思路

永安在线

《浅黑科技 - 黑客老毕（永安在线CEO）决定登月》

跟黑产斗智斗勇并不容易。创业头一年的年底，毕裕跟合伙人商量，停止拜访客户，担心说拿下太多客户，服务不到位，把牌子砸了。至于原因，老毕打了个比方：

一个公司发了一批优惠券，我们发现有人在论坛里组织大家去薅羊毛，要不要告诉客户？当然不要。客户会说，我特么发优惠券本来就是为了让大家去抢的啊，这算个毛的业务威胁？客户只怕黑产用机器和僵尸账号去大规模收割。

为了降低误报，他们得综合各个维度的线索去判断，顺藤摸瓜，找到实锤，比如调查出黑产用的自动化薅羊毛工具，但这非常花功夫。

另一个问题则是漏报。黑产的操作一个比一个骚，你用代理IP蜜罐，他们就改用手机流量卡，不用代理IP。这就好比你在黑帮里安插了几个卧底，结果黑帮偏偏不把活派给这几个人，而且派给另一伙人，这就很尴尬。

为了应对这类情况，老毕他们得不断找到新的黑产监控方法，从各个维度收集线索，跟黑产斗智斗勇。

这些问题后来解决了吗？老毕说相当程度上解决了，毕竟安全这件事不可能做到尽善尽美

在老毕眼里，和黑产的博弈本质上是一场成本和效率的较量。

我喜欢每一个理想主义者😘

2018年的某一天，老毕走进一家店，在手上纹了一个“We choose to go to the moon”。

PS：浅黑科技写的人物专访我~~在摸鱼时~~都挺爱看

京东

信息安全部-Woody（吴迪） - 《面向账号安全的黑产攻防体系是如何建设的？》

人工模型的优点是产出快速、针对性强；而缺点是防护性较低，有一定滞后性; 智能模型的优点则是召回率稳定、具有一定的前瞻性，缺点则是迭代较慢、建模成本高。

通过统计量数据分析，找到伪装的固定值、聚集值或异常值，整合多种规则建立智能打分模型，提升模型健壮性，增加黑产破解度。

硅谷研究中心负责人-苏志刚 - 《AI大数据时代电商攻防:AI对抗AI》

京东-苏志刚 - AI大数据时代电商攻防-AI对抗AI.pdf

南伯基尼

《设备指纹：面对各种虚拟设备，如何进行对抗？》

“数据和特征决定了机器学习的上限，而模型和算法只是逼近这个上限而已”

随着H5、小程序等应用的普遍落地，Web端的设备指纹技术也是目前火热的研究方向之一。试着思考一下，Web环境中的设备指纹会面临哪些新的挑战和技术难点？

《安全运营：“黑*产”打了又来，如何正确处置？》

情报收集掌握和了解黑产的动向和手段，是做好业务安全防御的必要基础。情报收集需要运营人员对微博、贴吧等公开信息源保持监控，加入一些“羊毛群”，甚至打入一些黑产交流群。

Deal Hunter因（上）公（班）薅羊毛可以吗🤣

阿里云安全

《黑*产攻击洪峰来袭，企业如何守住自己的钱袋子？》

云手机

常见套利场景：薅羊毛、游戏打金
攻防原理：设备群控，从而完成大量虚假账号的注册、登录及活跃养号，然后根据不同行业业务特性实现套利，具有批量、自动化操作等风险特征。

改机工具

常见套利场景：薅羊毛、营销推广作弊
攻防原理：大多数企业会通过限制设备参与活动次数来防止黑产批量薅羊毛；在遭遇攻击后，则通过建立设备“黑名单”来防止风险行为再次发生。而黑产通过改机工具，可以绕过上述限制，进行套利。

应用多开

常见套利场景：“杀猪盘”社交应用多账号操作、虚假推广刷量、恶意引流。

虚拟定位

常见攻击场景：网约车刷单套利、社交App虚拟定位诈骗、商家信息爬取
攻防原理：拦截API，接口获取设备位置信息、使用规则文件替换位置数据、绕开系统对作弊插件的检测，达到插件隐身的目的。

永安在线-鬼谷实验室

《设备风控攻防新挑战——定制ROM改机》

1、安卓模拟器大多数安卓模拟器都支持修改IMEI，机型等设备参数，因此可以伪造出多台设备。不过只要能检测出模拟器环境，这种改机便不攻自破

2、改机工具这类工具运行在真实设备上，基于Xposed、Substrate等框架，注入指定应用，并Hook getDeviceID、getMacAddress等函数，返回伪造的设备信息。针对这种改机，检测Hook框架，多种方式获取并比对设备信息等，都是识别改机的可行方案

3、应用多开/分身通过VirtualApp等技术在真实设备上模拟出多个沙盒环境，然后在沙盒环境中运行应用。由于每个沙盒环境的设备参数都是可控的，所以也可以达到改机的效果。不过由于沙盒环境和真实环境始终存在差异，因此可以检测沙盒环境来识别此类改机。

绿盟

生物行为识别技术通常可用于分析利用恶意软件、机器人活动、远程接管账号等方式进行的未经授权用户或进程更改计算机操作的行为。人在与人、设备交互过程中，都有其特定的、可识别的方式，生物行为特征可以识别不符合已识别模式的异常行为，如诈骗者行为模式。以下是三个例子：
应用程序熟悉度异常：欺诈者使用受损害的身份反复攻击一个站点，通常对站点及其应用程序流程表现出熟悉，操作流畅，这是普通用户所不具备的。
操作快捷性：由于任务性质，诈骗者攻击并试图包含成百上千的账户，诈骗者经常使用高级计算机技能（很少在普通用户中见到），诸如键盘快捷键和功能键等。因此，节省时间和加快过程的技能可能是欺诈活动的标志。
数据输出流畅性：普通用户可以从长期记忆中快速说出个人信息，如姓名、电话号码、地址和信用卡信息，而诈骗者往往不得不依赖短期记忆，表现在输入这些信息时，从时间上存在差异。这也是区分诈骗者与合法用户的标志。

持续的风险分析

依赖于IP信息、4A信息、PIN、短信，以及用户个人行为等信息。利用这些信息，从不同级别进行风险分析，识别潜在异常风险。
User-level检测：分析用户出现了新类型用户行为，不符合历史习惯，例如，对于父辈，所接触的线上支付一般多以移动端进行支付为主，PC端支付较少。当某次支付采用PC端支付，则可表现为异常。
Population-level检测：分析用户的行为在频次上出现异常变化，例如，用户转账频次超过日常次数、转账对象从未出现过，均不符合历史转账的行为。
Biometrics-level检测：从用户的生物行为特征上表现出来的差异，来分析异常行为。例如，利用键鼠行为（击键频率、击键时间间隔分布等）进行身份识别和行为确认。

腾讯棱镜深网

《拼多多惊魂一日背后：黑产公司冒用身份、虚假注册、破解病毒木马》

一批有组织的羊毛党会专门紧盯各个电商平台、网络平台的优惠券、秒杀、返利等活动，形成完整产业链来获利。和普通消费者相比，羊毛党对电商平台规则更熟悉，往往能够迅速发现商品短时间的价格差，低价买进高价卖出，靠价格差获取利益。根据阿里巴巴发布的《阿里聚安全2016年报》显示，2016年在各种互联网业务活动中，缺乏安全防控的红包、优惠券促销活动，会被“羊毛党”以机器、小号等各种手段抢到手，70%~80%的促销优惠会被“羊毛党”薅走。

有阿里内部人士对《深网》表示，因为极小部分商家对优惠券使用不够娴熟，每年都会出现一些优惠规则的漏洞，商品在购买再售出后可以获得小额利润，但由于羊毛党往往手中握有大量账号，在批量倒卖后获利不菲。

在电商价格战的初期，家电是一个主要战场。据《深网》了解，在那个时代甚至有羊毛党投入大笔资金，在家电淡季大量囤货购买，到了旺季之后再卖出，获利不菲。从近年发展来看，羊毛党和电商行业呈联动螺旋上升趋势。最初的羊毛党往往是单兵作战，如在电商平台最初促销时往往有用户一下购买上千包卫生纸、上百桶油等商品，通过让商家无法承担损失索赔或者收到商品后加价卖出等方式赚钱。电商平台的应对方法则往往是进行限制购买，如单个用户单次购买数量进行限定。

优惠券的监测更是电商平台的重中之重，据京东内部人士对《深网》表示：“在大型电商平台上，优惠券的使用非常谨慎，往往都是30%-50%的减免额度，同时会限制品类和使用时间，甚至一些‘神券’对消费者的级别还会有后台审核，基本不会出现无门槛的优惠券。”

从优惠券来说，我感觉还是有很多0元购的单子😅😅😅
往往是其他的风控发现有短时间内高频大量下单的时候通知商家，马上下架商品并通知商家：

在羊毛党的相关平台或网站上，针对性软件层出不穷，从最简单的抢券、价格监测到复杂的破解验证码、批量下单等都有涉及。一位软件卖家对《深网》表示，软件可以支持多个账号同时下单，同时他还出售多个身份证号等相关证件。在成为集团军后，羊毛党逐渐从“贪小便宜的顾客”走上违法犯罪的道路。据相关法律人士介绍，目前羊毛党涉嫌违法主要在以下两类：

首先是部分羊毛党涉及冒用身份或滥用身份；其次一些成规模的羊毛党还涉嫌制造系统漏洞来套取平台利益。

以此次拼多多事件为例，根据拼多多公布的细节显示，该事件中的相关优惠券，均系黑产团伙通过非正常途径生成的二维码扫码后获得。通过该非正常途径生成的二维码，原本每个认证信息的用户可且仅可领取一张无门槛100元优惠券。有黑产团伙通过“养猫池”（用手机卡蓄养大量虚拟账号）等不法手段，实现N张手机黑卡同时作业，批量盗取该种优惠券。

据业内人士介绍，目前互联网行业羊毛党主要涉及到以下几种作案工具：黑卡：指非正常使用的手机卡，这些黑卡会提供给各个接码平台，用于接收发送验证码，从而进行各种虚假注册、认证业务；猫池：在猫池设备上可以同时管理多个（几十甚至上百）电话手机卡，无需相应的手机硬件即可通过配套的软件实现同时接收、发送短信、拨打电话等功能，高级的软件甚至可以注册微信等社交软件平台；公民个人信息四件套：往往来自偏远乡村或一些对互联网不了解的人士的相关资料，含“身份证、银行卡、手机号”以及“银行相关密保资料”；注册破解类病毒木马，攻击平台漏洞，或者对平台进行撞库拿到用户的相关资料，或者用黑卡进行无限量用户注册。

个人

《tom_vodu - 谈谈我眼中的黑*产威胁情报》

信息也是有区分的，准确的、不准确的，片面的、全面的。好的黑产威胁情报，就是获取准确、及时、全面可靠的黑产威胁信息，这些信息的归纳起来就是大家一直在说的6个W，when、where 、who、what、why、how。前面五个词其实非常简单直接，谁，在什么时间、什么地点、去做什么事情以及为什么要去这么做。第六个词，how，如何做。我理解how其实是有两层意思的，第一层是黑*产人员如何去做的，这个理解起来很简单，重要的是第二层意思，你怎么做去实现威胁情报的最大价值，就复杂了。

价值是做黑*产威胁情报的指导方针。每次跟同行聊天，大家也都是被这个问题所困扰，如何去衡量威胁情报的价值，如何将价值最大化，会是每一个人威胁情报团队的研究重点。其实也有一个非常简单的解决方案，就是业务，围绕着业务来进行。

《雷木数据王刚wg19931112 - 账号准入侧的黑产攻防！》

准入体系+敏感词策略+决策引擎+举报机制

账号准入体系：用户在注册阶段拦截黑产用户。基本上微商引流，股票彩票加微信，涉黄涉政内容发布的这些账号，都是通过卡商和接码平台批量注册使用，获取数百万的验证码。这就表明这些手机号本身，就有足够的特征和维度。卡商或者黑产获取手机号都是多次利用，所以这些手机号一般都是被标记过的。所以在注册的时候，建议对手机号加一层准入规则，常规的手段是禁止小号和虚拟号，进一步的话就需要采购第三方账号侧反作弊套件，基本就是输入手机号+ip，可以返回一个标签，关于手机号的画像，也会有风险分。业务可以根据返回的值判断风险，现在雷木数据数据有运营商维度黑库，都是T+0实时更新，同时黑产获取手机号成本较高，黑产的手机号做不到实时更新，所有基本透过手机号就可以识别98%以上的黑产，所以只要企业拿着手机号去测各家的数据的准确率和误杀率并不难。在用户注册的阶段添加一个护城墙，可以有效防止大多数黑产

敏感侧策略：现阶段企业主要使用的是外采词库和内部自己维护的动态词库，外采一般是通过第三方的安全厂商api接口使用的，可以嵌入用户录入的文本，这样就可以快速识别违禁词语。建议企业还是自己组建词库，需要一套应用策略，包含敏感词收集策略、敏感词应用策略、敏感词处置策略。图片违规主要分为两种，第一种是黄恐暴类图片，图片本身就有问题，第二种是图片本身没问题，但是图片里面水印或者信息有加微信引流的信息，这类基本阿里或者腾讯都是现成的方案。

决策引擎：基础逻辑就是通过算法和策略提取用户的特征，在用这些特征计算独有的风险分。例如如何判断一个人时美女，我们就需要对注册进来的女孩子提取特征。我们就需要很多维度，很简单的有身高，体重，三围等等，一般的算法工程师通过这个三个维度来计算个分值，就用这分值来判断是否是美女。可能有另外的算法工程师提取另外的维度像有容貌，身高，年龄，三围，在通过这些维度计算一个分值，然后用来计算是否美女，这样我们就能看出企业提取的维度越多就判断的越准确。一般企业的风控分析师可能会提取数十万的特征，在通过这些特征判断用户是否违禁

举报机制：企业需要一个有效的举报机制，通过忠实用户的举报来防范这些违禁用户，忠实的用户看来这些内容都是会去举报的，然后在转到人工审核机制，就可以及时的封禁这些用户和内容。

说起来简单但是做起来却是很难，这也是为什么持续会有企业被“安排”。小微企业一般外采账号准入体系和文字图片识别就足够企业使用，中型企业和小微企业比较类似，只不过需要账户准入体系的维度加大，就可以足够，大型企业就需要添加行为特征和设备的一些信息去防止黑产的侵入。

框架 / 概念 / 标准

IPDRR

IPDRR是NIST提供的一个网络安全框架（cybersecurity framework），主要包含了五个部分：

Identify：评估风险。包括：确定业务优先级、风险识别、影响评估、资源优先级划分Protect：保证业务连续性。在受到攻击时，限制其对业务产生的影响。主要包含在人为干预之前的自动化保护措施 Detect：发现攻击。在攻击产生时即时监测，同时监控业务和保护措施是否正常运行 Respond：响应和处理事件。具体程序依据事件的影响程度来进行抉择，主要包括：事件调查、评估损害、收集证据、报告事件和恢复系统 Recover：恢复系统和修复漏洞。将系统恢复至正常状态，同时找到事件的根本原因，并进行预防和修复

👮‍♀️网络安全👮‍♀️

【整理收集】风控文章和概念

思路