無監督AI引擎下「摸瞎」的黑產「十八般武藝」

2018年是流量紅利的巔峰之年：社交領域，抖音對外宣布日活超過1.5億；微信的全球用戶賬號數量突破10億大關；電商方面數據同樣驚人，淘寶作為電商巨頭，平均每月用戶活躍達6億，相當於中國人口數量的一半；後起之秀拼多多的年度活躍買家超4億。

社交和電商平台的瘋狂增長改變了數億人的生活方式，但同時黑灰產業的目光也聚焦在這方沃土，通過批量創建大量虛假賬戶、虛假點贊、虛假評論、盜號等手段牟取不法利益，危害在線用戶權益和平台的健康生態。

社交平台和電商平台的運營中存在哪些欺詐？面對不斷升級的欺詐手段又該如何應對？5月18日，雷鋒網記者應邀參加了DataVisor維擇科技智能風控沙龍，第一期活動以「黑產」為主題展開討論。

沙龍由DataVisor中國區客戶部負責人趙樺擔任主持人，她向與會嘉賓介紹了今天的兩位主講人——DataVisor黑產研究員、高級技術經理周君楨以及DataVisor中國區技術負責人崔宏宇。

以下是雷鋒網整理的此次沙龍分享內容：

一

周君楨曾在一線接觸各類灰色中介和黑產從業人員，他深入暗網等多個交易平台進行研究，目前，他已經揭露社交平台批量註冊手法，電商刷量手法數十種，撰寫產業研究報告數十篇。

在主題為《批量註冊黑產研究》的演講中，周君楨就黑產的市場環境、操作手段以及實際案例為在會嘉賓進行了精彩分享。

DataVisor黑產研究員周君楨

150萬黑產從業者，年產值達千億

周君楨稱，相比前些年，黑產越來越呈現出團伙性的活動行為，他們有專業的分工，還有一個相對規模化的運作流程。對於企業、個人，黑產集團的頻繁活動無疑會對其造成極大損失。

2018年末，某知名咖啡連鎖品牌啟動了一次聖誕節前夕的營銷活動——凡是通過APP註冊賬戶的新會員均可獲贈一份邀請券並可在線下兌換咖啡。

該活動在一天半之後被官方叫停（預計活動時長為一周）。原來，此次營銷活動被黑產通過批量註冊的方式拿到大量賬號進行批量註冊。在這之後，絡繹不絕的消費券落入到黑產手中並在之後被用於線下兌換或者轉賣。

「據統計，有40多萬的賬號是通過批量註冊的方式拿到優惠券，活動進行了一天半已經達到一千多萬的損失。這種行為對於線下門店是一個災難性的干擾，因為這樣不僅僅影響了消費者的用戶體驗，更會讓企業的運營推廣遭受很大損失。」

據粗略統計顯示，近兩年有150萬的黑產從業人員，這其中包括一線的人員和一些上游的開發者以及黑客，黑產的年產值規模達到千億級別，其對應的損失也是非常巨大。

周君楨在這裡列出了四個常見的黑產攻擊手段：

1、薅羊毛獲利

新用戶註冊紅包——很多企業推廣新用戶註冊時的紅包獎勵機制。黑產只要通過無線手機號去註冊這些賬號，就會得到相應紅包獎勵，以此直接獲利；

邀請獎勵——包括一些自媒體平台在內，邀請獎勵的活動機制已經見怪不怪。黑產往往會採用群組任務的模式批量邀請，以此牟利；

大額優惠——黑產通過前期的檔案賬號監控各大平台上商品的價格走勢，一旦發現漏洞就優先獲取大額優惠的許可權，再通過優惠規定進行商品兌換或者轉賣（變現）；

2、虛假流量

拿到批量賬號之後，黑產通過在社交平台刷流量、刷評論、刷點贊或刷閱讀量獲利，這樣的惡意行為會直接影響平台的公正性。

以某寶刷單為例，如果交易都是通過刷單進行會直接影響到平台本身的系統推薦演算法，那麼低劣商品的店鋪將具備與高質量店鋪一樣的許可權和推薦位置。如果是一個正常用戶輸入關鍵詞搜索該商品，劣質商鋪曝光率激增會直接造成消費者投訴，給平台聲譽帶來影響。

3、惡意言論

惡意言論更多地涉及社交平台或者媒體平台，他們拿到大量賬號，操縱發布涉黃、涉賭、涉

政的消息，從而影響到公共安全。為積極響應監管需求，通常會採取相應措施去規避這些行為。

4、垃圾營銷

生活中常見的刷微博、刷新聞的行為，是通過一些垃圾賬號進行批量發布，騷擾平台用戶，影響用戶體驗。

黑產操作流程大揭秘

那麼，黑產具體是如何執行操作的呢？在這裡，周君楨從操作平台、操作軟體和操作工具三個方面進行了介紹。

首先是操作平台。

1、接碼平台

黑卡（手機卡）——由於國家對實名制的要求，一切平台註冊來源都是手機號。通常來說，黑產獲取的手機卡主要分為流量卡、實名卡和海外卡三種，他們會從運營商或者是卡商手中拿到大量的手機卡。

上述三種手機卡中，流量卡可以直接通過註冊企業的方式拿到，而實名卡則需要黑產通過技術手段獲取到實名信息，或者是很直白的向實際的網賺個體戶來購買，從實名用戶手中買來一個手機卡需要幾十元。海外卡可以在國內正常使用，不需要實名，且價格便宜（一到兩塊）。

貓池——拿到黑卡之後，下一步驟就是養卡。通過貓池，黑產不僅可以在不同卡之間模擬定期撥打電話，還可以進行收發簡訊，甚至進行一些流量的消耗。這種模擬讓黑卡的使用情況趨於正常的電話卡。

紅圈中為接碼售價

接碼平台相當於是一個中介平台，它集合了所有的卡商用戶，卡商會把它的電話卡寄存在這個平台。養卡的過程中，黑產從業者會通過API批量註冊或者個人註冊的方式拿到黑卡的驗證碼信息。接碼平台可以對簡訊、語音驗證碼進行識別，從而用手機卡在各個平台進行註冊。一條驗證碼的價格一般在一毛錢到四塊錢左右。

2、打碼平台

對於手機卡初測，大多數平台為了驗證手機號主人的身份會先進行公共測試，這主要是為了驗證操作者是人還是機器，打碼平台的對接可以突破驗證流程。

突破的具體方法，簡單來說分為三種。第一個是通過A.I.識別，這種很簡單的識別方式只適用於最簡單的驗證流程，在未來使用的會越來越少；第二個是通過腳本操作的方式，定點的取一個滑塊元素進行驗證；對於複雜的驗證流程，可以通過人工打碼方式完成，這是最原始的方式，其成功率也最高。

3、料商

手機號突破驗證碼限制，不僅僅只需要驗證碼一個要素，有的可能會需要機主的個人身份信息實名。料商平台上會有四件套（手機、身份證、銀行卡和網盾）供卡商購買，一個四件套價格在1000到1200元不等。因此，目前很多人通過黑客手段從很多的網站平台獲取資料，或者乾脆粗暴的「收養」人肉。

再者是操作軟體。

具備了基本條件後，有幾種操作工具是黑客必不可少的「錦囊妙計」。

1、改機

手機通過安裝安改機軟體，後台平台會檢測用戶註冊手機的一系列參數，比如說IMEI號或者是DSID這些號碼。然後可以對該設備進行一鍵清機的操作刷掉歷史註冊的一系列參數，並模擬出一套新的參數。

當然，手機的原參數可以備份，因此支持後期登錄恢復到之前狀態。儘管目前有很多攻防手段可以攔截這種一鍵清機的操作，但改機本身種類各異，黑產開發者往往根據其用戶需求開發出形形色色的軟體功能，以達到清機目的。

2、改IP

網路環境下的操作，以修改GPS、IP為主。黑產會通過VPN的方式代理到一個網路平台上，可以在指定的IP領域進行切換；GPS也可以通過手段定位到任意位置。

最後是操作工具。

1、註冊機

註冊機集成了所有需要註冊的要素，其主要實現了接碼平台的全部功能。不同之處在於，有時驗證過程需要模擬類似人手點擊、截屏、模擬重力加速度等操作，在註冊機上會有各種自動化工具的啟動模塊，更加方便黑產操作。

總結下來，黑產的操作流程為——首先通過解碼平台拿到大量手機號和驗證碼，再通過打碼平台通過行為驗證碼驗證，然後從料商手中拿到個人信息進行輔助驗證/註冊，使用突破安全攔截的工具接管軟體進行刷量等的操作。

周君楨稱：「賬號是一切黑產作惡的來源，因為現在沒有什麼是不需要賬號的，這也體現出了賬號的價值所在。因此，保護好手中的賬號，就是預防黑產最有效的一步。」

二

崔宏宇負責過如Pinterest、Yelp、阿里巴巴和獵豹移動等大型互聯網企業的機器註冊、虛假評論、垃圾郵件、欺詐交易和虛假應用安裝等場景的反欺詐建模 。在模型調優、特徵工程和演算法開發等領域都有著豐富的經驗。

今天，她以《批量註冊黑產研究》為主題向在座嘉賓分享了黑產的攻擊模式、攻擊渠道、攻擊周期和目標用戶，並介紹了DataVisor無監督引擎的運作原理。

DataVisor中國區技術負責人崔宏宇

黑產也在「智能化」

隨著互聯網的發展，黑產團體作案的規律性越來越弱。由於很多賬號的偽裝做的很好，較為傳統的檢測工具並不能發現所有問題賬號。

「這是因為黑產刻意尋找平台漏洞，並有目的的進行攻擊。黑產試探性的探索平台的規則，比如說有些平台會設立新註冊賬號在幾天之內不能做某些事情，黑產用一個誘餌賬號可以試探出來，之後繞過即可。」

類似上述攻擊模式不光出現在互聯網平台，金融平台也會出現同類現象，這種情況下通過規則的制定來攔截很難有效。

為了更加清晰的解釋上述觀點，崔宏宇對黑產的攻擊趨勢變化進行了拆分講解。

1、IP

IP在風控領域是一個比較重要的欄位，幾乎每家安全廠商都會有自己的IP黑名單庫。在之前，黑產會用很多的代理IP來進行批量註冊賬號，或者是做虛假的下載安裝這樣的操作。但目前的統計表明，在DataVisor觀察的所有欺詐賬號中，只有9%來自於雲服務賬號。

和之前比，這個數字已經有所降低了。這也說明攻擊者正慢慢的從雲服務IP轉向一些正常的IP，以更好的隱藏自己的來源。同時，黑產的IP代理工作更傾向於小的代理廠商，而繞開了策略相對完善的大廠。

此外，黑產選擇IP的趨勢正朝著正常的移動網路的IP轉變。正常IP段行為更多，這使得攔截攻擊的難度增加。

2、域名、電子郵件

研究發現，惡意域名的變化頻次很高。以一個黑產群組為例，一次性域名更多，這使得傳統的規則很難及時追蹤到高頻的域名變化。

圖中是一個欺詐賬號群組的數據，該群組涉及2000用戶，有5000筆交易，涉及的轉賬金額有數百萬美金。

據統計，該群組一共使用了119個域名，其中包含了一些很罕見的域名以及一次性域名。也有攻擊者會在兼顧成本的情況下購買合規的域名，以此直接繞過審核程序。

3、用戶名

通過用戶名做風控規則，早期的攻擊者會有用戶名庫做隨機組合，其一定會出現高頻重複的情況，可以通過一些規則進行風控。但是，現階段有很多攻擊者會在網路上去爬去真實的用戶名，傳統的風控系統將不再適用。

4、APP安裝

現階段APP安裝造假並非只是到安裝一步截止，甚至還會模擬用戶的使用行為。這種情況下，傳統風控系統很難發揮作用。

5、批量註冊轉向盜號

新註冊的批量賬號沒有正常行為，這樣很容易被風控系統策略抓住。因此，現階段更多攻擊者使用盜取賬號，這讓賬號的歷史、行為十分正常，因此就可以反覆使用。

DataVisor無監督機器學習引擎

那麼，上述的問題應該如何解決呢？崔宏宇稱，DataVisor目前已經分析了400億個事件，保護了全球7億個賬號。實踐經驗證明，AI加持下的風控系統更加實用。

傳統的解決方案通常是設備指紋、規則引擎和有監督，它們不能及時應對黑產的變化。DataVisor開發了一套無監督的檢測引擎。該引擎從全局角度在高維上做聚類分析，然後通過分析賬號之間的關聯抓到有關聯的攻擊群組。

這種無監督不需要前期的標籤訓練，因此可以在早期階段批量預警。同時，無監督的方式可以覆蓋上面提到幾種無規律的變化情況，因為從單個維度來看就很難確定其攻擊的來源，但群組分析就可以從全局角度分析出相對具象的結果。

「風控和業務之間的結合，可以讓無監督機器學習從不同緯度對用戶進行分組。為了降低對計算空間的需求，高維空間之間的相似性資源需要從單變數分析和多變數分析兩個維度來進行降維分析。」

最終，分析後的群組會進行打分，根據其分布的維度情況，可以直觀的觀察到群組行為情況並對此進行封禁處理。

崔宏宇稱，無監督的最大優勢一方面在於可以檢測一些尚未預料到和常態的黑產行為，另一方面能夠適用於快速變化的攻擊模式，不會衰減很快。

雷鋒網得知，此次沙龍邀請到了來自來阿里巴巴、京東、美團、轉轉、每日優鮮、民生銀行、小米、幸福消費等國內知名互聯網企業和金融機構的超40位代表參加。

會上，各位嘉賓針對無監督演算法積極提問，並就自身（公司）遇到的實際情況與兩位演講嘉賓展開激烈討論。值得一提的是，此次沙龍僅為「維擇下午茶」的首秀，後期將陸續在全國多地開展，分享更多關於安全方面的研究和發現，同時也以此作為DataVisor與行業內外溝通交流的橋樑。雷鋒網雷鋒網雷鋒網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！