卧底归来,暗夜揭秘黑产接码平台
点击上方蓝字关注腾讯防水墙
了解第一手企业安全资讯
/ / / / / / / / / / / /
黑产的对抗,不仅是与黑产从业者的角逐,更是跟黑产资源对抗。为了更好对抗黑产,护航业务安全,防水墙派遣陈坚强卧底接码平台内部,揭开黑产——接码平台的神秘面纱。
0
11
前章
风劲潮涌,任重自当扬帆破浪
我是陈坚强,经过我一个月的日观天象熬夜观球
结合安全大数据,使用各种神奇的AI算法一通乱算
终于……我发现,今年的世界杯妥妥有毒
懂球帝工地搬砖,反压别墅靠海
小组赛没结束,输到皮都没了
啊……命运,为何比贝多芬弹奏的还要惨
但是人生总是有转机的,我现在还能敲下这篇文章,要从半月前的天台说起
那晚天台的风,像西游记第五十四回一样呼啸着
裤裆兜里手机一震,我接到了组织的秘密任务:
为更好对抗黑产,组织决定,派你
卧底接码平台!!!
1
迷雾
烟瘴弥漫,接码平台为何物?
要卧底的接码平台到底是什么?为何会有接码平台?我的故事是这样:
接码平台,就是收集大量手机黑卡的资源平台,提供接收、发送手机验证码服务。日常生活中,当我们要使用某项网络服务,需在该平台上注册个人帐号,平台往往通过下发短信验证码来核身和确认。而黑产想注册大量的帐号,而又没足够多的手机号码资源时,接码平台应运而生。
图:接码平台软件截图
接码平台的工作原理是什么呢?
接码平台主使用猫池设备养了大量的手机黑卡,并基于猫池设备的读取短信等功能,搭建的接码平台,提供获取手机号、获取验证码等服务。平台使用者,只需要调用平台对应的API接口就可以完成验证码的自动获取。
当注册、验证、解封等操作需要填手机号时,首先,调用「获取手机号码」的API,即可从接码平台获取猫池养的可接收验证码的手机号码;然后,调用「获取验证码」的API,获取网络服务商给该手机号下发的验证码,提交通过安全认证。
除了获取手机号码、获取验证码以外,平台还会提供「加黑无用号码」、「释放指定号码」等API 接口,将被使用的不能再接收验证码的手机号“拉黑”。同时,还会提供「用户登录」、「获取用户信息」等API接口。有了这些 API接口,平台使用者可自行开发实现自动注册、解封帐号的工具或叫脚本。有图有真相。
图:接码平台API说明
2
风起
缕析接码,平台接口调用几何?
在该接码平台打了一周黑工后,我,坚强哥终于获取到平台的一手数据,通过对该平台各个API接口调用数据分析发现,获取手机号API的调用量以68%的占比稳居第一 。
图:接码平台接口调用量分布
令人惊讶的是,获取验证码API的调用量与获取手机号的API差别很大,并不在一个数量级,从获取手机号到获取验证码的转化率不足20%。
经过分析,可能的原因为平台部分手机号接收不到验证码,自动机便会不断尝试获取新的手机号,导致调用「获取手机号」的量级最大;此外,某些别有良心的爬虫也是原因之一,其中细节嫁给我就告诉你。(坏笑,心动吗?)
3
走马
匪匪翼翼,接码项目分门别类
接码平台卧底归来后,我的代码成了整个防水墙团队最规整的模范。其中缘由,且听我慢慢道来:
网络服务商往往限制一个手机号只能注册一个帐号,手机号一旦被注册使用了,便不能再用以注册,或再次注册也接收不到验证码。为了方便管理,接码平台会根据项目来分类,并且每个项目分配了项目ID,井井有序,条理不乱。
与此对应,不同项目的价格也不尽相同,如注册微信号和注册探探号的价格差别就很大。
卧底的接码平台,目前有8000多个项目,覆盖各类网络服务,包括电商、游戏、社交领域的各类产品,甚至还有大量的虚拟货币产品。但并不是每个项目每天都有黑产在攻击,在 该平台上平均每天攻击的项目约300~400个,据卧底最近一个月的数据来看,黑产攻击的项目数量在稳步增多。
图:接码平台日活项目数量趋势
对比调用「获取验证码」API接口数量,可以知道,电商、互金和社交类产品是最近一个月被攻击最多的目标。为了更清楚的了解黑产的动向,冒着被发现的风险,我偷偷调取了某APP被该接码平台请求验证码的数据,通过绘制数据曲线,不难发现,6月中旬有个像珠穆朗玛一样凸起的获取验证码高峰。
图:接码平台某APP验证码手机卡数量趋势
同时期,据腾讯防水墙情报监控显示:6月中旬,该APP做过一轮“拉新促活”的营销活动,新老用户可参与活动领取现金券,并通过充值话费进行套现。
嗅觉敏如狗,看到这个活动,黑产理所当然嗅到了金钱的味道。
4
虎穴
刀头舐血,深究平台手机黑卡
在经过层层考核后,终于获得了接码平台BOSS的信任,月黑风高夜,BOSS带我走进了小黑屋——核心资产秘密基地:一排排紧罗密布的猫池,猫池上插着一列列手机卡,风扇发出嗡嗡的嘈杂,老板说这就是他的“印钞机”,这本该给普通用户的活动经费优惠,却流入到黑产的手中,想到此我内心愤愤不平,考虑到要执行任务,只能面无表情故作淡定!
为了搞清楚接码平台上的手机黑卡,三天后深夜,趁老板不在,偷偷登录到后台,连夜获取了后台上的手机号码数据,经过分析发现,在最近这一个月,平台上有超过400万的手机黑卡,而仅用于获取短信验证码的手机黑卡每天就有20万之多,以平均每个手机黑卡每天接收2条验证码计,按给用户的价格是0.1元/条计算,接码平台日均收入约4万。
图:接码平台获取验证码的手机号码数量趋势
估算了接码平台的惊人收入,反水的冲动涌上心头快要将我淹没......此时,脑海里荡着防水墙扫地阿姨的面庞:“人一辈子会遇上很多诱惑,要守住内心,不要变得不堪。”阿姨的话让我瞬间清醒,继续抓紧撸几行代码,看看接码平台的手机黑卡都是哪里来的。数据显示,该接码平台手机卡主要集中在吉林、四川和浙江。
图:接码平台手机黑卡地域分布
之前闲聊时,接码平台BOSS提过与Top这几个地区卡商有密切合作,在防水墙监控中遥遥领先的广东黑卡在这个平台只能排第六,由此推断,该平台在广东的渠道比较少。有的行业靠天吃饭,黑产这一行看来是靠资源吃饭。
5
冰消
何人接码?轻接神秘罗面纱
知己知彼,百战不殆,趁此机会我下决心好好研究下对手,帮助团队更详尽的了解打码产业链以及平台上的用户为何人。想到这,顶着凌晨4点的星星,继续撸起了代码。
经过分析,接码平台上平均每天有几千个黑产用户登录,最终调用获取验证码接口的黑产用户数量上千,这些黑产用户,会使用不同的IP来访问和请求平台的接口,而这些IP主要集中在江苏、广东和浙江三地,看来黑产资源丰富情况与地区GDP呈正相关。
就在熬夜奋战正酣时,我发现半夜里接码平台服务器的负载还很高,好奇心驱使,分析了下最近一个月调用「获取验证码」API接口的时间点,惊奇的发现,黑产从业者们大多数是夜猫子,前半夜尤为活跃,高峰期出现在半夜10~12点这个时间段。
图:接码平台获取验证码请求量时间趋势图
6
日出
卧底归来,一夫当关万夫莫开
我是陈坚强,现在被黑产圈全力通缉。卧底行动获知的情报,已尽数反馈给防水墙团队兄弟们用以防护升级。敲完这一篇文章,就要继续逃命了,不能继续陪在扫地阿姨身边,我将潜入黑暗,守护业务安全!
犯我业务者,虽远必诛!腾讯防水墙致力于解决公司内外业务的安全问题,专注业务安全服务,用领先的人工智能技术解决业务欺诈、营销活动防刷、爬虫、撞库等问题。
如需了解更多,欢迎访问防水墙官网:007.qq.com及关注 “腾讯防水墙” 微信公众号!