根據阿里雲歷史行業風險治理相關數據顯示,未經風險管控的自然流量中,約三分之一比例屬於疑似黑灰產的高風險行爲;而在建立合理的風控指標監控體系並採取風險防控手段後,高風險用戶比例下降至3%以內,下降比率超過90%。
有效的風險防控方案是保障各類營銷、促活拉新等活動效果的必要手段。
隨着春節臨近,部分互聯網行業迎來業務高峯,企業爲了爭奪用戶流量將投入大量獲客、營銷資源,但同時也將面臨風控大考。
由於各行業、企業的業務場景及邏輯多種多樣,黑灰產需要藉助工具才能實現團伙作案。阿里雲安全團隊梳理了近年來主流的被黑灰產使用的作案工具,並分析其作案原理及攻擊手法,爲企業提升防控精準度和防控效率提供參考。
雲 手 機
雲手機即一臺運行在雲端服務器的虛擬手機,具備雲計算賦予的超大規模、彈性擴容、成本低等優勢,經常被用於移動辦公、AIoT、工業互聯網等場景。然而,這些創新的技術工具也被黑灰產瞄上,用在了攻擊套利方面。
傳統風險治理主要通過設備指紋等技術手段進行風控管理,因此黑灰產需要購買多臺真機才能完成作案。但藉助雲手機,黑灰產只需要一個雲手機廠商賬號就可以同時開啓大量新機批量套利,作案成本大大降低。
此外,黑灰產可以將雲手機虛擬成各類實體手機的品牌型號作案,企業風控人員如果對雲手機沒有足夠的認知,很難將作弊類的雲手機設備與正常雲手機用戶區分開,風險識別挑戰增加。
常見套利場景
- 薅羊毛:黑灰產利用雲手機實現低成本設備羣控,再使用腳本工具進行批量註冊、養號,惡意攻擊或者尋找企業營銷活動漏洞,囤積平臺權益,進行倒賣套利。
- 遊戲打金:黑灰產註冊大量遊戲賬號,藉助雲手機安裝作弊應用來養號,以獲得高價值遊戲裝備,然後通過特定交易渠道賣出,實現套利。
攻防原理
黑灰產可以通過雲手機實現設備羣控,從而完成大量虛假賬號的註冊、登錄及活躍養號,然後根據不同行業業務特性實現套利,具有批量、自動化操作等風險特徵。
針對這一情況,企業可以基於業務場景、風險畫像標籤搭建合理的業務指標監控體系,從而及時感知風險異動。比如:針對監控指標進行時序分析、操作行爲聚類分析、團伙發現分析等,有效發現黑灰產風險行爲。
改 機 工 具
改機,即把設備固有的硬件信息、軟件信息、傳感器信息,如:IMEI、IMSI、系統版本、內核版本、GPS、陀螺儀等,修改成用戶自定義的信息,以此來騙過大多數APP的信息採集功能。
黑灰產團伙利用改機工具能夠產生新的設備指紋,以此來繞過單設備無法註冊多賬號的限制,實現批量賬號的註冊、登錄、養號,爲後續攻擊套利提供物料。
常見套利場景
- 薅羊毛:比如黑灰產可以利用改機工具修改設備信息,僞裝成爲“新用戶”,用來躲避平臺對有過“案底”的黑設備檢測,或是刷取一些對領取賬號資質有要求的高價值權益,進行套利。
- 營銷推廣作弊:黑灰產通過改機工具不斷刷新設備指紋,繞過平臺風控規則,批量註冊小號,並進行廣告點擊、刷單、刷贊等作弊操作,消耗商家營銷推廣資源。
攻防原理
互聯網營銷活動中,大多數企業會通過限制設備參與活動次數來防止黑灰產批量薅羊毛;在遭遇攻擊後,則通過建立設備“黑名單”來防止風險行爲再次發生。而黑灰產通過改機工具,可以繞過上述限制,進行套利。
- 改機工具無法做到和官方手機完全一致,因此通過建立主流機型設備參數庫進行設備參數比對,便能發現黑灰產作案的蛛絲馬跡;
- 市面上的改機工具一般是基於特定框架實現的,如:Xposed;因此通過檢測Xposed、注入模塊、系統文件等方法,能及時發現設備是否存在改機行爲;
- 通過對設備參數進行合法性校驗也可以在一定程度上發現改機行爲。
改機工具界面
應 用 多 開
由於系統限制,同一軟件在一個手機上只能安裝一個。“應用多開”就是突破這類系統限制,實現在一部手機上同一應用安裝多個,從而實現多賬號自由切換
黑灰產不僅可以利用“應用多開”養號,更嚴重的是多開工具能截獲目標APP的網絡流量,從而實現監聽網絡包、截取登陸賬號密碼、窺探IM軟件聊天記錄,導致正常用戶信息被第三方多開應用濫用於黑灰產活動。
利用多開工具實現同一手機安裝多個相同應用
常見套利場景
- “殺豬盤”社交應用多賬號操作:“殺豬盤”指詐騙分子利用網絡交友,誘導受害人投資賭博的一種電信詐騙方式。黑灰產團伙使用多開軟件等工具可以做到廣撒網,實現1對N的消息發送,提高作案效率。
- 虛假推廣刷量:黑灰產藉助多開工具刷量,消耗用於拉新或促活活動中的投放資源,影響活動轉化效果,給企業帶來資損。
- 惡意引流:黑灰產通過批量應用分身,實現批量登錄、操控賬戶,大量發送“牛皮蘚”消息進行惡意引流。
攻防原理
目前市面上被黑灰產利用的多開軟件多種多樣,其中手機版虛擬機是行業中較新的一種作弊方案。
手機版虛擬機多開方案借鑑了qemu的實現原理,使用原生系統的Linux內核,在自己的APP內部搭建了一個新系統的rootfs。此類工具是近期最新出現的移動端虛擬機,可在Android手機上模擬出來另外一個獨立的Android系統,並且自帶各種作弊插件。
惡意多開應用常見於同設備操作,因此通過終端風險檢測及服務端基於設備、操作環境、團伙聚類等方式可及時發現惡意多開行爲。
虛 擬 定 位
虛擬定位即在獲取到高權限的手機上從底層修改系統GPS採集的位置信息,欺騙手機APP獲取惡意僞裝的假GPS數據。
常見攻擊場景
1.網約車刷單:針對網約車業務場景,利用虛擬定位工具模擬行駛,實現刷單,套取平臺墊付金及獎勵。
2.社交App虛擬定位詐騙:修改定位後以虛擬地址在社交應用上進行色情類詐騙。
3.商家信息爬取:修改定位後自動爬取附近商家的商品、價格等信息,售賣得利,常見於惡意市場競爭。
攻防原理
- 攔截API,接口獲取設備位置信息
- 使用規則文件替換位置數據
- 繞開系統對作弊插件的檢測,達到插件隱身的目的。
掌握了虛擬定位工具的實現原理,可以結合業務場景進行更有針對性地風險檢測及防護。
阿里雲安全專家支招業務風險防控
1. 完善業務設計,提高作案門檻
針對有可能存在資損的活動與業務流程:
- 適當提升用戶參與門檻,如限定同設備、手機號參與活動的最高次數,以防止黑灰產“薅羊毛”;
- 增加覈銷規則,如:對現金券類的高價值權益的兌現使用進行賬戶資質、行爲達標等多條件強校驗。
2. 主動監測風險異動,分層治理
通過主動監測活動營銷資源覈銷比例及速率,結合賬戶行爲、設備風險情況,主動進行實時與近實時的異動監控。對於捕捉到的異常事件進行量化評估,根據對業務的影響程度做不同處理,對具有潛在資損的活動權益進行合理的分層挽回與止損。
3. 與專業風控團隊合作
目前市面上的黑灰產作案工具、作案手法層出不窮。企業自建風控團隊通常耗時會超過半年,而大多數業務風險問題從產生到爆發的時間都很短,幾小時就足以造成鉅額損失。因此與專業的風控團隊建立合作可以有效彌補企業自身的能力短板,同時節約自研成本。
值得一提的是,業務風控是高度依賴實戰經驗的領域。阿里雲業務風控團隊在阿里巴巴集團自身十餘年的風險管控過程中積累了豐富的最佳實踐,結合大數據、流式計算、機器學習算法等創新技術,可以爲企業提全鏈路跨風險場景的“端+雲”的聯防風控方案。
本文爲阿里雲原創內容,未經允許不得轉載。