黑灰产规模化的背后——由发卡平台组成的资源交易网
发布日期:2022-03-19 13:40 点击次数:97
一、发卡平台如何支撑互联网黑灰产的规模化
互联网黑灰产业链的交易环节是由一个分层的交易环境构成,除了我们熟悉的暗网之外,交易量更大且交易内容更丰富的就要提到国内已经非常繁荣的“发卡平台灰色生态”,灰色发卡平台产业链支撑了国内黑灰产的规模化和效率提升。
发卡平台是把数字商品做自动化交易的平台,比如微信账号,黑灰产会把微信账号整理后集中在发卡平台中列出,供处在产业链下游的用号方直接线上批量采购。发卡平台的交易逻辑其实跟我们在淘宝买一张话费充值卡一样,只是在应用的场景上,发卡平台现在已经是互联网黑灰产的主要交易通道和协作平台。
发卡平台的本质是互联网黑灰色产业链发展到一定阶段后,对产业链自身效率提升的刚需引导出的产物。早期基于信任的个体交易早已不能满足快速发展的黑灰产的需求,发卡平台的出现,极大地提升了黑灰产交易双方的协作效率。
互联网犯罪的特征与传统刑事案件有一个重要的区别就是作案链条要长很多,且难追踪。这导致在网络犯罪的追责上很难追到上游犯罪链条,且法律依据也并不明确导致案件落地难度也更大,这种情况下往往最终抓捕的只是整条产业链的最后的几个节点,而上游的产业链节点处于相对安全的情况。也还因为发卡平台交易的内容与犯罪场景存在距离,让其规避法律风险的空间很大。比如交易内容为某某帐号,其可用做诈骗场景,但上游的供号商可以完全以自己不知情规避法律风险。
这种法律依据的不明确及其导致的上游犯罪节点抓捕难,是当前发卡平台盛行的关键原因。
与正常的淘宝网中卖家一样,发卡平台能解决两个核心问题:
互联网黑灰产上下游分工协作的效率问题
互信问题
3.1 互联网黑灰产上下游分工协作的效率问题
互联网黑灰产业链与传统犯罪一个比较大的区别,是网络黑灰产的分工会更加精细,一条产业链会包含多个团伙的分工协作,这就对黑灰产人员的协作效率带来了要求。互联网黑灰产想要获得更大的利益,需要通过规模化完成,也就对黑灰产整体之间的协作效率产生了刚性的需求。
比如说一个网络诈骗的场景下,往往是由“卡商”提供手机号给“养号方”,再由“养号方”进行账号恶意注册,在供养一段号码之后再销往要在业务上做诈骗的最终“诈骗团伙”,整个链条当中还包括中间各种“自动化工具的提供方”。这就像一个流水线的车间,很多时候参与到产业链的人也不知道最终的使用场景是什么。
从事灰色产业的群体主要聚集在QQ群等社交渠道,黑灰产人员也在QQ群中维护着这些群体关系,但要通过QQ交易则比较低效,需要自己一对一的单独交易。为了提高交易效率,衍生出了发卡平台,将发卡平台上的商品链接群发至有购买意向的群体中,购买群体可以自动完成购买。
在威胁猎人之前的报告中也有提到像“接码平台”,这类平台也是基于整体黑灰产在2015-2016年期间快速发展阶段的协作效率提升需求而产生。接码平台出现的时间要更早一些。
3.2 互信问题
整个互联网黑灰产早期的发展从一个小群体开始起步,早期的基于关系的信任网络让起步阶段的信任问题并没有出现严重的障碍,但发展到当前,黑灰产业链在全国已经有超过150万人直接参与。已经从一个“村子”发展成为了一个“大都市”,在这样的一个“大都市”的环境下已经不能基于简单信任网络来驱动交易。而黑吃黑和职业骗子也在黑灰产业链中盛行,更是让整个“大都市”的信任基础崩塌。
发卡平台的出现在一定程度上缓解这种信任问题。发卡平台的自动化交易其实从本质上也并不能完全解决信任问题,但通过发卡平台把交易流程结构化之后,可以让欺诈的成本变高,同时降低欺诈的随机性。比如以前会存在卖家真的有货,但也不会发货的问题。
二、发卡平台在互联网黑灰产交易生态中的定位及其特点
理解了发卡平台的定位和意义之后还要再把视角切回到互联网黑灰产的全局,来看其整体交易环境。
我们可以把整体交易分成对应的三个层:
第一层:地下交易市场
这部分交易的内容往往是大宗和重量级的,而大量最终被媒体曝光的信息泄漏事件,很多也是在这一层经过较长周期交易之后才被拿到暗网去交易的。
这个层次中的交易存在于特定的一个地下社群,基于群体的信任关系。存在这层的往往是顶级黑客和中间商皮条组织。比如说欧洲的技术团队获取到一个战斗机图纸,然后再经过东南亚的皮条中介组织售卖到第二世界国家等等。买家也是这个世界的特定群体。
第二层:暗网
暗网这两年逐步被大众认知,其意义还是在“公开的匿名性”。公开是指交易信息的公开,与公网内容并无区别。匿名是指交易双方的身份匿名,具备更好的反侦查能力。这让很多掌握资源和权限的卖家通过暗网售卖信息及权限,因为在这里能够最大化和最方便的对接到下游,同时又能保证自己的安全。
在这个层中,群体扩展到整体的极客团队,交易内容也更广泛,黑灰产业链都在中有自己的空间。
第三层:发卡平台
发卡平台我们在第一部分已经论述过。在这层,群体就变成了更加广泛的灰色产业链群体,而交易的内容也以灰色地带数字产品为主。
三、大众对发卡平台的关注度
一直以来,大众对发卡平台的整体了解程度并不高,这就要说到发卡平台的群体控制机制。简单来说,就是发卡平台是在固定黑灰产群体中的效率提升工具。这个机制的核心是“分散化”——即平台的分散化和商品的分散化,发卡平台中的商品并不会在官网网站上被展示出来,甚至都没有一个搜索的入口,商品信息的传递最终仍然是通过特定群体的社交网络来完成,你想获取到最新的交易商品信息就必须已经是这个群体中的一员。这个机制使得发卡平台即使已经在整体灰色产业链当中起到着中坚力量,但仍然不被大众所知。
在百度搜索“发卡平台”后能看到很多平台,与其他电商网站以及接码平台不同的是,我们无法在网站上直接看到店铺、商品的集中展示页面,也没有搜索能力,购买商品需要知道店铺的指定链接。
四、当前国内发卡平台中的黑灰产数据
我们通过长期监测发卡平台,接触参与发卡平台交易的黑灰产群体,经过采样统计和研究推测,目前参与到发卡平台交易的黑灰产从业人员超过1万人,涉及的商品种类将近数千种,商品数量超过百万,年产值数千万。
我们对监控到的发卡平台在售的灰色商品进行了分类统计,主要分为账号类、影视会员卡密类、虚拟商品寄售类、软件技术类四大类。商品详细分类及代表商品展示如下表所示:
在发卡平台出售的商品中,账号类商品数量最多,占比为59.12%,账号是黑灰产进行攻击的基础资源,所售账号种类涉及到众多行业,比如社交、电商、娱乐、生活服务等等;发卡平台另一活跃商品类型为各大影视会员卡密,占比为23.18%,包括但不限于腾讯视频、爱奇艺、优酷等。在售灰色商品分类及占比统计情况如下图所示:
我们对占比最大的账号类商品进行分类统计,其中陌陌账号、微信账号、百度家族账号(百度知道、百度贴吧、百家号等)数量占比较多,这些厂商的业务是黑灰产人员的重点攻击目标,以下是不同类型账号的占比情况:
灰色商品的价格是体现厂商风控策略有效性和市场需求变化的一个非常直观的因素,商品价格越高,代表厂商风控策略越有效,黑产作恶成本越高。比如对注册、登录进行设备指纹检测的厂商,黑灰产就要找到并且绕过厂商的登录风控策略,甚至黑灰产很难进行批量化自动注册,作恶成本极高,此类账号的价格就会明显高于没有风控对抗的注册账号。账号价格的变化,也体现了某一厂商一定周期内与黑灰产攻防对抗策略的有效性,账号价格升高,代表厂商的风控策略生效或者该业务的需求变大。
我们挑选了一些具有代表性的商品,陌陌白号、微信满月号、快手直登账号,统计并展示这些商品在3月10号至3月30号期间的价格走势,详情如下图所示:
发卡平台上展示的商品分类非常详细,商家会细分到同一类账号的不同等级,比如不同等级的微博账号会分开展示。整个发卡平台每天会新增大量的商品种类。需要说明的是,这里展示的每日新增商品,是指自我们监控已有的渠道以来,未出现过的商品种类,并不代表发卡平台之前未出现过此类商品,也不代表其他渠道从未出现过。新增商品体现了黑灰产攻击业务的目标趋势,对于厂商而言,应该重点关注每日新增的商品,结合商品价格和库存,可以直接体现厂商业务风控的有效性和黑灰产攻击的成本。
我们以3月10日至3月25日近两周的新增商品为例,每日选取一款代表商品进行展示,详情如下:
五、如何有效预防黑产作恶?
威胁猎人基于对黑灰产交易的布控能力,帮助企业发现正在面临的业务风险问题:
黑产的作恶和变现都重度依赖于其手中持有帐号资源以及资源交易平台。黑灰产“淘宝”——发卡平台上不同类型“资源”的交易,可以对应企业不同场景下的安全问题。例如虚假帐号类的交易行为,可以体现企业遭受恶意注册风险现状;而优惠券、礼品卡类的交易行为,对应的则是企业相关营销活动可能正在遭受黑灰产攻击。
因此,基于对黑灰产资源及交易平台的布控能力,TH-Karma从企业业务场景的视角切入,提供相关风险的情报预警。目前我们已新增了帐号安全预警功能。
关于帐号安全预警功能:
黑灰产大量注册“饲养”的预备作恶账号就如同炸弹隐藏在真实用户中。针对这一点,TH-Karma从产业链角度进行逐点布控,以辅助企业掌握恶意注册风险问题。
帐号安全预警功能如下:
1.黑灰产发起的针对企业新场景的恶意注册。
2.黑灰产正在进行的恶意注册行为,包括攻击的接口、利用的自动化工具、使用的恶意资源等。
3.黑灰产在交易平台上进行帐号交易的变动情况及帐号的相关信息。
企业通过帐号安全预警功能,了解自身面临的帐号安全问题以便及时进行风险防控:
1.实时感知企业新增的业务场景是否面临恶意注册的风险。
2.企业了解自身注册场景下正在面临的攻击行为,还原黑产攻击逻辑,以便及时进行风控策略的调整。
3.掌握黑灰产交易项目以及项目价格变动情况,了解自身风控策略的有效性以及业务安全场景的变动趋势。