平台被黑 黑灰产对抗之短信验证码
前言
黑灰产这个名词在近些年越来越火热,各大媒体、公司越来越多开始关注黑灰产,各种产业链新闻案件、故事,以及前一阵出现的航班延误险欺诈的案件,引发了人们激烈的讨论,使得这个神秘而有富有吸引力的群体,一次又一次的被聚光灯聚焦。
而在这背后,是国内安全圈与黑灰产对抗持续了十余年的对抗故事,涉及的行业遍布全国,牵涉的真实黑产规模无人知晓。
随着业务的发展,无论是注册、登录还是交易、下单场景,短信验证码都是那个各大平台及警察蜀黍宣传的绝不可以透露给任何人的关键信息。短信验证码蓬勃发展的这些年,国内黑灰产团伙围绕其展开的业务围绕地球可能大概要转个几圈,比优乐美多多了!
0.短信验证码的诞生
互联网上有两个一直很困扰安全人员的问题,一是是否为真人,二是发生行为的属于哪种群体。
第一个问题针对的就是互联网上日益泛滥的机器恶意行为,包括垃圾注册、群发信息、暴力破解、网络爬虫等。这种行为极其困扰着安全人员,虽然有一些公司就是靠着机器行为起家,像、等,但是大多数机器行为都是存在着恶意倾向的,所以机器行为领域的对抗,从互联网诞生至今,对抗一直很激烈。
第二个问题,针对的就是KYC,全称know your ,也就是大家常听到的实名认证,完成虚拟身份和现实身份之间的一个绑定。这个领域的对抗一直非常激烈,充斥着盗号、欺诈种种风险。
手机短信验证码绑定这个步骤需要以下几个要素:一张手机卡、一部手机、一个能操作手机查看验证码并输入电脑的人。 系统向用户手机发送一定位数的验证码,然后用户收到后填写在验证框里,完成绑定。
短信验证码的出现,让大家都以为能同时解决真人和实名这两个问题。于是,2004年左右,手机短信验证码开始出现在人们视野中,直到2010左右,率先由银行大面积铺开使用短信验证码,作为用户核验手段之一。
互联网企业看到了短信验证码的优势,既可完成KYC又可防机器行为,而且目前来看都没有突破的办法,成本虽然较高,一条短信五分到一毛,但是短信验证码能非常有效的保护系统以及账户。
而真正的短信验证码对抗才拉开帷幕。按照对抗方式的不同,其实也分为几个阶段,分别是人肉验证码阶段、自动验证码阶段、后验证码阶段。接下来本文将介绍一下短信验证码及相关的黑灰产对抗。
1.人肉验证码阶段
初始阶段为纯人工操作阶段,方式较为原始,主要产生于自动化猫池未投入使用的阶段,通过雇佣工人负责人工读取手机收到的验证码录入平台或直接输入,目前此种方法主要集中在东南亚等地。黑产通常在当地雇佣几个小工,一个月支付一两千块钱工资,购买一堆价格极为低廉的二手手机,批量接收验证码,小工负责将验证码录入系统。
小工手里的这一两千,可能就是黑产赚的零头吧(真惨
此种方式的产生与当地政策及环境有很大关系,猫池进入海关存在被没收的风险,且猫池成本高、接码服务价格昂贵,目前东南亚仍有部分黑产采用此种方式。
这种手法过于依靠人力,无法批量复制。随着技术的逐渐发展,逐步被淘汰进入到自动验证码阶段。
2.自动验证码阶段
2013年左右,黑产突然发现一款名叫“猫池”的设备,具有同时控制多张手机卡的功能,同时配套的自动化收发短信的软件也相对成熟,黑产人员瞬间就嗅到了商机。
既然能形成接口形式进行收发短信,那再多做一步,完成将接口线上化,为大量用户提供服务,也不是太难的一件事情。所以在2014年左右,接码平台就这样诞生了。搭配着互联网行业如火如荼的营销活动,让黑产重新关注自动化注册,开始研究短信验证码的突破。
刚好在2013-2014年,中国互联网有一场打车市场的补贴之战。在这场黑产盛宴中,一个乘客新户至少能获得10元补贴,后续增至30元每天。乘客和司机联合刷单,一单的收益可能就超过20元,而成本就是仅仅几块钱的短信接码。
接别人的码让别人无码可接可能是当时黑产内心的真实写照,别说黑产,普通小老百姓看着都香哭了。。感觉硬生生错过了成为有钱人的机会。。
接码平台在这期间飞速发展,一条短信的接码成本也降至一元以内,单个接码平台所掌控的手机号码数量也已经突破万级。
接码平台的发展迅速,不同行业的各大平台都曾遭受众创。随着对黑产的逐步了解,各大互联网平台也都意识到了接码平台的存在以及短信验证码不再适用于防控机器行为。
针对层出不穷的接码平台,业务方也针对性提出了很多防控手法:
1、 上行短信验证码
上行短信验证码,其实就是让用户主动发送一串数字等字符到平台指定的号码,来完成短信验证码的认证,这里面最具代表性质的平台就是腾讯,在QQ注册、绑定手机号阶段,都是通过发送数字到指定号码的方式完成认证。
这种对抗方式,就是针对现有接码平台往往只能接收短信,而不具备主动发送的功能。这种对抗其实没有持续多久,很快黑产就发现底层硬件及配套的软件其实是支持主动发送短信的,因为猫池最初的设计目的就是短信群发营销。所以没过多久接码平台就陆陆续续上线了主动发送短信功能。
2、 语音验证码
语音验证码特指平台通过主动来电通过语音的方式向用户告知验证码。这种对抗方式主要就是针对很多专门用于接码的手机卡其实不是正常人在使用,无法正常接听电话获取语音验证码,所以初期这种方式对抗黑产的效果非常好,最具有代表性的平台就是美团和饿了么。
这种语音验证码持续困扰了黑灰产一段时间,直到有一天突然发现某些云平台的STT接口可以免费使用并且准确率非常高,所需要做的就是把电话录音经由云平台解析提取到验证码。
后续各大平台也陆陆续续推出了接语音码的服务,但已经阻拦不了黑产薅羊毛的步伐。
接码平台逐步壮大的时期,当然也还有很多种对抗,例如使用的电话中由用户输入验证码等。当各大大互联网平台开始意识到手机验证码的安全等级降低之后,也尝试通过组合的方式提升防范机器行为的能力,一些代表性的行为例如:图片验证码+短信,滚动条+短信等,也并不能完全将黑产拒之门外。
当然各大公司也开始在技术领域进行不停的尝试,针对接码平台的威胁情报、黑名单联动、禁止特殊号段等多种方式尝试去抑制接码平台的攻击成效。加上运营商也开始重视物联网卡滥用的问题并开始治理,可用的接码资源价格日益上涨。
有了巨大的收益,黑产就开始探索创新。而不是简单的技术对抗,所以这也就是慢慢进入后验证码对抗阶段。
3.后验证码阶段
各企业针对接码平台的严防布控及运营商的打击,导致能用于做恶的手机号码资源日益紧缺。但黑灰产对手机号的需求仍然高涨,有需求的地方就有市场,上游黑产在金钱的诱惑下不断挖掘新的手段扩充手机号来源。举两个比较典型的例子:
1、 手机拦截黑卡
黑产利用手机预装软件以及主板预置程序,通过木马的手段获取短信。通过这个渠道获得的手机号码,目前能在接码平台及拦截卡接码平台购买,平均单个手机号交易价格在3元以上。目前已知的防控手法难以区分号码数据来源于猫池还是装了木马的真实设备。同时此类拦截卡手机号码直接用于线上进行拦截防控非常容易引起误杀。
2、 伪基站接码
伪基站大家可能是很熟悉了,之前新闻大肆报道伪基站被用来群发欺诈、钓鱼短信。但是由于接码利润一下暴涨,伪基站都被用于接码了。一个人背一台伪基站设备在闹市区转一天可能就盈利数千元。
4.小结
反观风控,随着接码平台的情报准确率不断下降,依赖传统情报方式做的风控拦截方案拦截准确率在不断下滑,甚至已经无法有效区分正常用户与黑产攻击。这也与不同平台的业务风险水位有关,很多情况下,号码a 在A平台属于正常用户,在B平台却变成了黑产攻击使用的高危号码,而在A与B平台的数据形式基本一致,那B平台究竟是该拦截还是该放行?
后接码对抗阶段就是黑产开始借助正常手机号进行黑产攻击,其行为也会越来越贴近真实用户行为,区分度会非常低,依靠情报、策略是非常难防控的。
也有部分场景利用运营商一键本机登录。真实场景中,优劣比较明显,可防控短信验证码现有的部分风险。接入此环节的平台并不多,并未被大范围应用,对于用户体量较高的平台仍采用短信验证登录或第三方登录,单一登录方式也不便于账号体系的建设,且对于双卡双待的设备也很难去精准识别。
风控可以依托黑灰产情报去增加新的刻画维度去标记黑产,而此类情报只能告知信息被黑产掌握,也并不能完全确定数据的黑灰属性。
后验证码对抗阶段,即使别人的黑名单拿来也不能直接进行利用,是别人的优质客户在你这里也可能是黑产攻击。黑产的这种手法把行业的治理联盟彻底打散,变为孤军奋战,后面的对抗难度会很大。
在这个时期,很多公司意识到资损严重并且没有办法通过技术手段遏制黑产,所以就求助于线下,联合公安开始对非法的接码平台进行打击。这阶段的打击卓有成效,部分接码平台被打击,很多开始跑路,但是也有很多转为地下。
黑产是打不完的,对抗之路漫长,外部情报数据可作为了解黑灰产行业趋势的渠道,便于及时研究技术对抗方向,调整对抗策略。