关注公众号“番茄风控大数据”,获取更多数据分析与风控大数据的实用干货。
统计数据显示,中国互联网欺诈风险已在全球排名前三,网络欺诈导致的损失已达到 GDP 的 0.63%,这一数字仅次于美国的 0.64%。
当前互联网欺诈已经发展出了完整的产业链,欺诈产业链可以分为上游信息盗取者、中游信息售卖者和下游欺诈实施者和最终的分赃销赃者三个环节。
每一个环节都有相应的欺诈团伙,他们分工精细,配合严密,各履其职。 下文将会就黑产产业链的技术形态进行详细说明
一.手机卡商
手机卡商,能够为接码平台和黑灰产从业者提供大量手机号,用以各种虚假注册、认证业务。这些手机卡被称为黑卡。其上游主要是卡源卡商及猫池为其提供服务。
卡源卡商
卡源卡商通过各种渠道(如:开皮包公司、与代理商打通关系等)从运营商或代理商那里办理大量的手机卡,然后加价转卖给下游卡商赚取差价,他们掌握着手机黑卡货源。
根据反向追踪调查,卡源主要有:
物联网卡:无须实名认证,主要用于工业、交通、物流等领域。物联网卡需要以企业名义办理,卡商以千元左右的价格可轻易购得“营业执照”进行办理,且一张营业执照几乎对办理数量不做限制。
实名卡:这种卡多为从网上收集大量身份证信息批量认证得来。
海外卡: 由于实名制的原因,16年下半年开始,大量缅甸、越南、印尼等东南亚卡开始进入国内 手机黑卡产业。这些卡支持GSM网络,国内可直接使用,无需实名认证,基本是0月租,收短信免费,非常切合黑产利益。
猫池厂家
猫池厂家负责生产猫池设备,并将设备卖给手机卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备,在正常行业也有广泛应用,如邮电局、银行、证券商、各类交易所、各类信息呼叫中心等。猫池设备可以实现对多张手机卡的管理。
二.黑IP
黑灰产从业者为了隐藏自己的真实IP,同时也为了绕过甲方的IP风控策略,需要大量的IP资源(比如代理IP)作为跳板,进而发动作弊。用于作弊的IP,即指黑IP。
全球IPv4总数约为43亿,美国拥有30%以上,美国的黑IP数量占比36.39%,遥遥领先其他国家。发达国家的黑IP数量要多于发展中国家,可以简单理解为,发达国家拥有更多的互联网设备,也就拥有更多的IP资源,所以黑IP的数量与互联网设备的数量成正比。
从黑IP来源城市数据看来,上榜的城市都是经济较为发达的城市:
三.接码平台
接码平台负责连接卡商和羊毛党、号商等有手机验证码需求的群体,提供软件支持、业务结算等平台服务,通过业务分成获利。接码平台很多,活跃的有数十家,部份接码平台可以接语音验证码。
接码平台上的项目数量和单价,可以侧面体现平台账号批量注册的严重程度以及绕过手机号验证的成本。
四.群控系统
群控系统的使用是为了避过平台对设备的检测。即采用电脑来控制多部移动设备,如下图为针对 iPhone的群控系统,能够让连接的多部手机根据既定脚本批量执行操作。
对于账号注册部分,系统集合了过滑动验证、自动获取填写验证码、修改资料等功能。
每台设备会存在注册账号数量的限制,这时会结合改机软件来解决。改机软件通过劫持系统函数,修改UDID、IMEI、SSID、定位等设备信息的,使平台检测认为是新的手机。上述平台结合了一键新机工具,该工具除了修改设备信息,还提供一键新机、多开、全息备份等功能。只对勾选的app更新设备参数,能够导出参数备份信息,为跨机共享和恢复某账号设备环境提供便利。 使用群控系统时,每部手机都会安装既定的Lua脚本去执行触摸,滑动,输入文本等操作,使用者可以根据不同目的找开发人定制专门的脚本。群控系统、脚本和改机工具结合使用,再接入接码平台和代理IP,就可以高效的产出质量过硬的号码。这种方式完全模仿真实用户,较难分辨。厂商可以从“虚假号码”、黑IP、用户行为及进入app后的操作顺序等角度着手判断。
五.注册机
注册机多是自动化批量注册的工具,多是采用易语言进行开发,在Windows下运行,技术手法有两种: 模拟操作类:通过控件操作浏览器元素实现,真实加载注册页面,模拟用户操作。协议破解类:通过HTTPS协议实现,破解注册接口协议,直接带参数调用注册接口实现注册。手机号资源自然是从接码平台获取,IP资源使用ADSL拨号(使用VPS挂机操作等),这背后也有一条完整的产业链支撑。大多注册机的速度可达到几十秒注册一个账号,为下游的各个细分产业提供大量的小号。 有些平台的策略会对这类账号造成影响,即有些注册机出来的号码,几天内会失效,但仍可以对接“直接用量怼的项目”,一般会采用预定方式售卖账号,随买随用。
六.跳转号
除了直登号外,跳转号也是常见的号码。指使用QQ号、微信号、微博号等快捷登录后,激活绑定而转化而成的平台账号。这里使用的账号并非正常账号,而是称为授权号的特殊账号,这种账号在原有平台质量很低,无法进行大部分业务。所以只用作授权其他平台,购买成本仅几分钱。
在互联网灰产领域,许多工作室依赖注册和贩卖各种账号生存,这些账号已经成为了具有广泛销量的基础资源,再流入各个细分产业链。
小号虽小,却要在风控战场上引起大的重视。老号指有一定注册时间、自身带有权重的号码,有的还带有一定的粉丝与作品。这类号码被认为不易封号,在市场上受欢迎。老号和带有一定权限等级的号码,一般是采用这三种方式得到的:盗号:主要方式是钓鱼。如发布二次打包的软件将某些软件打包加入自己需要的功能,当用户使用这些动过手脚的软件时,黑客就会收到他们的账户名、密码。 扫号:方法有两种:
1、用接码平台的手机号作为用户名,遇到注册过的直接修改密码,这种属于黑吃黑,拿走了别人批量注册的号码。
2、使用其他手段获取大量账号名,加上弱密码,去逐一验证,这种账号一般是真实用户,对平台伤害较大。
养号:号商注册后模仿真实用户进行一些操作,将号码养老的行为。大多是为了提高账号的权重,以方便之后的黑产项目,对平台伤害较大。
黑产新趋势
由于反欺诈的不断努力,黑产无节制扩张的势头一定程度上得到了遏制,黑产作弊门槛明显提高。2018年,黑产份子中“散户”基本被消灭,集团化趋势愈发明显。
集团化的黑产有明确的上下游分工,有完善的技术服务配套保障体系,因此表现出更强大的战斗力。由于黑产有发达完善的情报、监控体系,和合理的软件架构,一般在运营活动上线当天,就会有相应刷量软件出现。黑产软件架构较为合理,把底层基础服务和上层应用相剥离,只需要修改上层应用部份,就可以实现刷量。
案例实操
以上介绍都是行内的一些基本的业务逻辑,我们坚持每篇文章都分享一些干货实操——
案例分享:
我们观察下图:某个产品2016年10月20日的走势情况,发现在10月20日这天,批核率有个比较大的下探。从数据分析的角度来看,应该有某个原因导致了批核的突然的走势。
接着我们分析这个节点的拒绝码被拒的比例
会发现C002这个节点的在某个节点,在10月20日这天,同样有走高的趋势。
所以应该能肯定是这个节点出的问题。
进一步分析这个C001对应的拒绝码是,客户提供的电话号码,取出明细:
分析到这一部分,还剩下最后的一些总结分析工作需要梳理,已经把相关的分析结果放上知识星球,有感兴趣的同学,可以上去关注。
十年职场生涯,这个长期混迹在风控界和科技界,摸爬滚打的大叔,曾经就职于全国最大的固网运营商平台、国内最大的ERP软件公司和一家老牌的互金公司,如果你想了解他,欢迎关注 “番茄风控大数据”一起学习一起聊!