根據阿裡雲曆史行業風險治理相關資料顯示,未經風險管控的自然流量中,約三分之一比例屬于疑似黑灰産的高風險行為;而在建立合理的風控名額監控體系并采取風險防控手段後,高風險使用者比例下降至3%以内,下降比率超過90%。
有效的風險防控方案是保障各類營銷、促活拉新等活動效果的必要手段。
随着春節臨近,部分網際網路行業迎來業務高峰,企業為了争奪使用者流量将投入大量獲客、營銷資源,但同時也将面臨風控大考。
由于各行業、企業的業務場景及邏輯多種多樣,黑灰産需要借助工具才能實作團夥作案。阿裡雲安全團隊梳理了近年來主流的被黑灰産使用的作案工具,并分析其作案原理及攻擊手法,為企業提升防控精準度和防控效率提供參考。
雲 手 機
雲手機即一台運作在雲端伺服器的虛拟手機,具備雲計算賦予的超大規模、彈性擴容、成本低等優勢,經常被用于移動辦公、AIoT、工業網際網路等場景。然而,這些創新的技術工具也被黑灰産瞄上,用在了攻擊套利方面。
傳統風險治理主要通過裝置指紋等技術手段進行風控管理,是以黑灰産需要購買多台真機才能完成作案。但借助雲手機,黑灰産隻需要一個雲手機廠商賬号就可以同時開啟大量新機批量套利,作案成本大大降低。
此外,黑灰産可以将雲手機虛拟成各類實體手機的品牌型号作案,企業風控人員如果對雲手機沒有足夠的認知,很難将作弊類的雲手機裝置與正常雲手機使用者區分開,風險識别挑戰增加。
常見套利場景
- 薅羊毛:黑灰産利用雲手機實作低成本裝置群控,再使用腳本工具進行批量注冊、養号,惡意攻擊或者尋找企業營銷活動漏洞,囤積平台權益,進行倒賣套利。
- 遊戲打金:黑灰産注冊大量遊戲賬号,借助雲手機安裝作弊應用來養号,以獲得高價值遊戲裝備,然後通過特定交易管道賣出,實作套利。
攻防原理
黑灰産可以通過雲手機實作裝置群控,進而完成大量虛假賬号的注冊、登入及活躍養号,然後根據不同行業業務特性實作套利,具有批量、自動化操作等風險特征。
針對這一情況,企業可以基于業務場景、風險畫像标簽搭建合理的業務名額監控體系,進而及時感覺風險異動。比如:針對監控名額進行時序分析、操作行為聚類分析、團夥發現分析等,有效發現黑灰産風險行為。
改 機 工 具
改機,即把裝置固有的硬體資訊、軟體資訊、傳感器資訊,如:IMEI、IMSI、系統版本、核心版本、GPS、陀螺儀等,修改成使用者自定義的資訊,以此來騙過大多數APP的資訊采集功能。
黑灰産團夥利用改機工具能夠産生新的裝置指紋,以此來繞過單裝置無法注冊多賬号的限制,實作批量賬号的注冊、登入、養号,為後續攻擊套利提供物料。
- 薅羊毛:比如黑灰産可以利用改機工具修改裝置資訊,僞裝成為“新使用者”,用來躲避平台對有過“案底”的黑裝置檢測,或是刷取一些對領取賬号資質有要求的高價值權益,進行套利。
- 營銷推廣作弊:黑灰産通過改機工具不斷重新整理裝置指紋,繞過平台風控規則,批量注冊小号,并進行廣告點選、刷單、刷贊等作弊操作,消耗商家營銷推廣資源。
網際網路營銷活動中,大多數企業會通過限制裝置參與活動次數來防止黑灰産批量薅羊毛;在遭遇攻擊後,則通過建立裝置“黑名單”來防止風險行為再次發生。而黑灰産通過改機工具,可以繞過上述限制,進行套利。
· 改機工具無法做到和官方手機完全一緻,是以通過建立主流機型裝置參數庫進行裝置參數比對,便能發現黑灰産作案的蛛絲馬迹;
· 市面上的改機工具一般是基于特定架構實作的,如:Xposed;是以通過檢測Xposed、注入子產品、系統檔案等方法,能及時發現裝置是否存在改機行為;
· 通過對裝置參數進行合法性校驗也可以在一定程度上發現改機行為。
改機工具界面
應 用 多 開
由于系統限制,同一軟體在一個手機上隻能安裝一個。“應用多開”就是突破這類系統限制,實作在一部手機上同一應用安裝多個,進而實作多賬号自由切換
黑灰産不僅可以利用“應用多開”養号,更嚴重的是多開工具能截獲目标APP的網絡流量,進而實作監聽網絡包、截取登陸賬号密碼、窺探IM軟體聊天記錄,導緻正常使用者資訊被第三方多開應用濫用于黑灰産活動。
利用多開工具實作同一手機安裝多個相同應用
- “殺豬盤”社交應用多賬号操作:“殺豬盤”指詐騙分子利用網絡交友,誘導受害人投資賭博的一種電信詐騙方式。黑灰産團夥使用多開軟體等工具可以做到廣撒網,實作1對N的消息發送,提高作案效率。
- 虛假推廣刷量:黑灰産借助多開工具刷量,消耗用于拉新或促活活動中的投放資源,影響活動轉化效果,給企業帶來資損。
- 惡意引流:黑灰産通過批量應用分身,實作批量登入、操控賬戶,大量發送“牛皮藓”消息進行惡意引流。
目前市面上被黑灰産利用的多開軟體多種多樣,其中手機版虛拟機是行業中較新的一種作弊方案。
手機版虛拟機多開方案借鑒了qemu的實作原理,使用原生系統的Linux核心,在自己的APP内部搭建了一個新系統的rootfs。此類工具是近期最新出現的移動端虛拟機,可在Android手機上模拟出來另外一個獨立的Android系統,并且自帶各種作弊插件。
惡意多開應用常見于同裝置操作,是以通過終端風險檢測及服務端基于裝置、操作環境、團夥聚類等方式可及時發現惡意多開行為。
虛 拟 定 位
虛拟定位即在擷取到高權限的手機上從底層修改系統GPS采集的位置資訊,欺騙手機APP擷取惡意僞裝的假GPS資料。
常見攻擊場景
- 網約車刷單:針對網約車業務場景,利用虛拟定位工具模拟行駛,實作刷單,套取平台墊付金及獎勵。
- 社交App虛拟定位詐騙:修改定位後以虛拟位址在社交應用上進行色情類詐騙。
- 商家資訊爬取:修改定位後自動爬取附近商家的商品、價格等資訊,售賣得利,常見于惡意市場競争。
- 攔截API,接口擷取裝置位置資訊
- 使用規則檔案替換位置資料
- 繞開系統對作弊插件的檢測,達到插件隐身的目的。
掌握了虛拟定位工具的實作原理,可以結合業務場景進行更有針對性地風險檢測及防護。
阿裡雲安全專家支招業務風險防控
1. 完善業務設計,提高作案門檻
針對有可能存在資損的活動與業務流程:
- 适當提升使用者參與門檻,如限定同裝置、手機号參與活動的最高次數,以防止黑灰産“薅羊毛”;
- 增加核銷規則,如:對現金券類的高價值權益的兌現使用進行賬戶資質、行為達标等多條件強校驗。
2. 主動監測風險異動,分層治理
通過主動監測活動營銷資源核銷比例及速率,結合賬戶行為、裝置風險情況,主動進行實時與近實時的異動監控。對于捕捉到的異常事件進行量化評估,根據對業務的影響程度做不同處理,對具有潛在資損的活動權益進行合理的分層挽回與止損。
3. 與專業風控團隊合作
目前市面上的黑灰産作案工具、作案手法層出不窮。企業自建風控團隊通常耗時會超過半年,而大多數業務風險問題從産生到爆發的時間都很短,幾小時就足以造成巨額損失。是以與專業的風控團隊建立合作可以有效彌補企業自身的能力短闆,同時節約自研成本。
值得一提的是,業務風控是高度依賴實戰經驗的領域。阿裡雲業務風控團隊在阿裡巴巴集團自身十餘年的風險管控過程中積累了豐富的最佳實踐,結合大資料、流式計算、機器學習算法等創新技術,可以為企業提全鍊路跨風險場景的“端+雲”的聯防風控方案。