1、前言
提到黑产(黑色产业链)或者黑客,可能更多地是在电影、电视剧中出现。比如《黑客帝国》中选择看到世界的真相,在matrix中拥有了看清源代码,有上帝般能力的救世主尼奥;或者如同《亲爱的,热爱的》中帅气的韩商言;或者如《V字仇杀队》中以自己的手段维护正义,并说出“思想可不怕子弹”,然后提前老实地穿上防弹衣的盖伊·福克斯。
现实中的黑客,有说不好善恶的白发阿桑奇创办维基解密,揭发了美军的罪恶行径;有“头号电脑黑客”凯文·米特尼克入侵了五角大楼,纯粹为了展示自己的技术;有以破解洲际电话系统起家的乔布斯创建了他的“苹果帝国”……总之,他们都是正面的、帅气的黑客形象。
但说到黑产(黑色产业链),那就是明确在刑法中打击的对象了。“非法侵入计算机信息系统罪”、“非法获取计算机信息系统数据罪”、“非法控制计算机信息系统罪”、“提供侵入、非法控制计算机信息系统程序、工具罪”、“破坏计算机信息系统罪”、“侵犯公民个人信息罪”……这些罪名,总有一条适合做黑产的人。
从笔者对抗黑产的经历来看,黑产从业人员大多并不是技术高超的黑客。黑产采用的技术都不是很高超,且不讲信誉。
2、生活中常见黑产
笔者先贴一张黑产产业链的图。可以看到,黑产已经形成了一个产业链的上下游关系。整个黑产的产业链上游是以公民个人信息交易为核心的。他们提供出来的产品称为“料子”。包括以下几项:
手机卡:
作为互联网注册的入口,现在绝大多数互联网厂商均要求用户使用手机注册。
这些手机号的来源包括大批量从运营商手中购买的非实名物联网卡(早期),还有通过运营商申请的虚拟号码。
最近已经发展出了给老人机内置木马的手段,将无辜的老人实名申请的手机卡变成他们手中作恶的工具。
代理IP:
为攻击者提供伪装的IP地址,用来绕过互联网厂商的IP限制策略。
这些IP基本都来自于家庭宽带,很多家庭的路由器被入侵后,会成为这个资源。
设备信息:
做黑产总会被很多互联网企业识别到,并被把他们使用的手机设备加入黑名单。
但通过“改机软件”“刷机助手”等工具,黑产从业者将手机进行洗白,变成一部新的,没有任何问题的手机设备。
身份资料:
在黑产论坛、“暗网”中,个人信息被疯狂地买卖。
包括身份证、银行卡、人举着身份证认证的照片、家庭住址、快递地址等个人信息。
以上被买卖的身份资料中,最好的是所谓的“全套”:
包含同一个人的身份证、银行卡、照片。
你可以依靠这些身份资料完全地在网上伪装成为这个人。
企业资料:
全套的企业资料,法人往往是“三和大神”。
你买到企业资料之后可以以这个企业的名义做任何事情,如果出了事,“三和大神”给你负法律责任。
这些“料子”是黑产的基础,而更往上层,是将这些“料子”进行包装,形成产品和服务,从而让更下游,也就是真正实施犯罪的人更方便犯罪。
这些服务会有:
接码平台:
提供手机号用来接短信验证码,已经对外提供的是API跟页面。
攻击者不再需要自己购买大量的手机号组“猫池”。
他们直接购买相应的服务就好了,这样成本低而且稳定。
打码平台:
用来对抗人机识别的平台。
平台后端可以是AI,也可以是农村大妈。
该平台可以用来识别图形验证码。
群控平台:
此平台又称“云手机”。
此黑产平台提供的能力与手机APP自动化测试相似,可以大批量地实施攻击,且配合刷机工具,批量产生“新手机”,以绕过风控。
交易平台:
提供黑产各个链条进行交易的地方,包括暗网、各种发卡平台。
而在最上层,是各位能够感受到的各种犯罪。包括但不限于各种电信诈骗、网络赌博、刷量作弊、勒索病毒、游戏盗号、游戏外挂等等。
下面以网络诈骗和“羊毛党”举例,剖析一下他们是如何分工合作、完成犯罪的。
2.1 电信诈骗
能够诈骗你的人一定很了解你。所以他们做的第一步是购买你的个人资料。这些个人资料包括身份证号、网购记录、快递地址。当这些信息被骗子第一时间告知被骗人,会很快地增进被骗人的信任,被当做官方人员来对待。
下一步,就是开始进行诈骗。这一部分就是对人性的揣摩了。“贪小便宜”“恐惧公权”“缺爱”“贪婪”等等,这些都是人性的弱点。诈骗者利用这些弱点,不停地编织谎言,让你按照他说的做。比如常见的套路是知道了你的购买记录,然后谎称有全额退款,但需要你配合一起操作。你答应之后,就会让你开始视频会议,通过视频会议来收短信验证码。而这些短信验证码是去做网络贷款的。于是你就不明不白地背上了网络贷款。钱骗子拿了,贷款由你来还。
当骗子拿到钱之后,会马上进行“洗钱”操作。这一部分就不深入聊了。总之,这一部分钱会被很快地通过官方无法管控的渠道送去境外。
一般来说,最后被骗的钱是找不回来的。但最近国外疫情,不少诈骗人员逃回来自首,还能稍微追回来一部分。
2.2 羊毛党
“羊毛党”却是游离于黑色产业与灰色产业之间的人群。各位都参加过一些“拼多多发66元现金”、“N折秒杀”的活动。但有一部分人,使用了自动化的方法,批量参加这些活动,一下子就把活动发放的奖励全都拿走并变卖了。他们用到的技术,可以去黑产服务提供商那里买到。比如要求注册的,就去接码平台买手机号接收验证码,一条才1毛钱。需要过图形验证码的,就买打码平台的服务。需要点击链接分享的,就买批量点击工具,都是现成的。需要银行卡验证的,就会同时购买多个收款的银行卡,以此绕过风控。
我们作为普通公民,能防范被诈骗的方法大体如下:
在不同网站注册,使用不同密码和账号,能使用假名就使用假名;
收到自称工作人员的电话保持怀疑,不信其威胁和诱惑;
安装反诈APP;
在这个时代,个人信息被泄露已经是既成的事实,国家也在行动,保护大家的安全。
3、贝壳面临的黑产
贝壳作为房地产行业最早实现真房源的公司,也是行业内的TOP公司之一,同样面临着黑产的困扰。贝壳面临的黑产,既有传统互联网黑产迁移过来的黑产,也有针对房地产行业一直以来的黑产“线上化”。
从外部视角来看,黑产分成供应商提供黑客技术、手机号、贝壳账号等资源,中间有服务商提供相应的服务和产品,最后由某些看得见的“代理”推广给贝壳的经纪人,或提供给友商的业务人员。
黑产在贝壳内部造成的影响也深入到了业务的各个环节。从开始的录房、录客便有黑产提供给经纪人的“刷业绩”、“拉新作弊”等帮助经纪人获取高业绩的作弊行为;也有在录客、录房阶段进行客户、房源的数据泄露;有在带看和维护阶段,会给经纪人提供刷展位的服务,或者伙同经纪人进行兑盘;也有给经纪人提供互相攻击时使用的“IM骚扰”;以及在房屋成交后,会泄露信息给后续的装修公司。
下面笔者以在贝壳真实发生并处置的案例为例,来详细讲述一下黑产是如何做的。
3.1 虚假拉新
贝壳内部经纪人杨某具有一些技术知识,了解黑产提供手机号码的接码平台“**云”,以及提供群控平台的“***手机”。之后由于贝壳平台有拉新奖励,同时也有经纪人拉新的考核,杨某开始动了歪心思。他利用这两个服务,注册了大量的贝壳账号,通过咸鱼店铺、微信号售卖给成都各个大区的经纪人。
3.2 羊毛党
贝壳为了做拉新,发起过“奖励66元现金”的活动。此次活动被黑产盯上了,黑产通过两种方式来刷取66元现金:
通过接码平台+定制开发程序全自动进行助力,达成任务目标,获取现金。
通过“众包平台”发布任务,大量的真人点击链接完成任务目标,获取现金。
该活动有近半现金进了黑产的口袋。
4、结语
经过近年来的努力,贝壳反黑团队已经基本掌握了上述黑灰产的行为轨迹特征、套利生态、合作模式,并已与法务、职业道德合作成功打掉了几个头部黑灰产团伙。
知己知彼方能百战不殆,黑灰产惟利是逐、持续对抗的特点,也注定反黑工作是一个长期、艰难的过程;同时从上面的材料也能看到,黑灰产的存在是对健康ACN体系、良好商业生态的严重腐蚀。只有各团队紧密协作,结合反黑团队对头部团伙的重点打击,才能更好保障贝壳ACN体系的良好生态,贝壳的安全需要所有贝壳的小伙伴一起守护。