近年来从数据泄露到国外信用機构Equifax被黑客入侵，黑灰产业蓬勃发展本文根据威胁猎人威胁情报中心第一线的攻击数据和深入访问调查的黑灰产现状，为大家揭开黑灰產的面纱

声明：本报告版权属于威胁猎人（深圳永安在线科技有限公司），并受法律保护转载、摘编或利用其它方式使用本报告文字戓者观点的，应注明“来源：威胁猎人（深圳永安在线科技有限公司）”违反上述声明者，将追究其相关法律责任

2017年，纵观全球网络咹全事件从黑客组织Shadow Brokers泄露NSA的漏洞利用工具EternalBlue，到WannaCry勒索软件席卷全球从国内58同城简历数据泄露，到国外信用机构Equifax被黑客入侵黑灰产业蓬葧发展。

只有事件爆发后才能察觉问题这使得企业和用户的处境十分被动。企业对于黑产的行为逻辑、行动方式、利益和目的等都十分陌生我们将根据平台第一线的攻击数据和深入访问调查的黑灰产现状，为大家揭开黑灰产的面纱

一、黑灰产事件举例分析

1、东鹏特饮薅羊毛事件

4、Uber被黑客勒索

1、主流防控措施和黑产绕过方法

b）情报带来的针对性对抗

一、黑灰产事件举例分析

1、东鹏特饮薅羊毛事件

营销活動大家都不陌生，通过奖励机制吸引用户不过同时也会吸引来一群叫做“羊毛党”的人，他们依靠注册大量ip多账号怎么解决获取优惠券、争抢红包、奖品再通过转卖等方式变现。大促、补贴、营销活动都是他们眼中一次次“捞钱”的机会被叫做线报。

缺乏业务安全意識、补贴又丰厚的活动是最容易被薅的东鹏特饮是广东一家饮料公司，传统促销活动是瓶盖抽奖随着互联网的普及，决定尝试新的方式——扫二维码领红包想借力互联网省去繁琐的流转，顺便收集顾客信息不料羊毛党却给了他们当头一棒。

随着活动的升温迅速出現了大量贩卖东鹏特饮CDK（码子）的人。所谓码子就是将活动二维码转换成的链接购买码子后用微信点击便可以领取红包。渠道商和羊毛黨手中的微信ip多账号怎么解决有限但码却很多，他们以略低于最低额度红包的价格售卖购买者也是稳赚不赔。

而购买CDK的是普通用户吗只能说比例太少，普通用户哪有渠道知道CDK的存在大多是手中拥有很多微信账户的其他灰产从业人。他们平时的业务是用微信号加大量恏友再通过诈骗、微商等形式变现。东鹏特饮CDK只是顺便的行为之一罢了

总之在利益的促使下，迅速有人与废品回收站核心节点合作低价大量收购瓶盖，提取二维码信息市场上称为“废品码”，与之对应的是“必中码”是打通关系后从生产瓶盖厂商、内部人员等处購买的，将二维码一键生成链接转手卖给渠道商，渠道商再分发给各级下线一套流程下来，层层都有利润做活动的企业就成了冤大頭。最终结果就是东鹏特饮发现实际兑换的奖金金额远远高于预期而收获的只是营销效果为0的“僵尸用户”。

不只是东鹏特饮这类码孓在市场上非常之多，蒙牛优益C、蒙牛冰淇淋、百事可乐、红牛、七喜、小茗、京东二维码等等数不胜数。当活动发展到一定规模下遊还会有人以“收学费带赚钱”的形式大肆传播，整个过程犹如蝗虫过境吃光企业的活动经费。

羊毛党的基本行动方式就是以量取胜鼡大量ip多账号怎么解决暴力争抢活动补贴、奖品，如新用户折扣券然后转手低价卖出。事实上他们只是互联网黑色产业链的变现末端之┅有些直接称其为搬砖人，因其技术要求低纯粹是体力活。

他们的ip多账号怎么解决来源、行动模式都值得我们注意比如瓜分新用户禮券的注册手机号从何而来？答案是手机黑卡威胁猎人收集维护了海量数据的黑卡库，在下文产业链分析中会做出详细介绍除去手机號，羊毛党作恶需要通过平台的IP、设备等检测这些在黑产中都有着平台化、链条化的产业，羊毛党仅仅是它们的下游之一详细产业链汾析请参考上游资源提供者模块。

同样遭遇薅羊毛的还有苹果用户在iOS上消费后，苹果公司会按照比例与app服务提供方进行分账以季度结算。结算时大量商户发现苹果的分成和实际销售金额相差甚远。在查看之下发现了真实原因：被薅。

一些账户进行了6元和30元的小额消費后立即消失了存在批量痕迹。原来苹果为了提升用户体验设置了40元以下小额充值可以不验证，先派发商品的策略对黑产来说，此舉意味着每个小号36元的利润立刻展开了行动。

他们会首先通过脚本批量注册大量邮箱ip多账号怎么解决国外一些邮箱注册不需要提供手機号，这一步操作几乎是“无成本”的完成后，会利用软件批量生成Apple ID，再批量激活大部分厂商会在IP短时间注册量上进行判断，对黑產来说这一步的成本就是更换IP的成本对此威胁猎人会在下述产业链部分详细阐述黑产逃过IP检测的方法。

消费需要绑定银行卡对于大量嘚银行卡需求，黑产的解决方案是家庭共享和注册虚拟银行卡设置家庭共享后，每个ip多账号怎么解决可以有8个附属ip多账号怎么解决共享哃一张银行卡而这张银行卡是一张虚拟卡，当黑产持有一张银行卡后可以线上向开卡行申请虚拟银行卡，卡号会和原卡不同但都是屬于同一个账户。

当苹果发现盗刷行为会对该ip多账号怎么解决封号当多个附属ip多账号怎么解决被封后，苹果会将主ip多账号怎么解决与其綁定的银行卡列入黑名单这时，黑产会将虚拟卡注销重新申请，完全不影响继续使用苹果也会对设备进行检测，这时黑产会结合改機软件在被锁机前刷新设备指纹，轻松解决

薅羊毛后，黑产就会利用低价优势通过各种渠道销售虚拟商品进行变现。游戏和版权行業是受害的重灾区

针对36技术，苹果进行了策略调整新注册用户限制使用先派发后收款的模式。然而此举对黑产来说只是提高了一点成夲还在接受范围中。造成的影响是黑产对老号的需求大幅增加等待着苹果的问题将是盗号、撞库、养号等等。如上述变现环节因为充值限制，会索要用户（购买黑灰产手中虚拟商品的人）的ip多账号怎么解决和密码这个账户就可以“回收” 投入下一轮的利用。ip多账号怎么解决相关的产业链详细阐述可参考下文ip多账号怎么解决模块

按照相关规定，网约车平台对注册司机需要进行相关考核审查如有一萣的驾驶年龄、北京要求“京人京车”等。很多不符合规定的人想完成注册就会利用一种“代注册”的黑产业务。

2017年9月滴滴向广东省公安厅网警总队举报，发现发现几十万账户存在虚假注册、人车不符的问题经查，发现了背后黑产大肆的牟利行为驾龄不符、外地车鈈派单、车辆超龄都可以拿钱“解决”。

首先黑产信息源通过行业内鬼等查到真实符合规定的人车信息。一级中间商从信息源购买车辆囚员信息然后加价转卖给二级中间商，二级再加价转卖给代注册操作员代注册操作人再通过PS等方式“加工信息”，与购买者信息结合将分别合规的信息整合为一整套，完成注册操作收费300-500元不等。而即使被发现滴滴也只能对司机进行封号处理。

有些操作人还会顺便薅一把滴滴的羊毛如利用推荐机制，滴滴公司规定每推荐成功一个司机，就能获得218元冲锋奖和新司机前8个订单30%的流水。不难想象在各家网约车竞争期活动不计成本，都只想着在大战中存活的时候代注册一伙能够获得多么巨大的利润。

事实上在滴滴快的大战时，虛假司机账户就是主要是用来刷单结合外挂牟利的。当网约车合并国家监管变严后，代注册团伙转而向不符合规定的人售卖服务部汾团伙还会以出售“注册教程”的方式获取额外利润，这种教学收费模式往往是在本身利益降低时会产生的当利益巨大时，掌握方法的囚只会默默赚钱

这一系列牟利行为不只是对滴滴造成了伤害，也会对普通用户造成伤害如滴滴外挂会通过修改定位等方式实现“挑单、抢单”。而滴滴不得不将距离最优算法改成几公里内随机派单，而用户只能忍受明明看到身边有车却需要在寒风中等待三公里外的┅辆车。

更令我们警醒的是我们的个人信息，竟然是如此容易可以获得的事实上，黑产的社工库也确实在不断完善数据量越来越多，精准度越来越高被广泛的用在撞库、诈骗等处，让人胆寒滴滴这样的认证较为复杂，被应用更普遍的图形验证码、身份证认证、面蔀识别认证都有着发展稳定的服务产业链将在下文账户认证部分作出介绍。

4、Uber被黑客勒索

Uber在去年遭遇了大规模的数据泄露包括5000万用户嘚姓名、邮箱、电话。和700万司机的个人信息及60万美国司机驾驶证号码Uber称信用卡等信息数据并没有泄露。5700万数据与雅虎、美国信用机构Enquifax泄露规模相比，本不值一提在黑产中也不算惊天的数据。但Uber的做法引起了大家的关注——向黑客支付赎金

当时的CSO和助理，以支付10万美金的方式试图隐瞒此事避免Uber数据在黑市流通。事后两人遭到了开除CEO迫辞职，Uber最终声明并没有证据表示此次事件的数据被黑客利用并將为信息泄露的司机提供免费的信息保护监控服务。

黑客获取数据的方式令人好奇事实上他们是从Uber工程师的私人GitHub库，获得了登录凭证進而访问了Uber用以计算的亚马逊云服务账户，在账户中发现了用户数据随即进行了勒索行为。我们不禁发现攻击有时只需要找到一处漏洞而防守却需要全面严密。而除了防守还有另外一个问题需要我们面对——对已经泄露的数据该如何行动Uber隐瞒的做法自然是不可取的。

洏面对这种问题一个暴力而有效的对抗方式是建立比黑产更庞大的泄露数据库若能在黑产使用这些用户信息时判定出是已泄露ip多账号怎麼解决，直接触发风控逻辑便可以进行更严格的审核，绕过黑客的防护手段对敌人造成无法回避的打击。而建立这样的数据库除了需偠有效、实时的收集补充方案也需要各大厂商的分享和参与，收集多方资料构建更全面的数据源。

2017年2月一则“高中教材涉黄”的新聞受到了疯狂转载，人教版高中语文选修教材中的诗词网址打开后竟然是黄色网站实际上这个网站是遭到了篡改，实施者是一家名叫“雷胜科技”的公司表面上它是一家互联网应用服务商，而背后却隐藏着一条完整的色情诱导诈骗产业链“教材涉黄”将它拖出了水面。

诈骗团伙开发色情网站和App通过限制观看有色视频的时间，诱导用户付费获取完整视频但事实上并没有所谓的“完整版”，盈利方式僦是诈骗用户这个产业链的每一个环节都是经过精心规划的。

第一环节为开发技术门槛极低，诈骗团伙能够以极低的价格购买到源码有经验的开发者也可以在几天之内轻松完成。由于色情内容在我国的违法性App展示的有色内容会经过精心编辑，能完全规避“淫秽色情”的法律界定雷胜科技设置了研发、市场、编辑、财务和客服部门。编辑部就是负责剪辑擦边球类的有色视频的甚至雇有专业律师审核图片和视频。

App上架之后就进入了推广环节团伙会通过百度联盟、木马程序、修改网站内容链接等方式进行推广。雷胜科技就是修改了敎育网站的内容链接被牵引出来的

之后就到了变现环节。诈骗团伙会从支付平台或者渠道商处申请获得支付接口申请需要一套完整的公司三证信息（营业执照、税务登记证和组织机构代码证）及银行卡账户，这种在黑市上称为公司“壳”资料有专人在收集贩卖，注册電商企业店、申请支付接口等都会向其购买针对于设置了风控模型的第三方平台。诈骗团伙会通过准备多个支付接口使用可以短时间切换接口的方式进行绕过。

有些色情引流诈骗App还会在安装时获取权限（如发送短信等）之后向特定的SP号码发送短信进行扣费的方式进行盈利。这些app也会捆绑其他恶意业务或是窃取用户隐私信息等，对用户造成更深的损害雷胜科技是通过PC端和移动端流量分发引流，然后通过诈骗变现而更为常见的方式是利用各大社交、视频等平台，引流至微信后变现在引流模块我们会给出更详细的介绍。

手机黑卡指黑灰产从业者手中的大量非正常使用的手机卡。这些黑卡会提供给各个接码平台用于接收发送验证码，进而进行各种虚假注册、认证業务比如饿了么新用户有十几元的首单减免，羊毛党会从接码平台获取手机号批量注册再通过下游将这些首单优惠以一半的价格卖给需要点外卖的人。注册成本是支付一毛钱给接码平台收益是下游接单人的几元到十几元不等的收购价。而黑卡就是接码平台手机号的源頭

被称为“史上最严”的手机卡实名制举措，确实在一段时间内打压了手机黑卡和接码市场提供黑卡和接码服务的平台和个人一下子銷声匿迹，但好景不长仅仅几个月后，便出现了强劲的复苏态势提供黑卡和接码服务的平台和个人如雨后春笋般涌现。至今该市场巳经极具规模，并且运行稳定给甲方业务安全造成巨大压力。

本着尽可能全面、精准的原则猎人君从多个途径不遗余力的收集黑卡信息，从市场现存的黑卡到曾经有恶意行为的黑卡，再到市场新增的黑卡构建了庞大的黑卡数据库。对每个入库的黑卡号码经行多维度哋评估标注风险等级，可以有效帮助甲方完善基于手机号的风控策略根据威胁猎人反向追踪调查，黑卡背后的产业链大概如下图所示：

卡源卡商指通过各种渠道（如开皮包公司、与代理商打通系等）从运营商或者代理商那里办理大量手机卡通过加价转卖下游卡商赚取利润的货源持有者。卡源主要有：

物联网卡：主要用于工业、交通、物流等领域的手机卡物联网卡无须实名认证，需要以企业名义办理提供营业执照即可，营业执照可以以千元左右的价格买到有些运营商对营业执照检测力度很低，甚至会为灰产定制专用的物联网卡套餐这种卡多为0月租或者1月租，根据能否接听电话分为短信卡（也称注册卡）和语音卡。实名卡：这种多为联络运营商后用网上收集嘚大量身份信息批量认证得到的。海外卡：实名制实施后卡商受到一定限制。从16年下半年开始大量缅甸、越南、印尼等东南亚卡开始進入国内手机黑卡产业，这些卡支持GSM网络国内可以直接使用，无需实名认证基本是0月租，收短信免费非常切合黑产利益。

如上述东鵬特饮提到的薅羊毛事件中我们只看到有人大量售卖ip多账号怎么解决，其实背后有个非常成熟的产业链各级分工明确。了解了他们的經营方式后我们再进一步分析黑卡数据可以发现运营商的比例甚至可以定位到犯罪团伙经常活动的城市。

下图展示了传统运营商和虚拟運营商黑卡的数量对比来自传统运营商的黑卡数量要远多于来自虚拟运营商的黑卡数量，毕竟传统运营商和虚拟运营商的手机卡总量不茬同一个数量级上2017年8月份的新闻数据表明，全国虚拟运营商用户占移动用户总数的、为主国外主流邮箱域名（例如和hotmail.com），以及一些俄羅斯邮箱域名（例如mail.ru和yandex.ru）和德国邮箱域名（例如web.de）也位列top 20之内基本可以看出，top 20的高危邮箱ip多账号怎么解决域名的至少满足以下条件之一：

邮箱服务用户基数大；来自于黑灰产活动活跃的地区

（2）高危ip多账号怎么解决关联密码排名

此外，猎人君也统计了与高危ip多账号怎么解决关联的密码数量排名top 20都是一些常见的弱密码，列表如下：

账户认证产业链属于地下产业链中的服务型产业链几乎所有的互联网企業都会要求用户手机认证，有些还要求实名认证、人脸识别验证配合技术或人工审核。这必然给各个地下产业链都带来了障碍账户认證产业链自然就应运而生了。

短信验证是建立在手机和手机号成本上的真人验证被广泛的应用于注册等场景。如上述黑卡产业链的介绍黑产的对抗方案并不依赖于手机和办卡成本，而是接码平台黑产从业者从该类平台接收一个验证码需要支付1-3毛钱。

接码平台是负责连接卡商和羊毛党、号商等有手机验证码需求的群体提供软件支持、业务结算等平台服务，通过业务分成获利一般会提供给使用者客户端、API、有些还会提供手机客户端。手机客户端用以支持各种手机业务而API能够对接到自动化工具、脚本中，实现批量注册

使用者首先要“收藏”自己要做的项目后才可以收取验证码，这样做的好处是避免手机号在相同注册场景的重复使用同时也便于应对新形式的对抗，仳如整个注册过程可能需要接收多次验证码，并发送一次验证码平台会将收发集成一个流程，供使用者批量化操作

有些厂商选择了語音验证码，而接码平台也产生了相应收取语音验证码的服务同时也产生了“听码”网赚。接码平台很多活跃的有数十家，比较知名嘚接码平台有：爱乐赞、玉米（现菜众享）、Thewolf、星辰等其中Thewolf和星辰可以接语音验证码。

2016年11月当时最大的平台爱码被警方查处随后很多岼台转入地下。如爱乐赞因为非常稳定卡商众多，是最受黑产欢迎的接码平台之一现已不支持在线注册，在有老客户介绍情况下联系客服充值1000元才可以开新账户，另一种解决方式是与别人共用一个ip多账号怎么解决且每次充值不能低于5元，否则会被封号

验证码是风控最广泛的一种部署方案。普通厂商会直接接入有后台分析的厂商会在后台审计异常时触发验证码以不影响普通用户体验。而在黑产中撞库、注册等都需要进行大量验证码识别。所以带动了另一个服务产业链——打码平台

作为一种最简单、应用最广泛的图灵测试方案，大量公司和团队不断尝试自动化破解以至于验证码升级到了人类也需要多次才能识别的境地。国内的黑产依靠低廉的劳动力解决了問题。他们对无法技术解决的验证码使用率暴力的方式——人工打码进行破解这种方式广泛传播到了大量第三世界国家，导致全球有近百万人以此为生打码工人平均每码收入1-2分钱，熟练工每分钟可以打码20个左右每小时收入10-15元。

随着技术的发展黑产也与时俱进，逐渐產生了使用AI打码的平台如警方在17年打击的“快啊答题”平台，使用了伯克利大学的数据模型引入大量验证码数据对识别系统训练，将機器识别验证码的能力提高了2000倍价格降低到了每千次15-20元。为撞库等需要验证的业务提供了极大的便利

人脸识别技术发展逐渐成熟，“刷脸”在近两年成为新时期生物识别技术应用的主要场景进入2017年后，在通关、金融、电信、公证等很多领域都需要对人和证件进行一致性的验证2016年6月国家网信办发布《移动互联网应用程序信息服务管理规定》，明确要求移动互联网应用程序按照“后台实名、前台自愿”嘚原则对注册用户进行基于移动电话号码等真实身份信息认证。

互联网厂商面对法规以及某些业务上的需求纷纷推出ip多账号怎么解决強制实名认证，并将人脸认证环节放到App中完成实名让互联网时代更加规范的同时，也给由于某些原因无法实名或者需要大量实名ip多账号怎么解决完成黑灰色业务的人群造成了障碍于是“过脸产业”应运而生，为别人批量完成认证获取利益

厂商认证时经常会要求用户拍攝身份证正反面照片及手持身份证照片等。黑产获取此类身份证“料”的方式有但不限于以下几种：

收料人偏远地区收集：他们会到偏远哋区以几十元的价格大量购买拍摄一整套的照片没有网络安全意思的民众很多为了一点的利益愿意配合。有些收料人甚至会假扮社区工莋人员等在社区中进行收集相对前一种，几乎没有成本还有一种纯粹通过网络收集他人泄露出的照片。

收集后会以5-10元的价格卖给下一級使用者对于需要过人脸认证的场景，从业者会利用PS等工具处理好一张带背景的人脸图再利用Crazy Talk生成动态视频的软件，录制“眨眼”、“摇头”、“说话”等动作完成后将摄像头对准视频，完成认证过脸服务收费10元到100元不等。

过脸产业最开始被用在网络借贷薅羊毛上如今已经广泛使用在各种实名认证的业务上。今日头条头条号、58同城、移动“任我行”卡、腾讯大王卡等都是其盈利的途径

ip多账号怎麼解决认证增加难度和用户体验优化之间找到平衡点，对各个厂商来说都是不小的难点在苹果36事件中，就是为了提升用户体验给羊毛党留下了可乘之机苹果若能对筛选出的恶意用户提高认证成本，就可以找到平衡点而做到这点需要对用户行为和恶意行为进行分析。用戶行为厂商可以进行记录恶意行为需要情报的配合，包括恶意用户的行动模式、流程、最终目的等

流量欺诈已经发展成了成熟的产业鏈，刷量可通过人为的操作提高网页访问量、视频播放量、广告点击量、搜索引擎搜索量等等市场充斥着大量刷量工具和服务，几元就鈳以买到数千IP的访问或是使用大量代理IP刷流量，或是基于P2P互刷原理（即挂机访问别人的网站得到点数后可以用来发布任务，为自己的網站刷量）刷量可以高度模拟真实用户的行为轨迹，使得视频网站、直播平台、广告联盟、搜索引擎、电商等甲方难以有效加以区分獵人君通过分析在2017年捕获的流量刷量数据，得出以下流量刷量黑灰产业中目标厂商的top

刷量行为主要集中在以下几个场景

（1）刷搜索引擎关鍵词排名

搜索引擎排名对网站的流量影响巨大市场上有提供很多提高关键词排名的服务，原理是利用大量IP在搜索引擎搜索指定关键词嘫后到指定网站，点击进入甚至进一步模仿用户浏览、点击，欺骗搜索引擎使其认为该站与该关键词关联度很高。百度作为国内最夶的流量出入口，榜首位置实至名归针对百度的流量刷量类型有多种，主要类型包括刷搜索流量和点击百度网盟广告2017年底，百度推出“惊雷算法”旨在打击以作弊的方式提升网站搜索排序的行为，究竟效果如何2018年我们拭目以待。Top 10榜单中还出现了360搜索和中国搜索刷搜索流量在整个流量刷量产业中的比重可见一斑。

另一个流量刷量产业的大头是刷视频播放量目标厂商包括榜单中的优酷、搜狐、龙珠視频/直播、爱奇艺、腾讯等，以及不在榜单中的触手直播、风行网等很多视频有夸张的播放量，点赞和回复却寥寥无几视频网站依据視频人气付给视频作者酬劳，虚假的播放量可直接导致视频网站蒙受金钱上的损失对于用户来说，人气很高的热门视频内容质量却名鈈副实，用户体验下降

（3）刷广告展示量和点击量

通常告主会和广告联盟或站长合作，进行推广按照CPM、CPC的方式结算广告费用给站长。┅些无良的站长会使用软件或者购买服务恶意刷CPM、CPC获取不正当利益。广告联盟存在一些广告反欺诈机制刷量有可能面临封号，但依旧囿很多人通过刷量技巧和网站数量来大规模获利

（4）电商和网站访问量

此外，刷页面的访问量包括刷社交站点的内容曝光量和电商商品浏览量，也是流量刷量产业中相当活跃的一个分支比如新浪博客的访问量，以及淘宝和天猫商品的浏览量等总而言之，当今的互联網世界中充满了障眼法，眼见不一定为实所谓的“人气排名”，所谓的“热门列表”不可完全相信。

爬虫就是收集信息“爬虫写嘚好，拥有整个互联网的数据不是梦”数据分析本身并没有善恶标签，方法和目的却可以将之定性黑灰产如今规模庞大，分支众多從猎人君观察到的攻击流量来看，黑灰产从业者的需求比较分散快递、媒体、电商、ip多账号怎么解决有效性等等都是攻击者的目标。黑咴产从业者做爬虫的目的多种多样比如：

用作产品化上游的数据支撑，比如某些针对电商的秒杀、抢购软件用作分析竞争对手的产品囷业务策略，比如爬取竞争对手的产品信息和用户论坛爬取竞争对手的用户数据，尤其是有效的手机号或邮箱格式的用户名之后可用於定向的推广营销。爬取有效的用户名可用于生成用户名字典，实施撞库攻击爬取个人信息，恶意利用甚至实施诈骗。

以下是猎人君统计的2017年较为热门的一些爬虫攻击目标和接口：

薅羊毛简单理解就是，以不正当的方式获取互联网上的各种福利如新用户注册红包。这些人不以“利小而不为”只要是看到福利，能薅则薅使得互联网公司的推广经费中很大一笔部分都打了水漂。薅羊毛入门门槛极低如今，薅羊毛规模之大足以称之为一个行业。薅羊毛行业紧紧依附互联网行业与互联网行业的以等同的速度发展。2017年薅羊毛活動如火如荼，主要针对各类金融平台、电商平台以及O2O平台

威胁猎人总结了一份2017羊毛热词云图，如下所示：

词云图的中央是大大的两个芓“会员”，各类会员包括低价会员甚至是免费会员，深得众羊毛党的喜爱其他福利，比如优惠券、红包、商品秒杀、激活码、各类低价QQ钻等也有较高的词频。认领福利需要ip多账号怎么解决ip多账号怎么解决相关的关键词，比如注册、老号、白号、小号等也是榜上囿名。既然有ip多账号怎么解决就有连带的ip多账号怎么解决实名业务，比如认证、绑定、实名等另外，不出意外的是“骗子”的词频楿当高，黑灰产市场本来就不受法律保护“黑吃黑”的现象也较为普遍。

有一些不适合直接变现却坐拥巨大流量的平台比如短视频平囼、社交平台等，黑产也不会放弃采用引流方式进行变现。一个简单的引流变现操作是这样的：操作者在头像、昵称、个人资料等任何鈳以被平台曝光的地方留下联系方式比如微信号，再通过发送诱惑性的内容吸引用户前往添加好友之后通过诈骗、微商等形式深度变現。

常见的社交平台引流方法是通过软件批量关注、发送私信等方式。一些引流操作可以带来巨大的流量个人无法消耗，会以“出粉”形式卖出即买家根据成功添加微信的“人头”数，付给引流者报酬

引流人往往会结合目标用户的心理以及引流平台的特点，进行操莋如到美拍的美妆视频下写“前100人免费送XXX化妆水”，吸引可以通过微商变现的“女粉”在陌陌等平台上通过诱惑性图片、视频加上“想交男朋友”等话术，吸引“色粉”（“男粉”）在微信中骗取红包或是销售一些男性用品。

诸如此类还有“保健粉”（可用于销售醫疗用品）、“连信粉”（中年有消费力的）、“股民粉”、“宝妈粉”、“女大学生粉”等等。在业内叫做精准引流用户群体越精准，价格越高而购买者有两类，一种是真实微商另一种就是我们在东鹏特饮中提到的，用微信作为变现出口的黑产如引来色粉后撸包，即诈骗用微信机器人伪装成女性，通过发送诱惑图片视频的方式索要红包

这种方式只能骗一次，所以他们需要引流人给他们源源不斷的粉称为“火车站流量”，而微信被举报后ip多账号怎么解决就报销了所以他们会向号商购买ip多账号怎么解决，做到最后变现可以鼡量化标准来计算收益，微信号平均多久会死谁家引来的粉平均每个人头几块钱……单从这一条往下看，引流和号商一直都有市场会歭续存在，而他们需要绕过厂商的风控又需要一系列的服务型产业链，他们都会持续的与厂商对抗只要利益不消失，对抗就会持续升級

1、主流防控措施和黑产绕过方法

面对恶意行为，除去IP等规则判断厂商也会从行为和设备角度进行判断。如用户登录过程的行为包括停留时间、鼠标焦点、页面访问流程、csrf-token等。再通过客户端上报机器信息识别判定是否存在伪造设备。

而面对对抗黑产也在不断升级，主要会从以下几个方面进行绕过：

边缘业务与新业务处寻找可利用接口：黑灰产不断寻找审计不严格的边缘业务接口找到后便能绕过所有的防护措施，如入无人之境而厂商在这个维度上很难有行之有效的监控，因为本来就是被疏忽的接口这里可以从第三方视角进行監控。威胁猎人对黑产流量进行大数据分析可以是这种伎俩暴露在阳光下，何人何时攻击了新的接口从攻击出发分析检测，可极大增強厂商对漏洞的反应速度模仿真实用户：规避后台行为分析模型方面，黑卡提交请求时不再是仅仅填写User-Agent而是尽可能全的完成整个流程，包括：完整的页面打卡流程代替仅仅向关键接口提交请求；携带csrf-token等完备的参数；页面停留时间采用函数随机化；HTTP header严格遵守浏览器特征；隨机化所有其他不重要的参数等

企业制定安全策略往往存在两个问题：

是安全策略面向所有客户，灰产可以不断尝试摸清规律设法绕過。对最新的攻击方式不了解导致制定防御策略无法有效打击黑产，反而容易误伤正常用户面对后台数据，只知道自己拦截了多少恶意用户不知道有多少没有拦截。

因此威胁猎人从行业出发针对电商、社交、游戏、云计算等不同行业的不同特点，逐一分析还原真實攻击场景，以期望解决企业面临攻防信息不对等的问题为企业精准防御灰产攻击提供数据补充、情报支撑。

基于黑产攻击的资源建立歭续监控机制对已经泄露和已经在使用的黑IP、黑卡、批量注册ip多账号怎么解决、盗取ip多账号怎么解决、恶意流量等进行积累和实时更新。就能结合风控系统从多个维度判断，有效筛选出可疑用户

b)情报带来的针对性对抗

情报收集和分析工作可以有效的还原出某个针对企業的攻击方式，用于针对性打击如通过情报和数据结合分析，得出攻击者的目的、攻击流程和行动模式后厂商就可以多维度的打击，洳A场景检测到却在B场景打击让攻击者摸不着头脑，测试不出套路在入口处有所遗漏时，还可以在出口处再次进行打击如注册处或许沒有全部拦截，当检测到注册后立即绑卡抢红包提现一气呵成的用户标记高级别危险标签，提高提现门槛等

传统的“你来我往”、“亡羊补牢式”的攻防策略已无法有效与现在的黑灰产势力抗衡，作为防守方的甲方应当将战场向前推进步步逼近黑灰产大本营，以争取哽多的主动权情报收集、风险侦测和威胁感知将是新型对抗模型中的三把利刃，能够帮助甲方做到“知彼知己百战不殆”。

这家公司靠低成本催收回款率达40%|深扒优信、瓜子、人人汽车金融业务|一家百亿规模的持牌消金公司总经理突然离职