Skip to content

Latest commit

 

History

History
415 lines (200 loc) · 27.9 KB

2020上半年出行行业黑灰产研究报告.md

File metadata and controls

415 lines (200 loc) · 27.9 KB

原文链接: https://www.anquanke.com//post/id/217042

2020上半年出行行业黑灰产研究报告

                            阅读量   
                            **324699**
                        
                    |

转载:安全情报星球

报告声明

文章由安全情报星球原创发布,未经授权不允许转载。如需转载本篇报告文字/图表/观点,请后台留言与我们联系。违反上述声明者,将追究相关法律责任。全文预计阅读时间15分钟,感谢。

报告背景

衣食住行渗透在每个国民的日常生活,随着我国经济水平的快速发展及国民生活水平的提升,对于出行有了更高的要求。在庞大需求的刺激下,出行服务的公司如雨后春笋般崛起,提供打车,租车,顺风车等各类便捷出行服务。

为了快速占领市场,各出行企业平台陆续推出了用户优惠补贴,司机入住奖励等多种活动,依附于该行业的黑灰产业链分工明确,合作紧密已发展成一定规模。当大量用户涌入平台时,是敌是友一时难以分辨,暗流涌动之下多家企业平台已遭受攻击。

报告将围绕出行打车行业的黑产产业链分布,攻击手法还原,典型作弊工具分析,黑产变化趋势等多个角度,阐述出行打车行业2020年黑产最新动态。希望本报告能给该行业的安全风控从业者带来一些防控体系建设新思路。

报告重点

  • 报告中提到的攻击数据来自20+出行企业,截取头部企业做为案例分析。
  • 当前黑产的攻击目标仍为出行行业的一些头部企业,攻击占比高达54.45%。
  • 第三方打车平台,如高地图/腾地图正在逐渐成为黑产攻击的目标。
  • 攻击出行平台所需要的各类料子信息(包含身份认证,信用卡,支付绑定等)所有料子全部购买只需6元。

一、出行行业现状

共享出行已是大众出行常用方式,资本逐利下2020年上半年又涌现了好几家出行服务平台,业务部门推出多种营销活动以促进拉新率及留存率,有利益的地方就有黑产,此类现金烧钱业务场景下催生了拉新助力提现和代下单灰色服务,此类攻击上游黑产资源稳定,下游可直接/间接通过论坛、社交、发卡平台等渠道变现,攻击各家出行平台方式虽不同,下游获利变现渠道基本一致。

平台业务的布局、风控系统的健壮性等因素决定了黑产攻击的门槛。从2020年上半年出行行业线下的虚假注册情况可分析得出,当前黑产的攻击目标仍为出行行业头部企业,占比高达54.45%。而从数据中我们也可以看到,后加入的第三方打车平台,如高地图/腾地图正在逐渐成为黑产攻击的目标。

从接码平台对接项目的数量来看,与虚假注册的数据趋势保持一致。

对黑产常攻击的几家出行平台,当前/历史开展的营销活动进行对比,结果如下表格所示:

a.新用户营销活动

「部分出行行业新用户营销活动福利」

b.助力营销活动

「部分出行行业助力营销活动福利」

从上表可看出,对于新用户的拉新及老用户的留存各平台都投入了较多营销预算,这也是吸引众多黑产加入出行行业的原因。

二、出行行业风险分布

出行行业司机端的业务风险主要为抢单、刷单、账号解封、代开户、实名认证等,主要针对具有庞大司机群体的出行平台,随着出行平台的严厉打击,此类业务风险较前几年相比已很难形成规模化产业链。除个别头部企业,由于前期账号体系较为简易,导致市场存量黑号较多。

目前用户端是整个出行行业的重灾区,从注册登录到营销、下单、交易,整个流程存在不同的业务风险。

业务场景业务风险作弊方式 注册登录扫号、撞库、垃圾注册、虚假注册自动化软件 / 人工 营销虚假裂变、真人作弊自动化软件 / 人工 下单认证绕过、实名伪造、代下单人工 支付&绑卡预支付绕过、冒名代绑、黑卡支付人工

有钱赚的地方就有黑产,依附于出行市场下的黑色产业链已初具雏形。

三、出行行业常见黑产产业链

「出行行业黑色产业链」

注:新型众包平台与传统众包平台的区别已在公众号历史发表文章中单独做过详细分析,不再此报告中展开。

上游工具资源稳定,下游变现方式多样,整个产业链已经呈现规划化、可复制化的趋势。提现、兑换、卖号等变现方式与常规无异,对于代叫服务,我们在此前的文章中针对此类变现方式有专门的分析,成功打车后弃号是变现的必经途径。

「社交平台未支付订单提醒」

四、出行行业常用黑产资源

黑产作案离不开各种资源,出行平台的特点及业务薄弱点决定了黑产使用的资源和工具,通常情况下,黑产会利用成熟的工具及资源作案。

1.IP资源

IP是绕不过的黑产资源。目前黑产所使用的IP主要为代理IP和秒拨IP两类,通常情况下,黑产会通过更换当前IP隐藏自己真实的IP,以绕过出行平台IP维度相关的风控策略。

移动端可通过代理类APP切换当前上网IP,近期黑产常用的代理APP有爱加速、豌豆代理等。

「爱加速代理」

web端可购买代理IP网站提供的IP,或通过VPS拨号换IP。代理IP网站可以API形式批量输出IP,便于黑产集成在自动化软件中,常见的有熊猫代理、芝麻代理等。

「91VPS官网」

而拨号VPS已成为一条成熟的产业链,随便打开一个VPS网站都可以看到如下信息,适用于营销、挂机等场景,符合黑产需求,自动化软件运行在VPS中即可切换IP,薅羊毛必备。

「某VPS官网」

2.号码资源

号码资源已经是非常成熟的黑色产业链,而黑产通常走接码平台或线下对接的形式获取号码资源,用于批量注册账号。目前市面上活跃的接码平台有:海豚云、番茄云等。

「番茄云接码平台官网」

接码平台项目分为公开对接和专属对接两类,随着政策的管控,平台存活周期变短,接码平台的号码质量也逐渐变差,公开对接的号码大多为N手号码,虚商号段及流量卡号码较多,黑产很难在各家出行平台获利,但仍能够在风控体系薄弱的平台赚的盆满钵满。

「某出行对接项目取号」

专属对接和线下对接是黑产首选的手机号资源,成本较公开对接卡贵,多为新卡,但省去了新老号检测这一步,可快速提升获利速度。

「某出行对接项目在线卡数量」

目前,市面上活跃的接码平台有近百个,而这些平台部分可通过搜索引擎直接搜索到,更多的则通过云盘的形式传播,通过QQ群、土豆群、电报群、黑产论坛、发卡平台等平台布局,链接上游卡商及下游开发者、羊毛党,将号码资源的价值发挥到极致。

「“首次”相关群」

3.设备资源

模拟器、云手机、群控设备是黑产常用的设备资源,便于批量化操作,可达到一定的规模。市面上的模拟器已经较成熟,功能丰富,支持修改机型、模拟定位、多开系统等功能,成本低,符合黑产的作案要求。而很多平台对于模拟器、云手机的容忍度较高,这也纵容了黑产的作恶行为,吸引更多的羊毛党加入黑产大军。目前黑产使用较多的有:雷电模拟器、逍遥模拟器等。

「雷电模拟器」

云手机也是黑产常用的作案工具,很多平台在设备维度的检测很难追赶上市面上黑产工具的迭代速度,黑产在旧版本应用上屡试不爽。目前比较常见的云手机有红手指、多多云等。

「红手指」

群控也是黑产常用的手段,二手交易平台、QQ群、土豆群、电报群、发卡平台等媒介均可购买设备及群控管理工具,功能丰富,注册养号拉新等场景均可使用,满足各大工作室及个体户的需求。

「某群控平台」

而在黑产论坛上,也可发现免费的群控系统,或付费的定制化群控系统,满足不同群体黑产团伙的需求。

「黑产论坛群控相关帖子」

4.工具资源

黑产通常使用多开、改机工具、虚拟定位等工具绕过设备维度的风险识别,相关的黑产工具资源也非常稳定。

多开软件可在设备中实现分身功能,便于黑产注册账号在诸多场景中获利。目前多开类应用主要分为三类,一类是通过修改Framework,常见的系统自带分身如小米分身、华为分身,此外还可通过修改APK、虚拟化技术实现等方式进行多开,如幻分身、大助手。

如下图所示,黑产利用多开分身制作多个曹*出行分身接码登录打车。目前市面上的主流多开软件自带模拟机型、虚拟定位等功能,伪造一个新设备,以绕过各家平台的检测。

「利用多开分身制作曹*出行分身」

目前iOS端主要为软改工具,如市面上传播度较广的爱伪装、igrimace、佐罗等,具备伪装设备越狱状态、可修改核心设备参数绕过设备恢复逻辑实现一键新机等功能,而如天下游、任我行等iOS端的虚拟定位软件,可实现修改定位功能。

「zorro改机」

Android主要为硬改和软改,软改通常修改的是应用层的数据,通过HOOK的方式篡改数据,硬改将相关硬件参数直接写入内存地址达到修改设备参数的目的。目前市面上流行的安卓端的改机类工具比较多,如抹机王、XX抹机神器、微霸改机、Magisk等。

「抹机王」

虚拟定位类软件,市面上常见的大多数都是基于xposed二次开发的,需要配合其他工具一起使用,如改机工具、代理应用。

5.其他资源

很多出行平台需要经过实名、绑卡、认证等环节才能进行打车、拉新等操作,这时需要购买相应的数据以绕过风控,而相应数据的买卖也已经是成熟的产业链,可通过社交软件、发卡平台出售,也可通过众包平台真人作弊以达到相应的目的。

下图为某社交平台公开售卖料子信息的聊天截图。

「某社交平台料子交易聊天截图」

而有些数据依托于发卡平台交易,如海外信用卡,其黑话为“毛c”,这些黑话很难从字面上去理解其含义,需要根据数据特征去判断,这也是业务情报团队监控时的难点。

「发卡平台料子交易」

对于滴出行、曹出行这种可绑定支付宝账号进行免密支付的平台,可通过购买支付宝账号进行预支付绕过,此类第三方账号的买卖也是非常成熟的产业链。

「发卡平台支付宝账号交易」

五、出行行业典型黑产工具分析

针对出行行业的软件自动化程度较低,自动化软件通常集中在拉新助力、注册囤号等场景中,下单支付等场景需要实名、绑卡等操作,很难自动化。目前自动化的软件通常利用平台H5的注册或活动接口,使用易语言或AndroLua进行开发,工具运行平台通常为Windows或Android。

1.工具一:花*猪V1.2.vmp.exe

花*猪近期推出了拉新活动,用户通过邀请新用户可获取现金奖励,单个人头2元,可直接微信到账。此外,还可通过邀请用户助力获取优惠券。

其拉新活动及助力活动通过微信小程序和微信朋友圈传播,也通过微信朋友圈广告C位出道,覆盖度及传播度广泛,以惊人的速度碾压其他出行平台,成为黑产的攻击目标。

黑产通过开发自动化工具,集成接码平台、打码平台、代理平台,自动化接码注册邀新助力获利。工具中集成的接码平台有:番茄、叮咚、蓝狐、飞猪、可乐、海豚等付费接码平台,通过API调用获取号码。此类工具可自动化批量操作,实现虚假注册拉新提现。

对于平台而言,此类注册用户非真实用户,存在较高风险,这些虚假用户后续可能被用于参与其他营销助力活动,或绕过预支付打车,直接导致平台的坏账率高居不下。

2.工具二:枫*出行v1.0.1.exe

枫*出行推出的邀新注册活动,参与者可分享拉新,平台根据用户邀请排名获得iPhone、苹果笔记本等实物奖品。

「枫*出行拉新活动注册界面」

此活动很快就被黑产团伙关注,并快速开发出自动化邀新工具,集成接码平台、打码平台、代理IP,参与注册拉新排名活动,用于获取实物奖励。

该工具与工具一相似,不同之处为枫*出行的活动链接可直接通过微信分享,mobileShare参数是邀请人手机号唯一标识,无需抓包。工具内置的接码平台有乖码、番茄、万众、马大帅、有信,截止当前部分平台已无法访问。

我们通过其发布的注册分享赢大奖推送文章来看,一等奖用户邀新数量高达7121个,人脉广泛,猜测其邀新好友大多使用165、167等虚商号段。

「枫*出行一等奖用户截图」

3.DD小程序囤号接口.apk

黑产通过抓包获取滴*小程序的接口,集成开发到apk中,接码注册、领券囤号。此软件我们此前分析过,可利用指定接口领券,批量注册的虚假账号可用于二手交易平台及社交平台发布代叫服务。

其利用接口如下,由于平台风控限制,需绑卡、实名、预付等操作,此程序只能用来助力、囤号,而无法用于进一步的代叫打车。

https://g******y.xi*********ji.com/gulfstream/activity/v3
/giftpackage/index?g_channel=9fc9fc331****5fb57822c60f559b6
&account_id=108*423&lang=zh-CN&odid=bdss_p*007966
&bd_vid=11511564*20145233&adx=16&source_channel=1*53

六、出行行业攻击方式

随着平台的严防,黑产也在不断迭代自己的攻击手法,注册囤号只是整个产业链的初期准备阶段,核心为利用虚假账号打车代叫获利,本章我们将针对近期的黑产打车教程进行简要分析。

1.利用低版本应用作案

大多平台的低版本设备指纹sdk风险检测都可被绕过,曹*出行也存在同样的问题。黑产利用低版本无法检测特定多开软件的漏洞,绕过设备维度的多开识别,在真实设备或模拟器中多开低版本应用,清除数据,通过伪造定位的方式获取指定区域的优惠券用于自用或代叫获利。除设备维度的检测存在问题外,部分平台的低版本应用无需绑卡或第三方支付渠道,可直接打车,这也是黑产轻松获利的原因。

「曹*出行分身」

而在此案例中,曹出行的对接卡价格通常为2.5元左右,多开软件、虚拟定位可使用免费或破解版本,目前二手交易平台上曹出行的代叫车价格通常为预估价的3-4折。如预估价格为50元的形成,代叫价格为15元,成本价3元左右,可净赚12元。除曹*出行外,多个平台都存在同样的问题。

2.绑定海外信用卡绕过预支付

目前,各大出行平台均需绑定银行卡或第三方支付渠道才能进行打车,而滴*打车是目前为数不多支持国际信用卡免密支付的平台。国际信用卡的绑定与国内银行卡绑定不同,国际信用卡只需填写卡号、有效期和安全码(CVV),验证其有效性即可,其他信息并没有进行校验,这也导致了很多黑产依托于此数据绑卡打车进行非法交易。

「海外信用卡绑定」

根据黑产团伙在发卡平台发布的商品来看,国际信用卡可零成本制作,138元即可解锁无限技巧,对于想长期囤号打车的黑产来说,多开应用,绑定海外信用卡,免费打车可一劳永逸。

「发卡平台截图」

3.利用业务漏洞绕过预支付

业务漏洞绕过预支付的案例比较多,常见的有低版本注册高版本打车绕过、出行方式由快车切换至多种车型绕过、切换城市点击叫车返回所在地打车绕过、微信授权打车后取消授权重打、洗号打车等种种手段,核心均为业务逻辑及策略存在薄弱点,给黑产以可乘之机。

以某个版本的高*地图打车为例,接码登录后,只选择经济车、不勾选滴滴快车则可以直接打车,无需绑定支付宝、微信、银行卡等支付渠道。

「高*地图截图」

小程序端,以某出行平台为例,接码打出租车。司机接单后与司机沟通暂不用车,承诺五星好评,让司机协助确认。在五星好评的诱惑下,司机通常会协助操作,这个时候首单检测的逻辑就被绕过了,可直接打快车。此前,我们也专门写文章分享过出行行业打车洗号的现象。

七、出行行业攻击成本

对于黑产来说,能够获利才是最终的目的,投入与产出需达到某个平衡点才值得花时间和人力作案。针对出行行业的攻击成本,我们粗略统计了相关的资源成本价格,可供参考。

「攻击成本统计」

成本的叠加并不能真实体现黑产的投入成本,真实成本需要考虑实际的黑产使用场景。IP、号码、料子等资源为必备资源,设备资源为可复用资源,而考虑到不同平台的攻击手法不同,设备资源与工具资源组合使用的方法不同,相应攻击成本体现为一个价格区间,而非一个固定值。

八、出行行业黑产变化趋势

1. 从公开接码到线下对接

随着国内监管部门的严控及各家平台风控体系的逐渐成熟,能够用于公开接码的号码资源越来越少,逐渐转移到线下API对接或线下对接。走线下对接的号码的输出形式通常为脱敏形式,使用者需要根据COM号和在发卡平台购买的号码的末尾的3~5位数字自行匹配。对于业务方,该数据黑话较多,业务场景难以确定,此类数据很难作为业务防控的外部数据补充。

「对接项目截图」

2. 自动化工具与真人作弊相结合

前文提到,自动化工具应用场景多为拉新、助力等营销场景,自动化程度高,此外,黑产还会通过在众包平台发布注册、助力任务的形式作案,用以牟取暴利。对于甲方业务团队,真人作弊的数据很难与真实用户进行区分,众包平台为黑产提供的廉价温床让黑产尝尽了甜头。

「花*猪众包任务」

新型众包平台用于提供接口给开发者/羊毛党使用,这类方式和传统众包平台相比是2.0升级版本,攻击更快更便捷。黑产只需在此平台充值,选择项目或添加项目,根据API操作即可完成自动化部分,对比传统众包平台优势明显。

「新型众包平台」

其便捷性吸引了越来越多的黑产利用新型众包平台提供的API集成原有的自动化软件参与拉新、助力营销。除前段时间提及的*鸭外,此类平台的数量开始逐步上升,真人作弊产业链也逐渐趋于自动化,这也给了黑产团伙更多的选择空间,其获利所需时间正在逐渐变短。

「花*猪任务截图」

3. 黑产目标渠道逐渐转向小程序端

随着微信、支付宝小程序的崛起,平台投放渠道也从移动端转移到小程序端,便于C端用户进行传播。随之而来的业务问题也很明显,小程序端设备指纹封闭性较强,所采集的设备字段有限,相较于移动端更容易突破注册门槛,易形成自动化链路。从近期捕获的工具样本及情报数据来看,黑产针对出行平台的自动化攻击已逐渐转移到小程序端,批量注册、拉新、助力等半自动化、自动化软件全部依托于H5接口。从新型众包平台的崛起可侧面印证黑产攻击趋势。

4. 业务逻辑漏洞仍为黑产的攻击点

目前针对出行行业的攻击,主要为业务逻辑上存在的漏洞,如前文中所介绍的切换车型绕过等。每当甲方团队针对单点业务漏洞作出规则调整或策略优化,黑产仍会从各个方面作出尝试,以最终达到获利的目的。

九、出行行业防控建议

针对出行行业当前的业务现状及风控防控现状,我们提出以下三个防控建议:

1.外部情报布控

针对黑产日新月异的作案手法,单纯从内部业务数据分析是很难发现新型攻击方式的。对于黑产逐渐趋于成熟的资源体系,我们建议对线报平台、众包平台、接码平台、发卡平台等外部情报源进行长期监控,从黑产的数据源入手,提前掌握黑产动向,第一时间调整线上防控策略,及时止损。而设备维度,对于云手机、模拟器、改机工具等更新,应建立预警机制,及时跟进形成业务闭环,防患于未然。

2.内部数据分析

建立健全内部业务数据分析监控预警,从设备维度、业务数据维度、账号维度等多视角入手,根据不同业务场景及风险场景,针对性设计异常的数据监控指标,能够及时发现异常,优化现有策略及检测规则。对于存在高风险的低版本应用及小程序端,加强数据分析及指标建设投入,降低风险系数。

3.业务流程梳理

对于当前业务布局的渠道及平台,梳理其完整业务流程,排查全流程存在的业务漏洞及可疑风险。对于低版本应用及小程序端,着重梳理其业务流程,引导用户安装新版本。在认证环节增加实名及人脸识别等流程,提升黑产作案成本。绑卡环节及授权环节,对于可无限制作的国际信用卡支付渠道,加强个人实名力度。

十、附录:黑话&术语

线报平台:为羊毛党提供最新薅羊毛、赚钱活动的信息平台。

接码平台:用于接收手机验证码的平台。

发卡平台:提供虚拟软件、卡密、数据等资源的自动交易平台。

打码平台:用于自动化识别验证码的平台。

众包平台:用于链接上游发布任务及下游真人作弊的平台。

新型众包平台:提供接口给开发者/羊毛党使用的真人作弊平台,涉及到第三方账号的授权。

料子:公民个人相关信息,涉及姓名、身份证、银行卡、手机号等数据。

毛c:国际信用卡,可用于账号绑定及交易。

卡商:提供手机号资源的供应商。