng)銷活動(dòng)相關(guān)的黑灰產(chǎn)攻擊事件

2021年，永安在線共監(jiān)控4.6億余條黑灰產(chǎn)相關(guān)的輿情，僅在營(yíng)銷活動(dòng)場(chǎng)景，全年就發(fā)生了1800多條黑灰產(chǎn)攻擊事件，平均每天約發(fā)生5起。

永安在線對(duì)黑灰產(chǎn)營(yíng)銷活動(dòng)攻擊產(chǎn)生的輿情進(jìn)行分析后，發(fā)現(xiàn)：“活動(dòng)”、“教程”、“接單”、“注冊(cè)”、“邀請(qǐng)”等詞，出現(xiàn)很高頻。這說(shuō)明，黑灰產(chǎn)往往會(huì)在各平臺(tái)舉辦活動(dòng)時(shí)尋找突破口，一旦有方法突破風(fēng)控，就會(huì)把方法在內(nèi)部進(jìn)行傳播，或者轉(zhuǎn)賣能力為“接單盈利的模式”，而他們的攻擊場(chǎng)景，往往集中出現(xiàn)在新用戶注冊(cè)、邀請(qǐng)拉新等優(yōu)惠權(quán)益較高的活動(dòng)上面。

//接碼及抹機(jī)注冊(cè)、接單代刷助力，成為2021年黑灰產(chǎn)在營(yíng)銷活動(dòng)場(chǎng)景的主要攻擊方式

永安在線對(duì)2021年的黑灰產(chǎn)營(yíng)銷活動(dòng)攻擊事件，進(jìn)行了攻擊方式分析，可以看出TOP5皆為常見(jiàn)的攻擊方式：

（1）抹機(jī)及接碼注冊(cè)，占比24.7%；

（2）接單代刷助力，占比21.7%；

（3）利用業(yè)務(wù)規(guī)則缺陷，占比18.8%；

（4）虛擬定位改城市，占比10.6%；

（5）真人眾包，占比8.3%。

從TOP5的數(shù)據(jù)可見(jiàn)，營(yíng)銷活動(dòng)場(chǎng)景的黑灰產(chǎn)攻擊，并沒(méi)有改變太多手法，依然普遍采取主流方式。

抹機(jī)及接碼注冊(cè)指的是：

針對(duì)平臺(tái)開(kāi)展的邀請(qǐng)好友助力領(lǐng)取獎(jiǎng)勵(lì)類和新用戶注冊(cè)領(lǐng)取獎(jiǎng)勵(lì)類的營(yíng)銷活動(dòng)，黑灰產(chǎn)會(huì)使用抹機(jī)工具修改設(shè)備參數(shù)偽裝成一臺(tái)新設(shè)備，再配合聯(lián)系卡商進(jìn)行手機(jī)號(hào)接碼，從而達(dá)到在同一臺(tái)設(shè)備上注冊(cè)多個(gè)小號(hào)給主賬號(hào)完成助力任務(wù)，薅取活動(dòng)獎(jiǎng)勵(lì)，或者注冊(cè)多個(gè)新號(hào)領(lǐng)取獎(jiǎng)勵(lì)的目的。

接單代刷助力指的是：

針對(duì)平臺(tái)開(kāi)展的邀請(qǐng)好友助力領(lǐng)取獎(jiǎng)勵(lì)類的營(yíng)銷活動(dòng)，黑灰產(chǎn)掌握了針對(duì)該營(yíng)銷活動(dòng)的自動(dòng)化批量助力的技術(shù)，由于活動(dòng)獎(jiǎng)勵(lì)的優(yōu)惠券、平臺(tái)權(quán)益、商品變現(xiàn)對(duì)普通用戶也有誘惑，故黑灰產(chǎn)會(huì)收取費(fèi)用幫助這些普通用戶刷助力，進(jìn)而完成任務(wù)得到獎(jiǎng)勵(lì)。

此攻擊方式常出現(xiàn)的場(chǎng)景主要有打車出行行業(yè)的助力得打車優(yōu)惠券、美妝行業(yè)的助力得化妝品、電商行業(yè)的助力得商品等活動(dòng)。

利用業(yè)務(wù)規(guī)則缺陷指的是：

針對(duì)平臺(tái)開(kāi)展的各類做任務(wù)領(lǐng)取獎(jiǎng)勵(lì)的營(yíng)銷活動(dòng)，當(dāng)黑灰產(chǎn)發(fā)現(xiàn)其中活動(dòng)的獎(jiǎng)勵(lì)，在業(yè)務(wù)側(cè)沒(méi)有得到全方位的防護(hù)，比如通過(guò)一些特殊動(dòng)作可以獲得，或者只需簡(jiǎn)單“技巧性操作”即可領(lǐng)取，便會(huì)對(duì)此活動(dòng)進(jìn)行大規(guī)模攻擊。

虛擬定位或修改城市指的是：

針對(duì)平臺(tái)開(kāi)展的限定地區(qū)領(lǐng)取權(quán)益的營(yíng)銷活動(dòng)，當(dāng)黑產(chǎn)發(fā)現(xiàn)該權(quán)益的優(yōu)惠力度大且能變現(xiàn)，便會(huì)使用修改定位的方式對(duì)該活動(dòng)進(jìn)行攻擊，從而領(lǐng)取活動(dòng)獎(jiǎng)勵(lì)。此攻擊方式常出現(xiàn)的場(chǎng)景主要有支付類、銀行類、電商類、出行類平臺(tái)的特定地區(qū)優(yōu)惠領(lǐng)券活動(dòng)。

//營(yíng)銷活動(dòng)場(chǎng)景外，刷量作弊、惡意引流、認(rèn)證繞過(guò)等場(chǎng)景，共活躍著數(shù)十萬(wàn)黑灰產(chǎn)

除營(yíng)銷活動(dòng)外，2021年常見(jiàn)的作惡場(chǎng)景還有：刷量作弊、惡意引流、認(rèn)證繞過(guò)、真人眾包代下單等。

黑灰產(chǎn)作惡時(shí)，往往會(huì)在各大社交平臺(tái)聚集，用于進(jìn)行引流維護(hù)及同行間的交流，因此，統(tǒng)計(jì)各個(gè)作惡場(chǎng)景下，這些黑產(chǎn)在各大社交平臺(tái)的賬號(hào)數(shù)量，可以大致描繪出每個(gè)場(chǎng)景的黑產(chǎn)“從業(yè)者”規(guī)模。

以在各社交平臺(tái)活躍的賬號(hào)進(jìn)行統(tǒng)計(jì)的話，刷量作弊、惡意引流、認(rèn)證繞過(guò)、真人眾包代下單的賬號(hào)數(shù)分別是：13W+、11W+、10W+、2W+ 。

刷量作弊、惡意引流、認(rèn)證繞過(guò)這三類場(chǎng)景，在可監(jiān)控到的范圍內(nèi)，黑灰產(chǎn)社交平臺(tái)活躍賬號(hào)規(guī)模都超過(guò)了10W。電商代下單活躍賬號(hào)規(guī)模雖只有2W+，但卻比2020年增加了兩倍。

這四大類風(fēng)險(xiǎn)場(chǎng)景的典型手法和造成的主要危害如下：

刷量作弊風(fēng)險(xiǎn)場(chǎng)景：

刷量作弊，指的是：利用違規(guī)方法去提高相關(guān)賬號(hào)功能數(shù)值（如：點(diǎn)贊量、關(guān)注量等），最終達(dá)到偽造虛假流量、炒作熱度、增加曝光等目的。這種刷量行為常常擾亂社區(qū)秩序、破壞社區(qū)生態(tài)，不利于優(yōu)秀內(nèi)容脫穎而出，并且增加了創(chuàng)作者的成本。

2021年，刷量作弊的攻擊形式主要有三種：機(jī)器刷量、真人刷量和養(yǎng)高級(jí)別賬號(hào)刷量。其中，機(jī)器刷量為最傳統(tǒng)的刷量形式，這類刷量的攻擊面幾乎覆蓋了所有主流平臺(tái)，也是各大平臺(tái)治理的重點(diǎn)。

但機(jī)器刷量因特征明顯，比較好檢測(cè)，因此無(wú)法有效的在部分檢測(cè)嚴(yán)格的社區(qū)內(nèi)容平臺(tái)上作惡。此時(shí)，許多黑灰產(chǎn)就會(huì)提高作惡手法，開(kāi)始雇傭真人來(lái)提升刷量效果。

此外，部分高級(jí)黑灰產(chǎn)，還針對(duì)一些大型社區(qū)平臺(tái)排名權(quán)重的計(jì)算規(guī)則，推出了高級(jí)別賬號(hào)刷量功能，這類功能的主體往往是黑產(chǎn)長(zhǎng)期持有、擁有很高粉絲數(shù)、被黑產(chǎn)養(yǎng)著的號(hào)，黑灰產(chǎn)利用這些賬號(hào)，對(duì)外提供優(yōu)化排名、熱榜置頂?shù)确?wù)。

惡意引流風(fēng)險(xiǎn)場(chǎng)景：

惡意引流，在2021年依然是黑灰產(chǎn)典型的作惡場(chǎng)景，他們一般會(huì)使用腳本工具，利用平臺(tái)的私信、評(píng)論、留言等功能，批量發(fā)布引流信息；也會(huì)有黑灰產(chǎn)在社交平臺(tái)，發(fā)布“收粉”、“拉群”任務(wù)，他們往往會(huì)要求普通用戶拉好友進(jìn)群，達(dá)到一定人數(shù)后，就以一定的金額收群，然后再把群轉(zhuǎn)給下游的詐騙團(tuán)伙等。

認(rèn)證繞過(guò)風(fēng)險(xiǎn)場(chǎng)景：

認(rèn)證繞過(guò)，指的是黑灰產(chǎn)用虛假認(rèn)證資料通過(guò)平臺(tái)的資格檢測(cè)環(huán)節(jié)。例如：用改裝后的設(shè)備和人臉建模繞過(guò)人臉檢測(cè)，用偽造的證件為賬號(hào)取得相關(guān)認(rèn)證等。這類作惡行為會(huì)造成虛假身份、虛假企業(yè)認(rèn)證等問(wèn)題，不僅影響平臺(tái)生態(tài)，還有可能會(huì)帶來(lái)引流詐騙等問(wèn)題。

真人眾包代下單風(fēng)險(xiǎn)場(chǎng)景：

真人眾包代下單，指的是黑產(chǎn)雇傭真人遠(yuǎn)程下單，來(lái)批量薅取電商活動(dòng)限購(gòu)的優(yōu)惠商品。該場(chǎng)景下，被雇傭的真人用戶按照黑灰產(chǎn)提供的商品鏈接和地址下單，最后下單用戶得到黃牛返還的款項(xiàng)和傭金，黑灰產(chǎn)收到商品并轉(zhuǎn)賣獲利。

據(jù)永安在線監(jiān)測(cè)，2021年真人眾包代下單的作弊量有顯著增長(zhǎng)，相關(guān)黑灰產(chǎn)賬號(hào)數(shù)比2020年增長(zhǎng)了2倍。這反映了在平臺(tái)加強(qiáng)風(fēng)控后，黑產(chǎn)無(wú)法通過(guò)單人調(diào)用多賬號(hào)來(lái)完成作惡，而是轉(zhuǎn)向真人代下的模式。

02

追求效率為先，黑灰產(chǎn)仍普遍采取各類自動(dòng)化作惡工具

黑灰產(chǎn)在進(jìn)行作惡時(shí)，會(huì)采用各類工具進(jìn)行批量、自動(dòng)化攻擊，以達(dá)到短時(shí)間內(nèi)獲得更多收益的目的。主要的黑灰產(chǎn)工具分為定制型和通用型，黑灰產(chǎn)定制型又分為電腦端的協(xié)議工具和手機(jī)端的腳本工具，通用型主要是各類改機(jī)工具、虛擬定位工具等。

//黑灰產(chǎn)定制型工具中，手機(jī)端工具比電腦端工具高13%

2021年，永安在線共監(jiān)控到17.59萬(wàn)款黑灰產(chǎn)定制型工具，其中手機(jī)端工具9.93萬(wàn)款，占比56.5%；電腦端工具7.65萬(wàn)款，占比43.5%，手機(jī)端黑灰產(chǎn)工具數(shù)量高于電腦端13個(gè)百分點(diǎn)。

電腦端的主要是E語(yǔ)言為代表的協(xié)議工具，手機(jī)端的主要是按鍵精靈/autojs為代表的模擬操控工具，兩類背后都有大量的工具開(kāi)發(fā)者和使用者；由于協(xié)議工具需要對(duì)應(yīng)用進(jìn)行破解，相比之下，模擬操控工具的門(mén)檻更低，因此數(shù)量也更多。

//手機(jī)端黑灰產(chǎn)定制型作惡工具中，42%為腳本工具

2021年監(jiān)控到的手機(jī)端黑灰產(chǎn)作惡工具中，主要作惡類型是：按鍵精靈、autojs、多開(kāi)/分身、Xposed、代理工具、虛擬定位。

其中，占比最高的是按鍵精靈和autojs，合計(jì)超42%。可以看出，手機(jī)端還是以腳本類型的作惡工具為主。

//定制型黑灰產(chǎn)作惡工具中，51%攻擊賬號(hào)安全場(chǎng)景

在典型的6大類風(fēng)險(xiǎn)中，2021年監(jiān)控到的黑灰產(chǎn)定制型作惡工具的攻擊場(chǎng)景，對(duì)應(yīng)占比分別是：賬號(hào)安全，51.48%；營(yíng)銷作弊，21.7%；廣告引流，11.97%；刷量刷單，8%；內(nèi)容爬取，6.43%；支付欺詐，0.42%。

可見(jiàn)，賬號(hào)安全和營(yíng)銷作弊，是被攻擊的重災(zāi)區(qū)，尤其是賬號(hào)安全場(chǎng)景，一旦被攻擊成功，則會(huì)引起一系列如：虛假注冊(cè)、信息泄露等問(wèn)題，對(duì)于此場(chǎng)景的風(fēng)險(xiǎn)防護(hù)策略不容忽視。

//通用型黑灰產(chǎn)作惡工具中，4大類改機(jī)工具及云手機(jī)平臺(tái)依然活躍

4大改機(jī)工具類型中，安卓端改機(jī)工具可以概括為三種，分別是：軟改、ROM改機(jī)、硬改，在2021年，我們共監(jiān)控到10余種此類工具；蘋(píng)果端改機(jī)工具以佐羅為主，類似的，還有愛(ài)偽裝、愛(ài)新機(jī)、愛(ài)立思等。

此外，依托于改機(jī)技術(shù)的云手機(jī)平臺(tái)，也逐漸成為了黑灰產(chǎn)使用的工具。黑灰產(chǎn)往往通過(guò)會(huì)員充值或租賃的形式，借助遠(yuǎn)程連接獲取云手機(jī)的使用權(quán)限后進(jìn)行攻擊，一次攻擊成功后，再借助平臺(tái)的一鍵新機(jī)功能實(shí)現(xiàn)改機(jī)。此類云手機(jī)平臺(tái)有：河馬云、紅手指、多多云手機(jī)、雷電云手機(jī)、云帥云手機(jī)、華云云手機(jī)、雙子星云手機(jī)、NBE云、點(diǎn)動(dòng)云手機(jī)等。

//通用型黑灰產(chǎn)作惡工具中，虛擬定位工具主要在銀行營(yíng)銷活動(dòng)中被使用

永安在線現(xiàn)已捕獲到90余個(gè)安卓手機(jī)端虛擬定位類工具，以及任我行、天下游2個(gè)主要的蘋(píng)果手機(jī)端虛擬定位類工具，目前在黑灰產(chǎn)側(cè)用于攻擊營(yíng)銷活動(dòng)的主流工具是任我行（蘋(píng)果手機(jī)端虛擬定位）和悟空分身（安卓手機(jī)端虛擬定位）。

并且，通過(guò)對(duì)2021年的情報(bào)數(shù)據(jù)分析得出，支付類、銀行類、電商類平臺(tái)的特定地區(qū)優(yōu)惠領(lǐng)券活動(dòng)，最吸引黑灰產(chǎn)使用虛擬定位工具進(jìn)行攻擊，在所有虛擬定位攻擊相關(guān)的事件中，占比分布是：57%、14%、13%。主要因?yàn)榇祟惼脚_(tái)開(kāi)展的限定地區(qū)領(lǐng)取權(quán)益的營(yíng)銷活動(dòng)優(yōu)惠力度大，且黑灰產(chǎn)能對(duì)領(lǐng)取的權(quán)益進(jìn)行變現(xiàn)，故使用修改定位的方式進(jìn)行獲利。

03

利益驅(qū)動(dòng)為主，黑灰產(chǎn)在交易平臺(tái)大量交易

黑灰產(chǎn)在對(duì)各大平臺(tái)進(jìn)行攻擊后，會(huì)將自己的“戰(zhàn)利品”分銷變現(xiàn)，此時(shí)，黑灰產(chǎn)一般會(huì)選擇在各大發(fā)卡網(wǎng)站上進(jìn)行售賣，以獲得收益。

發(fā)卡平臺(tái)：類似“淘寶”，黑產(chǎn)特有的交易網(wǎng)站，在上面可以陳列商品進(jìn)行售賣，特點(diǎn)是偽裝性強(qiáng)，一般一個(gè)鏈接對(duì)應(yīng)一個(gè)店鋪，而鏈接通常只有“內(nèi)部人”才知道。

//共監(jiān)控到780+個(gè)發(fā)卡網(wǎng)站，16W+店鋪售賣各類黑灰產(chǎn)資源

2021年，永安在線共監(jiān)控到780+個(gè)發(fā)卡網(wǎng)站，在這些黑灰產(chǎn)交易網(wǎng)站上，共有16W+店鋪在售賣各類黑灰產(chǎn)資源，合計(jì)6大類，30+個(gè)商品品類。

黑灰產(chǎn)第一大資源交易變現(xiàn)品類為賬號(hào)類商品，占比近60%，其次是優(yōu)惠券類商品，占比近15%。

//內(nèi)容行業(yè)賬號(hào)交易約占36%、社交行業(yè)賬號(hào)交易約占25%

2021年，永安在線監(jiān)控的黑灰產(chǎn)市場(chǎng)全年的賬號(hào)資源交易中，主要涉及的TOP3行業(yè)是：內(nèi)容行業(yè)，35.70%；社交行業(yè)，24.58%；電商行業(yè)，23.32%。

內(nèi)容社區(qū)行業(yè)的黑灰產(chǎn)交易賬號(hào)，最終被用于引流和刷量，是虛假流量和代寫(xiě)代發(fā)的核心資源。

社交行業(yè)的黑灰產(chǎn)交易賬號(hào)，主要用于引流和欺詐，此類賬號(hào)的交易流轉(zhuǎn)，是社交平臺(tái)上內(nèi)容風(fēng)險(xiǎn)和用戶安全的問(wèn)題根源。

電商行業(yè)的黑產(chǎn)交易賬號(hào)，主要用于薅取優(yōu)惠權(quán)益，批量購(gòu)買優(yōu)惠商品。為了提高攻擊效率，黑灰產(chǎn)多數(shù)情況下會(huì)提取這些賬號(hào)的cookie或token數(shù)據(jù)，再配合工具完成自動(dòng)化批量攻擊。因此，電商行業(yè)的賬號(hào)大量交易，會(huì)帶來(lái)平臺(tái)的巨大資損。

//除賬號(hào)類黑灰產(chǎn)資源交易之外，66%為優(yōu)惠券資源交易

黑灰產(chǎn)在對(duì)各大平臺(tái)進(jìn)行攻擊后，會(huì)將自己的“戰(zhàn)利品”分銷變現(xiàn)，此時(shí)，黑灰產(chǎn)一般會(huì)選擇在各大發(fā)卡網(wǎng)站上進(jìn)行售賣。在賬號(hào)類交易之外的黑灰產(chǎn)資源變現(xiàn)商品品類中，優(yōu)惠券資源交易占比最高，達(dá)66.03%，其次是會(huì)員代充，占比17.59%。

黑灰產(chǎn)優(yōu)惠券資源的來(lái)源主體還是以各大電商平頭為主，占比超97%；而接近50%的會(huì)員轉(zhuǎn)賣/代充發(fā)生在音視頻及內(nèi)容社區(qū)行業(yè)，其中大部分屬于異業(yè)合作的特惠會(huì)員，黑產(chǎn)往往會(huì)從這些平臺(tái)的合作方渠道獲取優(yōu)惠的會(huì)員，之后再以低于官方的價(jià)格進(jìn)行售賣。

二、2021年黑灰產(chǎn)對(duì)抗資源變化情況

據(jù)永安在線觀察，“斷卡行動(dòng)”雖然對(duì)黑灰產(chǎn)造成了有效的打擊，但他們通過(guò)海外卡、攔截卡、私接等方式，避開(kāi)了各類限制，使黑手機(jī)卡成功的“死灰復(fù)燃”，為各個(gè)風(fēng)險(xiǎn)場(chǎng)景的作惡，提供了充足的彈藥。這種對(duì)抗上的變化，體現(xiàn)出黑灰產(chǎn)頑強(qiáng)的生命力和對(duì)抗能力。

與此同時(shí)，秒撥和代理資源的活躍，也為黑灰產(chǎn)供應(yīng)著大量的IP偽裝資源。

01

資源重新調(diào)配，“斷卡行動(dòng)”后，黑手機(jī)卡資源以新的方式被利用

國(guó)家從2020年10月10日開(kāi)始，對(duì)涉嫌違規(guī)的手機(jī)卡和銀行卡實(shí)施“斷卡行動(dòng)”，這兩種卡都是黑灰產(chǎn)最主要的作惡資源，而在“斷卡行動(dòng)”開(kāi)展的一年多以來(lái)，作為必不可少的一環(huán)，黑灰產(chǎn)在手機(jī)卡資源的使用上有了新的趨勢(shì)。

//“斷卡行動(dòng)”后，傳統(tǒng)黑手機(jī)卡月活躍量不斷下降

永安在線發(fā)現(xiàn)，在"斷卡行動(dòng)"的2020年10月，恰好就是傳統(tǒng)黑手機(jī)卡月活躍量的拐點(diǎn)：在這之前一直維持著較高的增長(zhǎng)水平，在這之后，整體趨勢(shì)上不斷下降。

*傳統(tǒng)黑手機(jī)卡：指非正常實(shí)名的手機(jī)SIM卡，渠道多樣，有企業(yè)匿名、歷史物聯(lián)網(wǎng)卡、通信虛擬等等，主要特征是“在生命周期內(nèi)被黑產(chǎn)固定持有”，即在這個(gè)期限內(nèi)無(wú)論注冊(cè)哪個(gè)平臺(tái)，進(jìn)行什么行為均可判斷為惡意。

//“斷卡行動(dòng)”后，國(guó)外傳統(tǒng)黑手機(jī)卡月活躍量超過(guò)國(guó)內(nèi)傳統(tǒng)黑手機(jī)卡

“斷卡行動(dòng)”之后的14個(gè)月里，國(guó)外傳統(tǒng)黑手機(jī)卡的月活躍量基本上都高于國(guó)內(nèi)傳統(tǒng)黑手機(jī)卡的月活躍量。這一方面是因?yàn)椤皵嗫ㄐ袆?dòng)”主要打擊的是國(guó)內(nèi)的手機(jī)卡，但另一方面也表明，黑產(chǎn)開(kāi)始更多的使用國(guó)外的傳統(tǒng)黑手機(jī)卡對(duì)于國(guó)內(nèi)公司進(jìn)行業(yè)務(wù)攻擊。

//“斷卡行動(dòng)后”，攔截卡月活躍量超過(guò)傳統(tǒng)黑手機(jī)卡月活躍量

"斷卡行動(dòng)"的2020年10月，恰好也是攔截卡和傳統(tǒng)黑手機(jī)卡月活躍量占比的拐點(diǎn)：在2020年10月的“斷卡行動(dòng)”后的14個(gè)月里，攔截卡月活躍量基本高于傳統(tǒng)黑手機(jī)卡的月活躍量。可見(jiàn)在“斷卡行動(dòng)”后，黑產(chǎn)更多的使用攔截卡作為作惡資源。

（攔截卡：指通過(guò)設(shè)備硬件后門(mén)或軟件App方式植入木馬，攔截正常用戶手機(jī)設(shè)備收到的短信內(nèi)容，利用其進(jìn)行惡意注冊(cè)，其主要特征是“手機(jī)號(hào)為自然人持有”。因這種黑卡采用攔截短信內(nèi)容的方法進(jìn)行惡意行為，我們簡(jiǎn)稱其為“攔截卡”）

//“斷卡行動(dòng)”后，黑灰產(chǎn)更多的采用群接碼的方式使用傳統(tǒng)黑手機(jī)卡

從群接碼數(shù)據(jù)和活躍的接碼群上看，在“斷卡行動(dòng)”后，無(wú)論是群接碼數(shù)據(jù)還是活躍的接碼群都大幅增加，可見(jiàn)，“斷卡行動(dòng)”讓大部分卡商感覺(jué)到了風(fēng)險(xiǎn)，因此在傳播方式上，普遍把傳統(tǒng)黑手機(jī)卡，從接碼平臺(tái)上轉(zhuǎn)移到了隱蔽性更高、私密性更好的群接碼上。

群接碼：群接碼是具有高質(zhì)量黑卡資源的黑產(chǎn)資源商，為防止被監(jiān)測(cè)，以及匯聚客戶資源，通過(guò)部署的私有化黑卡資源庫(kù)，并向消費(fèi)者定向發(fā)送手機(jī)號(hào)，并在QQ群接收驗(yàn)證碼的方式進(jìn)行注冊(cè)登錄的一種接碼方式。

//“斷卡行動(dòng)”后，除群接碼方式外，黑灰產(chǎn)也更多的使用項(xiàng)目私接的形式進(jìn)行接碼

黑灰產(chǎn)接手機(jī)驗(yàn)證碼的方式，除了轉(zhuǎn)移到使用群接碼之外，還更多的轉(zhuǎn)移成了項(xiàng)目私接的形式：提供專屬API的形式進(jìn)行接碼，需要單獨(dú)聯(lián)系客服才能進(jìn)行賬號(hào)注冊(cè)和充值，并且項(xiàng)目會(huì)受到限制，一個(gè)平臺(tái)賬號(hào)一般只能對(duì)接開(kāi)戶的單獨(dú)項(xiàng)目和號(hào)碼。

而從2020年、2021年兩年的，黑手機(jī)卡私接驗(yàn)證碼輿情變化上看：在斷卡行動(dòng)后，項(xiàng)目私接的輿情有一個(gè)很明顯的上升，之后的11月雖有回落，但依然比10月“斷卡行動(dòng)”前高7倍。而且，在這之后，項(xiàng)目私接的每月輿情數(shù)都在不斷增加，在2021年10月達(dá)到高峰，之后的11月、12月輿情雖有回落，但依然維持在較高水平，可見(jiàn)“項(xiàng)目私接”形式的手機(jī)驗(yàn)證碼獲取，逐漸成為黑產(chǎn)的主要攻擊方式。

02

更加善于偽裝，使用IP方式進(jìn)行身份繞過(guò)

黑灰產(chǎn)除了會(huì)使用各類工具進(jìn)行自動(dòng)化攻擊外，還會(huì)使用IP資源進(jìn)行身份偽裝繞過(guò)。

//風(fēng)險(xiǎn)IP日活躍量在2億左右，最高時(shí)達(dá)3.2億

2021年永安在線監(jiān)控的風(fēng)險(xiǎn)IP日活躍量在2億左右，最高時(shí)達(dá)3.2億。

//秒撥及代理平臺(tái)風(fēng)險(xiǎn)IP日活躍量對(duì)比，秒撥IP日活躍量平穩(wěn)

2021年，永安在線監(jiān)控的秒撥IP日活躍平穩(wěn)，它已然成為支撐黑產(chǎn)與甲方在IP層面博弈的核心技術(shù)，也是當(dāng)下業(yè)務(wù)安全行業(yè)的痛點(diǎn)之一。

秒撥的底層思路就是利用國(guó)內(nèi)家用寬帶撥號(hào)上網(wǎng)（PPPoE）的原理，每一次斷線重連就會(huì)獲取一個(gè)新的IP。這在與甲方的IP策略對(duì)抗層面，給予秒撥兩個(gè)天然的優(yōu)勢(shì)：

IP池巨大：假設(shè)某秒撥機(jī)上的寬帶資源屬于A地區(qū)電信運(yùn)營(yíng)商，那么該秒撥機(jī)可撥到整個(gè)A地區(qū)電信IP池中的IP，少則十萬(wàn)量級(jí)，多則百萬(wàn)量級(jí)；

難以識(shí)別：因?yàn)槊霌躀P和正常用戶IP取自同一個(gè)IP池，秒撥IP的使用周期（通常在秒級(jí)或分鐘級(jí)）結(jié)束后，大概率會(huì)流轉(zhuǎn)到正常用戶手中，所以區(qū)分秒撥IP和正常用戶IP難度很大。

秒撥的這兩大天然優(yōu)勢(shì)，對(duì)于黑產(chǎn)而言，是兩道天然的屏障，同時(shí)也給甲方在風(fēng)險(xiǎn)IP識(shí)別和判定上帶來(lái)極大的挑戰(zhàn)。

//活躍的風(fēng)險(xiǎn)IP類型中，家庭寬帶占比最高，達(dá)到65%

2021年活躍的風(fēng)險(xiǎn)IP類型中，家庭寬帶占比最高，達(dá)65%，其次是數(shù)據(jù)中心，占比達(dá)7%。

當(dāng)前形勢(shì)下與黑產(chǎn)在IP層面上的對(duì)抗，依靠傳統(tǒng)的積累IP威脅情報(bào)庫(kù)的方式，無(wú)法直接應(yīng)用和落地到業(yè)務(wù)側(cè)，典型的使用效果是：對(duì)黑IP的檢出率很高，但對(duì)正常用戶IP的誤判率也很高。

所以，識(shí)別風(fēng)險(xiǎn)IP的核心依據(jù)應(yīng)該是，該IP是否當(dāng)下被黑產(chǎn)持有，IP的黑產(chǎn)使用周期和時(shí)間有效性這兩個(gè)指標(biāo)尤為重要，尤其是對(duì)于像家庭寬帶IP、數(shù)據(jù)中心主機(jī)IP這種“非共享型”的IP。

對(duì)于像家庭寬帶IP、數(shù)據(jù)中心主機(jī)IP這種“非共享型”的IP，精準(zhǔn)識(shí)別出來(lái)的風(fēng)險(xiǎn)IP可以直接進(jìn)行阻斷或限制，針對(duì)基站、專用出口等“共享型”的IP，由于單個(gè)IP背后會(huì)有大量用戶，不建議直接阻斷或限制，可以參與加權(quán)或結(jié)合其他維度的數(shù)據(jù)進(jìn)行綜合判斷。

三、2021年黑灰產(chǎn)攻擊變化情況

2021年，在黑灰產(chǎn)攻擊上也出現(xiàn)了一些突出的現(xiàn)象，如：因小程序高速發(fā)展帶來(lái)的微信授權(quán)的大規(guī)模泛濫、數(shù)字化經(jīng)濟(jì)發(fā)展衍生的用戶信息安全問(wèn)題、因API的管理失控帶來(lái)的數(shù)據(jù)泄露問(wèn)題，都值得大家關(guān)注。

01

微信授權(quán)攻擊猖獗一時(shí)

2021年，黑灰產(chǎn)利用眾多因違規(guī)被封、不能正常使用支付等重要業(yè)務(wù)功能，但仍然可以授權(quán)各類平臺(tái)的微信號(hào)進(jìn)行不同業(yè)務(wù)登錄，從而生成新身份的微信登錄攻擊方式猖獗一時(shí)。

此類微信授權(quán)登錄的方式，主要有三種：

第一種是，使用62或A16數(shù)據(jù)，配合孔雀簽或外星人工具進(jìn)行微信賬號(hào)登錄后掃碼授權(quán)。

a16、62數(shù)據(jù)是微信登錄后產(chǎn)生的身份憑證數(shù)據(jù)，有了a16或者62數(shù)據(jù)就可以實(shí)現(xiàn)免賬號(hào)密碼，免驗(yàn)證登錄微信。

第二種是，在手機(jī)上安裝如“檸檬”等的微信授權(quán)工具后，喚醒工具跳轉(zhuǎn)登錄。

第三種是，使用如“利群”類微信授權(quán)平臺(tái)，提供的API接口，集成到自動(dòng)化工具中，進(jìn)行登錄。

這三類微信授權(quán)的作惡方式，為黑產(chǎn)提供了豐富的攻擊彈藥，從2021年開(kāi)始，此類微信授權(quán)便逐漸規(guī)模化，在發(fā)展高峰期間，甚至達(dá)到了：活躍的授權(quán)平臺(tái)數(shù)十家，活躍的授權(quán)APP數(shù)十個(gè)的規(guī)模，同時(shí)，黑產(chǎn)市場(chǎng)上活躍的微信賬號(hào)也超百萬(wàn)量級(jí)。

但后來(lái)由于微信對(duì)于賬號(hào)的治理，大量微信授權(quán)平臺(tái)倒閉跑路，而這項(xiàng)黑產(chǎn)“生意”，也如曇花一現(xiàn)，迅速凋零，到如今只有很少一部分存活。

除此之外，基于微信授權(quán)平臺(tái)開(kāi)發(fā)的自動(dòng)化工具數(shù)量也在巔峰之后，極速下降。

02

數(shù)據(jù)泄露問(wèn)題頻發(fā)，各個(gè)行業(yè)均面臨威脅

//數(shù)據(jù)泄露事件覆蓋各行業(yè)，快遞/物流行業(yè)占比最高，達(dá)25%

2021年，經(jīng)過(guò)永安在線人工運(yùn)營(yíng)和專家分析，共監(jiān)測(cè)到有效數(shù)據(jù)泄露情報(bào)事件共1700余起，涉及企業(yè)近500家，涉及30多個(gè)行業(yè)。其中11月份事件數(shù)量劇增，較10月份上漲2倍，這主要因?yàn)殡p十一購(gòu)物節(jié)后大量電商網(wǎng)購(gòu)、物流快遞信息泄露導(dǎo)致。

其中，快遞/物流行業(yè)為數(shù)據(jù)泄露事件數(shù)排名第一的行業(yè)，占比為25%；借貸行業(yè)排名第二，占比近21%，證券行業(yè)排名第三，占比近15%。

根據(jù)永安在線對(duì)國(guó)內(nèi)各行業(yè)的，數(shù)據(jù)資產(chǎn)泄露風(fēng)險(xiǎn)監(jiān)測(cè)統(tǒng)計(jì)結(jié)果顯示，快遞/物流行業(yè)為數(shù)據(jù)泄露事件數(shù)排名第一的行業(yè)，占比為25%；借貸行業(yè)排名第二，占比近21%，證券行業(yè)排名第三，占比近15%。

泄露后的數(shù)據(jù)，通常會(huì)被用于詐騙、廣告推廣和同行競(jìng)爭(zhēng)等。以詐騙為例，每個(gè)行業(yè)數(shù)據(jù)泄露后的詐騙手法都有所區(qū)別，以下是TOP5行業(yè)常見(jiàn)詐騙手法：

//數(shù)據(jù)泄露最多的是各平臺(tái)的客戶信息，占比高達(dá)98%

2021年泄露的數(shù)據(jù)中，數(shù)據(jù)類型主要集中在平臺(tái)用戶信息，占比達(dá)98%；其次是公民個(gè)人信息、數(shù)據(jù)庫(kù)賬號(hào)、后臺(tái)源碼信息等。

平臺(tái)用戶信息泄露，極有可能會(huì)被用于各種類型的營(yíng)銷推廣，同時(shí)也是詐騙頻發(fā)的重要原因。

//數(shù)據(jù)資產(chǎn)交易的主要渠道仍是Telegram，交易發(fā)生占比達(dá)80%

黑產(chǎn)進(jìn)行數(shù)據(jù)交易，主要集中在隱蔽性較高的渠道，其中，Telegram占比近80%、暗網(wǎng)占比近19%。

03

攻擊平面延伸，API成黑灰產(chǎn)攻擊焦點(diǎn)，成數(shù)據(jù)泄露最大誘因

數(shù)據(jù)資產(chǎn)的數(shù)字經(jīng)濟(jì)時(shí)代的重要性不言而喻，在目前已成為一種新型生產(chǎn)要素，推動(dòng)著各行各業(yè)的發(fā)展。因此，對(duì)數(shù)據(jù)的竊取變成了黑灰產(chǎn)作惡的重要部分。API作為承載數(shù)據(jù)流轉(zhuǎn)和業(yè)務(wù)功能實(shí)現(xiàn)的核心，在2021年成為黑灰產(chǎn)攻擊的焦點(diǎn)，也是致使數(shù)據(jù)泄露事件頻繁的重要原因。

//大量黑灰產(chǎn)作惡工具攻擊API接口，涉及場(chǎng)景豐富，其中賬號(hào)場(chǎng)景接口數(shù)占比高達(dá)63%

永安在線從2021年監(jiān)控的17.59萬(wàn)款黑產(chǎn)工具中，提取出了大量被攻擊的API接口，涉及場(chǎng)景包括：登錄場(chǎng)景、驗(yàn)證碼場(chǎng)景、注冊(cè)場(chǎng)景、活動(dòng)場(chǎng)景、內(nèi)容場(chǎng)景等。

其中，遭受攻擊的API接口占比最高的是登錄場(chǎng)景，達(dá)44%；其次是驗(yàn)證碼場(chǎng)景，達(dá)22.2%；第三是注冊(cè)場(chǎng)景，達(dá)19.31%。

//因API管控不當(dāng)造成的內(nèi)部安全缺陷，是引發(fā)數(shù)據(jù)泄露的主因

2021年永安在線對(duì)監(jiān)控到的1700余起數(shù)據(jù)泄露事件進(jìn)行分析后發(fā)現(xiàn)，引發(fā)數(shù)據(jù)資產(chǎn)泄露最大的原因有：

（1）API管控不當(dāng)造成的內(nèi)部安全缺陷，占比達(dá)45.45%，這主要是企業(yè)數(shù)據(jù)流轉(zhuǎn)節(jié)點(diǎn)的不斷增多，導(dǎo)致大量無(wú)法感知到的API暴露在外，被黑產(chǎn)利用并進(jìn)行攻擊導(dǎo)致；

（2）運(yùn)營(yíng)商/短信通道泄露，占比達(dá)36.23%；

（3）內(nèi)部人員泄露，占比達(dá)14.83%。

值得一提的是，在排名第三的原因——內(nèi)部人員泄露中，也有很大的可能是內(nèi)部人員越權(quán)而非法利用了API，或者是離職員工權(quán)限未及時(shí)收回導(dǎo)致。因此，實(shí)際上因API管控不當(dāng)造成的數(shù)據(jù)泄露風(fēng)險(xiǎn)已超過(guò)50%，這是在當(dāng)下數(shù)據(jù)安全管控趨嚴(yán)的環(huán)境下，眾多平臺(tái)首先要解決的問(wèn)題。

//每個(gè)月都有因API管控不當(dāng)導(dǎo)致的數(shù)據(jù)泄露事件

2021年7月，國(guó)內(nèi)某大型教育機(jī)構(gòu)的40萬(wàn)條用戶信息數(shù)據(jù)，在暗網(wǎng)被售賣。經(jīng)驗(yàn)證分析，證實(shí)為：數(shù)據(jù)接口暴露在外，API被爬取導(dǎo)致；

2021年8月，國(guó)內(nèi)某房地產(chǎn)開(kāi)發(fā)商的公司內(nèi)部員工通訊錄、銷售合同等機(jī)密文件以及客戶信息檔案明細(xì)數(shù)據(jù)，在暗網(wǎng)被進(jìn)行售賣。經(jīng)驗(yàn)證分析，證實(shí)為：數(shù)據(jù)接口暴露在外，API被爬取導(dǎo)致；

2021年9月，國(guó)內(nèi)頭部旅游公司的大量航班訂單數(shù)據(jù)，包括：個(gè)人姓名、手機(jī)號(hào)、飛機(jī)起降時(shí)間、航班號(hào)等敏感信息，在數(shù)據(jù)交易平臺(tái)被售賣。經(jīng)驗(yàn)證分析，證實(shí)為：內(nèi)部系統(tǒng)API，被內(nèi)鬼利用獲取數(shù)據(jù)導(dǎo)致；

2021年10月，國(guó)內(nèi)頭部物流公司后臺(tái)系統(tǒng)的訂單數(shù)據(jù)，包括：寄件人姓名、手機(jī)號(hào)、運(yùn)單編號(hào)、產(chǎn)品類型以及配送信息等敏感數(shù)據(jù)，以每日5萬(wàn)條的量級(jí)在數(shù)據(jù)交易平臺(tái)被售賣。經(jīng)驗(yàn)證分析，證實(shí)為：離職員工數(shù)據(jù)訪問(wèn)權(quán)限，未及時(shí)收回導(dǎo)致；

2021年11月，國(guó)內(nèi)某大型航空公司的航班數(shù)據(jù)，包括：航班信息、用戶姓名、手機(jī)號(hào)等內(nèi)容，在數(shù)據(jù)交易平臺(tái)被售賣，量級(jí)達(dá)1千多萬(wàn)條。經(jīng)驗(yàn)證分析，證實(shí)為：內(nèi)部數(shù)據(jù)API，被離職員工利用導(dǎo)致；

2021年12月，國(guó)內(nèi)某證券公司的客戶信息數(shù)據(jù)，包括：用戶姓名、手機(jī)號(hào)、開(kāi)戶時(shí)間、交易情況等敏感數(shù)據(jù)，以每日1萬(wàn)多條的量級(jí)在數(shù)據(jù)交易平臺(tái)被售賣。經(jīng)驗(yàn)證分析，證實(shí)為：內(nèi)部系統(tǒng)數(shù)據(jù)API管控疏忽導(dǎo)致。

以上為本報(bào)告前三大章節(jié)內(nèi)容

報(bào)告目錄

一、2021年黑灰產(chǎn)發(fā)展現(xiàn)狀

二、2021年黑灰產(chǎn)對(duì)抗資源變化情況

三、2021年黑灰產(chǎn)攻擊變化情況

四、2022年黑灰產(chǎn)攻擊趨勢(shì)洞察

五、新攻擊態(tài)勢(shì)下的風(fēng)險(xiǎn)對(duì)抗思路

六、甲方最佳防護(hù)實(shí)踐案例

原標(biāo)題：《2021年黑灰產(chǎn)行業(yè)研究及趨勢(shì)洞察報(bào)告》

閱讀原文