本文是威胁猎人(微信公众号:ThreatHunter)原创文章,转载请联系授权。威胁猎人–专注互联网黑灰产研究,企业业务安全守护者。
在互联网灰产中,无论是匆匆过客的羊毛党,还是猥琐发育的养号者,都需要注册大量账号才能从中牟取暴利。因此,注册环节也就成了互联网公司和灰产业者的最前沿战场。各公司的注册页面看看似平淡,但安全的交锋其实在下方暗流涌动。本期报告将重点曝光灰产是如何对电商行业的注册环节进行攻击的。
灰产攻击指数
灰产的逐利本性决定它们是非常强调投入产出比的,攻击的时候会优先选择价值更高的对象。国内电商行业公司很多,猎人君从中挑选了比较有代表性的5家:淘宝、京东、当当、唯品会、聚美优品,通过评估这5家的灰产攻击指数来了解灰产的攻击趋势。
灰产攻击指数由以下两项简单加和得出:
黑市需求度
评估方法:通过对灰产进行账号交易的渠道进行分析,评估各家账号在黑市的需求强烈程度,10分为最高需求等级。
灰产攻击力度
评估方法:抽样一批灰产近期流通的恶意手机号码,检查这批手机号码在各企业已注册账号的比例,10分为最高等级表示100%已注册。
灰产攻击综合指数:
通过上述灰产攻击指数可以发现,发现淘宝、京东的灰产攻击指数是要远高于另3家,这与他们在国内电商行业的地位与体量也是相符的。因此,猎人君决定聚焦收集和分析淘宝和京东这两家的灰产攻击情报。
灰产攻击手法
攻击工具
灰产每天要完成数万甚至数十万的账号注册,通过人工注册的方式是行不通的。灰产必然会开发针对注册环节的自动化攻击工具,以此提升攻击效率降低攻击成本。如果能拿到灰产当前在使用的主流攻击工具,就可以分析出灰产的攻击手法、所使用到的资源等情报。
猎人君在与相关人士进行多番试探性友好交流后拿到多款针对淘宝、京东的攻击工具,部分截图如下。
- 淘宝账号注册攻击工具:
- 京东账号注册攻击工具:
攻击工具分析
猎人君对淘宝和京东的攻击工具进行了多个维度的对比分析,结果如下:
攻击技术手法对比
淘宝和京东的攻击工具在技术手法上存在较大差异。京东的注册工具都是直接通过 HTTPS 协议实现,属于协议破解类;而淘宝更多是通过控件操作浏览器元素实现,属于模拟操作类。这种差异很大程度上是由于淘宝和京东在人机识别这块采取了不同的方案导致。
从京东和淘宝的的注册页面可以看出,人机识别这块京东采用的是传统的字符型图片验证码,攻击工具只需接入打码平台即可解决。
而淘宝采用的则是需人机交互的滑块验证码,网页端会捕获用户的鼠标滑动轨迹,本地做一系列的运算后发送到服务端,由服务端进行人机识别。进行运算的本地js代码做了混淆,在一定程度上也提升了对注册接口协议进行破解的技术门槛,导致灰产转向通过模拟点击的方式来批量注册。
人机识别
字符型图片验证码
字符型图片验证码属于较传统的人机识别方法,在其刚出现的时候确实有一定效果,但随着打码平台的出现(如:若快/联众等),这种验证码被打码平台以众包的形式解决。近两年随着深度学习技术在图像识别领域突飞猛进,以京东这种验证码为例,实测每次打码平台都是在1秒以内返回识别后的验证码,已经做到完全自动化识别。
滑块验证码
滑块验证码的出现是为了解决传统图片验证码容易被以接入打码平台的方式绕过的问题,它要求用户参与交互,捕获交互过程中鼠标的移动轨迹。它的理论依据是通过程序模拟的鼠标移动轨迹会和正常人的轨迹不一样,通过对移动轨迹进行分析来识别是正常用户在操作还是机器在操作。
想法很美好,但现实很残酷。以上图淘宝的的滑块验证码为例,在IE内核下模拟鼠标移动轨迹时,只需简单改变下Y轴避免划出水平直线即可通过验证,在webkit内核下甚至划出水平直线也可通过验证。
从测试结论来看,滑块验证的智能性并没有达到想象的高度,其存在的更大意义在于行为数据生成算法的破解难度。
IP资源
IP地址作为互联网的紧缺资源,一直是厂商最重要的风控方案之一,如何获得大量IP出口也是灰产业者最先需要解决的问题。
从搜集到的自动化工具来看,普遍提供了拨号重连功能,做到隔几秒重拨。
不要以为这是提供给家用ADSL使用的,这个看似简单的功能,其实背后还有一整条的产业链存在,在某宝上搜索相关关键词,可以发现大量专业用于获取不同地区IP的拨号服务器存在。猎人君后续也会给出此链条的调查报告,欢迎关注公众号:ThreatHunter。
手机号资源
由于实名制的存在,手机号原本是属于稀缺资源,但由于管理和利益的问题,每年依有数千万未实名的手机号流到专门提供短信接收服务的平台上,用于灰色产业注册各种小号。此处可以参考猎人君的另一篇深度调查报告《灰产大数据:手机黑卡调查》。
攻击效率
从自动注册工具的使用来看,单线程平均20-40秒能完成一次注册,考虑到后台可能存在风控策略,以5线程为例,保守估计一台机器一天可以产出1万小号。然后这些小号将流通到电商平台的各个灰产环节,比如薅羊毛、刷单、差评师、骗运费险等各种产业。
写在最后
在互联网灰产领域,账号注册已然成为一件专业的事情,许多工作室依赖注册和贩卖各种账号生存,比如邮箱号、微信号、淘宝号、贴吧号、AppleID 等等,这些基础资源在灰产市场具有广泛的销量。长尾效应曾经用来描述亚马逊等大公司的成功事迹,成为互联网公司颠覆实体公司的一大法宝。对应在安全领域,灰色产业蚁多咬死象又何尝不是此效应的真实案例。
千里之堤毁于蚁穴,小号虽小,却是互联网安全风控的大战场。
发表评论
您还未登录,请先登录。
登录