關注公衆号“番茄風控大資料”,擷取更多資料分析與風控大資料的實用幹貨。
統計資料顯示,中國網際網路欺詐風險已在全球排名前三,網絡欺詐導緻的損失已達到 GDP 的 0.63%,這一數字僅次于美國的 0.64%。
目前網際網路欺詐已經發展出了完整的産業鍊,欺詐産業鍊可以分為上遊資訊盜取者、中遊資訊售賣者和下遊欺詐實施者和最終的分贓銷贓者三個環節。
每一個環節都有相應的欺詐團夥,他們分工精細,配合嚴密,各履其職。 下文将會就黑産産業鍊的技術形态進行詳細說明
一.手機卡商
手機卡商,能夠為接碼平台和黑灰産從業者提供大量手機号,用以各種虛假注冊、認證業務。這些手機卡被稱為黑卡。其上遊主要是卡源卡商及貓池為其提供服務。
卡源卡商
卡源卡商通過各種管道(如:開皮包公司、與代理商打通關系等)從營運商或代理商那裡辦理大量的手機卡,然後加價轉賣給下遊卡商賺取差價,他們掌握着手機黑卡貨源。
根據反向追蹤調查,卡源主要有:
物聯網卡:無須實名認證,主要用于工業、交通、物流等領域。物聯網卡需要以企業名義辦理,卡商以千元左右的價格可輕易購得“營業執照”進行辦理,且一張營業執照幾乎對辦理數量不做限制。
實名卡:這種卡多為從網上收集大量身份證資訊批量認證得來。
海外卡: 由于實名制的原因,16年下半年開始,大量緬甸、越南、印尼等東南亞卡開始進入國内 手機黑卡産業。這些卡支援GSM網絡,國内可直接使用,無需實名認證,基本是0月租,收短信免費,非常切合黑産利益。
貓池廠家
貓池廠家負責生産貓池裝置,并将裝置賣給手機卡商使用。貓池是一種插上手機卡就可以模拟手機進行收發短信、接打電話、上網等功能的裝置,在正常行業也有廣泛應用,如郵電局、銀行、證券商、各類交易所、各類資訊呼叫中心等。貓池裝置可以實作對多張手機卡的管理。
二.黑IP
黑灰産從業者為了隐藏自己的真實IP,同時也為了繞過甲方的IP風控政策,需要大量的IP資源(比如代理IP)作為跳闆,進而發動作弊。用于作弊的IP,即指黑IP。
全球IPv4總數約為43億,美國擁有30%以上,美國的黑IP數量占比36.39%,遙遙領先其他國家。發達國家的黑IP數量要多于開發中國家,可以簡單了解為,發達國家擁有更多的網際網路裝置,也就擁有更多的IP資源,是以黑IP的數量與網際網路裝置的數量成正比。
從黑IP來源城市資料看來,上榜的城市都是經濟較為發達的城市:
三.接碼平台
接碼平台負責連接配接卡商和羊毛黨、号商等有手機驗證碼需求的群體,提供軟體支援、業務結算等平台服務,通過業務分成獲利。接碼平台很多,活躍的有數十家,部份接碼平台可以接語音驗證碼。
接碼平台上的項目數量和單價,可以側面展現平台賬号批量注冊的嚴重程度以及繞過手機号驗證的成本。
四.群控系統
群控系統的使用是為了避過平台對裝置的檢測。即采用電腦來控制多部移動裝置,如下圖為針對 iPhone的群控系統,能夠讓連接配接的多部手機根據既定腳本批量執行操作。
對于賬号注冊部分,系統集合了過滑動驗證、自動擷取填寫驗證碼、修改資料等功能。
每台裝置會存在新增賬號數量的限制,這時會結合改機軟體來解決。改機軟體通過劫持系統函數,修改UDID、IMEI、SSID、定位等裝置資訊的,使平台檢測認為是新的手機。上述平台結合了一鍵新機工具,該工具除了修改裝置資訊,還提供一鍵新機、多開、全息備份等功能。隻對勾選的app更新裝置參數,能夠導出參數備份資訊,為跨機共享和恢複某賬号裝置環境提供便利。 使用群控系統時,每部手機都會安裝既定的Lua腳本去執行觸摸,滑動,輸入文本等操作,使用者可以根據不同目的找開發人定制專門的腳本。群控系統、腳本和改機工具結合使用,再接入接碼平台和代理IP,就可以高效的産出品質過硬的号碼。這種方式完全模仿真實使用者,較難分辨。廠商可以從“虛假号碼”、黑IP、使用者行為及進入app後的操作順序等角度着手判斷。
五.注冊機
注冊機多是自動化批量注冊的工具,多是采用易語言進行開發,在Windows下運作,技術手法有兩種: 模拟操作類:通過控件操作浏覽器元素實作,真實加載注冊頁面,模拟使用者操作。協定破解類:通過HTTPS協定實作,破解注冊接口協定,直接帶參數調用注冊接口實作注冊。手機号資源自然是從接碼平台擷取,IP資源使用ADSL撥号(使用VPS挂機操作等),這背後也有一條完整的産業鍊支撐。大多注冊機的速度可達到幾十秒注冊一個賬号,為下遊的各個細分産業提供大量的小号。 有些平台的政策會對這類賬号造成影響,即有些注冊機出來的号碼,幾天内會失效,但仍可以對接“直接用量怼的項目”,一般會采用預定方式售賣賬号,随買随用。
六.跳轉号
除了直登号外,跳轉号也是常見的号碼。指使用QQ号、微信号、微網誌号等快捷登入後,激活綁定而轉化而成的平台賬号。這裡使用的賬号并非正常賬号,而是稱為授權号的特殊賬号,這種賬号在原有平台品質很低,無法進行大部分業務。是以隻用作授權其他平台,購買成本僅幾分錢。
在網際網路灰産領域,許多工作室依賴注冊和販賣各種賬号生存,這些賬号已經成為了具有廣泛銷量的基礎資源,再流入各個細分産業鍊。
小号雖小,卻要在風控戰場上引起大的重視。老号指有一定注冊時間、自身帶有權重的号碼,有的還帶有一定的粉絲與作品。這類号碼被認為不易封号,在市場上受歡迎。老号和帶有一定權限等級的号碼,一般是采用這三種方式得到的:盜号:主要方式是釣魚。如釋出二次打包的軟體将某些軟體打包加入自己需要的功能,當使用者使用這些動過手腳的軟體時,黑客就會收到他們的賬戶名、密碼。 掃号:方法有兩種:
1、用接碼平台的手機号作為使用者名,遇到注冊過的直接修改密碼,這種屬于黑吃黑,拿走了别人批量注冊的号碼。
2、使用其他手段擷取大量賬号名,加上弱密碼,去逐一驗證,這種賬号一般是真實使用者,對平台傷害較大。
養号:号商注冊後模仿真實使用者進行一些操作,将号碼養老的行為。大多是為了提高賬号的權重,以友善之後的黑産項目,對平台傷害較大。
黑産新趨勢
由于反欺詐的不斷努力,黑産無節制擴張的勢頭一定程度上得到了遏制,黑産作弊門檻明顯提高。2018年,黑産份子中“散戶”基本被消滅,集團化趨勢愈發明顯。
集團化的黑産有明确的上下遊分工,有完善的技術服務配套保障體系,是以表現出更強大的戰鬥力。由于黑産有發達完善的情報、監控體系,和合理的軟體架構,一般在營運活動上線當天,就會有相應刷量軟體出現。黑産軟體架構較為合理,把底層基礎服務和上層應用相剝離,隻需要修改上層應用部份,就可以實作刷量。
案例實操
以上介紹都是行内的一些基本的業務邏輯,我們堅持每篇文章都分享一些幹貨實操——
案例分享:
我們觀察下圖:某個産品2016年10月20日的走勢情況,發現在10月20日這天,批核率有個比較大的下探。從資料分析的角度來看,應該有某個原因導緻了批核的突然的走勢。
接着我們分析這個節點的拒絕碼被拒的比例
會發現C002這個節點的在某個節點,在10月20日這天,同樣有走高的趨勢。
是以應該能肯定是這個節點出的問題。
進一步分析這個C001對應的拒絕碼是,客戶提供的電話号碼,取出明細:
分析到這一部分,還剩下最後的一些總結分析工作需要梳理,已經把相關的分析結果放上知識星球,有感興趣的同學,可以上去關注。
十年職場生涯,這個長期混迹在風控界和科技界,摸爬滾打的大叔,曾經就職于全國最大的固網營運商平台、國内最大的ERP軟體公司和一家老牌的互金公司,如果你想了解他,歡迎關注 “番茄風控大資料”一起學習一起聊!