网络黑灰产的行业现状和产业链条

黑灰产的英文翻译是Black Market，被定义为通过人工方式或者技术手段实施的操纵网络信息内容，获取违法利益、破坏网络生态秩序的行为。

当今黑产以恶意账号为代表的各类攻击资源已经高度的模块化和市场化，产业链不同层级的团伙专注于不同的任务而又配合严密，而究其根本，是强自动化使得攻击变得可复制，进而形成套路化的盈利模式，对企业资产造成威胁。

行业现状

商业模式

商业模式：电商平台薅羊毛、直播平台刷量、社交平台刷粉、网络诈骗

• 在社交行业，黑灰产会利用大量虚假账号批量向平台用户发送信息，引流到微信或 QQ 上，然后进行诈骗。
• 在电商行业，黑灰产的表现是刷单，制造虚假的交易量。
• 在直播、短视频等平台，最典型的是刷量，黑灰产通过刷播放、关注、点赞、评论等方式进行广告引流，甚至实施网络诈骗。
• 在出行平台，黑灰产的典型活动是抢单和代打。

以直播平台刷量为例，通过刷量可以帮助主播上各种排行榜；给主播购买僵尸粉，可以增加主播的粉丝数；在主播的直播间购买水军，可以增加直播间人气等等。一方面，这些数据可以直接在平台折现成现金奖励，由此获利；另一方面，伪造人气可以吸引更多的粉丝，进而通过粉丝打赏获利。

黑灰产的最大特点就是逐利。“只要是能产生利益的地方几乎逃不开黑灰产的觊觎。即使表面看上去获利很低，但黑灰产依然会想办法通过批量操作来规模获利”。以新人红包为例，邀请一个小号可能只有几毛钱的红包，去掉成本后，单个账号的收益可能不到1毛钱，但是如果不做限制，黑灰产可以在极短时间内注册几十万甚至上百万的账号，最后还是能赚得盆满钵满。

发展趋势

与以前相比，黑灰产的攻击方式或手段有了很大变化，主要体现在以下三方面：

• 从早期单一的兼职刷单，到如今的多行业、多场景、多任务的广泛渗透；
• 从早期的只在 PC 端进行单一手法的兼职，到如今以移动端为主；
• 从早期的线上群组媒介（QQ 群、YY 语音等），到如今的平台化和裂变化。

从成本和收益来看，黑灰产的攻击成本主要来源于其发起攻击时所需要的各种资源，主要有：

• 账号资源：在目标业务上注册的虚假账号
• IP资源：为绕过目标的 IP 风控，购买代理或秒拨 IP
• 设备：在设备上安装目标应用
• 自动化工具：批量操控多台设备的群控工具，修改设备信息，从而伪造新设备的改机工具等

黑灰产的收益则是甲方业务营销费用的损失。有一些收益比较直接，比如现金红包，可以直接提现；还有一些收益需要变现，例如优惠券。不过，黑灰产有发卡平台、回收平台等成熟的变现渠道，所以变现也不成问题。

近年来，以云计算、大数据和人工智能等代表的新技术的出现或应用，在某种程度上也加速了黑灰产的发展。

我们来看一个典型的例子。云计算的发展让个人搭建和维护一个网络平台的成本大大降低，其中包括黑灰产产业链中的一些平台，像提供虚假注册手机号的接码平台、提供海量IP地址的代理和秒拨平台、提供图像和滑动等验证码绕过服务的打码平台、提供交易和变现渠道的发卡平台等，很多搭建在国内或海外的云服务器上。

这些平台的大量出现，打通了黑灰产的上下游供给，不仅降低了攻击成本，而且还提供了 API 接口等方式便于自动化，进一步提升了攻击效率，让黑灰产可以更容易地实施大规模的批量攻击，收益也更大。

攻击方式

机器作弊
通过自动化的机器程序来伪造真实的用户行为，它又分为协议攻击和脚本攻击两种。

• 协议攻击指的是通过破解业务前端和服务器的通信协议，直接伪造并发起注册登录等业务请求；
• 脚本攻击指的是通过编写按键精灵、autojs 等脚本，操控前端应用或网页的界面元素，比如输入框自动填入账号密码、自动点击登录按钮。

值得注意的是，前者不需要有设备安装业务应用，攻击成本更低，更容易规模化，危害也更大。

真人作弊
与机器作弊不同，真人作弊背后是一个个真实的人，黑灰产往往通过发布赏金任务，吸引真人协助其完成作恶。

不过，随着近年来甲方业务风控的不断加强，机器作弊很多时候会被识别出来，而真人作弊识别难度非常大，因此真人作弊越来越多，模式和形态越发多元和丰富。

产业链条

黑灰产之所以能有现在的发展，关键是其形成了一个分工明确、协助紧密的成熟产业链。据了解，整个黑灰产的产业链大致可以分为上游、中游和下游三个环节，其中，上游提供资源和技术，下游进行作恶和变现，而中游则连接上游和下游。

整个产业链中，比较关键的部分包括上游是否能持续稳定的提供可靠的资源和技术，下游是否能有稳定的变现途径或渠道，中游是否能高效的连接上游和下游，保持稳定的供需关系。如果这几点不出问题，整个产业链的运作就会很顺畅。

上游环节

软件开发与技术支持

接码平台

黑卡运营商
手机黑卡是指没有在运营商进行实名认证，被不法分子利用进行薅羊毛攻击、传播淫秽色情信息、实施通讯信息诈骗、组织实施恐怖活动等违法犯罪活动的移动电话卡。
黑卡运营商通常与三大运营商代理勾结，或者黑卡运营商本身就是三大运营商代理。他们在获得大量手机卡后通过加价转卖给下游手机卡商赚取利润。其黑卡主要来源有：实名卡、物联网卡、海外卡以及虚拟卡。

• 实名卡：实名卡主要是通过拖库撞库、木马、钓鱼等方式从网上收集大量身份证信息，并通过黑卡运营商批量验证得到的。
• 物联网卡：物联网卡是由三大运营商业提供的 4G/3G/2G 卡，硬件和外观与普通 SIM 卡相似，但采用专用号段，并加载针对智能硬件和物联网设备的专业化功能，满足智能硬件和物联网行业对设备联网的管理需求以及集团公司连锁企业的移动信息化应用需求。主要有基础通信、财务信息查询、终端状态查询、业务统计分析四大功能。物联网卡无需进行实名验证，由企业申请办理，一般仅需提供营业执照，实际操作中，营业执照通过财务公司操作，大概需要花费 1000 元左右即可成功注册，部分运营商对营业执照审核不够严谨，甚至会为灰产定制专用的物联网卡套餐。这种物联网卡多为免月租或者 1 元月租，根据能否接听电话，分为短信卡（也称“注册卡”）和语音卡。
• 海外卡：在国家实行实名制后，黑卡运营商直接从海外购入手机卡，这些卡无需实名认证，花费很少，非常切合黑产利益。
• 虚拟卡：由虚拟运营商提供的电话卡。虚拟运营商是指拥有技术、设备供应、市场营销等能力，与传统三大运营商在某项或者某几项业务上形成合作关系的合作伙伴。虚拟运营商就像是代理商，他们从移动、联通、电信三大基础运营商那里承包一部分通讯网络的使用权，然后通过自己的计费系统、客服号、营销和管理体系把通信服务卖给消费者。

猫池厂商
猫池厂商负责生产猫池设备，并将设备卖给卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备，在正常行业有广泛的应用，如邮局、银行、证劵商、各类交易所、各类信息呼叫中心等，猫池设备可以实现对多张卡的管理。

手机卡商
手机卡商从黑卡运营商那里大量购买手机黑卡，将手机黑卡插入猫池设备并接入收码平台，然后通过收码
平台接收各种验证码业务，根据业务类型的不同，每条验证码可以获得 0.1 元 -0.3 元不等的收入。

接码平台
负责连接卡商和有手机验证码需求的群体，提供软件支持、业务结算等平台服务，通过业务分成获利，一般为30%左右。

打码平台

很多网站都会通过图片验证码来识别机器行为，对非正常请求进行拦截。因此打码平台已成为大多数黑产软件必备的模块之一，为黑产软件提供接口，突破网站为辨别机器还是人类行为而设置的图片验证码。

文字、图像、声音等验证码的技术难度较高，打码平台通常难以完全依赖技术手段实现自动操作。国内的打码平台，以往主要依靠低廉的劳动力。他们对无法技术解决的验证码使用人工打码进行破解。这种方式广泛传播到了大量第三世界国家，导致全球有近百万人以此为生。打码工人 平均每码收入1-2分钱，熟练工每分钟可以打码20个左右，每小时收入10-15 元。

随着技术的发展，打码平台也与时俱进，逐渐产生了使用人工智能打码的平台，使用了伯克利大学的数据模型，引入大量验证码数据对识别系统进行训练，将机器识别验证 码的能力提高了2000倍，价格降低到了每千次15-20元，为撞库等需要验证的业务提供了极大的便利。

黑产软件

IP代理
IP作为互联网空间中最基础的身份标识，一直以来都是黑产与甲方争夺对抗最激烈的攻防点。
这是一个高度成熟产业，国内代理、国外代理、国内秒拨软件等。

因为目前机房的服务器IP基本已经被标识，所以这部分代理IP基本无法使用，所以需要有大量的家庭住宅IP。
国外可以走代理，有专门的服务商在提供动态住宅IP，比如luminati代理、911代理以及oxylabs代理，单价很高。
国内基本都是秒拨软件实现的，秒拨的底层思路就是利用国内家用宽带拨号上网（PPPoE）的原理，每一次断线重连就会获取一个新的IP，秒拨两个天然的优势：

• IP池巨大：假设某秒波机上的宽带资源属于XX地区电信运营商，那么该秒拨机可拨到整个XX地区电信IP池中的IP，少则十万量级，多则百万量级；
• 难以识别：因为秒拨IP和正常用户IP取自同一个IP池，秒拨IP的使用周期（通常在秒级或分钟级）结束后，大概率会流转到正常用户手中，所以区分秒拨IP和正常用户IP难度很大。

改机工具
刷新设备指纹，解决单台设备注册的上限。
Android和iOS都有很多相应的改机工具。Android改机大部分都基于Xposed框架，需要root；iOS大多基于Cydia框架，需要越狱。

• Xposed号称Android上最强大的神器，它是一个框架，上面有很多模块，这些模块都依赖于xposed这个框架，之所以称xposed是第一神器，就是因为这些模块可以完成许多匪夷所思的功能，例如：修改微信的界面，自动抢红包模块，自定义程序的文本，防止微信消息撤回，防止BAT三大流氓的全家桶相互唤醒、连锁启动，锁屏后自动干掉APP防止后台运行耗电，还有很多修改App或手机数据的装B模块等等。
  

• AWZ国内最新支持iOS全系系统的一键新机、全息备份、位置伪装、ASO辅助工具，手机一键新机，轻松修改设备参数，功能定时更新，多重保障软件稳定运行，为用户提供更好体验。为iPhone/iPad提供反越狱检测，修改系统序列号、型号、系统版本、运营商、地理位置、MAC、UUID、IMEI、IDFA、SSID应用全息备等一系列强大功能。
  

群控平台
群控是指通过一台电脑或者手机设备控制批量手机的行为，可以分为线控和云控两种形式。 线控是指信号 发生器与被控制的手机设备通过线缆进行连接的; 云控指手机搭载了云技术可以实现远程控制，可以用任意一台PC通过云端控制手机终端上的任何资料，随意调取自己所需的信息，或者使用另一部手机用ID登录云服务器。通过群控工具，可以实现一台终端对多台手机的控制，与改机工具进行搭配，可以在短时间内制造成千 上万不同设备的信息，适用于羊毛党的批量攻击。

• 群控：指通过系统自动化控制集成技术，把多个手机操作界面直接映射到电脑显示器，实现由一台电脑来控制几十台甚至上百台手机的效果。以某社交平台群控为例，它是在群控体系基础上，针对其定制化、批量模仿正常个人用户操作的软硬件集成体系。它以群控体系+各种批量模仿脚本的方法，完成批量操作，其所有任务执行都是同时进行的。

• 箱控：是群控的进化变种，把手机核心组件都做到一个箱子，去掉一些用不上的硬件，做成的专门的群控设备，一个箱子可操控多台手机的多个APP，具体方法是使用了一款名为appium的安卓自动化测试工具，通过文字、控件id、控件名称等直接定位到APP的控件进行操作。

• 传统云控：通过无线连接。电脑通过后台发送指令到云端，云端的指令再发到手机群，继而执行任务。理论上，一台电脑可以控制上千台手机

• 新型云控：主要指的是通过云端协议外挂的形式，发送数据包与服务器进行交互，自定义进行登录互联网帐号、绑定邮箱、更改密码等操作。一台电脑一个账号就可以操控上万个帐号。

中游环节

账号注册与分销

盗号扫号养号

盗号：
盗号，就是通过一定手段，盗取他人账号和密码，

• 初级盗号以钓鱼为主，钓鱼就是以假乱真，欺骗你自己输入帐号密码。
• 中级盗号以木马/键盘钩子记录为主，讲究驱动级钩子，过杀毒软件。
  
• 高级盗号以入侵网站为主，讲究渗透，注入，提权，后门。

扫号
扫号就是利用了网络上公开的数据不停的对网站提交身份验证的数据包（比如常见的登录验证），来验证是否是本站会员，也就是撞库。

养号
批量注册小号，不断发作品、关注用户，修改头像，主要目的是为了降低账号被封的概率。

账号恶意注册是恶意行为的源头，整个流程已趋于专业化、从业人员十万级，形成了手机验证码服务平台、打码平台、注册软件开发团伙、垃圾账号分销平台等一条龙服务。 批量性恶意注册主要是通过软件实现的，具体流程如下图：

跳转号

指适用QQ号或者微博快捷登录的账号，激活绑定转换而成的号码。

恶意注册商也就是号商，注册海量的社交帐号，并通过脚本工具获取62数据或A16数据。

这两个数据是某社交平台用户登录新设备后生成的加密文件，这个文件储存在其安装目录中，下次运行时检测到该文件就可以自动登录。如果把这个文件中的数据导入到另一部设备中，那么这部设备也可以跳过登录验证的步骤直接登录账号。

恶意注册商就是通过这种手法，搭配注册的社交账号、密码进行售卖，黑产团伙购买后在云控平台上登录使用。

发卡平台

把数字商品做自动化交易的平台，在号商完成大量账号的注册后，他们会把恶意账号整理后集中在发卡平台中列出，供处在产业链下游的用号方直接线上批量采购。

下游环节

盈利变现

用号方会根据自身作恶场景，通过发卡平台买入对应的虚假账号，用以薅羊毛，平台刷量，账号诈骗等场景。

引流

引流黑产下游主要包括黑五类产品销售、色情诈骗和杀猪盘等。

刷量

刷直播平台的播放量、点赞评论、收藏

薅羊毛

平台补贴

风控手段

企业而言，首先，需要重视黑灰产，在业务发展的每个阶段都要投入相匹配的人力进行业务安全建设，从而保障业务健康增长；其次，对黑灰产要有足够的认识，了解黑灰产对自身业务会产生哪些危害，这样才能“对症下药”。

识别黑灰产资源

黑灰产在作恶和变现时都重度依赖于其手中持有的基础资源，包括但不限于手机号、IP、设备等。而这些黑灰产资源对于企业方来说，是全黑的数据，如果能将将这些数据与自身业务数据进行匹配，就可以直接识别出恶意帐号或黑灰产恶意行为，针对性的进行相应的风险控制。

分析黑产工具

黑灰产的攻击工具承载着黑灰产的攻击逻辑和利用的企业业务漏洞，通过对工具的监控和逆向，企业可以了解到自身存在哪些业务逻辑漏洞或者是哪些风控策略已经失效，从而提升整个攻防对抗的效率。

监控黑灰产交易变化

黑灰产交易品类和价格的变动，能够反映出企业一定周期内风控策略的有效性。例如，即使企业上线了风控策略，但是黑灰产仍然能够以很低的成本完成恶意帐号的注册，则表示企业的风控策略失效了；另一方面，如果发现黑灰产交易价格变高，反映出黑灰产攻击成本的上升，则可以看出企业的风控策略有了一定的效果。有效的风险评估，能更好地推动业务安全的落地和迭代。

“黑灰产是互联网发展到一定阶段的必然产物，我们不太可能完全消灭黑灰产。
一方面，要有效的控制黑灰产，不让其泛滥成为“洪水猛兽”；
另一方面，也不能用力过猛，影响用户体验，甚至对业务造成伤害。”
– 邓欣。

参考资料

专访全球黑客大赛冠军邓欣
黑灰产欺诈场景剖析：虚假账号的产生和流转 / 永安在线
“群控”终极篇：五代流量黑产全解构 / 腾讯安全战略研究
反欺诈行业调研白皮书 / 百融云创