术→技巧, 运营

互联网黑灰产产业链初探

钱魏Way · · 3 次浏览

黑灰产的英文翻译是Black Market,被定义为通过人工方式或者技术手段实施的操纵网络信息内容,获取违法利益、破坏网络生态秩序的行为。对很多人来说,黑灰产的代名词就是“薅羊毛”。实际上,除了薅羊毛,每个行业都存在一些典型的黑灰产欺诈场景。

黑灰产的最大特点但就是逐利。只要是能产生利益的地方几乎逃不开黑灰产的觊觎。即使表面看上去获利很低,但黑灰产依然会想办法通过批量操作来规模获利。

 

黑灰产的典型形态

搬运洗稿

指使用技术或手动编辑,通过对他人文章进行同义词替换、语态语序转化、段落调整、删减、拼凑等方式进行二次表达而形成新的文章内容,本质是对他人原创作品的一种非正当性使用。搬运洗稿信息广泛存在于微信公众号推文、自媒体各类账号发文、视频剪辑拼接中。

搬运洗稿的产业链上游是技术员开发售卖洗稿工具,中游是专业洗稿团队批量接单,下游是自媒体账号为引流购买洗稿服务。

搬运洗稿的盈利模式丰富,不同参与主体有不同的盈利模式:

  • 洗稿团队靠批量洗稿和售卖洗稿教程获利;
  • 自媒体通过洗稿“爆款”文章赚取平台补贴和承接广告;
  • 洗稿平台通过发 “爆款”热文引流赚取流量收益。

搬运洗稿大多是“人工+机器”的双轨洗稿模式且多为招募网络写手组建专业洗稿团队批量接单。

恶意营销

指营销公司或个人为了取得商业利益,选择在特定时机利用煽动性话语刺激公众情绪、博取舆论关注,从而获取利益。如2020年华南海鲜市场供货商忏悔书事件,以抢流量、炒作为业的团伙将2016年旧帖拼接篡改后,再换上和疫情有关的标题“蹭热点”,通过“曝光巨大内幕” 等字样博取眼球,使帖文迅速获得超10万阅读量。

恶意营销的产业链是一条诱导变现的完整黑产链,上游是营销号注册,中游是内容生产引流,下游是自媒体诱导变现。

恶意营销的盈利模式有三种:

  • 通过“水涨船高”盈利,“涨粉”到一定程度实现流量变现;
  • 通过 “移花接木”盈利,通过插入跳转链接获得相应受益,吸引粉丝点开后实现恶意变现;
  • 通过“无中生有”盈利,通过编造谣言等不实信息进行所谓“撤稿费”的敲诈。

恶意营销的运营特点包括:

  • 蹭热点,夸大扭曲事实,借社会热点事件蹭流量是营销号最常见做法;
  • 燃情绪,渲染负面情绪,如“金钱、性、暴力、歧视”等主题的信息内容;
  • 搅浑水,正反搅动舆情,同一营销公司的水军持两种对立观点,“左右手互搏”,利用公众朴素情感,搅混舆论。

撰写黑稿

指部分企业出于打压竞争对手、巩固自身利益等目的,借自媒体之手发出黑稿抹黑对手,并安排“推手”或 “水军”进行二次传播。为了最大化发挥黑稿效力,黑稿通常选择在竞争对手的重要经营节点对外发布。

撰写黑稿的产业链表现为从注册自媒体账号,到生产内容引流,再到引流变现盈利,形成完整的黑稿产业链,其中包含授意企业、黑稿写手、黑稿发布者等参与者。

撰写黑稿的盈利模式:

  • 职业收取“封口费”,诋毁企业后上门“谈合作”,索要“封口费”“保护费”;
  • 拿钱帮抹黑竞争对手,利用竞争对手的负面信息撰写文章,在平台发布传播,混淆视听,获得高额收益。

撰写黑稿的运营特点:

  • 角度选取贴近社会热点,如人身健康、财产安全、隐私泄露、房价走向等;
  • 内容设定夸张不实,多是拼凑信息或者对其中一点进行放大,再添加有倾向性观点,配上博人眼球的标题;
  • 传播灵活形成矩阵,通常会由影响力较大的公众号发布负面新闻,其余“小号”跟进和炒作,并在微信、微博、今日头条等多个平台同步发布,同时雇“水军”评论和转载,尽可能实现攻击效果最大化;
  • 人员结构复杂多元,不仅有专门的自媒体,还有记者、公关公司、第三方评价机构等群体,这些人不仅对企业消息有更深层次的了解,还更为熟悉写作、 传播等规律,进一步增加了所谓自媒体的“效力”。

黑账号

指各平台出现账号倒卖的现象,形成一条成熟的产号、养号、卖号的产业。黑账号的产业链表现为上游产号、恶意注册账号,中游养号、恶意运营管理账号,下游出号,获得违法违规利润的特点。

黑账号的盈利模式包括:

  • 实施诈骗;
  • 向平台“薅羊毛”;
  • 开展广告营销等。

黑账号的运营特点包括:

  • “手机黑卡卡商”通过特殊渠道获得手机黑卡;
  • “黑产交易平台”为“手机黑卡卡商”和“虚假账号号商”提供交易中介服务;
  • “虚假账号号商”实现虚假账号注册并提供给下游网络犯罪。

刷粉刷量

指提高粉丝数量、互动数量,依靠流量产生利润, 形成刷流量产业。刷粉刷量的产业链上游是工具开发者和账号商,主要通过技术手段在各大网络平台注册账号,生产假粉丝;中游是流量业务代理商,为广撒网寻求客户,账号商通常会招募数量众多的代理商售卖粉丝;下游是需求用户。

刷粉刷量的盈利模式:

  • 注册账号引流变现,
  • 售卖软件,
  • 面对课程教学等获利。

刷粉刷量的运营特点:

  • 利用刷粉软件进行自动刷粉操作,
  • 招募真人粉丝模拟人工自主访问,
  • 自媒体刷粉刷量赚取流量。

除以上形态外,还涉及诱导粉丝消费、音视频软色情贩卖、刷帖控评、算法滥用、集群炒作、人海投诉等,还有问题组合出现的情况。网络信息内容黑灰产治理具有复杂性、系统性特点,从其产业链可见,在网络信息内容生态体系中,内容生产端始终是问题源头和重要环节。应对网络信息内容黑灰产挑战,需明晰各方责任,斩断非法利益链,实现协同共治。

黑灰产的发展趋势

与以前相比,黑灰产的攻击方式或手段有了很大变化,主要体现在以下三方面:

  • 从早期单一的兼职刷单,到如今的多行业、多场景、多任务的广泛渗透;
  • 从早期的只在 PC 端进行单一手法的兼职,到如今以移动端为主;
  • 从早期的线上群组媒介(QQ 群、YY 语音等),到如今的平台化和裂变化。

从成本和收益来看,黑灰产的攻击成本主要来源于其发起攻击时所需要的各种资源,主要有:

  • 账号资源:在目标业务上注册的虚假账号
  • IP资源:为绕过目标的 IP 风控,购买代理或秒拨 IP
  • 设备:在设备上安装目标应用
  • 自动化工具:批量操控多台设备的群控工具,修改设备信息,从而伪造新设备的改机工具等

黑灰产的收益则是业务营销费用的损失。有一些收益比较直接,比如现金红包,可以直接提现;还有一些收益需要变现,例如优惠券。不过,黑灰产有发卡平台、回收平台等成熟的变现渠道,所以变现也不成问题。

近年来,以云计算、大数据和人工智能等代表的新技术的出现或应用,在某种程度上也加速了黑灰产的发展。云计算的发展让个人搭建和维护一个网络平台的成本大大降低,其中包括黑灰产产业链中的一些平台,像提供虚假注册手机号的接码平台、提供海量IP地址的代理和秒拨平台、提供图像和滑动等验证码绕过服务的打码平台、提供交易和变现渠道的发卡平台等,很多搭建在国内或海外的云服务器上。这些平台的大量出现,打通了黑灰产的上下游供给,不仅降低了攻击成本,而且还提供了 API 接口等方式便于自动化,进一步提升了攻击效率,让黑灰产可以更容易地实施大规模的批量攻击,收益也更大。

从更大的角度黑灰产的发展趋势:

  • 以量取胜。目前,市面上大部分黑灰产都采取以量取胜,比如养号、刷量、薅羊毛等。使用这种策略的黑灰产从业者,它们充分利用“长尾效应”,本着“苍蝇腿上也是肉”的原则,把蛋糕做大。
  • 黑产资源平台化。过去几年,这个趋势已经很明显。在黑灰产领域,有很多需求庞大的基础资源,比如手机号、IP、设备、身份证、银行卡、支付渠道和自动化攻击工具等。各个类型的资源都发展出了专业的供应商,可以按需取用,极大降低了黑灰产从业者的从业门槛。
  • 技术对抗迭代转向资源效率迭代。黑灰产的一个典型变化是,从早期的技术对抗迭代模式,逐渐转向资源效率的迭代。在技术对抗迭代的时代,黑灰产从业者往往通过技术栈来保证自己的优势。当资源平台化后,黑灰产入行门槛大大降低。生产效率更多是通过资源利用率来提升,例如早期群控系统需要摆满房间的真实手机,后来被手机硬件厂商整合成箱控,一块主板能切割出几十台手机,再后来直接做成云手机的模式,连实体都不需要。

黑灰产的攻击方式

攻击服务可以划分为“过身份”、“多身份”、“批量化”三大模块,其中每个模块涉及到多种攻击技术。

  • 过身份:利用伪造身份、人脸等方式绕过平台认证,可以注册虚假账号并正常参与平台业务和活动;
  • 多身份:利用多开、改机、改定位等技术伪造多个“正常”设备,从而绕过平台对于单身份的限制;
  • 自动化:利用自动化脚本或群控工具,批量完成注册、登录、点击等业务操作。

机器作弊

通过自动化的机器程序来伪造真实的用户行为,它又分为协议攻击和脚本攻击两种。

  • 协议攻击指的是通过破解业务前端和服务器的通信协议,直接伪造并发起注册登录等业务请求;
  • 脚本攻击指的是通过编写按键精灵、autojs 等脚本,操控前端应用或网页的界面元素,比如输入框自动填入账号密码、自动点击登录按钮。

值得注意的是,前者不需要有设备安装业务应用,攻击成本更低,更容易规模化,危害也更大。

真人作弊

与机器作弊不同,真人作弊背后是一个个真实的人,黑灰产往往通过发布赏金任务,吸引真人协助其完成作恶。

不过,随着近年来甲方业务风控的不断加强,机器作弊很多时候会被识别出来,而真人作弊识别难度非常大,因此真人作弊越来越多,模式和形态越发多元和丰富。

黑灰产的产业链条

黑灰产之所以能有现在的发展,关键是其形成了一个分工明确、协助紧密的成熟产业链。据了解,整个黑灰产的产业链大致可以分为上游、中游和下游三个环节,其中,上游提供资源和技术,下游进行作恶和变现,而中游则连接上游和下游。

整个产业链中,比较关键的部分包括上游是否能持续稳定的提供可靠的资源和技术,下游是否能有稳定的变现途径或渠道,中游是否能高效的连接上游和下游,保持稳定的供需关系。如果这几点不出问题,整个产业链的运作就会很顺畅。

上游环节

黑卡运营商

手机黑卡是指没有在运营商进行实名认证,被不法分子利用进行薅羊毛攻击、实施通讯信息诈骗等违法犯罪活动的移动电话卡。

黑卡运营商通常与三大运营商代理勾结,他们在获得大量手机卡后通过加价转卖给下游手机卡商赚取利润。其黑卡主要来源有:实名卡、物联网卡、海外卡以及虚拟卡。

  • 实名卡:实名卡主要是通过拖库撞库、木马、钓鱼等方式从网上收集大量身份证信息,并通过黑卡运营商批量验证得到的。
  • 物联网卡:物联网卡是由三大运营商业提供的 4G/3G/2G 卡,硬件和外观与普通 SIM 卡相似,但采用专用号段,并加载针对智能硬件和物联网设备的专业化功能,满足智能硬件和物联网行业对设备联网的管理需求以及集团公司连锁企业的移动信息化应用需求。主要有基础通信、财务信息查询、终端状态查询、业务统计分析四大功能。物联网卡无需进行实名验证,由企业申请办理,一般仅需提供营业执照,实际操作中,营业执照通过财务公司操作,大概需要花费 1000 元左右即可成功注册,部分运营商对营业执照审核不够严谨,甚至会为灰产定制专用的物联网卡套餐。这种物联网卡多为免月租或者 1 元月租,根据能否接听电话,分为短信卡(也称“注册卡”)和语音卡。
  • 海外卡:在国家实行实名制后,黑卡运营商直接从海外购入手机卡,这些卡无需实名认证,花费很少,非常切合黑产利益。
  • 虚拟卡:由虚拟运营商提供的电话卡。虚拟运营商是指拥有技术、设备供应、市场营销等能力,与传统三大运营商在某项或者某几项业务上形成合作关系的合作伙伴。虚拟运营商就像是代理商,他们从移动、联通、电信三大基础运营商那里承包一部分通讯网络的使用权,然后通过自己的计费系统、客服号、营销和管理体系把通信服务卖给消费者。

猫池厂商

猫池厂商负责生产猫池设备,并将设备卖给卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备,在正常行业有广泛的应用,如邮局、银行、证劵商、各类交易所、各类信息呼叫中心等,猫池设备可以实现对多张卡的管理。

手机卡商

手机卡商从黑卡运营商那里大量购买手机黑卡,将手机黑卡插入猫池设备并接入收码平台,然后通过收码平台接收各种验证码业务,根据业务类型的不同,每条验证码可以获得 0.1元-0.3元不等的收入。

接码平台

负责连接卡商和有手机验证码需求的群体,提供软件支持、业务结算等平台服务,通过业务分成获利,一般为30%左右。

打码平台

很多网站都会通过图片验证码来识别机器行为,对非正常请求进行拦截。因此打码平台已成为大多数黑产软件必备的模块之一,为黑产软件提供接口,突破网站为辨别机器还是人类行为而设置的图片验证码。

文字、图像、声音等验证码的技术难度较高,打码平台通常难以完全依赖技术手段实现自动操作。国内的打码平台,以往主要依靠低廉的劳动力。他们对无法技术解决的验证码使用人工打码进行破解。这种方式广泛传播到了大量第三世界国家,导致全球有近百万人以此为生。打码工人 平均每码收入1-2分钱,熟练工每分钟可以打码20个左右,每小时收入10-15 元。

随着技术的发展,打码平台也与时俱进,逐渐产生了使用人工智能打码的平台,引入大量验证码数据对识别系统进行训练,将机器识别验证 码的能力提高了2000倍,价格降低到了每千次15-20元,为撞库等需要验证的业务提供了极大的便利。

IP代理

IP作为互联网空间中最基础的身份标识,一直以来都是争夺对抗最激烈的攻防点。这是一个高度成熟产业,国内代理、国外代理、国内秒拨软件等。

因为目前机房的服务器IP基本已经被标识,所以这部分代理IP基本无法使用,所以需要有大量的家庭住宅IP。国外可以走代理,有专门的服务商在提供动态住宅IP,比如luminati代理、911代理以及oxylabs代理,单价很高。国内基本都是秒拨软件实现的,秒拨的底层思路就是利用国内家用宽带拨号上网(PPPoE)的原理,每一次断线重连就会获取一个新的IP,秒拨两个天然的优势:

  • IP池巨大:假设某秒波机上的宽带资源属于XX地区电信运营商,那么该秒拨机可拨到整个XX地区电信IP池中的IP,