查看原文
其他

卧底归来,暗夜揭秘黑产接码平台

腾讯防水墙 腾讯防水墙 2022-09-05


点击上方蓝字关注腾讯防水墙

了解第一手企业安全资讯


/  /  /  /  /  /  /  /  /  /  /  /

黑产的对抗,不仅是与黑产从业者的角逐,更是跟黑产资源对抗。为了更好对抗黑产,护航业务安全,防水墙派遣陈坚强卧底接码平台内部,揭开黑产——接码平台的神秘面纱。

0

11

前章



风劲潮涌,任重自当扬帆破浪


我是陈坚强,经过我一个月的日观天象熬夜观球

结合安全大数据,使用各种神奇的AI算法一通乱算

终于……我发现,今年的世界杯妥妥有毒

懂球帝工地搬砖,反压别墅靠海

小组赛没结束,输到皮都没了

啊……命运,为何比贝多芬弹奏的还要惨

但是人生总是有转机的,我现在还能敲下这篇文章,要从半月前的天台说起

那晚天台的风,像西游记第五十四回一样呼啸着

兜里手机一震,我接到了组织的秘密任务:

为更好对抗黑产,组织决定,派你

卧底接码平台!!!

 

1

迷雾



烟瘴弥漫,接码平台为何物?


要卧底的接码平台到底是什么?为何会有接码平台?我的故事是这样:

接码平台,就是收集大量手机黑卡的资源平台,提供接收、发送手机验证码服务。日常生活中,当我们要使用某项网络服务,需在该平台上注册个人帐号,平台往往通过下发短信验证码来核身和确认。而黑产想注册大量的帐号,而又没足够多的手机号码资源时,接码平台应运而生。 

图:接码平台软件截图

接码平台的工作原理是什么呢?

接码平台主使用猫池设备养了大量的手机黑卡,并基于猫池设备的读取短信等功能,搭建的接码平台,提供获取手机号、获取验证码等服务。平台使用者,只需要调用平台对应的API接口就可以完成验证码的自动获取。

当注册、验证、解封等操作需要填手机号时,首先,调用「获取手机号码」的API,即可从接码平台获取猫池养的可接收验证码的手机号码;然后,调用「获取验证码」的API,获取网络服务商给该手机号下发的验证码,提交通过安全认证。

除了获取手机号码、获取验证码以外,平台还会提供「加黑无用号码」、「释放指定号码」等API 接口,将被使用的不能再接收验证码的手机号“拉黑”。同时,还会提供「用户登录」、「获取用户信息」等API接口。有了这些 API接口,平台使用者可自行开发实现自动注册、解封帐号的工具或叫脚本。有图有真相。

图:接码平台API说明

2

风起



缕析接码,平台接口调用几何?


在该接码平台打了一周黑工后,我,坚强哥终于获取到平台的一手数据,通过对该平台各个API接口调用数据分析发现,获取手机号API的调用量以68%的占比稳居第一 。

图:接码平台接口调用量分布

令人惊讶的是,获取验证码API的调用量与获取手机号的API差别很大,并不在一个数量级,从获取手机号到获取验证码的转化率不足20%

经过分析,可能的原因为平台部分手机号接收不到验证码,自动机便会不断尝试获取新的手机号,导致调用「获取手机号」的量级最大;此外,某些别有良心的爬虫也是原因之一,其中细节嫁给我就告诉你。(坏笑,心动吗?)

3

走马



匪匪翼翼,接码项目分门别类


接码平台卧底归来后,我的代码成了整个防水墙团队最规整的模范。其中缘由,且听我慢慢道来:


网络服务商往往限制一个手机号只能注册一个帐号,手机号一旦被注册使用了,便不能再用以注册,或再次注册也接收不到验证码。为了方便管理,接码平台会根据项目来分类,并且每个项目分配了项目ID,井井有序,条理不乱。

与此对应,不同项目的价格也不尽相同,如注册微信号和注册探探号的价格差别就很大。

卧底的接码平台,目前有8000多个项目,覆盖各类网络服务,包括电商、游戏、社交领域的各类产品,甚至还有大量的虚拟货币产品。但并不是每个项目每天都有黑产在攻击,在 该平台上平均每天攻击的项目约300~400个,据卧底最近一个月的数据来看,黑产攻击的项目数量在稳步增多。 

图:接码平台日活项目数量趋势

对比调用「获取验证码」API接口数量,可以知道,电商、互金和社交类产品是最近一个月被攻击最多的目标。为了更清楚的了解黑产的动向,冒着被发现的风险,我偷偷调取了某APP被该接码平台请求验证码的数据,通过绘制数据曲线,不难发现,6月中旬有个像珠穆朗玛一样凸起的获取验证码高峰。

图:接码平台某APP验证码手机卡数量趋势


同时期,据腾讯防水墙情报监控显示:6月中旬,该APP做过一轮“拉新促活”的营销活动,新老用户可参与活动领取现金券,并通过充值话费进行套现。

嗅觉敏如狗,看到这个活动,黑产理所当然嗅到了金钱的味道。

4

虎穴



刀头舐血,深究平台手机黑卡


在经过层层考核后,终于获得了接码平台BOSS的信任,月黑风高夜,BOSS带我走进了小黑屋——核心资产秘密基地:一排排紧罗密布的猫池,猫池上插着一列列手机卡,风扇发出嗡嗡的嘈杂,老板说这就是他的“印钞机”,这本该给普通用户的活动经费优惠,却流入到黑产的手中,想到此我内心愤愤不平,考虑到要执行任务,只能面无表情故作淡定!


为了搞清楚接码平台上的手机黑卡,三天后深夜,趁老板不在,偷偷登录到后台,连夜获取了后台上的手机号码数据,经过分析发现,在最近这一个月,平台上有超过400万的手机黑卡,而仅用于获取短信验证码的手机黑卡每天就有20万之多,以平均每个手机黑卡每天接收2条验证码计,按给用户的价格是0.1元/条计算,接码平台日均收入约4万

图:接码平台获取验证码的手机号码数量趋势

估算了接码平台的惊人收入,反水的冲动涌上心头快要将我淹没......此时,脑海里荡着防水墙扫地阿姨的面庞:“人一辈子会遇上很多诱惑,要守住内心,不要变得不堪。”阿姨的话让我瞬间清醒,继续抓紧撸几行代码,看看接码平台的手机黑卡都是哪里来的。数据显示,该接码平台手机卡主要集中在吉林、四川和浙江 

图:接码平台手机黑卡地域分布

之前闲聊时,接码平台BOSS提过与Top这几个地区卡商有密切合作,在防水墙监控中遥遥领先的广东黑卡在这个平台只能排第六,由此推断,该平台在广东的渠道比较少。有的行业靠天吃饭,黑产这一行看来是靠资源吃饭。


5

冰消



何人接码?轻接神秘罗面


知己知彼,百战不殆,趁此机会我下决心好好研究下对手,帮助团队更详尽的了解打码产业链以及平台上的用户为何人。想到这,顶着凌晨4点的星星,继续撸起了代码。


经过分析,接码平台上平均每天有几千个黑产用户登录,最终调用获取验证码接口的黑产用户数量上千,这些黑产用户,会使用不同的IP来访问和请求平台的接口,而这些IP主要集中在江苏、广东和浙江三地,看来黑产资源丰富情况与地区GDP呈正相关

就在熬夜奋战正酣时,我发现半夜里接码平台服务器的负载还很高,好奇心驱使,分析了下最近一个月调用「获取验证码」API接口的时间点,惊奇的发现,黑产从业者们大多数是夜猫子,前半夜尤为活跃,高峰期出现在半夜10~12点这个时间段

图:接码平台获取验证码请求量时间趋势图

 

6

日出



卧底归来,一夫当关万夫莫开


我是陈坚强,现在被黑产圈全力通缉。卧底行动获知的情报,已尽数反馈给防水墙团队兄弟们用以防护升级。敲完这一篇文章,就要继续逃命了,不能继续陪在扫地阿姨身边,我将潜入黑暗,守护业务安全!


犯我业务者,虽远必诛腾讯防水墙致力于解决公司内外业务的安全问题,专注业务安全服务,用领先的人工智能技术解决业务欺诈、营销活动防刷、爬虫、撞库等问题。

如需了解更多,欢迎访问防水墙官网:007.qq.com及关注  “腾讯防水墙” 微信公众号!

附:

手机黑卡揭秘篇——《手机黑卡,这个仇我记下了!》



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存