黑灰产情报周报｜区域链货币产品成为近期重点攻击对象

黑灰产情报周报是永安在线开通的新栏目，基于永安在线的业务安全情报平台及长期的黑灰产研究，旨在为风控从业者提供最新的行业趋势分析及动态。

本周热点

1、攻击区链货币产品的工具数量连续三周保持上升趋势，区块链产品在正成为黑产薅羊毛对象。

2、68.14%的手机号的存活时间在3个月以内，由于没有持续更新的黑手机号库，这些手机号在存活期内会在多个平台注册使用。

3、三大运营商、虚拟运营商、海外运营商的黑手机号的存活时间基本相同。这表明，黑产在使用不同运营商的黑手机号资源攻击各大厂商时，其攻击思路是一致的，并不会根据不同的运营商制定不同的攻击思路。

4、刷量产业链有成熟的分工体系，号商专注于账号资源的补充，代理商专注于代理网站的运营。

一、黑产作恶工具风险情报

1.1 对近一周新出现黑产恶意攻击工具攻击的域名进行统计，排名如下：

图1.1 Top10 产品排行情况

• 拼多多本周新发现一款上货助手，功能为将拼多多的商品内容"移植"到其它平台。京东则新增一款领券助手。

  
  

• 针对抖音的工具发现都是安卓自动化脚本，主要目的是为了引流。

• 针对Top后7位攻击的黑产工具都属于营销活动作弊类，黑产通过协议攻击/IP代理等手段，批量注册小号骗取平台奖励。

1.2 区域链货币相关产品正成为黑产的攻击对象

随着区域链技术的发展，各式各样的产品层出不穷，例如某某挖矿App、某某交易所App，还有衍生出来的一些其它应用。平台为了推广引流，往往会设置拉新奖励活动，奖励形式一般为矿机、虚拟币以及现金奖励。

图1.2.1 某矿机App活动奖励

然而这些产品在推广的同时，对抗黑产的手段往往相对有限，因此容易成为黑产的攻击对象。

图1.2.2 有限的对抗黑产手段

我们对近几周的攻击样本进行了一个统计，发现平均每周都至少有5款新产品在受到黑产的攻击，由此可推测针对该类应用的黑色产业链已初具规模。相关平台需要提高风险意识，避免被黑产过多地攫取利润。

二、黑产作恶手机号

1、近一周，黑产作恶手机号生存周期

图2-1 近一周，黑手机号存活时间统计

• 68.14%的手机号的存活时间在3个月以内，由于没有持续更新的黑手机号库，这些手机号在存活期内会在多个平台注册使用。相对于黑IP来说，黑手机号的更新频率是相对较慢的。这意味着，在一个黑手机号的存活周期内，黑产有足够的时间去对各大厂商进行注册攻击操作。基于各大厂商风控并不连通的前提下，黑产搭配相关辅助工具，能攻击完一个目标后直接对下一个目标进行攻击，甚至在同一时间攻击多个目标。

2、基于上述数据，以三大运营商、虚拟运营商、海外运营商作为分类，统计其黑手机号存活时间

图2-2 三大运营商、虚拟运营商、海外运营商所属黑手机号的存活时间统计

• 三大运营商、虚拟运营商、海外运营商的黑手机号的存活时间基本相同。三者所属的手机号的存活时间大部分在3个月以内，并没有因为所属运营商不同而出现存活时间的差异。这表明，黑产在使用不同运营商的黑手机号资源攻击各大厂商时，其攻击思路是一致的，并不会根据不同的运营商制定不同的攻击思路。

三、黑产作恶IP一周情况

1、近一周，作恶IP存活时间：

图3-1 作恶IP存活时间统计

• 83.53%的作恶IP存活时间在2天以内，作恶IP的更新速度是极其迅速的。与上文提到的作恶手机号的存活时间不同，IP资源数量远远大于手机号数量，而且IP可以随时重新拨号获取新的IP，而手机号而需要进行实名认证；IP的这两个特点决定了IP资源的使用成本远小于手机号，这就导致了黑产在使用IP时，可以更频繁的更换IP。

  
  

四、黑产交易情报

1、刷量网站代理推广介绍

图4-1 刷量网站代理推广流程

• 刷量网站推广分工明确，层级清晰。刷量网站与之前的零星分散不同，现已逐渐拥有高度聚集的特点，其推广、分销链接清晰明确。刷量网站或由拥有大量账号资源的黑产团队直接创建，或由与号商有紧密联系的一级代理商所建立。其商品类型也从以往单一的刷量商品扩展为刷量、账号买卖等。

图4-2 某刷量网站及其商品列表

• 刷量网站推广分工明确，层级清晰。刷量网站与之前的零星分散不同，现已逐渐拥有高度聚集的特点，其推广、分销链接清晰明确。刷量网站或由拥有大量账号资源的黑产团队直接创建，或由与号商有紧密联系的一级代理商所建立。其商品类型也从以往单一的刷量商品扩展为刷量、账号买卖等。

• 而为了获取更多的刷量订单，网站运营者也积极尝试网站引流及网站代理等方法。

图4-3 刷量网站引流奖励图

• 网站引流主要是通过不同的奖励吸引普通用户在Q群、微信群、论坛、贴吧等地方发布刷量网站链接帮其进行引流。

• 网站代理则是通过建立分站（二级代理网站）。用户可以建立分站自行运营，通过其他用户在分站上下单后获得提成（一般为8%），进而获利。因为分站的货源与主站一致，故分站的运营者无需担心货源问题，只需把运营重心放在用户引流上即可。通过这种方法，号商只需专注于账号资源的补充，各级代理商只需要专注于各自代理网站的运营。

你对哪个模块更感兴趣呢？你觉得哪个模块最无趣呢？还有什么你比较关心的情报呢？请给我们留言吧ψ(｀∇´)ψ。

• 本周热点黑灰产情报

• 黑产作恶工具情报

• 黑产作恶手机号情报

• 黑产作恶IP情报

• 黑产交易情报 

永安在线近期热门活动

永安在线携手趣头条、得物将于4月15日在上海举办【业务安全攻防实践沙龙】，跟大家一起讨论如何发展和响应未知风险。扫码报名吧～

永安在线近期热门报告

永安在线 · 证券行业数据资产泄漏分析报告

永安在线 · 网络赌博支付洗钱产业链分析报告

永安在线 · 2020年黑灰产攻防研究年度总结报告

永安在线 · 真人作弊黑灰产研究报告

黑产攻击手段隐蔽升级 短信拦截卡与宽带IP成主流

本文始发于微信公众号（永安在线情报平台）：黑灰产情报周报｜区域链货币产品成为近期重点攻击对象