黑灰产情报周报｜黑产引流新套路：利用真实用户拉群，转移封号风险

1、黑产行为系列：针对棋牌网站黑吃黑的“低保”项目。

2、代理/秒拨平台代理池近期补充大量新IP资源，这些新IP资源的历史关联恶意行为远低于历史IP，识别难度增加，黑产称“高质量IP”。

3、黑产引流新思路，利用真人作弊方式规避较严格的风控策略。

一、黑产作恶工具风险情报

1、对近一周新增黑产恶意攻击工具攻击的域名进行统计，排名如下：

图1-1  Top 10 产品接口占比情况

• 本周电商行业新增工具依然最多，与上周不同的是，本周新增了几款淘宝自动评价/退款工具、拼多多刷单神器工具。

• 本周针对Top4-10攻击的工具都是营销活动作弊类，其中Top4-7的蓝人爱家、联保优品、互电、海尔智家是现金奖励，Top8-10的中国建设银行、浦惠到家、沃邮箱是话费/京东E卡/实物奖励（黑产方便变现的奖励），现金和话费类营销活动黑产的关注和响应度最高，建议现金类活动避免微信、支付宝直接打款，增加提现审核流程，提高黑产攻击门槛。

2、互联网公司活动“淡季”的时候，黑产都在干嘛——针对棋牌网站黑吃黑的“低保”项目

棋牌博彩类网站建立初期会给一些号段发送注册邀请短信，这些手机号（特邀手机号）注册会有较高注册奖励（俗称“彩金”）。

做“低保”的黑产团伙通过特邀扫号类工具在接码平台随机取号，利用棋牌网站的校验接口扫出收过特邀短信的手机号，只用特邀手机号进行注册，最后提现获利，实现精准薅羊毛。

由于棋牌类网站极容易“跑路”关闭（这是一个跑得快的游戏，新出网站比准备跑路的棋牌提现成功的概率更高），极易被棋牌网站“反撸”，但攻击成本极低，所以此类活动被黑产亲切地称为“低保”项目。

由于此类项目回报具有不确定性，手里没有优质盈利项目的黑产人员为了防止手中的攻击设备“空跑”，才会去做类似的“低保”项目。

扫号类工具除了应用在上述特邀客户检测场景外，也经常发生在黑产实施攻击前的新老号检测场景，如部分限制新用户参与的营销活动。该类扫号工具一般是通过调用平台登录接口来区分新老号，平台可根据短时间出现同一设备指纹大量登录失败的流量的特征建立攻击预警。

图1-2 自动化工具

1、各类黑手机号码黑产市场占比及平均取用价格

图2-1 各类黑手机号码黑产市场占比及平均取用价格

• 拦截卡平均价格远高于传统卡，传统卡使用占比远高于拦截卡。拦截卡的获取难度远远大于传统卡，这导致拦截卡的价格是传统卡的数倍。因此，黑产在日常攻击中，更倾向于使用传统卡；只有遇到部分风控较为严格的厂商时才会尝试使用拦截卡。

• 实体卡平均价格高于虚拟卡，但两者的使用占比却相当接近.即虚拟卡并没有因其价格优势成为主要的攻击物料，这是因为某些厂商会对实体卡及虚拟卡采取不同的风控措施，且针对虚拟卡的风控措施普遍比实体卡严格。这导致在攻击这部分厂商时，只能使用实体卡作为攻击物料。

三、黑产作恶IP

1、近一周，黑产作恶IP的C段聚集率：

图3-1 黑产作恶IP的C段聚集率

图3-2 不同C段聚集率下，国内IP占比

• 本周C段聚集率小于20%的C段的占比有较大幅度的上升（较上周增长13.73%），且本周连续7天捕获到的黑IP数量在持续增加。根据以往经验，代理/秒拨平台的代理池近期补充了新的IP资源，这些新IP资源的历史关联恶意行为远低于历史IP，识别难度增加，黑产称“高质量IP”。

• 相比海外IP资源，黑产在国内IP资源的收集和利用上更为全面；考虑到国内大部分的作恶IP来自于家庭宽带，这使得单纯的从IP层面上去识别一个IP是正常人使用还是黑产持有变得十分困难。

• 以下举例五个C段聚集率为100%的C段IP：

￮ 163.179.206.*

￮ 27.44.214. *

￮ 113.117.110. *

￮ 223.242.13. *

￮ 1.207.72. *

2、近一周，国内外作恶IP情况：

• 本周作恶IP还是以国内IP为主，占比达80.94%，国外IP占比19.06%，仍有不少黑产将目光投向国外厂商或国内厂商的海外版软件。

3、IP大省中，大量连号IP资源被黑产掌握

图3-3 不同C段聚集率下，国内外地域分布排名第一的省份或国家

• 与根据过往经验得出的预测接近，国内IP大省及海外IP大国均是各C段聚集率下的主要贡献者。其中，国内江苏、广东、浙江三个长期排名前5的IP大省均是不同C段聚集率下的首要贡献者；而在海外，英国、土耳其、美国、印度尼西亚也是长期排名前5的IP大国。

四、黑产交易情报

1、近一周，真人众包作恶攻击行业Top10：

图4-1 真人众包攻击行业Top10

• 电商行业中淘宝、拼多多、京东三者受攻击占比之和达85.04%。其主要攻击方式为砍价助力。

• 金融行业中支付宝、平安财险、招商银行三者受攻击占比之和达82.59%。其主要攻击方式为拉新注册。

• 视频行业中快手、哔哩哔哩、抖音三者受攻击占比之和达87.63%。其主要攻击方式为批量点赞、关注。

2、黑产引流新玩法

图4-2 黑产引流流程图

• 传统引流方式中，建群等高风险操作往往由黑产养的号执行；而在触发风控后，黑产养的号往往会在第一时间被封禁，这极大的提高了引流成本。

• 在新模式中，黑产往往通过有偿的方式吸引正常用户帮助其执行建群等高风险操作。通过上述操作，黑产把触发风控后被封号的风险转移到正常用户身上；另外，其用于引流的账号只需培养至拥有发言的权限即可，极大的降低了引流成本。

你对哪个模块更感兴趣呢？你觉得哪个模块最无趣呢？还有什么你比较关心的情报呢？请给我们留言吧ψ(｀∇´)ψ。

• 本周热点黑灰产情报

• 黑产作恶工具情报

• 黑产作恶手机号情报

• 黑产作恶IP情报

• 黑产交易情报