威胁猎人 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
认证作者等级：2
级注册日期：日
漏洞盒子Rank
可以给我们打个分吗？威胁猎人彭巍：扒一扒黑产的前世今生
稿源：雷锋网
编者按：如果说业务安全在 2012 年之前还只是以阿里、腾讯及携程等为主的局部战场，近些年随着垂直电商、社交、移动游戏和 O2O 等领域的快速发展，业务安全及反欺诈受到了更多的关注。但现实情况是，大多数厂商并没有像阿里和腾讯一样与黑产相爱相杀一起成长，面对黑产的攻击会一时无措。作为防守方，除了对抗技术外，更要增强对黑产的认知，了解当前在一些业务核心问题上的对抗阶段和思路。最近，在看雪安全开发者峰会上，来自威胁猎人的彭巍，通过多个黑产案例证明多数甲方在业务安全及反欺诈上很被动的主要原因是缺乏对黑产的认知，并帮助甲方研发梳理业务安全对抗思路并对当前主要的一些风险场景具体说明。以下为彭巍演讲实录：本次分享的主题是业务安全的发展趋势以及对抗思路，我之前在金山毒霸负责系统和引擎开发，解决终端安全问题。今年年初加入了威胁猎人团队，这是一个专注业务安全相关黑灰产研究的团队，我的职务是产品总监加服务端研发负责人。&这是我分享的三个部分，第一，业务安全是什么。第二，业务安全昨天和今天。第三，针对对抗中的一些核心问题，提出对抗思路。业务安全是什么业务安全，顾名思义就是指企业业务上发生的安全问题。业务安全范围内比较被大家所了解的场景包括：账号安全、内容安全、运营活动安全三大部分。下面是它的详细分支，包括黄牛刷单、羊毛党等属于业务安全的范畴。业务安全解决的问题，大部分的情况就是去识别访问业务的是机器还是人，这个人是恶意用户还是正常用户。业务安全的昨天和今天业务安全的历史，首先按照移动互联网的爆发分为两个大的阶段，PC互联网又可以分为两个部分：第一个阶段， 2007 年之前，这个阶段可以总结为刚起步的黑产对抗腾讯阿里等企业。因为在这个阶段， 2007 年之前腾讯阿里等厂商因为各自业务逐渐开始涉及到庞大社交、游戏、线上交易等场景，于是黑产开始盯上这一块利益，厂商也开始逐步重视。这个阶段的特点其实是攻防节奏比较慢，防守方也是简单风控规则。第二个阶段， 年，这个阶段黑产开始形成成熟的产业链，分工明确，各点击穿，同时防护方也开始形成立体的风控手段，这个阶段业务安全开始作为企业安全的重要一环，被互联网所认知。目前为止攻守双方是你来我往。第三阶段，随着互联网快速普及，各个细分领域快速增长，黑产逐渐健壮，大厂商是小步快跑以及新互联网企业的崛起情况，这个时候攻守双方逐渐拉开了距离。在目前的阶段，两点明显的趋势：1.场景爆发带来的业务安全问题陡增。这是一张监控部分接码平台项目列表得出的分析报表，可以看到 年，薅羊毛产业链主要目标O2O、互联网金融、电商等都是极速增长，并且每天都有新的项目出现。▲通过撞库供给线路图，每一年都有新增的出现黑产的魔爪已经无处不在，这是快销行业常见的“再来一瓶”，也是我们通过接码平台发现快销行业的各种关键词，东鹏特饮、康师傅等。这个二维码不知道大家是否见过，现在快销行业为了提高再来一瓶的体验，直接会把二维码印在瓶身上，扫码之后就可以关注它的微信号或者公众号，然后抽奖领红包，但这些瓶盖最终会流向废品站，废品站再集中回收流入黑产，黑产把这些二维码数字化之后，通过海量的小号套取红包，这样导致厂商营销费用的损失，明明以前可以花 1000 万做 5000 万的事，现在得花 3000 万。
有好的文章希望站长之家帮助分享推广，猛戳这里
本网页浏览已超过3分钟，点击关闭或灰色背景，即可回到网页扫码下载APP
您是个人用户，您可以认领企业号
账号密码登录
一周内自动登录
我同意并遵守
免密码登录
获取验证码
我同意并遵守
第三方账号登录
Hello,新朋友
在发表评论的时候你至少需要一个响亮的昵称
&>&&>&盗账号密码, 还有诈骗, 「威胁猎人」怎么阻止黑产造成的千亿损失?
盗账号密码, 还有诈骗, 「威胁猎人」怎么阻止黑产造成的千亿损失?
时间：02-09 21:55
阅读：2952次
转载来源：威胁猎人 & & 作者：36氪韩旭
摘要：几乎每个公司都遭受过攻击，也为此付出过惨痛的代价
几乎每个公司都遭受过攻击，也为此付出过惨痛的代价在互联网行业，普遍存在着以计算机网络为工具、运用计算机和网络技术实施的以营利为目的的、有组织、有计划、分工明确的团伙式犯罪行为，简称“黑产”。黑产通常盗取游戏帐号密码、身份证号码、手机号、QQ号，微信号，淘宝帐号，邮箱，支付宝，家庭住址等进行非法贩卖。中国互联网协会发布《中国网民权益保护调查报告2016》估算的数据显示，近一年，我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失为人均133元，比去年增加9元，按照网民数6.88亿计算，总体经济损失约915亿元。很多大公司也没能幸免于难，腾讯数据泄露、网易邮箱泄密、宜人贷遭遇诈骗······随着业务层面逐渐扩大，大公司更加需要相关技术部门防止各种盗号等黑产行为。现在存在的问题是攻防双方严重信息不对称，黑产方有一条较强的产业链，而守方则没有达成合作共识。此外，很多安全产品还是以工程能力或者系统化产品为产品形态，但实际上，安全产品最终不可或缺的能力核心是攻防对抗周期，防守方要实时感受到黑产的变动，情报能力将变得非常重要。在CEO毕裕看来，情报能力分为三层：风险感知，量化风险、场景化解决方案。威胁猎人目前通过业务安全威胁情报服务切入目标市场，提供标准化的安全能力工具和解决方案 。提供了线上感知平台SaaS，首先持续对全网黑灰产研究和监控，形成的数据产品有黑产手机号画像、黑产IP画像，帮助用户分辨哪些是机器人、哪些是羊毛党，数据会不断更新和维护。产品优势就是不依赖甲方的数据，监控的都是纯黑数据，不用基于模型的先决先知。现在威胁猎人每天检测20亿数据。其次是场景化解决方案，威胁猎人会根据检测到的数据为用户提供场景化解决方案。比如某大型视频网站与某网络电影签约独家代理，双方基于效果分成，用户停留4分钟，电影方分4块钱，这个时候就可能出现制作方刷量的现象，这种行为对视频网站影响是比较大的，威胁猎人就可以帮助他们判断哪些while虚假流量、哪些是欺诈流量、被虚假账号刷了多少量等，视频网站可以做出相应措施，减少损失。威胁猎人现在有30多个客户，包括BAT、华为、陌陌、bilibili、迅雷、今日头条等。盈利上，情报工具、平台、场景化是不同产品，每个产品50万以上，目前已经盈利。在使用效果上，威胁猎人可以将入侵率从0.3%降低到0.015%，比如帮某云厂商注册拦截量提高到75%，降低了该厂商防护成本和压力。黑产目前最常见的形式是金钱诈骗、流量骗取等，2012年以前，整个形式主要在应用层的漏洞，攻击方利用漏洞对服务器攻击；2012年以后，守方在应用层防护相对完善，攻方开始从业务端盗取数据，全网泄露的账号数量超过50亿个，企业安全和业务安全面临挑战，很多公司长期遭受慢速账号泄露的风险。在毕裕看来，现在行业的问题不是创新和技术，而是守方的联动性。黑产有一条强有力的产业链条，他们资源共享、数据共享。而守方数据共享很差，一家公司识别了10万个虚假手机号，这10万个对他来说没有用了，但对其他公司却有很高的价值。威胁猎人2018年的重点就是希望构建平台能力，一方面通过情报能力赢得企业端信任，另一方面在信任的基础上，让甲方把非敏感数据贡献出来，建成一个共享数据平台。国外类似的公司有 Sift Science，Riskified、Signifyd、Forter，还有RSA 和 IBM 这样提供安全服务的大型企业。威胁猎人曾经获得猎豹移动天使轮融资。CEO毕裕是前腾讯业务安全情报团队负责人、前猎豹移动高级安全技术经理；联合创始人朱科锭有10年+安全行业经验，曾负责百度国际安全防护产品规划、前腾讯安全技术运营项目负责人 。
声明：本文由威胁猎人企业号发布，依据企业号用户协议，该企业号为文章的真实性和准确性负责。创头条作为品牌传播平台，只为传播效果负责，在文章不存在违反法律规定的情况下，不继续承担甄别文章内容和观点的义务。
关注企业号
威胁猎人专注于反欺诈基础情报建设,致力于同企业一起解决业务风控问题,防范羊毛党、恶意注册、撞库攻击、信息泄露等账号安全威胁。
TA的其他文章
2770次阅读
3098次阅读
3123次阅读
3087次阅读
3100次阅读
24小时热文
8532次阅读
5995次阅读
5139次阅读
5069次阅读
5001次阅读
4935次阅读
4799次阅读
4799次阅读
53您已经赞过了
阅读下一篇
农村4G信号差 工信部回应：还有3万多个未覆盖盗账号密码，还有诈骗，「威胁猎人」怎么阻止黑产造成的千亿损失？_36氪
市场合作，请您联系： media_
品牌广告合作，请您联系： media_
企业创新合作，请您联系： corp_
地方合作，请您联系：
满足以下场景，获得更高通过率： 1. 新融资求报道 2. 新公司求报道 3. 新产品求报道 4. 创投新闻爆料
36氪APP 让一部分人先看到未来
为你推送和解读最前沿、最有料的科技创投资讯
一级市场金融信息和系统服务提供商
聚集全球最优秀的创业者，项目融资率接近97%，领跑行业威胁猎人彭巍：扒一扒黑产的前世今生_凤凰科技
威胁猎人彭巍：扒一扒黑产的前世今生
用微信扫描二维码分享至好友和朋友圈
原标题：威胁猎人彭巍：扒一扒黑产的前世今生 雷锋网编者按：如果说业务安全在 2012 年之前还只是以
原标题：威胁猎人彭巍：扒一扒黑产的前世今生
雷锋网编者按：如果说业务安全在 2012 年之前还只是以阿里、腾讯及携程等为主的局部战场，近些年随着垂直电商、社交、移动游戏和 O2O 等领域的快速发展，业务安全及反欺诈受到了更多的关注。
但现实情况是，大多数厂商并没有像阿里和腾讯一样与黑产相爱相杀一起成长，面对黑产的攻击会一时无措。作为防守方，除了对抗技术外，更要增强对黑产的认知，了解当前在一些业务核心问题上的对抗阶段和思路。
最近，在看雪安全开发者峰会上，来自威胁猎人的彭巍，通过多个黑产案例证明多数甲方在业务安全及反欺诈上很被动的主要原因是缺乏对黑产的认知，并帮助甲方研发梳理业务安全对抗思路并对当前主要的一些风险场景具体说明。以下为彭巍演讲实录，雷锋网宅客频道（微信公众号：letshome）整理。
本次分享的主题是业务安全的发展趋势以及对抗思路，我之前在金山毒霸负责系统和引擎开发，解决终端安全问题。今年年初加入了威胁猎人团队，这是一个专注业务安全相关黑灰产研究的团队，我的职务是产品总监加服务端研发负责人。
这是我分享的三个部分，第一，业务安全是什么。第二，业务安全昨天和今天。第三，针对对抗中的一些核心问题，提出对抗思路。
业务安全是什么
业务安全，顾名思义就是指企业业务上发生的安全问题。
业务安全范围内比较被大家所了解的场景包括：账号安全、内容安全、运营活动安全三大部分。
下面是它的详细分支，包括黄牛刷单、羊毛党等属于业务安全的范畴。
业务安全解决的问题，大部分的情况就是去识别访问业务的是机器还是人，这个人是恶意用户还是正常用户。
业务安全的昨天和今天
业务安全的历史，首先按照移动互联网的爆发分为两个大的阶段，PC互联网又可以分为两个部分：
第一个阶段，2007年之前，这个阶段可以总结为刚起步的黑产对抗腾讯阿里等企业。
因为在这个阶段，2007年之前腾讯阿里等厂商因为各自业务逐渐开始涉及到庞大社交、游戏、线上交易等场景，于是黑产开始盯上这一块利益，厂商也开始逐步重视。这个阶段的特点其实是攻防节奏比较慢，防守方也是简单风控规则。
第二个阶段，年，这个阶段黑产开始形成成熟的产业链，分工明确，各点击穿，同时防护方也开始形成立体的风控手段，这个阶段业务安全开始作为企业安全的重要一环，被互联网所认知。目前为止攻守双方是你来我往。
第三阶段，随着互联网快速普及，各个细分领域快速增长，黑产逐渐健壮，大厂商是小步快跑以及新互联网企业的崛起情况，这个时候攻守双方逐渐拉开了距离。
在目前的阶段，两点明显的趋势：
1.场景爆发带来的业务安全问题陡增。
这是一张监控部分接码平台项目列表得出的分析报表，可以看到年，薅羊毛产业链主要目标O2O、互联网金融、电商等都是极速增长，并且每天都有新的项目出现。
▲通过撞库供给线路图，每一年都有新增的出现
黑产的魔爪已经无处不在，这是快销行业常见的“再来一瓶”，也是我们通过接码平台发现快销行业的各种关键词，东鹏特饮、康师傅等。
这个二维码不知道大家是否见过，现在快销行业为了提高再来一瓶的体验，直接会把二维码印在瓶身上，扫码之后就可以关注它的微信号或者公众号，然后抽奖领红包，但这些瓶盖最终会流向废品站，废品站再集中回收流入黑产，黑产把这些二维码数字化之后，通过海量的小号套取红包，这样导致厂商营销费用的损失，明明以前可以花1000万做5000万的事，现在得花3000万。
2.黑产技术飞跃式的发展。
黑产技术发展超乎想象，人多，耗的钱也多，举两个例子。
①获取IP资源的技术。
IP作为互联网的紧缺资源，一直是厂商最重要的风控方案之一，如何获得 IP 资源也是黑灰产最先要解决的问题。
黑产获得 IP 资源的方式也度过了几个阶段。最先开始通过匿名代理，然后挂机平台批量获取个人 ADSL 拨号 IP ，再到现在虚拟化 ADSL 实现海量 IP 资源获取。（秒拨）。
最后一个阶段我们所说“秒拨”，目前黑产获取 IP 资源的成本已经大大降低。这是一个秒拨的截图，看起来像 ADSI 家用的一样，实际不是，这里会有一个启用换 IP，还有某宝上搜索关键词，大量类似服务都可以买到。
②接码平台技术
手机黑卡的流转以前一直是影响黑产效率的问题，设备的流转和卡的流转不方便，耗费成本。现在卡商和羊毛党通过接码平台实现了手机黑卡无缝流转，提高了黑产的生产效率，同时也对防守方产生很大的压力。
上面是是接码平台的截图，是接受验证码平台。
这是网上看到的图。
这就是业务安全最核心的问题，就是有一群人比你聪明，他们比你有更多的资源。那你怎么办？
言归正传。业务安全防守方目前核心问题是攻守双方信息严重不对称的问题，体现在三个方面。
1.从攻击方来说，攻击场景爆发带来攻击平面快速增长。
2.这导致防守方的安全管理难度增大，守方对黑产认知盲区增加，有一些触网的大企业根本不知道这个面临业务安全问题是什么。
3.传统安全管理失控，传统的安全团队都是期望与内部业务部门制定标准，但是随着业务的不断发展，安全团队其实是无法感知业务安全上接口风险，因为你甚至都不知道某一个业务新增的接口，这今天总结起来防守方都不知道自己被攻击了，都是事后被发现的。
这是认知盲区的例子，是前段时间从某拼车APP血泪教育中的图，虽然不是导致他们倒在资本寒冬中的原因，但是证明大部分厂商对于业务安全是完全未知的，这是一个拼车APP，每天补贴掉100万，后来证明30%是被刷单者拿走了。
情报是各大安全领域的重要手段。
业务安全的情报主要是搜集什么样的情报，两个类别来说明：
1，开源情报：是指监控QQ、论坛、QQ群、论坛、解码平台以及暗网获得的开源情报。
这部分的情报经分析可以直接还原出针对某一个企业的作案手段，直接起到告警或者预防的作用。上图是我们监控论坛的截图，这是接码平台的截图，刚刚提到东鹏特饮的例子，就是通过关键词东鹏特饮而还原出整个作案手段的。
2，闭源情报：监控黑产攻击流量，可以更直接的监控到黑产攻击的详细信息。
闭源情报可以提供到接口的详情，甚至攻击的来源以及路径。这是视频软件刷流量的作案软件，我们可以通过OD分析出来，直接提取出来这个下发任务的包，可以提取出来这个链接，可以直接写代码把这些情报提取出来。
这是监控暗网攻击流量的展示图，可以看到目前暗网攻击的TOP10，接口攻击详情、IP、地域等信息。
有了情报之后最明显的价值就是，从之前业务安全防守时只能是事后发现，而导致了一直处于一个完全被动处处救火的情况，变成完全可以提前采取预防措施。
另外，打造一个情报风控识别方案，像撞库识别方案，传统的撞库识别方案只是频次控制，维度再多也很难区分出异常频次波动和正常业务带来的频次波动。
有一些安全情报抓出来的攻击流量，可以把异常频次类的数据，和闭源情报提取出来的攻击流量进行特征对比，可以极大降低误报率。
以上内容来自看雪安全开发者峰会，雷锋网整理。
用微信扫描二维码分享至好友和朋友圈
凤凰科技官方微信
播放数：65382
播放数：32187
播放数：157041
播放数：5808920}