一、报告要点
1、黑灰产业的发展从最初期的纯刷人气,刷粉丝,刷赞模式转向纯粹的为刷量和解决刷量的存在业务模式。
2、黑灰产的从业门槛日渐增加,从最初期的特供上游工具,已经流向中下游。
3、2018年上半年刷量任务的需求主要借助最火的自建站点模式完成刷量任务。
4、刷量相关群成员大多以工作室命名。同时工作室的数目也远低于今年。
5、账号售卖产业链成本正仍在降低。
6、新一代的改机工具,不仅价钱高于初期,同时集成了代理IP+虚拟定位的功能。
7、同今年相比,产业链模式无显著变换,更多的是工具功能的开发,如改机工具新增的虚拟定位。
8、账号注册成本的增加,接码平台的爆光。越来越多的黑灰产入门人员开始牵涉号商角色。
9、随着短视频行业的流量激化,刷量产业链带来的帐号需求远低于初期。
10、通过监控相关黑灰产群,热门教程渐渐成为仅次于刷量,刷粉、出售工具的热门话题。
11、短视频在上半年度(2018年)的总体风险评价为:高。
12、和今年相比,虚拟运营商的上卡数目远低于2017年。
13、2018年上半年捕获黑IP数目约占27.10%。
二、基本概念
1、报告中涉及到的术语
(1)引流:将短视频平台用户转入其他利于变现平台,包括但不限于陌陌、QQ。
(2)刷量:对短视频相关业务,采取作弊手段(刷作品播放量、刷粉丝、刷人气、刷赞等)。
(3)批量注册:利用改机工具,刷新设备指纹达到单部手机的复用卖播放量的网站,进而批量注册短视频平台帐号。
2、报告中涉及到的行话/黑话
(1)接码平台:提供手机号,获取注册,解封,换绑邮件的验证码平台。
(2)猫池:猫池厂家负责生产猫池设备,并将设备借给卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发邮件、接打电话、上网等功能的设备,在正常行业也有广泛应用,如邮电局、银行、证券商、各类交易所、各类信息呼叫中心等。猫池设备可以实现对多张手机卡的管理。
(3)改机工具:刷新设备指纹,解决单台设备注册上限的问题。
(4)卡商:卡商指通过各类渠道(如开皮包公司、与代理商打通关系等)从运营商或则代理商哪里代办大量手机卡,通过加价转售下游卡商攫取收益的货源持有者。
(5)养号:将批量注册的大号,不断发作品,关注用户,修改头像,主要目的是为了减少帐号被封的机率。
(6)白号:指接入接码平台直接用手机号注册的帐号,也称直登号。
(7)跳转号:指适用QQ号或则微博快捷登入后,激活绑定转换而成的号码。
(8)直播号:开了直播权限,以及实验室有锁、无锁的帐号。
(9)单双参号:指除帐号密码携带其他参数的帐号,一般用作于刷量。
(10)活粉:带有作品,个签,个人头像,模拟真实用户操作的一批帐号。
(11)死粉:又称僵尸粉,这类帐号,只是带有简单的个签和个人头像,账号活跃度低。
(12)刷粉:短时间内提升帐号的粉丝数目。
(13)出粉:将个人难以消耗的人气流量,以交易“人头数”的方式,获取酬劳。
(14)协议:通过通讯合同进行,直接模拟插口通讯进行功击的工具。
3、报告中涉及到的情报术语
(1)开源情报:通过对公开的信息进行深度的挖掘剖析,确认具体的恐吓或风波,从而直接指导这种恐吓或风波的具体决策和行动。
(2)闭源情报:通过对内部平台所监控到信息进行深度的挖掘剖析,确认具体的恐吓和事件,从而直接指导这种恐吓或风波的具体决策和行动。
(3)工具情报:通过对黑灰产工具做深入的逆向剖析,了解其功击原理和功击形式技巧,然后通过降维以及关联分析的方法挖掘出这个工具背后一系列的白色产业链、黑产结伙、攻击目标和变种工具等等,从而勾勒出一个以工具为源头的黑灰产产业链关系图谱。其能有效定位企业当前所处的风险状态,还原功击特点迭代风控规则。
4、数据来源及采样说明
本报告的主要数据来源包括:
(1)文本类数据;通过定向监控手段获取的黑灰产交易与沟通信息,以及部份热点风波信息。
(2)样本类数据:通过低毒监控手段获取的黑灰产工具样本。
(3)流量类数据:通过蜜罐监控手段获取的黑灰产功击流量数据。
(4)黑卡类数据:通过定向监控手段获取的手机黑卡数据。
(5)黑IP类数据:通过第三方合作、蜜罐监控手段获取的黑IP数据。
(6)风险帐号类数据:通过蜜罐监控和暗网监控手段获得的风险帐号数据。
(7)其他类数据:通过其他第三方合作和监控手段获得的黑灰产相关数据,包括但不限于上述的数据类型。
5、数据采样说明
本报告的数据采样主要采取以下几种形式:
(1)关键词采样:根据特定的关键词及关键词组合,从全集数据中提取与特定剖析对象或特定剖析场景有关的数据子集。主要用于数据统计或趋势剖析。
(2)相似度取样:根据文本或样本数据的相似度,从全集数据中提取具有较高相似度的数据子集。主要用于数据分类统计或案例剖析。
(3)随机采样:对未知类型或内容数据进行简单随机采样,抽样比列依据具体的剖析场景决定,主要用于情报线索发觉或关键词校准。
(4)分层取样:对已知工具/事件数据按既定的标签规则分为若干子集,对每位子集中的数据随机抽取部份数据进行剖析,抽样比列依据具体剖析场景决定,主要用于案例剖析或关键词校准。
受限于数据获取的渠道、数据本身的变化、抽样机率的限制及样本杂讯的影响,基于上述数据采样方法所得的数据剖析结果与实际情况之间可能存在一定的误差。因此,部分剖析结果会采取人工经验判别方法进行修正,这部份数据我们会加以标明。
三、黑灰产业链定义
1、产业链上游及相关角色
产业链上游按照中游和下游的需求,生产和提供各种黑灰产资源。其主要相关角色包括:
(1)工具开发者:开发各种黑灰产工具,具备一定的研制能力,大多使用Python、Lua、易语言,有较强的反侦查能力,大多有固定的中游销售渠道,多为兼职。
(2)卡源卡商:多以正常业务为旗号,通过各类渠道从运营商或代理商获取手机卡资源向接码平台、号商等转让,并定期回收销户。其提供的手机卡按类型可分为:虚拟卡/实卡、语音卡/短信卡、海外卡/国内卡、流量卡/注册卡。
(3)猫池厂商:向接码平台提供猫池设备,可分为2G、3G、4G猫池。
(4)号商:大量注册平台帐号,并以人工或工具形式养号,借助帐号代售平台转让帐号。
(5)黑客:通过技术或社会工程学手段发起功击,多以盗取用户数据为主要目的,再通过地下黑市转让。
2、产业链中游及相关角色
产业链中游负责将上游生产和提供的各种黑灰产资源进行包装和批量转卖,多以各种平台或服务的方式存在。其主要相关角色包括:
(1)接码平台:负责联接卡商和羊毛党、号商等有手机验证码需求的群体,提供软件支持、 业务结算等平台服务,通过业务分成获利。
(2)打码平台:为软件开发者、工作室、普通用户提供即时、精准的图片辨识答题服务,通过识别验证码服务获利。
(3)帐号代售平台:对工作室、普通用户提供相对应需求的帐号,通过抽取相对应的佣金获利。
(4)工具代售平台:对工作室、普通用户提供解决刷量需求的工具,通过抽取相对应的佣金获利。
(5)地下黑市:相关的黑灰产业群、论坛,为工作室、普通用户提供一个需求解决场所。
3、产业链下游及相关角色
产业链下游负责直接执行黑灰产行为,多以工作室方式存在。其主要相关角色包括:
(1)刷量工作室:通过解决普通用户的刷量需求获利。
(2)引流工作室:解决顾客的需求短时间内将大量快手用户引向其他平台,对引流人数和引向的平台设置不同的门槛,抽取佣金。
(3)主播工作室:主要服务于高人气主播,利用相关工具刷人头痛时间内吸引其他用户观看,通过假聊工具营造人气火热的场景。
四、黑灰产业链分类
1、以帐号为核心的黑灰产业链
1.1 核心产业链一:虚假注册
参考砖石模型,我们对虚假注册产业链的运转模式作出如下剖析:
1.1.1 攻击者:开发者团队
(1)主要操作:通过转让批量注册、自动养号脚本;通过转让改机工具;通过售卖云控平台使用权获利。
(2)主要交易渠道:QQ群、微信群、论坛、Telegram群,自建相关站点。
1.1.2 能力/功能:相关黑灰产工具
(1)注册、养号脚本:大多使用Python、Lua、易语言编撰,受制于各大短视频公司业务调整,生存周期不确定。注册类脚本售价2000元/年、养号类脚本售价1500元/年。
(2)改机工具:主要负责修改手机串号,更改手机机型,更改MAC地址,更改无线网路参数,模拟SIM卡参数,模拟手机运营商,更改手机号等等几百项手机参数。典型的有:nzt改机工具 、xx抹机,售价约为300元/年。
(3)群控、云控平台:主要负责让联接的多部手机按照既定脚本批量执行操作。典型的有:触动云控、侠客手机群控,售价约为38元/台/年。
1.1.3 基础设施:QQ群、微信群、论坛、Telegram群
1.1.4 受害者:短视频平台
账号注册环节主要针对虚假注册等业务,虚假注册操作流程主要借助云控平台、批量注册脚本的开发者、接码平台。通过目前已捕获的注册脚本,我们发觉虚假注册的流程和今年相比无显著变化。通过运行批量注册脚本、调用接码平台短信验证码API插口完成帐号注册,最终本地生成一个.txt文件(包含手机号、密码、手机参数)。
1.2 核心产业链二:账号售卖
1.2.1 攻击者:号商
(1)主要操作:通过直接转让帐号给普通用户;通过批量转让帐号给刷量工作室或相关代售帐号代售平台代为转让攫取利益。
(2)主要交易渠道:QQ群、微信群、论坛、Telegram群,以及自建或第三方的帐号代售平台。
1.2.2 能力/功能:账号
(1)老号:通过自动化批量注册工具产出的帐号,再有过一段时间养号行为的帐号。这类帐号一般附送一些作品,对于平台而言老号具有一定的权重性。老号的类型包括但不限于nzt工具产出、批量注册机产出、跳转号方式。
(2)跳转号:指使用QQ号或则微博快捷登入后,激活绑定(利用接码平台绑定业务)而转化而成的平台帐号。这里使用的QQ和微博号多数通过批量注册工具产出,在原平台不具备用户影响力。被用作授权其他平台,购买成本仅几分钱。
(3)白号:也称为直登号,指接入接码平台直接用手机号注册的帐号,通过导出头像和爱称可以批量注册。
(4)单双参号:指携带参数的帐号(包括但不限于手机机型、网络状态、安卓版本、登入token),适用于刷粉、刷量挂人气工具。
1.2.3 基础设施:相关黑灰产群、论坛 、刷量工作室
(1)相关黑灰产群:通过群内充溢大量转让帐号信息,内容大约以:账号类型+价格、账号类型+账号代售平台链接。
(2)工具售卖工作室:指售卖工作室自产的工具或开发者人员交由工作室代售的工具,这类刷量工具须要仰赖大量大号完成刷量任务。
1.2.4 受害者:短视频相关业务、正常用户
(1)被批量注册的大号,在养号过程中形成的粗俗信息,很大程度上影响了正常用户的软件使用体验。
(2)通过大号刷量的作弊行为更是对其他原创视频作者的伤害,影响正常用户对短视频平台公平性的判别。
1.3 衍生产业链一:批量养号
参考砖石模型,我们对批量养号产业链的运转模式作出如下剖析:
1.3.1 攻击者:号商
(1)主要操作:通过接码平台实现帐号批量注册和过邮件验证;通过短视频提取工具获得批量短视频作品资源;通过云控/群控平台批量模拟正常用户信息;通过刷量工具刷粉养号;对外转让养好的帐号。
(2)主要交易渠道:QQ群、微信群、论坛、Telegram群,以及自建或第三方的帐号代售平台。
(3)成本计算:1-2元
(4)盈利计算:老号4-6元,白号2-3元
(5)交易规模:暂无相关数据可统计交易规模。
1.3.2 能力/功能:账号
(1)老号:批量注册的帐号经过养号一段时间售出(可直登、用于工具刷量),在2018年07月间检测到快手老号售价约为5-7元。
(2)白号:近期内批量注册的帐号(可直登帐号)。
(3)直播实名号:已开通直播权限而且实名认证的帐号。
(4)直播非实名号:已开通直播权限但未实名认证的帐号。
(5)跳转号:通过QQ、微博注册的相关帐号,通过绑定手机生成(可直登)。
1.3.3 基础设施:接码平台、云控/群控平台、改机工具、代理IP池、批量注册脚本
(1)接码平台:主要负责提供大量手机号码注册帐号,接码平台好多,活跃的有数十家,比较著名的有:Thewolf、星辰、爱乐赞、玉米(现“菜众享”)等,其中Thewolf和星辰可以接语音验证码。
(2)云控/群控平台:主要负责让联接的多部手机按照既定脚本批量执行操作。典型的有:触动云控、侠客手机群控,成本约为38元/台/年。
(3)改机工具:主要负责修改手机串号,更改手机机型,更改MAC地址,更改无线网路参数,模拟SIM卡参数,模拟手机运营商,更改手机号等等几百项手机参数。典型的有:nzt改机工具、xx抹机,成本约为300元/年。
(4)代理IP池:主要负责提供IP批量注册帐号,典型的有:蘑菇代理、站奶奶、蚂蚁代理,成本约为4000-5000元/年。
(5)批量注册脚本:主要负责自动化批量注册帐号,通常和云控平台搭配使用,在云控平台管理手机,对勾选的设备一键运行设定好的脚本,自动打开短视频app注册帐号。
1.3.4 受害者/目标:正常用户、短视频平台
(1)号商养号过程中,产生的粗俗信息影响正常用户的使用体验。
(2)批量注册的帐号,经过养号行为以后,账号本身具备一定的权重,这类帐号大量被用于刷量、引流可能会给短视频平台带来不良舆论。
1.4 衍生产业链二:虚假认证
1.4.1 攻击者:提单平台
通过平台水单的模式,仅需提供手机号、密码即可。
1.4.2 功能/能力:账号实名认证、直播代开
1.4.3基础设施:身份证、企业相关信息
提供身份证、企业相关信息用于各类帐号类型的认证。认证加V的方式则提供相应的新浪微博会员认证和头条用户认证。
1.4.4 受害者:普通用户
认证号是被平台初审通过,具备真实信息备案的帐号。相比其他原创作者帐号,这类帐号更容易吸收海量人气,引流难度远低于普通帐号。被引流的普通用户会被带入各类盗窃模式,除去常见的苹果手机低卖的模式,还有被引流到后续连环盗窃的可能。
2、以流量为核心的黑灰产业链
2.1 核心产业链一:引流(向外)
参考砖石模型,我们对虚假注册产业链的运转模式作出如下剖析:
2.1.1 攻击者:需求用户
(1)主要操作:
A.提交需求交由相对应的引流工作室,短时间内引入大量自有业务的适配人员;
B.通过使用相关的人气带挂工具,在直播时通过发起编辑好的假聊内容诱使用户引入相关平台;
C.通过伪造的认证信息短时间获取大量人气流量,通过作品引流到相关变现平台;
D.通过视频解析软件,盗取人气高的作品伪装自产作品,截取人气流量,通过二次编辑的作品引流至其他平台;
(2)主要交易渠道:QQ群、微信群、论坛、Telegram群,以及自建或第三方的刷单业务平台。
2.1.2能力/功能:精准引流、出粉
(1)短时间满足顾客的流量需求,对顾客自有业务吸收一批适配的人员流量。
(2)对于自身难以消耗的人气流量,以交易自养的微信群、QQ群为主,这类交易售价针对群人头数设置不同价格,完成出粉的目的。
2.1.3基础设施:引流喊话工具、评论置顶工具
2.1.4受害者:短视频平台、原创作者、正常用户
(1)引流可能造成短视频平台固有的正常用户流失,同时被引入的平台可能涉及违规犯罪活动,会对短视频平台本身导致不良舆论。
(2)被窃取的原创视频,对原创作者而言截取的不仅仅是人气流量,更多的是对作品的原创性热枕增长。
(3)低劣、恶俗的引流模式中涉及的话术,可能导致正常用户的软件体验,对平台本身监管垃圾信息存在指责。
2.2 核心产业链二:刷量(向内)
参考砖石模型,我们对虚假注册产业链的运转模式作出如下剖析:
2.2.1攻击者:普通用户、刷量工作室
(1)主要操作:通过向工作室或相关刷量平台递交刷量任务;通过使用刷量工具进行刷量任务。
2.2.2能力/功能:涨粉丝、提高作品播放量
如下对快手业务为期一个季度的业务价钱监控:
如下对抖音业务为期一个季度的业务价钱监控:
2.2.3基础设施:刷量工具、人气代挂工具
(1)刷作品播放:通过导出大号文本中的帐号,并对作品本身联接提取用户ID下发任务,调用大号进行访问作品,完成刷播放任务。
(2)人气代挂工具:通过调用工具里的大号文件中的单双参数,按调整的频度依次挂入直播间。工具功能包括但不限于对送礼用户手动点关注、自动回复谢谢、假聊(设定大量不同的文字内容,通过工具发出)。
2.3受害者:短视频业务
刷量业务不仅仅针对短视频行业,刷量背后的是一批以刷为生的穿行法律边沿的不法分子。
(1)刷量对短视频公司而言去除海量的插口功击之外,带来的更多是催生其他黑灰产业的成长(包括但不限于号商、开发者人员)。
(2)其他原创作者和短视频平台是刷量业务导致伤害的承载者。通过刷量短时间可以促使作品内容被推上热搜,但真正能常年吸粉的主要诱因应当是优质的作品内容。
2.4衍生产业链一:视频解析
2.4.1 攻击者:开发者人员、号商
(1)视频解析工具的作用是采集并下载无水印的原创作品。
(2)视频解析工具,可以帮助号商养号期间的作品内容填充,降低帐号被封的机率。
(3)高质量的原创作品窃取可以应用于其他平台,用来蕴养一个热门帐号。
2.4.2 功能/能力:视频采集、去水印
2.4.3 基础设施:自建站点、采集工具
(1)通过搭建第三方站点,通过作品的链接下载原创作品。
(2)通过采集工具,可以获取热门作品的播放次数、点赞次数达到筛选优质作品的目的。
2.4.4受害者:原创作者
(1)高质量的原创作品常常会吸收大量的粉丝,盗用作品常常可以截取原创作者的粉丝利润。
(2) 原创作者面对作品的窃取,往往会怀疑平台的公平性,或是对内容原创的热枕增加。
2.5衍生产业链一:教程售卖
2.5.1攻击者:开发者人员、号商
(1)主要操作:通过对养号行为存活率高的帐号总结一套高存活养号流程;通过对引流市场引流技术的汇总出一套热门引流技术;通过对大号的个签更改归纳出一套存活度高的话术;通过总结已有可信的帐号售卖渠道出一套信息汇总。
(2)主要交易渠道:QQ群、微信群、论坛,以及自建站点。
2.5.2 功能/能力:热门、存活度高
(1)热门:提供相对应快速上热门且小几率被封号的教程。
(2)存活度高:存活度是售卖教程的另一大特色,也是突出点。
2.5.3基础设施:黑灰产业群,自建站点
(1)黑灰产业群:通过监控,热门教程词汇成为仅次于刷量,刷粉、引流的高频词汇。
(2)自建站点:以研究流量迈向,出售热门教程为主的自建网站。该类站点售出教程涉及广泛,依附于目前流量火热的平台。如快手、陌陌、微信、抖音、QQ不等。
2.5.4受害者:短视频平台
(1)热门教程短时间内可以给售卖者提供大量资金,用于大号的产出。
(2)教程适用范围广,同时也提供相应的素材包内容。大大提增加了入门的门槛,加大了黑灰产从业人员数目。
五、黑灰产业链变化情况
1、刷量产业链活跃度呈上升趋势
1.1现象描述
1.1.1成本变化
通过对上半年度的相关黑灰产产业链上中下游监控,我们发觉黑灰产业的发展和短视频的成长同样迅速,从最初期的纯刷人气,刷粉丝,刷赞模式转向纯粹的为刷量和解决刷量的存在业务模式。从对工具市场的监控,我们发觉黑灰产的从业门槛日渐增加,从最初期的特供上游工具,已经流向中下游。
如下是最新捕获的针对快手最全的工具列表:
这是从产业链中游的一家工具代售室流出的价目表,该工作室发展稳定,对已订购的用户提供永久更新的福利。从售价和工具类型可以显著看出现在短视频行业的黑灰产业步入门槛远高于2017年,这不仅仅造成黑灰产入门人员的高涨,也映射出黑灰产工具开发者的能力稳定提高,开发效率高的特性。
1.1.2 模式变化
刷量产业链的变化主要集中在中下游部份。在初期,刷量多以个人工作室为主,利用相关的群发软件,在短视频相关QQ群中充溢大量的刷量类型价目表。
群内喊话模式,依然是黑灰产获取任务需求的主要模式,但2018年上半年刷量任务的需求主要借助最火的自建站点模式完成刷量任务。
这类站点模式的优点是可以不断吸收新人的加入,同时对从业人员的操作水平没有任何要求。下级代理完全可以通过一部手机亦或是笔记本时常上架货品赢利,盈利模式靠攫取商品和上级代理的价差,站点的利润非常可观。
通过对黑灰产群内主流的各种刷量工具,发现2018年上半年的刷量模式极大一部分通过水单自建站点完成刷量任务,这类站点与初期的卡盟有着类似的发展模式。
1.1.3 规模变化
黑灰产的从业人员初期主要集中于产业链中上游,下游人数远低于中上游部份,到如今发展往中下游扩散。自建站点、购买刷量工具,操作知识门槛几乎为零的要求,使得人人都能完成刷量的任务,刷量相关群成员大多以工作室命名。同时工作室的数目也远低于今年。
1.2动因剖析
刷量产业链从业人员往中下游发展的趋势的主要诱因如下:
(1)黑灰产产业链模式越见规模化,从业人员角色分工明晰。
(2)上游部份主要成员为开发者人员和号商,早期支付渠道多以陌陌,网上银行为主,而一套虚假的支付方法成本颇高。大力发展中下游产业链,可以降低上游人员的爆光度,从而提高隐秘性。
(3)收益短期内远低于初期,但刷单任务源源不断从下级递交,这种量级的刷单需求是初期难以获取的。
2、账号售卖产业链成本正仍在降低
2.1 现象描述
账号售卖价钱小幅度下降,账号稳定售出,通过对其产出模式各个环节的监控,我们对各个环节进行分析。
2.1.1 成本变化
接码平台
接码平台负责联接卡商和羊毛党、号商等有手机验证码需求的群体,提供软件支持、业务结算等平台服务,通过业务分成获利。接码平台好多,活跃的有数十家,比较著名的有:Thewolf、星辰、爱乐赞、玉米(现“菜众享”)等,其中Thewolf和星辰可以接语音验证码。
随着接码平台爆光风波渐渐增多,如今大部分接码平台已转移至地下,甚至存在锁IP的情况(只能通过固定IP进行访问)。对于须要大量手机黑卡注册大号的号商而言,接码平台上卡效率远低于今年,但目前号商大多已有稳定的输入渠道(受制于其隐密性,暂无更详尽的信息)。
改机工具、云控平台
改机工具和云控平台渐渐成为号商的稳定帐号输出模式,从而实现全手动批量注册、养号一条龙。这类养号举措的第一步是须要对联通设备ROOT,获取最高权限。相比今年nzt改机工具的市场逐步下降,新生代的改机工具功能更全面,且价位高于初期的改机工具。
新一代的改机工具,不仅价钱高于初期,同时集成了代理IP+虚拟定位的功能。
2. 1. 2 成本变化
最新的帐号产出,在某种程度上几近还原了真实用户的日常使用。补足了代理IP半真实的弱项,降低了养号环节封号的机率。同今年相比,产业链模式无显著变换,更多的是工具功能的开发,如改机工具新增的虚拟定位。
2.1.3 规模变化
账号注册成本的增加,接码平台的爆光。越来越多的黑灰产入门人员开始牵涉号商角色。工具获取渠道,多以峰会、社交群为主。单个帐号的赢利2-7元,但成本集中在1-2元。除去暴利带来的可见利润,可见的海量刷量需求让帐号溢出已成为过去式问题,完全毋须害怕帐号短缺带来的滞销问题。
2.2 成因剖析
随着短视频行业的流量激化,刷量产业链带来的帐号需求远低于初期。号商何必害怕帐号短缺带来的滞销问题,同时相应的注册类工具也不再仅局限于上游部份,使得从业人员的降低,以号商角色的从业人员数目同2017年相比下降显著,账号的成本同2017年相比,价格稳定,价格市场仅受工具疗效的波动。
3、其他值得注意的产业链动态
3.1 苹果业务
3.1.1 现象描述
通过对引流市场的监控,我们发觉2018年上半年度一条年入千万级别的蓝色产业链。
(1)虚假认证:将普通的帐号,通过虚假的资料,升级为平台的认证帐号。
(2)吸粉:通过伪造的认证信息短时间内以搬运高质量作品获取大量粉丝。
(3)引流:将流量引入QQ、微信中,通常以个签中带薇、v类同wei的字词为主。
(4)养号:将以蕴养好的QQ空间/朋友圈伪造成完整的名星或网红的动态空间,通过在微博、媒体等渠道搬运名星、网红动态培养粉丝的信任。
(5)苹果业务:伪造或转发,将蕴养的粉丝导出一个悉心布置的盗窃场景。该盗窃场景以转让优价苹果手机为主。
(6)培养顾客:利用相关的画图软件,编辑聊天截图、转账截图,营造出交易火热的场景。
(7)苹果后续:当顾客付款递交以后,将这类付款用户出粉给提供苹果后续服务的盗窃窝点。以伪造苹果或物流公司对付款用户进行再度行骗。而网上商城的源码,则可通过互联网随便获取,通过更改后台参数,伪造货运信息。
3.1.2 成因剖析
苹果业务已经留传很久,生存时间远小于短视频行业的发展周期。如今短视频行业的巨大流量,吸引了一大批黑灰产从业人员驶向这块可口的“蛋糕”。诈骗手段层数不穷,虚假的认证信息除了保障了从业人员的真实身份,也可以在短时间内获取大量粉丝的信任。这条产业链从粉丝拉新到信任培养,再到后期的变现,玩法简单暴力,当然这仅仅是盗窃手段的冰山一角。
3.2 教程售卖类增多
通过监控相关黑灰产群,热门教程渐渐成为仅次于刷量,刷粉、出售工具的热门话题。
(1)该类教程的主要来源于号商,号商养号过程,通过测试卖播放量的网站,总结下来的一套话术,降低帐号被封的机率。
(2)除去改签名话术,也存在怎样提升上热门的教程,如在作品内插入高亮字体。
热门教程中,以引流类教程为主,受制于精准引流的通透性,暂时未能了解到精准引流的具体流程。
六、年度总体风险控制建议
1、上半年度总体风险评价
短视频在上半年度(2018年)的总体风险评价为:高。
(1)账号类产业链风险:高
产业链数目:新增虚假认证、精准引流
产业链规模:上升
产业链成本:下降
(2)流量类产业链风险:高
产业链数目:新增刷量水单平台
产业链规模:上升
产业链成本:下降
2、行业上半年度总评评价
2.1手机黑卡
(1)手机黑卡运营商对比
通过对2018年上半年捕获的黑卡进行筛选,来自传统运营商的黑卡数目和来自虚拟运营商的黑卡数目持平。和今年相比,虚拟运营商的上卡数目远低于2017年。
以下两张图展示了在非虚拟号段上和虚拟号段上三大运营商的黑卡数目对比:
在非虚拟号段上,将近一半的手机黑卡来自于中国移动,约三分之一来自中国电信,中国电信最少。在虚拟号段上,绝大多数是中国联通的手机黑卡,和今年相比联通上卡数目低于联通。
(2)手机黑卡归属地分布
以下是根据黑卡归属地统计的数据,广东省非常抢镜,在黑卡归属地省份排行中遥遥领先,省内的上海、深圳、东莞和深圳也在黑卡归属地城市中名列前茅。
2.2代理IP
对比2018年上半年度(2018年1月-2018年7月)捕获的攻击源信息,分析IP地域来源数据,全球黑IP分布图和top20来源国家如下:
2018年上半年捕获黑IP数目约占27.10%。从统计的黑IP来源国家数据统计,发达国家的黑IP数目要少于发展中国家,可以简单理解为,发达国家拥有更多的互联网设备,也就拥有更多的IP资源,所以黑IP的数目与互联网设备的数目成正比。
从来源城市数据看来,top榜单中多数以德国城市为主,中国城市数目紧跟其后。上榜的城市都是经济较为发达的城市。
2.3 从业人员
以“刷量”、“引流”等词句为关键词,结合排行较靠前的短视频平台对QQ群进行抓取,发现相关的QQ群数目庞大,地域分布也呈现一定的特性。
2.3.1 引流
我们对引流群内人员性别、年龄段、地域进行汇总。引流群平均人数最多,达到767,群规模以1000人为主。
2.3.2 刷量
我们对刷量群内人员性别、年龄段、地域进行汇总。刷量群平均人数和群规模持平,达到1122.4,群规模以2000人为主。
3、黑灰产检测类风险控制建议
(1)对黑灰产相关峰会、社交群近日出现的新增高频词汇设定阀值,对超过阀值的词汇追溯。
(2)研究相关的黑灰产业链模式,对比核心产业链模式特点,总结产业链中角色交叉衍生产业链的上游,并对上游人员监控。
4、黑灰产防治类风险控制建议
(1)对已发生风波溯源源头,通过剖析产业链结构、成员角色、成本、利润来设置不同的解决举措。
(2)对持续存在的结构模式,通过捕获市场上存在周期长且特点显著的工具进行逆向分析,提高对批量行为的初审和监控,进一步提升黑灰产从业人员的成本。
5、黑灰产严打类风险控制建议
通过对各条产业链的监控,我们有如下几点建议:
针对手机黑卡、黑IP:
(1)对于这一环节,作为企业,最快捷的方法是从专业公司获取经过审计的手机黑卡、恶意IP、高危帐号等数据。
(2)将其作为自己后台黑白名单数据的补充情报库,在注册或活动流程中接入审计策略,对恶意注册进行筛选监控等。
针对帐号商人:
(1)结合恶意数据情报库,对可疑用户提升注册门槛、增加复杂验证码等,并对那些用户进行重点监控,当其进行敏感操作时,进行防护。
(2)设立恶意数据情报库,包括黑产把握的黑卡号码、使用的代理IP、已经外泄的帐号密码数据等。
(3)一方面要结合自身后台数据的黑白名单,另一方面也要引入第三方的支持,进行更全面的测量。
针对黑产技术人员:
(1)透过剖析黑产的注册流程和功击工具,对被功击插口的恳求特点汇总,以区别虚假注册用户和正常用户。
(2)批量行为都是有迹可循的。企业可以针对恶意用户的行为偏好和其在黑产中的使用广度,在设备信息、注册信息重合度、恶意用户的行为数据等方面,进行多维度的判别。
(3)通过对典型有效的黑灰产工具的逆向,对存在业务逻辑漏洞的方向调整,提高黑灰产工具的开发成本。
写在最后:
当前短视频平台仍处于快速增长期,不断有新的平台涌向市场,并且同质化较低,各个平台定位、内容和目标群体之间仍存在差异化的竞争。但对于黑灰产从业人员而言,一套产业链模式就可以复刻在任何一个短视频平台。当对旧平台的攻守成本逐渐增高,对于黑灰产从业人员而言,新生代的短视频平台更像是“雪中送炭”。因此,不仅要对已存在的产业链模式深入了解,更应当去深追其背后黑产从业人员的角色定位,只有了解以后才会对衍生的新增产业链加以控防。
