聲明:
本報告版權屬于威脅獵人情報中心,并受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的,應注明“來源:威脅獵人”。違反上述聲明者,将追究其相關法律責任。
一、報告要點:
1、黑灰産業的發展從最早期的純刷人氣,刷粉絲,刷贊模式轉向純粹的為刷量和解決刷量的存在業務模式。
2、黑灰産的從業門檻逐漸降低,從最早期的專供上遊工具,已經流向中下遊。
3、2018年上半年刷量任務的需求主要依靠最火的自建站點模式完成刷量任務。
4、刷量相關群成員大多以工作室命名。同時工作室的數量也遠高于去年。
5、賬号售賣産業鍊成本正仍在增加。
6、新一代的改機工具,不僅價格低于早期,同時內建了代理IP+虛拟定位的功能。
7、同去年相比,産業鍊模式無明顯變換,更多的是工具功能的開發,如改機工具新增的虛拟定位。
8、賬号注冊成本的降低,接碼平台的曝光。越來越多的黑灰産入門人員開始涉入号商角色。
9、随着短視訊行業的流量加劇,刷量産業鍊帶來的賬号需求遠高于早期。
10、通過監控相關黑灰産群,熱門教程逐漸成為僅次于刷量,刷粉、出售工具的熱門話題。
11、短視訊在上半年度(2018年)的總體風險評價為:高。
12、和去年相比,虛拟營運商的上卡數量遠高于2017年。
13、2018年上半年捕獲黑IP數量約占27.10%。
二、基本概念
1、報告中涉及到的術語
(1)引流:将短視訊平台使用者轉到其他利于變現平台,包括但不限于微信、QQ。
(2)刷量:對短視訊相關業務,采取作弊手段(刷作品播放量、刷粉絲、刷人氣、刷贊等)。
(3)批量注冊:利用改機工具,重新整理裝置指紋達到單部手機的複用,進而批量注冊短視訊平台賬号。
2、報告中涉及到的行話/黑話
(1)接碼平台:提供手機号,擷取注冊,解封,換綁短信的驗證碼平台。
(2)貓池:貓池廠家負責生産貓池裝置,并将裝置賣給卡商使用。貓池是一種插上手機卡就可以模拟手機進行收發短信、接打電話、上網等功能的裝置,在正常行業也有廣泛應用,如郵電局、銀行、證券商、各類交易所、各類資訊呼叫中心等。貓池裝置可以實作對多張手機卡的管理。
(3)改機工具:重新整理裝置指紋,解決單台裝置注冊上限的問題。
(4)卡商:卡商指通過各種管道(如開皮包公司、與代理商打通關系等)從營運商或者代理商那裡辦理大量手機卡,通過加價轉賣下遊卡商賺取利潤的貨源持有者。
(5)養号:将批量注冊的小号,不斷發作品,關注使用者,修改頭像,主要目的是為了降低賬号被封的機率。
(6)白号:指接入接碼平台直接用手機号注冊的賬号,也稱直登号。
(7)跳轉号:指适用QQ号或者微網誌快捷登陸後,激活綁定轉換而成的号碼。
(8)直播号:開了直播權限,以及實驗室有鎖、無鎖的賬号。
(9)單雙參号:指除賬号密碼攜帶其他參數的賬号,一般用作于刷量。
(10)活粉:帶有作品,個簽,個人頭像,模拟真實使用者操作的一批賬号。
(11)死粉:又稱僵屍粉,這類賬号,隻是帶有簡單的個簽和個人頭像,賬号活躍度低。
(12)刷粉:短時間内提高賬号的粉絲數量。
(13)出粉:将個人無法消耗的人氣流量,以交易“人頭數”的形式,擷取報酬。
(14)協定:通過通信協定進行,直接模拟接口通信進行攻擊的工具。
3、報告中涉及到的情報術語
(1)開源情報:通過對公開的資訊進行深度的挖掘分析,确認具體的威脅或事件,進而直接指導這些威脅或事件的具體決策和行動。
(2)閉源情報:通過對内部平台所監控到資訊進行深度的挖掘分析,确認具體的威脅和事件,進而直接指導這些威脅或事件的具體決策和行動。
(3)工具情報:通過對黑灰産工具做深入的逆向分析,了解其攻擊原理和攻擊方式方法,然後通過聚類以及關聯分析的方式挖掘出這個工具背後一系列的黑色産業鍊、黑産團夥、攻擊目标和變種工具等等,進而描繪出一個以工具為源頭的黑灰産産業鍊關系圖譜。其能有效定位企業目前所處的風險狀态,還原攻擊特征疊代風控規則。
4、資料來源及取樣說明
本報告的主要資料來源包括:
(1)文本類資料;通過定向監控手段擷取的黑灰産交易與溝通資訊,以及部分熱點事件資訊。
(2)樣本類資料:通過廣譜監控手段擷取的黑灰産工具樣本。
(3)流量類資料:通過蜜罐監控手段擷取的黑灰産攻擊流量資料。
(4)黑卡類資料:通過定向監控手段擷取的手機黑卡資料。
(5)黑IP類資料:通過第三方合作、蜜罐監控手段擷取的黑IP資料。
(6)風險賬号類資料:通過蜜罐監控和暗網監控手段獲得的風險賬号資料。
(7)其他類資料:通過其他第三方合作和監控手段獲得的黑灰産相關資料,包括但不限于上述的資料類型。
5、資料取樣說明
本報告的資料取樣主要采取以下幾種方式:
(1)關鍵詞取樣:根據特定的關鍵詞及關鍵詞組合,從全集資料中提取與特定分析對象或特定分析場景有關的資料子集。主要用于資料統計或趨勢分析。
(2)相似度采樣:根據文本或樣本資料的相似度,從全集資料中提取具有較高相似度的資料子集。主要用于資料分類統計或案例分析。
(3)随機采樣:對未知類型或内容資料進行簡單随機采樣,抽樣比例根據具體的分析場景決定,主要用于情報線索發現或關鍵詞校驗。
(4)分層采樣:對已知工具/事件資料按既定的标簽規則分為若幹子集,對每個子集中的資料随機抽取部分資料進行分析,抽樣比例根據具體分析場景決定,主要用于案例分析或關鍵詞校驗。
受限于資料擷取的管道、資料本身的變化、抽樣機率的限制及樣本噪點的影響,基于上述資料取樣方式所得的資料分析結果與實際情況之間可能存在一定的偏差。是以,部分分析結果會采取人工經驗判斷方式進行修正,這部分資料我們會加以注明。
三、黑灰産鍊條定義
1、産業鍊上遊及相關角色
産業鍊上遊根據中遊和下遊的需求,生産和提供各類黑灰産資源。其主要相關角色包括:
(1)工具開發者:開發各類黑灰産工具,具備一定的研發能力,大多使用Python、Lua、易語言,有較強的反偵查能力,大多有固定的中遊銷售管道,多為兼職。
(2)卡源卡商:多以正常業務為幌子,通過各種管道從營運商或代理商擷取手機卡資源向接碼平台、号商等出售,并定期回收銷号。其提供的手機卡按類型可分為:虛拟卡/實卡、語音卡/短信卡、海外卡/國内卡、流量卡/注冊卡。
(3)貓池廠商:向接碼平台提供貓池裝置,可分為2G、3G、4G貓池。
(4)号商:大量注冊平台賬号,并以人工或工具方式養号,借助賬号代售平台出售賬号。
(5)黑客:通過技術或社會工程學手段發起攻擊,多以竊取使用者資料為主要目的,再通過地下黑市出售。
2、産業鍊中遊及相關角色
産業鍊中遊負責将上遊生産和提供的各類黑灰産資源進行包裝和批量轉售,多以各類平台或服務的形式存在。其主要相關角色包括:
(1)接碼平台:負責連接配接卡商和羊毛黨、号商等有手機驗證碼需求的群體,提供軟體支援、 業務結算等平台服務,通過業務分成獲利。
(2)打碼平台:為軟體開發者、工作室、普通使用者提供即時、精準的圖檔識别答題服務,通過識别驗證碼服務獲利。
(3)帳号代售平台:對工作室、普通使用者提供相對應需求的賬号,通過抽取相對應的傭金獲利。
(4)工具代售平台:對工作室、普通使用者提供解決刷量需求的工具,通過抽取相對應的傭金獲利。
(5)地下黑市:相關的黑灰産業群、論壇,為工作室、普通使用者提供一個需求解決場所。
3、産業鍊下遊及相關角色
産業鍊下遊負責直接執行黑灰産行為,多以工作室形式存在。其主要相關角色包括:
(1)刷量工作室:通過解決普通使用者的刷量需求獲利。
(2)引流工作室:解決客戶的需求短時間内将大量快手使用者引向其他平台,對引流人數和引向的平台設定不同的門檻,抽取傭金。
(3)主播工作室:主要服務于高人氣主播,利用相關工具刷人氣短時間内吸引其他使用者觀看,通過假聊工具營造人氣火爆的場景。
四、黑灰産業鍊分類
1、以賬号為核心的黑灰産業鍊
1.1 核心産業鍊一:虛假注冊
參考鑽石模型,我們對虛假注冊産業鍊的運轉模式做出如下分析:
1.1.1 攻擊者:開發者團隊
(1)主要操作:通過出售批量注冊、自動養号腳本;通過出售改機工具;通過售賣雲控平台使用權獲利。
(2)主要交易管道:QQ群、微信群、論壇、Telegram群,自建相關站點。
1.1.2 能力/功能:相關黑灰産工具
(1)注冊、養号腳本:大多使用Python、Lua、易語言編寫,受制于各大短視訊公司業務調整,生存周期不确定。注冊類腳本售價2000元/年、養号類腳本售價1500元/年。
(2)改機工具:主要負責更改手機串号,更改手機型号,更改MAC位址,更改無線網絡參數,模拟SIM卡參數,模拟手機營運商,更改手機号等等幾百項手機參數。典型的有:nzt改機工具 、xx抹機,售價約為300元/年。
(3)群控、雲控平台:主要負責讓連接配接的多部手機根據既定腳本批量執行操作。典型的有:觸動雲控、俠客手機群控,售價約為38元/台/年。
1.1.3 基礎設施:QQ群、微信群、論壇、Telegram群
1.1.4 受害者:短視訊平台
賬号注冊環節主要針對虛假注冊等業務,虛假注冊操作流程主要依靠雲控平台、批量注冊腳本的開發者、接碼平台。通過目前已捕獲的注冊腳本,我們發現虛假注冊的流程和去年相比無明顯變化。通過運作批量注冊腳本、調用接碼平台短信驗證碼API接口完成賬号注冊,最終本地生成一個.txt檔案(包含手機号、密碼、手機參數)。
1.2 核心産業鍊二:賬号售賣
1.2.1 攻擊者:号商
(1)主要操作:通過直接出售賬号給普通使用者;通過批量出售賬号給刷量工作室或相關代售賬号代售平台代為出售賺取利益。
(2)主要交易管道:QQ群、微信群、論壇、Telegram群,以及自建或第三方的賬号代售平台。
1.2.2 能力/功能:賬号
(1)老号:通過自動化批量注冊工具産出的賬号,再有過一段時間養号行為的賬号。這類賬号通常附帶一些作品,對于平台而言老号具有一定的權重性。老号的類型包括但不限于nzt工具産出、批量注冊機産出、跳轉号形式。
(2)跳轉号:指使用QQ号或者微網誌快捷登入後,激活綁定(利用接碼平台綁定業務)而轉化而成的平台賬号。這裡使用的QQ和微網誌号多數通過批量注冊工具産出,在原平台不具備使用者影響力。被用作授權其他平台,購買成本僅幾分錢。
(3)白号:也稱為直登号,指接入接碼平台直接用手機号注冊的賬号,通過導入頭像和昵稱可以批量注冊。
(4)單雙參号:指攜帶參數的賬号(包括但不限于手機型号、網絡狀态、安卓版本、登入token),适用于刷粉、刷量挂人氣工具。
1.2.3 基礎設施:相關黑灰産群、論壇 、刷量工作室
(1)相關黑灰産群:通過群内散發大量出售賬号資訊,内容大概以:賬号類型+價格、賬号類型+賬号代售平台連結。
(2)工具售賣工作室:指售賣工作室自産的工具或開發者人員交由工作室代售的工具,這類刷量工具需要倚靠大量小号完成刷量任務。
1.2.4 受害者:短視訊相關業務、正常使用者
(1)被批量注冊的小号,在養号過程中産生的低俗資訊,很大程度上影響了正常使用者的軟體使用體驗。
(2)通過小号刷量的作弊行為更是對其他原創視訊作者的傷害,影響正常使用者對短視訊平台公平性的判斷。
1.3 衍生産業鍊一:批量養号
參考鑽石模型,我們對批量養号産業鍊的運轉模式做出如下分析:
1.3.1 攻擊者:号商
(1)主要操作:通過接碼平台實作賬号批量注冊和過短信驗證;通過短視訊提取工具獲得批量短視訊作品資源;通過雲控/群控平台批量模拟正常使用者資訊;通過刷量工具刷粉養号;對外出售養好的賬号。
(2)主要交易管道:QQ群、微信群、論壇、Telegram群,以及自建或第三方的賬号代售平台。
(3)成本估算:1-2元
(4)盈利估算:老号4-6元,白号2-3元
(5)交易規模:暫無相關資料可統計交易規模。
1.3.2 能力/功能:賬号
(1)老号:批量注冊的賬号經過養号一段時間售出(可直登、用于工具刷量),在2018年07月間監測到快手老号售價約為5-7元。
(2)白号:近期内批量注冊的賬号(可直登賬号)。
(3)直播實名号:已開通直播權限并且實名認證的賬号。
(4)直播非實名号:已開通直播權限但未實名認證的賬号。
(5)跳轉号:通過QQ、微網誌注冊的相關賬号,通過綁定手機生成(可直登)。
1.3.3 基礎設施:接碼平台、雲控/群控平台、改機工具、代理IP池、批量注冊腳本
(1)接碼平台:主要負責提供大量手機号碼新增賬號,接碼平台很多,活躍的有數十家,比較知名的有:Thewolf、星辰、愛樂贊、玉米(現“菜衆享”)等,其中Thewolf和星辰可以接語音驗證碼。
(2)雲控/群控平台:主要負責讓連接配接的多部手機根據既定腳本批量執行操作。典型的有:觸動雲控、俠客手機群控,成本約為38元/台/年。
(3)改機工具:主要負責更改手機串号,更改手機型号,更改MAC位址,更改無線網絡參數,模拟SIM卡參數,模拟手機營運商,更改手機号等等幾百項手機參數。典型的有:nzt改機工具、xx抹機,成本約為300元/年。
(4)代理IP池:主要負責提供IP批量新增賬號,典型的有:蘑菇代理、站大爺、螞蟻代理,成本約為4000-5000元/年。
(5)批量注冊腳本:主要負責自動化批量新增賬號,通常和雲控平台搭配使用,在雲控平台管理手機,對勾選的裝置一鍵運作設定好的腳本,自動打開短視訊app新增賬號。
1.3.4 受害者/目标:正常使用者、短視訊平台
(1)号商養号過程中,産生的低俗資訊影響正常使用者的使用體驗。
(2)批量注冊的賬号,經過養号行為之後,賬号本身具備一定的權重,這類賬号大量被用于刷量、引流可能會給短視訊平台帶來不良輿論。
1.4 衍生産業鍊二:虛假認證
1.4.1 攻擊者:提單平台
通過平台提單的模式,僅需提供手機号、密碼即可。
1.4.2 功能/能力:賬号實名認證、直播代開
1.4.3基礎設施:身份證、企業相關資訊
提供身份證、企業相關資訊用于各種賬号類型的認證。認證加V的形式則提供相應的新浪微網誌會員認證和頭條使用者認證。
1.4.4 受害者:普通使用者
認證号是被平台稽核通過,具備真實資訊備案的賬号。相比其他原創作者賬号,這類賬号更容易吸收海量人氣,引流難度遠低于普通賬号。被引流的普通使用者會被帶入各種詐騙模式,除去常見的蘋果手機低賣的模式,還有被引流到後續連環詐騙的可能。
2、以流量為核心的黑灰産業鍊
2.1 核心産業鍊一:引流(向外)
參考鑽石模型,我們對虛假注冊産業鍊的運轉模式做出如下分析:
2.1.1 攻擊者:需求使用者
(1)主要操作:
A.送出需求交由相對應的引流工作室,短時間内引入大量自有業務的适配人員;
B.通過使用相關的人氣帶挂工具,在直播時通過發起編輯好的假聊内容誘使使用者引入相關平台;
C.通過僞造的認證資訊短時間擷取大量人氣流量,通過作品引流到相關變現平台;
D.通過視訊解析軟體,盜取人氣高的作品僞裝自産作品,截取人氣流量,通過二次編輯的作品引流至其他平台;
(2)主要交易管道:QQ群、微信群、論壇、Telegram群,以及自建或第三方的刷單業務平台。
2.1.2 能力/功能:精準引流、出粉
(1)短時間滿足客戶的流量需求,對客戶自有業務吸收一批适配的人員流量。
(2)對于自身無法消耗的人氣流量,以交易自養的微信群、QQ群為主,這類交易售價針對群人頭數設定不同價位,完成出粉的目的。
2.1.3 基礎設施:引流喊話工具、評論置頂工具
2.1.4 受害者:短視訊平台、原創作者、正常使用者
(1)引流可能導緻短視訊平台固有的正常使用者流失,同時被引入的平台可能涉及違法犯罪活動,會對短視訊平台本身造成不良輿論。
(2)被盜取的原創視訊,對原創作者而言截取的不僅僅是人氣流量,更多的是對作品的原創性熱枕下降。
(3)低劣、惡俗的引流模式中涉及的話術,可能引起正常使用者的軟體體驗,對平台本身監管垃圾資訊存在質疑。
2.2 核心産業鍊二:刷量(向内)
參考鑽石模型,我們對虛假注冊産業鍊的運轉模式做出如下分析:
2.2.1攻擊者:普通使用者、刷量工作室
(1)主要操作:通過向工作室或相關刷量平台送出刷量任務;通過使用刷量工具進行刷量任務。
2.2.2 能力/功能:漲粉絲、提高作品播放量
如下對快手業務為期一個季度的業務價格監控:
如下對抖音業務為期一個季度的業務價格監控:
2.2.3 基礎設施:刷量工具、人氣代挂工具
(1)刷作品播放:通過導入小号文本中的賬号,并對作品本身連接配接提取使用者ID下發任務,調用小号進行通路作品,完成刷播放任務。
(2)人氣代挂工具:通過調用工具裡的小号檔案中的單雙參數,按調整的頻率依次挂入直播間。工具功能包括但不限于對送禮使用者自動點關注、自動回複感謝、假聊(設定大量不同的文字内容,通過工具發出)。
2.3 受害者:短視訊業務
刷量業務不僅僅針對短視訊行業,刷量背後的是一批以刷為生的遊走法律邊緣的不法分子。
(1)刷量對短視訊公司而言除去海量的接口攻擊之外,帶來的更多是催生其他黑灰産業的成長(包括但不限于号商、開發者人員)。
(2)其他原創作者和短視訊平台是刷量業務造成傷害的承載者。通過刷量短時間可以使得作品内容被推上熱搜,但真正能長期吸粉的主要因素應該是優質的作品内容。
2.4 衍生産業鍊一:視訊解析
2.4.1 攻擊者:開發者人員、号商
(1)視訊解析工具的作用是采集并下載下傳無水印的原創作品。
(2)視訊解析工具,可以幫助号商養号期間的作品内容填充,降低賬号被封的機率。
(3)高品質的原創作品盜用可以應用于其他平台,用來蘊養一個熱門賬号。
2.4.2 功能/能力:視訊采集、去水印
2.4.3 基礎設施:自建站點、采集工具
(1)通過搭建第三方站點,通過作品的連結下載下傳原創作品。
(2)通過采集工具,可以擷取熱門作品的播放次數、點贊次數達到篩選優質作品的目的。
2.4.4 受害者:原創作者
(1)高品質的原創作品往往會吸收大量的粉絲,盜用作品往往可以截取原創作者的粉絲收益。
(2) 原創作者面對作品的盜用,往往會懷疑平台的公平性,或是對内容原創的熱枕降低。
2.5 衍生産業鍊一:教程售賣
2.5.1攻擊者:開發者人員、号商
(1)主要操作:通過對養号行為存活率高的賬号總結一套高存活養号流程;通過對引流市場引流技術的彙總出一套熱門引流技術;通過對小号的個簽修改歸納出一套存活度高的話術;通過總結已有可信的賬号售賣管道出一套資訊彙總。
(2)主要交易管道:QQ群、微信群、論壇,以及自建站點。
2.5.2 功能/能力:熱門、存活度高
(1)熱門:提供相對應快速上熱門且小機率被封号的教程。
(2)存活度高:存活度是售賣教程的另一大特色,也是突出點。
2.5.3 基礎設施:黑灰産業群,自建站點
(1)黑灰産業群:通過監控,熱門教程詞彙成為僅次于刷量,刷粉、引流的高頻詞彙。
(2)自建站點:以研究流量走向,出售熱門教程為主的自建網站。該類站點售出教程涉及廣泛,依附于目前流量火爆的平台。如快手、陌陌、微信、抖音、QQ不等。
2.5.4 受害者:短視訊平台
(1)熱門教程短時間内可以給售賣者提供大量資金,用于小号的産出。
(2)教程适用範圍廣,同時也提供相應的素材包内容。大大提降低了入門的門檻,加大了黑灰産從業人員數量。
五、黑灰産業鍊變化情況
1、刷量産業鍊活躍度呈上升趨勢
1.1現象描述
1.1.1成本變化
通過對上半年度的相關黑灰産産業鍊上中下遊監控,我們發現黑灰産業的發展和短視訊的成長同樣迅速,從最早期的純刷人氣,刷粉絲,刷贊模式轉向純粹的為刷量和解決刷量的存在業務模式。從對工具市場的監控,我們發現黑灰産的從業門檻逐漸降低,從最早期的專供上遊工具,已經流向中下遊。
如下是最新捕獲的針對快手最全的工具清單:
這是從産業鍊中遊的一家工具代售室流出的價目表,該工作室發展穩定,對已購買的使用者提供永久更新的福利。從售價和工具類型可以明顯看出如今短視訊行業的黑灰産業進入門檻遠低于2017年,這不僅僅導緻黑灰産入門人員的激增,也映射出黑灰産工具開發者的能力穩定提升,開發效率高的特點。
1.1.2 模式變化
刷量産業鍊的變化主要集中在中下遊部分。在早期,刷量多以個人工作室為主,利用相關的群發軟體,在短視訊相關QQ群中散發大量的刷量類型價目表。
群内喊話模式,依然是黑灰産擷取任務需求的主要模式,但2018年上半年刷量任務的需求主要依靠最火的自建站點模式完成刷量任務。
這類站點模式的優點是可以不斷吸收新人的加入,同時對從業人員的操作水準沒有任何要求。下級代理完全可以通過一部手機亦或是電腦偶爾上架貨品盈利,盈利模式靠賺取商品和上級代理的差價,站點的收益極其可觀。
通過對黑灰産群内主流的各類刷量工具,發現2018年上半年的刷量模式極大一部分通過提單自建站點完成刷量任務,這類站點與早期的卡盟有着類似的發展模式。
1.1.3 規模變化
黑灰産的從業人員早期主要集中于産業鍊中上遊,下遊人數遠低于中上遊部分,到現在發展往中下遊擴散。自建站點、購買刷量工具,操作知識門檻幾乎為零的要求,使得人人都能完成刷量的任務,刷量相關群成員大多以工作室命名。同時工作室的數量也遠高于去年。
1.2 成因分析
刷量産業鍊從業人員往中下遊發展的趨勢的主要原因如下:
(1)黑灰産産業鍊模式越見規模化,從業人員角色分工明确。
(2)上遊部分主要成員為開發者人員和号商,早期支付管道多以微信,網上銀行為主,而一套虛假的支付方式成本頗高。大力發展中下遊産業鍊,可以減少上遊人員的曝光度,進而增強隐秘性。
(3)收益短期内遠低于早期,但刷單任務源源不斷從下級送出,這種量級的刷單需求是早期無法擷取的。
2、賬号售賣産業鍊成本正仍在增加
2.1 現象描述
賬号售賣價格小幅度上漲,賬号穩定售出,通過對其産出模式各個環節的監控,我們對各個環節進行剖析。
2.1.1 成本變化
接碼平台
接碼平台負責連接配接卡商和羊毛黨、号商等有手機驗證碼需求的群體,提供軟體支援、業務結算等平台服務,通過業務分成獲利。接碼平台很多,活躍的有數十家,比較知名的有:Thewolf、星辰、愛樂贊、玉米(現“菜衆享”)等,其中Thewolf和星辰可以接語音驗證碼。
- 2016年11月,當時最大的平台愛碼被警方查處。
- 2017年12月,多家接碼平台倒閉合并。
- 2018年4月,愛樂贊平台關閉使用者注冊功能。
- 2018年6月,Thewolf平台内部商讨将國内業務轉移至海外。
随着接碼平台曝光事件逐漸增多,如今大部分接碼平台已轉移至地下,甚至存在鎖IP的情況(隻能通過固定IP進行通路)。對于需要大量手機黑卡注冊小号的号商而言,接碼平台上卡效率遠低于去年,但目前号商大多已有穩定的輸入管道(受制于其隐密性,暫無更詳細的資訊)。
改機工具、雲控平台
改機工具和雲控平台逐漸成為号商的穩定賬号輸出模式,進而實作全自動批量注冊、養号一條龍。這類養号措施的第一步是需要對移動裝置ROOT,擷取最高權限。相比去年nzt改機工具的市場逐漸下滑,新生代的改機工具功能更全面,且價格低于早期的改機工具。
新一代的改機工具,不僅價格低于早期,同時內建了代理IP+虛拟定位的功能。
2. 1. 2 成本變化
最新的賬号産出,在某種程度上幾近還原了真實使用者的日常使用。補足了代理IP半真實的短闆,降低了養号環節封号的機率。同去年相比,産業鍊模式無明顯變換,更多的是工具功能的開發,如改機工具新增的虛拟定位。
2.1.3 規模變化
賬号注冊成本的降低,接碼平台的曝光。越來越多的黑灰産入門人員開始涉入号商角色。工具擷取管道,多以論壇、社交群為主。單個賬号的盈利2-7元,但成本集中在1-2元。除去暴利帶來的可見收益,可見的海量刷量需求讓賬号溢出已成為過去式問題,完全不必擔心賬号過剩帶來的滞銷問題。
2.2 成因分析
随着短視訊行業的流量加劇,刷量産業鍊帶來的賬号需求遠高于早期。号商不必擔心賬号過剩帶來的滞銷問題,同時相應的注冊類工具也不再僅局限于上遊部分,使得從業人員的增加,以号商角色的從業人員數量同2017年相比增長明顯,賬号的成本同2017年相比,價格穩定,價格市場僅受工具效果的波動。
3、其他值得注意的産業鍊動态
3.1 蘋果業務
3.1.1 現象描述
通過對引流市場的監控,我們發現2018年上半年度一條年入千萬級别的灰色産業鍊。
(1)虛假認證:将普通的賬号,通過虛假的資料,更新為平台的認證賬号。
(2)吸粉:通過僞造的認證資訊短時間内以搬運高品質作品擷取大量粉絲。
(3)引流:将流量引入QQ、微信中,通常以個簽中帶薇、v類同wei的字詞為主。
(4)養号:将以蘊養好的QQ空間/朋友圈僞造成完整的明星或網紅的動态空間,通過在微網誌、媒體等管道搬運明星、網紅動态培養粉絲的信任。
(5)蘋果業務:僞造或轉發,将蘊養的粉絲導入一個精心布置的詐騙場景。該詐騙場景以出售低價蘋果手機為主。
(6)培養客戶:利用相關的作圖軟體,編輯聊天截圖、轉賬截圖,營造出交易火爆的場景。
(7)蘋果後續:當客戶付款送出之後,将這類付款使用者出粉給提供蘋果後續服務的詐騙團夥。以僞造蘋果或物流公司對付款使用者進行再次詐騙。而網上商城的源碼,則可通過網際網路随意擷取,通過修改背景參數,僞造物流資訊。
3.1.2 成因分析
蘋果業務早已流傳許久,生存時間遠大于短視訊行業的發展周期。如今短視訊行業的巨大流量,吸引了一大批黑灰産從業人員奔向這塊可口的“蛋糕”。詐騙手段層數不窮,虛假的認證資訊不僅保障了從業人員的真實身份,也可以在短時間内擷取大量粉絲的信任。這條産業鍊從粉絲拉新到信任培養,再到後期的變現,玩法簡單暴力,當然這僅僅是詐騙手段的冰山一角。
3.2 教程售賣類增多
通過監控相關黑灰産群,熱門教程逐漸成為僅次于刷量,刷粉、出售工具的熱門話題。
(1)該類教程的主要來源于号商,号商養号過程,通過測試,總結出來的一套話術,降低賬号被封的機率。
(2)除去改簽名話術,也存在如何提高上熱門的教程,如在作品内插入高亮字型。
熱門教程中,以引流類教程為主,受制于精準引流的私密性,暫時無法了解到精準引流的具體流程。
六、年度總體風險控制建議
1、上半年度總體風險評價
短視訊在上半年度(2018年)的總體風險評價為:高。
(1)賬号類産業鍊風險:高
産業鍊數量:新增虛假認證、精準引流
産業鍊規模:上升
産業鍊成本:下降
(2)流量類産業鍊風險:高
産業鍊數量:新增刷量提單平台
産業鍊規模:上升
産業鍊成本:下降
2、行業上半年度總評評價
2.1手機黑卡
(1)手機黑卡營運商對比
通過對2018年上半年捕獲的黑卡進行篩選,來自傳統營運商的黑卡數量和來自虛拟營運商的黑卡數量持平。和去年相比,虛拟營運商的上卡數量遠高于2017年。
以下兩張圖展示了在非虛拟号段上和虛拟号段上三大營運商的黑卡數量對比:
在非虛拟号段上,将近一半的手機黑卡來自于中國移動,約三分之一來自中國聯通,中國電信最少。在虛拟号段上,絕大多數是中國聯通的手機黑卡,和去年相比電信上卡數量高于移動。
(2)手機黑卡歸屬地分布
以下是依據黑卡歸屬地統計的資料,廣東省十分搶眼,在黑卡歸屬地省份排名中遙遙領先,省内的廣州、深圳、東莞和佛山也在黑卡歸屬地城市中名列前茅。
2.2 代理IP
對比2018年上半年度(2018年1月-2018年7月)捕獲的攻擊源資訊,分析IP地域來源資料,全球黑IP分布圖和top20來源國家如下:
2018年上半年捕獲黑IP數量約占27.10%。從統計的黑IP來源國家資料統計,發達國家的黑IP數量要多于開發中國家,可以簡單了解為,發達國家擁有更多的網際網路裝置,也就擁有更多的IP資源,是以黑IP的數量與網際網路裝置的數量成正比。
從來源城市資料看來,top榜單中多數以美國城市為主,中國城市數量緊随其後。上榜的城市都是經濟較為發達的城市。
2.3 從業人員
以“刷量”、“引流”等詞語為關鍵詞,結合排名較靠前的短視訊平台對QQ群進行抓取,發現相關的QQ群數量龐大,地域分布也呈現一定的特點。
2.3.1 引流
我們對引流群内人員性别、年齡段、地域進行彙總。引流群平均人數最多,達到767,群規模以1000人為主。
2.3.2 刷量
我們對刷量群内人員性别、年齡段、地域進行彙總。刷量群平均人數和群規模持平,達到1122.4,群規模以2000人為主。
3、黑灰産監測類風險控制建議
(1)對黑灰産相關論壇、社交群近期出現的新增高頻詞彙設定門檻值,對超過門檻值的詞彙溯源。
(2)研究相關的黑灰産業鍊模式,對比核心産業鍊模式特征,總結産業鍊中角色交叉衍生産業鍊的上遊,并對上遊人員監控。
4、黑灰産防控類風險控制建議
(1)對已發生事件追溯源頭,通過分析産業鍊結構、成員角色、成本、利潤來設定不同的解決措施。
(2)對持續存在的結構模式,通過捕獲市場上存在周期長且特征明顯的工具進行逆向分析,提高對批量行為的稽核和監控,進一步提高黑灰産從業人員的成本。
5、黑灰産打擊類風險控制建議
通過對各條産業鍊的監控,我們有如下幾點建議:
針對手機黑卡、黑IP:
(1)對于這一環節,作為企業,最快捷的方式是從專業公司擷取經過審計的手機黑卡、惡意IP、高危賬号等資料。
(2)将其作為自己背景黑白名單資料的補充情報庫,在注冊或活動流程中接入審計政策,對惡意注冊進行篩選監控等。
針對賬号商人:
(1)結合惡意資料情報庫,對可疑使用者提高注冊門檻、增加複雜驗證碼等,并對這些使用者進行重點監控,當其進行敏感操作時,進行防護。
(2)設立惡意資料情報庫,包括黑産掌握的黑卡号碼、使用的代理IP、已經洩露的賬号密碼資料等。
(3)一方面要結合自身背景資料的黑白名單,另一方面也要引入第三方的支援,進行更全面的檢測。
針對黑産技術人員:
(1)透過分析黑産的注冊流程和攻擊工具,對被攻擊接口的請求特征彙總,以差別虛假注冊使用者和正常使用者。
(2)批量行為都是有迹可循的。企業可以針對惡意使用者的行為偏好和其在黑産中的使用廣度,在裝置資訊、注冊資訊重合度、惡意使用者的行為資料等方面,進行多元度的判斷。
(3)通過對典型有效的黑灰産工具的逆向,對存在業務邏輯漏洞的方向調整,提高黑灰産工具的開發成本。
寫在最後:
目前短視訊平台仍處于快速增長期,不斷有新的平台湧入市場,并且同質化較低,各個平台定位、内容和目标群體之間仍存在差異化的競争。但對于黑灰産從業人員而言,一套産業鍊模式就可以複刻在任何一個短視訊平台。當對舊平台的攻防成本日漸增高,對于黑灰産從業人員而言,新生代的短視訊平台更像是“雪中送炭”。是以,不僅要對已存在的産業鍊模式深入了解,更應該去深追其背後黑産從業人員的角色定位,隻有了解之後才能對衍生的新增産業鍊加以控防。