基础篇
黑产是谁?
当我和别人说起来黑产的时候,大部分人都会想到电影里面的黑客,轻轻松松就可以黑近别人的电脑。虽然电影里的有点夸张,不过黑产中确实有很多在技术上有长处的人负责解决“技术问题”。
除了普通人脑海中的“黑客”,还有很多人负责体力活。下图就是很有名的App Store刷榜照片。在综艺活动投票、App评分这两个领域,有很多这样的人参与。
刷榜
黑产从业者里有很多“兼职”,有学生也有无稳定工作的人,有时候你会发现这帮人很有分享精神,兼职论坛论坛也是红红火火。有一次我们被刷,监控到的时间和论坛的发帖时间只隔了3分钟,可见这种论坛的传播效率。
兼职论坛
过年的时候我坐在亲戚家,一个亲戚知道我在互联网公司工作,便问我知不知道刷帖,QQ群说有人拉他干,问我是不是骗人的,是不是要管他要押金,是不是传销。我的这位亲戚是一个老实本分的人,只不过家里因为治病生活很拮据,又赶上工厂效益不好,想找个挣钱的事情。
很巧我读到过这样一篇新闻,以下是节选
要想成为一名刷手,必须经过两个小时的业务培训——
考试合格后,必须通过管理员身份认证,才能成为正式刷手。记者看到,在这个刷单群里共有十一个小组,人数超过了1万人。每天都会有大量刷单需求滚动出现在公告栏,提示刷手到相应的小组抢单。
每个小组都有几名主持,主持的主要工作就是放单和指导刷手如何做单。
记者看到,一个为汽车用品在淘宝上刷销量的单子,短短几分钟就被刷手抢完。每名刷手根据自己淘宝账号的信用等级能挣到4元到6.5元不等的酬劳。一位从事刷单业务的主持小刘道出了其中的秘密。
小刘告诉记者,刷单群一般分三个等级,团长、主持和普通刷手,团长负责对外接单,然后分发给主持,主持再放单给普通刷手。
记者:“刷手的人数能达到多少?”
负责人:“每个平台流动的都有几十万,也形成了一个相当于正规的行业了差不多,对他们来说。
记者:“一年大概能有多少收入?”
负责人:“就反正是那个六位数。”
记者注意到,一个网站或APP一个人只能实名注册一次,因此,刷单群为了完成客户要求的注册量,就需要不停的招募新的刷手。
小刘告诉记者,为了吸引更多的人成为刷手,刷单群都会制定各自的拉人奖励机制。在群公告里记者看到,拉一个人缴费进群,就可以得到38元的奖励,两个人奖励80元,三个人120元。不仅如此,群里还设计了专门的赚钱宝典,指导成员如何通过社交平台吸引亲朋好友甚至陌生人前来加入
实际上参与黑产的人并不都是大奸大恶,有很多是普通人,因为没有稳定的经济来源只好做些临时工作。
很多时候他们不知道这个是违法的,因为他们不知道整件事是怎么运转的,对于他们而言只是动了动鼠标、输了几个数字,这怎么能算违法。
利益
如果你还未经历很多安全事件,对黑产这个群体的感知还很模糊,没关系,先记住“利益”这个线索,这一点是我们分析一个事件的起点。
黑产不停地在你的业务中发现漏洞,发现低成本获得利益的机会,而我们将从利益出发,寻找踪迹,并通过修复漏洞或压薄他们的利益来对抗他们。
一个直观的案例:盗号
盗号是一种常见的安全事件,黑产可以从盗号中直接获取利益吗?
可以,2005年左右的时候还真的有很多盗取QQ号然后转手卖出去的,主要是通过病毒盗取用户密码,选一些太阳多的高等级号转手卖出去。这就是获益的手段。计算机病毒就是踪迹。后来腾讯在QQ里整合了病毒查杀模块,登录前需要扫描一遍,登录后还会提示用户上一次登录的地点。这种盗号情况才有所收敛。
QQ木马查杀
QQ异地提示
一个不直观的案例:同卡进出欺诈
在某个真实案例中,接到大量用户投诉,说自己被诈骗了。
用户的四要素(开户人姓名、身份证号码、银行卡号、银行预留号码)被骗子骗到后,绑定到了我们的系统,转走了几万元。我刚知道的时候很震惊,不是震惊被骗的额度大,而是震惊这是一个同卡进出理财的业务。
也就是说:
这笔钱骗子无法消费,无法流出系统 产生的收益和本金只能通过同一张卡提现,也无法新绑一张卡提现到骗子的账户中 偶尔有一两个骗子不知道也情有可原,但是这么多欺诈案例是怎么回事?我们应该上什么对抗策略?
骗子和受害人是微信沟通,我们无法阻断
禁止新用户充值?不现实 禁止新设备充值?也不能不让用户换手机啊 否定了一大堆策略后,似乎很茫然。后来冷静的花了一个上午仔细的看了一遍客服反馈的投诉详情,终于恍然大悟。
原来骗子并非是想把受害人的钱通过这个系统提走,而是想通过这个系统给受害人刷流水,赢得信任后再骗受害人微信转账。
查明了骗子的目的后,我们也就好制定策略了。
从这个利益不直观的案例中可以发现,缺少对利益的分析会让我们疲于制定指标不治本的策略。
站在社会角度看这个问题(可跳过)
赔钱的生意没人做,杀头的生意有人做
现在的黑产已经形成了一个完整的产业链,里面有形形色色的人,有形形色色的分工,但是我们可以抓住他们的一个共性——利益。
一个人将他的时间花在什么事情上,是取决于哪件事情可以带来最大的回报。需要注意的是两点
-
并不是有利益就会有人干,要利益足够大
-
人们总是从多个有利益的选项中选取最优
假设一个人的普通工作可以给他带来2000元每月的回报,但是当从事黑产可以得到3000元每月的时候(两者都有利益),他还不至于放弃已有工作,因为换工作也需要成本(经济学成为交易费用)、入会也需要成本(经济学成为上头成本),假设从事的各种成本和费用是1000元,算一下从事黑产是并没有明显好处的。
更别提还有比较严重的行为会受到法律的追求。
目前收入2000 + 各种成本和费用1000 + 法律追究? >= 从事黑产的利益3000
当从事黑产的回到达到10000元每月的时候,在不同程度的法律追究强度下,就可能促使这个人从事黑产
目前收入2000 + 各种成本和费用1000 + 法律追究? <= 从事黑产的利益10000
这个公式只是一个简化了的情况,里面也许还会涉及个人名誉等虚拟且价格因人而异的东西(不同人看待名誉的程度不同)。我们在这个公式基础上在简化一步就是
不做黑产收入 <=> 做黑产收入 - 可见和不可见的直接成本
从这个公式中,我们可以得出
消灭黑产并不需要迫使他们的利益为0,实际上也很难甚至做不到
消灭黑产应该尽量增大公式左边部分的利益,减少右边的利益。
对于第一条,需要个人和政府的双方努力,个人要提升自己的价值,政府也要提供一个就业、收入稳定的社会。
人们可以通过努力获得精神和物质上的利益。这个已经超出了本文的范围。
接下来的内容将都是围绕”减少右边的利益”开始的。
参考资料
https://github.com/WalterInSH/risk-management-note