分类
外匯交易

从平台安全的角度看黑平台

图1-2 跑分平台运作模式

从平台安全的角度看黑平台

官方公众号 企业安全 新浪微博

FreeBuf+小程序

背景:上一篇“我被“**APP”诈骗了”发布之后,很多网友私信反映,根据大量留言内容,主要包含两个方面,一方面是他们自己的支付宝收款码、银行卡号被诈骗团伙利用了,另外一方面是自己被骗了,看有没有什么办法追回失去的金钱,这是什么情况?根据我们以往的经验,这很有可能是诈骗团伙使用第三方平台获取的收款码或银行卡信息来逃避追责,以降低安全风险,或者平台跑路。

图1-1“跑分”平台的应用程序列表

一、“跑分”平台黑产分析

图1-2 从平台安全的角度看黑平台 跑分平台运作模式

1.1 “跑分”平台推广方式

图1-3 从平台安全的角度看黑平台 招收兼职推广

图 1-4某跑分官网招收代理

图1-5 与代理聊天记录

图1-6 下发“跑分”APP

图1-7聊天记录信息

1.2 “跑分”平台黑产运作流程

图1-8“跑分平台”运作流程图

(1)已经从事“跑分”的用户需要拉下级,发展下线;

(2)租借正常用户账户发布兼职信息;

(3)需要兼职的用户找到发布兼职的的平台,找到相关兼职;

(4)发布兼职的用户让兼职人员添加自己的某某社交账户,并发送“跑分平台”信息;

(5)兼职用户下载“跑分平台”APP,并注册登录、完善信息,包括了绑定***、上传收款码、交押金等;

(6)黑灰产团队在“跑分平台”放单;

(7)兼职用户在“跑分平台”接单;

(8)黑灰产团队将从“跑分平台”获取的对应用户的收款码、***号发给被诈骗的用户;

(9)被诈骗的用户将钱转给兼职用户;

(10)"跑分平台"将兼职用户的押金转给黑灰产团队账户。

二、“从平台安全的角度看黑平台 跑分平台”APP分析

图2-1个人、公司公开售卖源码

2.1 样本概况

样本名称:开心赚

MD5:6BD44F509208C04F1DD9C66893B1DCAF

包名:io.dcloud.www.kaixinzhuanwang.com

证书MD5EFE64EA9F811B577737E6818A858761A

打包时间:2020年05月08日16时03分26秒

图2-2 程序安装图标

2.1 样本行为分析

图2-3 代码结构

图2-4 代码页面

嵌入的第三方SDK会收集用户安装的应用列表和App的运行日志。

图2-6上传应用程序列表、固件信息

图2-7 上传APP运行日志

三、“跑分平台”相关溯源

图3-1 溯源脑图

3.1 作者一

图3-2 “开心赚”网页源码

图3-3 作者QQ信息

图3-4 源码售卖店铺信息

图3-5 作者引流方式

3.2 作者二

图3-6 源码作者信息

图3-7 作者QQ资料信息

图3-8 作者个人网站信息

图3-9 作者网络教学课程

3.3 服务器分析

绑定过域名信息:

序号 域名
1 k*.com
2 w*.ka****pp.com
3 w*.ka****ng.com
4 w*.ma***kit.com
5 s*.com
6 w*.sk****fly.com

后台地址:

图3-10 服务器后台

四、“跑分平台”的危害

4.1 泄露个人隐私信息

图4-1“跑分平台”上传信息页面

4.2 骗取押金

4.3 封号

图4-2 用户资金被冻结S

黑灰产规模化背后:由发卡平台组成的资源交易网

互联网犯罪的特征与传统刑事案件有一个重要的区别就是作案链条要长很多,且难追踪。这导致在网络犯罪的追责上很难追到上游犯罪链条,且法律依据也并不明确导致案件落地难度也更大,这种情况下往往最终抓捕的只是整条产业链的最后的几个节点,而上游的产业链节点处于相对安全的情况。也还因为发卡平台交易的内容与犯罪场景存在距离,让其规避法律风险的空间很大。比如交易内容为某某帐号,其可用做诈骗场景,但上游的供号商可以完全以自己不知情规避法律风险。

发卡平台解决的核心问题

3.1 互联网黑灰产上下游分工协作的效率问题

互联网黑灰产业链与传统犯罪一个比较大的区别,是网络黑灰产的分工会更加精细,一条产业链会包含多个团伙的分工协作,这就对黑灰产人员的协作效率带来了要求。互联网黑灰产想要获得更大的利益,需要通过规模化完成,也就对黑灰产整体之间的协作效率产生了刚性的需求。

在威胁猎人之前的报告中也有提到像“接码平台”,这类平台也是基于整体黑灰产在2015-2016年期间快速发展阶段的协作效率提升需求而产生。接码平台出现的时间要更早一些。

3.2 互信问题

发卡平台的出现在一定程度上缓解这种信任问题。发卡平台的自动化交易其实从本质上也并不能完全解决信任问题,但通过发卡平台把交易流程结构化之后,可以让欺诈的成本变高,同时降低欺诈的随机性。比如以前会存在卖家真的有货,但也不会发货的问题。

二、发卡平台在互联网黑灰产交易生态中的定位及其特点

互联网黑灰产环境分层

第一层:地下交易市场

第二层:暗网

第三层:发卡平台

三、大众对发卡平台的关注度

一直以来,大众对发卡平台的整体了解程度并不高,这就要说到发卡平台的群体控制机制。简单来说,就是发卡平台是在固定黑灰产群体中的效率提升工具。这个机制的核心是“分散化”——即平台的分散化和商品的分散化,发卡平台中的商品并不会在官网网站上被展示出来,甚至都没有一个搜索的入口,商品信息的传递最终仍然是通过特定群体的社交网络来完成,你想获取到最新的交易商品信息就必须已经是这个群体中的一员。这个机制使得发卡平台即使已经在整体灰色产业链当中起到着中坚力量,但仍然不被大众所知

四、当前国内发卡平台中的黑灰产数据

我们通过长期监测发卡平台,接触参与发卡平台交易的黑灰产群体,经过采样统计和研究推测,目前参与到发卡平台交易的黑灰产从业人员超过1万人,涉及的商品种类将近数千种,商品数量超过百万,年产值数千万

我们对监控到的发卡平台在售的灰色商品进行了分类统计,主要分为账号类、影视会员卡密类、虚拟商品寄售类、软件技术类四大类。商品详细分类及代表商品展示如下表所示:

在发卡平台出售的商品中,账号类商品数量最多,占比为59.12%,账号是黑灰产进行攻击的基础资源,所售账号种类涉及到众多行业,比如社交、电商、娱乐、生活服务等等;发卡平台另一活跃商品类型为各大影视会员卡密,占比为23.18%,包括但不限于腾讯视频、爱奇艺、优酷等。在售灰色商品分类及占比统计情况如下图所示:

灰色商品的价格是体现厂商风控策略有效性和市场需求变化的一个非常直观的因素 ,商品价格越高,代表厂商风控策略越有效,黑产作恶成本越高。比如对注册、登录进行设备指纹检测的厂商,黑灰产就要找到并且绕过厂商的登录风控策略,甚至黑灰产很难进行批量化自动注册,作恶成本极高,此类账号的价格就会明显高于没有风控对抗的注册账号。账号价格的变化,也体现了某一厂商一定周期内与黑灰产攻防对抗策略的有效性,账号价格升高,代表厂商的风控策略生效或者该业务的需求变大。

发卡平台上展示的商品分类非常详细,商家会细分到同一类账号的不同等级,比如不同等级的微博账号会分开展示。整个发卡平台每天会新增大量的商品种类。需要说明的是,这里展示的每日新增商品,是指自我们监控已有的渠道以来,未出现过的商品种类,并不代表发卡平台之前未出现过此类商品,也不代表其他渠道从未出现过。新增商品体现了黑灰产攻击业务的目标趋势,对于厂商而言,应该重点关注每日新增的商品,结合商品价格和库存, 可以直接体现厂商业务风控的有效性和黑灰产攻击的成本 。

五、如何有效预防黑产作恶?

威胁猎人基于对黑灰产交易的布控能力,帮助企业发现正在面临的业务风险问题:

黑产的作恶和变现都重度依赖于其手中持有帐号资源以及资源交易平台。黑灰产“淘宝”——发卡平台上不同类型“资源”的交易,可以对应企业不同场景下的安全问题。例如虚假帐号类的交易行为,可以体现企业遭受恶意注册风险现状;而优惠券、礼品卡类的交易行为,对应的则是企业相关营销活动可能正在遭受黑灰产攻击。

因此,基于对黑灰产资源及交易平台的布控能力,TH-Karma从企业业务场景的视角切入,提供相关风险的情报预警。目前我们已新增了帐号安全预警功能

关于帐号安全预警功能:

黑灰产大量注册“饲养”的预备作恶账号就如同炸弹隐藏在真实用户中。针对这一点,TH-Karma从产业链角度进行逐点布控,以辅助企业掌握恶意注册风险问题。

黑平台MOKFX竟然是中国人在英国注册的公司?大家小心!


除了监管作假,小聚还通过网络搜索发现MOKFX GLOAL LIMITED这家公司正在外国媒体进行大肆宣传当中。因此,为了防止更多人被这家监管作假的黑平台所欺骗,小聚特地在此郑重提醒大家远离这家无监管的黑平台!

另外,大家一定要多多关注小聚同名公众号:聚客诉。如果有任何投诉和问题欢迎随时和小聚联系!~

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform 从平台安全的角度看黑平台 and only provides information storage services.

揭秘!网络诈骗催生下的秒拨IP黑产及其背后网罗的“猎物”

分享到:

有市场,有需求,就意味着机会丛生。

推测此种偏好方式,境外的黑灰产可能是为了防止其使用的社交账号、支付账号被冻结或满足一定的上网娱乐需求;境内的黑灰产可能是为了防止具体位置信息暴露、提高追溯难度。而这两种身份伪装的方式,代表了目前主流的两种IP代理手段:固网IP秒拨和移动网络IP秒拨。

固网IP秒拨原理及实现方式

移动网络IP秒拨原理及实现方式

移动网络秒拨指的是利用移动网络提供的IP,向外提供代理IP。随着攻防对抗的升级,传统固网式的IP多已被标记识别,目前⿊产将视线转移到更为隐蔽的移动网络IP上。从已掌握的情报来看,其实现方式有4种:手机热点、USB上网卡、IP魔盒、移动IP代理软件。

手机热点、USB上网卡需要手动断网才能获得新的IP,存在不足,而IP魔盒和移动IP代理属于自动化类产物,弥补了手机热点和USB上网卡的不足,已渐渐成为主流。

USB上网卡即便携式网络热点,插入手机卡,供电后即可共享网络。此些USB上网卡使用的流量业务,主要是一些第三方公司在运营,其向运营商采买流量后,分包卖给上网卡用户。

IP魔盒为一款硬件盒⼦,支持多种类型的手机卡,接入电脑后可以使电脑拥有移动网络IP,通过其自带的脚本可实现IP自动切换。

除了利用硬件产品实现移动网络秒拨外,目前一些代理软件也提供移动网络IP,安装此类应用后,可根据其提供的移动网络线路IP进行IP伪装。利用移动网络秒拨IP,黑产分子能实现快速变换IP或指定IP归属地,绕过时间、地域、次数的限制,同时随着5G网络的普及,在5G高带宽的背景下,黑灰产可能会以此衍生出其他的攻击手段。但从目前已知的风控手段来看,针对移动网络类秒拨IP并未迭代出良好的反制手段,IP伪装攻防对抗将是一场持久战。