2020年黑灰产攻防研究年度总结报告.pdf

2020年灰产攻防研究年度总结报告永安在线业务安全情报团队页码： /1 2 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队摘要进21世纪，智能机的普及开始把曾经存在于PC上的媒介、市场逐渐招揽到移动端来。很快，互联承载的业务场景因为移动属性呈现出爆发式增长，商业模式上个付能及在快增，来的付来的务，，开 P ，线上。互联产的经的，场景个currency1的。互联的“ fifl 个currency1，存在于互联的个互联的” 。，灰产逐渐移动互联的场景移。于，永安在线”移动互联端灰产的攻防进很长的。， 2020全年的进总结， fl 报告。经，能为业、机业在来互联的业务安全上性的，业业务安全。报告的：，业的“ 场景，介业务安全情报在业安全的性 currency1 现，永安在线”的，介灰产条产业链的宏观微观层面的演fi趋势，攻击式、攻击渠道、群画像维度进式三、四，则攻防技术的迭产具、，给出的攻防议。页码： /1 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队目录摘 1 . 、永安在线业务安全情报能 3 . 1. 业务安全情报平台 3 . 2. 控础数据标签 4 . 3. 业务安全务 5 . 4. Karma业务情报搜索引擎 5 . 、灰产攻击的演fi趋势 6 . 1. 商业模式 fi 来灰产“fi化 6 . 2. 虚假账号的产流呈规模化趋势 7 . 3. 作恶式自动化具真众包演fi 15 . 4. 真作弊深度剖 22 . 三、攻防技术的迭 34 . 1. 产群控进化史 34 . 2. 产 P进化史 42 . 3. 秒拨 P识别技术 50 . 4. 具“ P魔盒” 55 . 5. 定制ROM改机 58 . 6. 产攻击流自动化currency1系 62 . 四、产具情报 86 . 1. 具样的快有效性证 86 . 2. 具及 92 . 2.1 恶爬具 92 . 2.2 抢券具 99 . 2.3 注册机具 108. 页码： /2 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队、永安在线业务安全情报能永安在线于业务安全情报的三产务线 1. 业务安全情报平台业控、发现业务安全情报平台业的“ 场景：账号安全、动、 /动恶引流、作弊、真众包业务。个场景产的产业链结、团，产、产及产务的渠道式。产产业链的给结为、务、fi现三群currency1，别” 的灰产进，进情报渠道currency1 控。页码： /3 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队 ”业务场景产攻击链“全景式的情报平台，为产线报控、产具控、产fl 控数据产安全四情报fifl为业业务安全能。 2. 风控基础数据标签业 ”灰产的三础的情报识别 99.5，” 于业务定 60，的。页码： /4 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队 1 机号识别识别机号灰产团有的虚假机号产的真号码 2动 P识别识别、秒拨、拨、秒拨动的 P 3 识别群控、控、控、机、模、开、R 、、虚定、机为 30 3. 业务安全服务业情报的 1灰产研务 2灰产具 3业务安全 4. Karma业务情报搜索引擎永安在线出的业个业务情报搜索引擎注册”：Karma.a . m 于业务情报搜索引擎，始三能为页码： /5 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队业务情报调查和分析能：” Karma业务情报搜索引擎发现灰产具、机号画像、 P 画像。来Karma 搜索，场景情报数据，机深的能，效。业务风险感知能：现在Karma 经础的情报能，发现攻击业务的产具、到的数据易及产fi现易格波动。面继拓能的场景，另面在后的感能，很迭的功能都” 能业家做的，敬请待。业务情报数据API能：P 作为产的扩，包括机号画像P ， P画像P ，情报控 P 。机号画像 P画像” 在Karma发现后给识别/拦截的能情报控P ” 便自情报系统的灵外能。、灰产攻击的演变趋势 1. 商业模式转变带来灰产核资源变化灰产条产业链伴随国互联发余载，早年，灰产开始控制个电脑做为鸡来进Dd s、告、安装流氓软件 fi现。台台际的电脑灰产的 “，谁控制的，谁赚的。个的互联灰产之逻辑，因为互联早的商业模式非常集在线上告，在PC互联线上告的结算逻辑电脑为单，个互联厂商安装、激及跃来自“商业逻辑。彼，数当互联灰产的“，当整个互联的“ 。进21世纪，智能机的普及开始把曾经存在于PC上的媒介、市场逐渐招揽到移动端来。很快，互联承载的业务场景因为移动属性呈现出爆发式增长，商业模式上个付能及在快增，来的付来的务，，开 P ，线上。互联产的经的，场景个currency1的。页码： /6 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队互联的核资源也从设备变成了个体，存在于互联中的每个民就是互联的，灰产也互联的转 2. 的产和转模化趋势于互联“的fi化，观察到，互联灰产之的情流发马到电脑，取得电脑控制权后fi现的模式，fifl 在个互联核业务，在业务中变currency1的式。恶注册业务的起点，业控的“ 键点。当今产恶注册为表的攻击经度的模fl化市场化，产业链层的团专注于的任务又配合严密。究其根，自动化得攻击fi得”复制，进形fl套“化的盈利模式，” 业产造fl威胁。果业及发现，采取有效”抗策略，在业务上面临。 2.1 “核资源的灰产随商业模式的fi化，电商平台、平台、平台、虚假账号为“的灰产攻击开始现。平台为， ” 上给，” 增的数在的，” 增。面，数据” 在平台现fl现，利另面，造 ” 引的，进利。根据永安在线统，全恶注册发起的攻击 ”8327380 。后及到的，平跃 ”1389107，平进6 攻击。其，恶注册严的业有、电商、媒currency1、务。” currency1发现，恶注册攻击的标“具有盈利性流性，”的fi现fifl 动恶注册进的根。页码： /7 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队为：恶注册攻击业的复都非常，因为在国国情的灰产攻击具有currency1的流动性，业面临的灰产攻击，攻击、防”的业产易引攻击。当厂商攻击度后，的别的其厂商。业在上的“ 有定的性，造fl 产式攻击具的”复制性非常。在样的情，果业的灰产的攻击，识别其的虚假账号，能结合业自情制定 fl 常业务的策略进防。 2.2 模化的是fifl平台的当今产恶账号为表的攻击经度的模fl化市场化，产业链层的团专注于的任务又配合严密，究其根，自动化得攻击fi得”复制，进形fl套“化的盈利模式，” 业产造fl威胁。页码： /8 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队根据永安在线的研究发现，恶注册得账号为商，厂商式安全策略作恶账号的，的恶注册账号作恶账号的。有账号在后，” 发、证码式”账号进，际，因有点：产个账号的长于注册账号fi的在很场景，灰产在账号经 fl fi现，个账号的格fl 于注册个账号。，，恶注册账号账号的：为：恶注册账号 ” ” 出，在，的于。于，在整个恶注册的，整个作的效恶注册的fl，作恶的“ 键点。于在整个灰产的发，“ 码平台”“发平台”及其产业fl为恶注册产业链的。页码： /9 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队为：利码平台、发平台 fl的产业链 2.2.1 平台”灰产的fifl 码平台际上个证码平台，在移动互联早。当灰产，上上机来模上个自， fl”业务场景的恶注册。恶注册之后把电给另外个灰产团队于业务场景的恶注册。个其非常效。因为个灰产三个：页码： /10 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队为：利 fl恶注册码平台的像个灰产的“ 易平台”，的产在定个互联灰产业链点之。账号众产链上、础的fifl，数众的商，码平台” 在线上把机的给出于的号商，取得报。号商，码平台的页端，” 取机号证码，全 fi 机及，能 fl账号的注册。页码： /11 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队为：利码平台 fl恶注册码平台商有机证码fifl的群currency1，软件、业务结算平台务，业务fl 利，“为30 。 2016年11 ，当规模的码平台码， 700余，自很码平台，有平台注册来。码平台为，在2018年1 注册，平台号fl，其平台账号甚到个100元。市场有的码平台非常，跃的有：、、ema666、60码、 hew lf、米。随证码”抗的，注册项单的证，有 fi 证，有则 fi 证，fi注册注册的机号指定号码发条证。码平台紧随市场fi化，衍出证码、取号、发的务。 2.2.2 平台”灰产转的fifl 页码： /12 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队发平台把数字商做自动化易的平台，在号商 fl 账号的注册后，把恶账号整后集在发平台列出，在产业链的号线上采。像在淘宝样，在的场景上，发平台现在经互联灰产的易道作平台。号根据自作恶场景，发平台 ”的虚假账号，，平台，账号场景。为：利发平台 fl账号易根据永安在线”灰产的长统，到发平台易的灰产业超1，及的商数千，商数超，年产数亿元。外，追踪发平台上灰商的格，发现，格currency1现业控策略有效性市场fiflfi化的个非常观的因素，商格，表业控策略有效，得灰产作恶flfi。配合其数据，若发现产发起攻击没有，那么因益仍于fl，那么业 fi继进”抗。页码： /13 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队 2.3 业的要 2.3.1 控灰产“ 在整个业灰产攻防战，业的业务场景让整个攻防格局有区别。灰产的“始其控制的虚假账号，能在恶注册个点上”灰产有效的控制，” 业业务控整currency1的 ”控的。灰产资源灰产在作恶fi现都度依赖于其有的础，包括限于机号、 P、。灰产”于业来说，全的数据，果能数据自业务数据进匹配， ” 识别出恶帐号灰产恶为，”性的进的控制。分析产灰产的攻击具承载灰产的攻击逻辑利的业业务漏洞， ”具的控逆，业” 到自存在哪业务逻辑漏洞哪控策略经效，整个攻防”抗的效。控灰产变化灰产易格的fi动，能够反映出业定周控策略的有效性。，业上线控策略，灰产仍能够很的fl fl恶帐号的注册，则表业的控策略效另面，果发现灰产易格fi，反映出灰产攻击fl的上，则” 出业的控策略有定的效果。有效的评估，能好动业务安全的迭。 2.3.2 风险永安在线业务情报平台灰产恶注册的整个产业链出发，能”恶注册的进控，业发现控自面临的虚假账号现状。的目：灰产在恶注册为之，先在的平台上创个的项。个创项的为灰产发起攻击的号。 ” 情报的控，” 随取灰产的动。页码： /14 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队在的“：灰产发起恶注册的自动化具、利的恶、攻击的，都暴露攻击逻辑的“径。情报” 来及的灰产攻击逻辑，进有效的控制。风险：在灰产 fl注册之后，常虚假的账号放在发平台进易。永安在线情报能够控到灰产虚假账号增架易及格的fi动，业灰产攻击趋势的fi动及自控的有效性。 3. 式从化演变 3.1灰产式的趋势演变站在2020年点上，顾年产的动，发现产攻击的趋势： 3.1.1 产产业的产具在经长的技术，于仅码平台模fl进组合，经现在单个具” 集fl 码、码、宽秒拨、个” 业务安全控点的功能。集fl 个功能，产”利具现定制化、功能的作恶为。现在的产具集fl度，造fl的。为：产具的fi化页码： /15 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队 3.1.2 攻击“ 于 “中于，产开始利机拦截秒拨 P的式业务安全控模现攻击。攻击式有个点，的常的，在 “的控模定为产为。为：拦截增机总增 fi化 ”于” 得利益的攻击，产开始利众包任务的式，发布注册任务，” 的格取到真名证的账。，源于的和，是互联和业灰产攻，从演化了的态章”真作弊进深剖，做赘述。 3.2 产法的转变 3.2.1 的转变短信拦截例页码： /16 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队在业务安全层面，识别产有的恶机号码个久战。利现有的产机号情报，“都” 现”产机号的拦截。产面”来自业务安全的防御， ”有的机号进的改进：采的机号先利其“净”的注册利润的账号，” 净的账号注册结束后包给进净产进利，压榨个机号的。于产仍 fi 进养号的作，上商” 号的利效的，采机号的”利逐渐贬。伴随年国机厂商出面端市场海外市场的产，产在其发现 ”利的机。产在机植” 拦截机的马，利机有的机号进的取，输给产，现利该机号进牟利。拦截 2018年发现，于其隐蔽性”其渠道，际出现 ”能早于发现。2019年5 拦截数出现增长爆发，平台聚集。得益于恶注册市场fifl的激发，拦截的增长度猛，之后产补 “”，得拦截在机产业据自的席之。为：机拦截统在作恶场景，于该机号有为“，该机号在常情定为产有的机号，当产利其机号进恶注册，“的业务安全currency1系其定为产注册为，产 ” “漏洞” 进利。页码： /17 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队 3.2.2 乱客福利被灰产和党赚取除机号注册fi防范，平台的福利有”能产赚取。很的平台为好的，在平台给发放、、平台福利。平台为防御产”福利的恶攻击，采取制取包进名证，式产利具自动化注册牟利，拦截来自真证后帐号的真作弊为。根上，福利“都常的发现，后发布到赚 “专业 ” 区进，到平台的”控的。果发放的福利三平台券 ” 进fi现的，引产 fl，利真众包的式进牟利。为：真众包截根据Karma上的，真作弊标业有个，、电商、 C 平台平台fl为产上的标。永安在线的估，真作弊产业年产页码： /18 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队 20亿元的流、10亿元 fl 流， ”标平台造fl数亿甚亿的。为：真作弊标业 3.2.3 刷式蔽从鸡到鸡流造假互联告业，因为互联告的付结算式定的，个包点击，又包。因为化的指标，有的告平台采取，在告点击告上做，造假的式 fl告指标，得告放。互联告流作弊“ 专的作单，利具 P具装fl 进，在现在的控currency1系 P画像” 很currency1的发现，其 P“为 P。现在告样，有页告采隐层的式进，有软件告恶进，有利众宽进宽。，平台告” 得currency1，有告fl为“。随媒currency1的发，告在媒currency1上又起的，在Karma业务情报平台上 ” 到有产在媒currency1帐号，fi帐号为平台漏洞号， ”快上趋势。页码： /19 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队为：媒currency1 联的产情报 3.3 型产的可案 3.3.1 拦截式业务安全的攻防在长 “机识别”为础的。产的假、假、假号码。逐渐的产开始真的机，现在规模的的真的机号码 P。 fl为业务安全攻防来战，当定” 经好有，识别的度及的、都严。面”拦截作恶，fi “ 为作”来区产利， fi 根据拦截点拦截攻击的进定： 1 自业务场景规则 2 根据拦截的出现，及机、 P的数进定。 3.3.2 式真众包的作恶为发布众包任务的式进作恶，果”的先fi 其作恶流。上面”真众包作弊流进 ”字性述，为便起真作弊众包任务，”观感产在发真众包作弊任务的流。页码： /20 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队为：众包任务流真作弊的作恶” 情报维度数据维度个面，”真作弊帐号进的定： 1情报维度的，哪快取流，” 产之的，在的取动权. 2数据维度” 有、进复合，发现产动作，及发现产控制的帐号。 3.3.3 刷式的 ”于告放商来说，“都 ” 的告放统码进数据统。统码自的页面统功能发现恶的径： 1 长发现的请fl 页码： /21 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队 2 ” ” P的发现来自于作的，出”净的列表。平台的于结合真作弊的定式进，情报维度数据维度发现产控制进的帐号，后根据进： 1情报维度的，产” 进的作点，” 进控，拦截来自恶机恶 P的请fl。 2数据维度” 有、进复合，发现产动作，及发现产控制的帐号。 4. 剖析真作弊经发 fl为灰产常、防御、 ” 控currency1系的平台整currency1安全性及定性的作恶形式，在隐的，给平台来。永安在线于长”真作弊产业的研究，深剖个产业的面面，真作弊产业的发、现状、及防御“， fl 专业、全面的呈现的全样。为个点： 1 真作弊灰产经数年发，模式形发元，众场景、众业 2 真作弊灰产发猛，自2014年 2020年，真作弊平台 a 的数在增长 40 ，数增长 3 于机作弊，真作弊” 的控安全能出的fl，来的战 4 情报能数据能为控能，识别模式的有效式。 4.1 currency1状上，真作弊于的性，动因素互联技术业灰产长攻防” 抗，演化出的作恶形。年来，模式形发元，早单的单，到今的业、场景、任务的早的在PC端进的单的，到今移动端为早的线上群组媒介群、，到今平台化、 fi化。 4.1.1 多业、多、多任务泛渗透页码： /22 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队 1）多业涉真作弊及的业其，到 C ，务、到、，。，真作弊的标业：为：真作弊标业 2）多渗透在业务范面，真作弊有灰产作恶场景，、流，告、平台引流、 fi 场景，真作弊都其。具currency1 ：为：真作弊场景 3）多任务参页码： /23 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队真作弊任务，样包，能到的有” 赚取利润的任务，都真作弊指：载注册、证、评注、、、发包，具currency1 ：为：真作弊任务统长控到的真作弊任务标、键，形fl ， ” 出真作弊的注任务：载注册、证、评注。页码： /24 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队为：真作弊任务 4.1.2 APP近年迅猛 1）2014年2020年APP活跃下载指数在早，真作弊 “线上群组”的式为媒介进流，的有群组、灰产流群、，当互联移动化之后，真作弊紧发的。永安在线控到，2014年到2020年，真作弊PP数呈现式增长：2014年的候到，到今年三千，：为：2014年2020年真作弊PP 跃数发势注：2020年上半年整真作弊PP的跃数为1415 ，于2019年的数，及真作弊的发现状，合：2020全年跃的真作弊PP”2830 。在真作弊PP 跃数呈式增长的候，的载增长猛：页码： /25 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队为：2014年2020年真作弊PP载数发势注：2020年上半年整到的真作弊PP载为12350817 ，于2019年的载数，及真作弊的发现状，合：2020半年真作弊PP的载 ” 增 10000000 ，全年载为：22350817 。 2）2014年2020年开者迅速真作弊数爆发式增长的后，离开的撑，其个平台：真作弊平台真作弊PP，面” 真作弊PP的开发数 currency1现，在永安在线控到的数据， ” 发现真作弊PP的开发数样呈现指数形式的增长：2014年的 20个，到今年的1500 ，发度惊。为：2014年2020年真作弊PP开发数发势页码： /26 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队注：2020年上半年整到的真作弊PP开发数数 771个，于真作弊发现状，合：2020年全年真作弊PP开发数 ”到1542个。在永安在线控到的有移动开发，业开发有1407个，总数1598的88。为：开发数业开发 90，真作弊平台务的利润”斑。因，侧面反映出，整个真作弊产业的利润其厚。开发的布国互联的发吻合，四个区布：北京、上海、深圳、杭州：为：真作弊开发城市布页码： /27 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队有甚，个别开发很真作弊平台 PP，于蚌埠的家，开发 23 真作弊PP 青岛的家，开发 10 真作弊PP 。谓利起早，”开发真作弊PP，能够为来的利润太。 4.1.3 参群画像那么，真作弊的都有什么呢？ 1）产业数真作弊任务的样性PP的蓬勃发，其后都因为的fifl 动。际上，永安在线控到的真作弊的的呈现指数增长，2014年的余，到今年的保估千，七年翻余，真作弊的觑：为：真作弊数发势 2）男例页码： /28 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队 ”真作弊群currency1的随机抽样发现，真作弊男性居，为 64，性为36：为：真作弊男 3）年龄分布在年龄布面，90后真作弊的， 45，来00后及80后，别21 15，”作弊的普遍年轻，侧面反映出来，真作弊的产业继发。为：真作弊年龄布 4）参数地域分布页码： /29 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队上来，真作弊的布在华南、华东、华北、华个区，其华南区的东省，35：为：真作弊群布 4.1.4 业造成的损失统计那么真作弊” 个业造fl的呢？永安在线” 半年的真作弊平台任务进全统，数、、 fl数、、 fl 因素进算，得出结：产业每年约产 20亿元的悬赏额、10亿元完成额，直目标平台造成数亿甚百亿的损失 4.2 痛点危害 4.2.1 vs 器页码： /30 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队表为：真作弊机作弊点” 4.2.2 vs 传统风控统控于产产团表现出的“非常”的来做为的识别，当产匿于幕后，现动真 fl作弊任务，“机识别”“真” 战，统控便currency1得捉襟肘。控痛点具currency1表现在四个面： 1）护段失fi 规则层面的数据、规则、，模层面的算、策引擎，其识的来自于长”机作弊的数据沉淀。、 P 统控数据名单全适于真作弊的场景，另外，真作弊群为、画像、系离散，且fi化样，全的迹”寻，算模的输依赖于安全 ” 数据场景的洞察能，fi非常的 fl。 2）处置边界模糊于违规的产账号，违规真账号的复杂度幅。合”真的违规为，控指标currency1 ，业务团队 ”释性的， ”于控团队，进。 3）风险响旦真作弊事件发，在控团队的，能任事件的范扩。事件的发，到”抗的，，。真作弊场景，个于机作弊。 4）源页码： /31 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队真介于产业之，为产筑起屏障，进事后追踪溯。且的作弊数据，能联扩散有限范的作弊数据，真作弊模式fi化繁， ”今后的真作弊为形fl有效的识经复。 4.2.3 带来的额风险除常的机作弊来的常作弊、渠道作弊、虚假、单假之外，真作弊引个产滥泄露的。产真注册的账号，于途。产诱真 fl好友辅证、名、脸证，真违反平台条，甚 fi承担潜在的律。另外，永安在线安全团队在”真作弊产业链进的候，曾经深个的任务，个任务“证 ”的任务：fi fl功能得到3050元的佣。先，产出上，产肯出么的佣，说产的益很”能到元甚， ”于进的平台来说，必承的其，在任务发布进的候，fl在 fl任务后：姓名+机号+ 证+ ，：为：任务发布注，把给任务发布之后，能到佣，必须 fl 后：把机到的证码给任务发布后，才能到佣。姓名、机号、证、及页码： /32 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队证码，非常敏感的个，全暴露在产的控制之，个甚财产安全到严威胁。 4.3 澎拜汹的真作弊，有”于机的优势，及” 统控捣黄龙式的战，来的战愈发严。那么，到该么防控呢？永安在线为，情报能和数据能“风控能，是型模式的法 4.3.1 情报个，永安在线年在”真作弊平台进全面控的候，发现样的任务：“注册载软件，密码统为a123456，做之后联系结付。” 之后，，在其余的个真作弊平台到任务个，其密码fl都样的， currency1说个团在” 个平台进注册攻击，为便于统， fl任务 fl 统的单密码。捉到个威胁之后，进全的情报搜集键整，包括密码、任务发布、任务早开始，后把键给该平台。平台在到的情报之后，在进反溯定，结果的出来个的灰产团， fl功击，维平台的安全、，在之。 4.3.2 数据情报维度的，” 产之的，在的取动权，，仅有情报，究单， fi数据 ”产进定及后currency1 作的。真作弊的数据包括： PP、、账号及真作弊任务的维码、链、、任务流。个，今年5 开始，家国付平台开始做的动，因为及到付，很，自灰产上。动fl 名、定，机作弊的fl ，有定渠道的灰产开始在众真页码： /33 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队作弊平台发布任务在长踪研究之后发现，有灰产团有的现， fl为“ “ 。永安在线在感到威胁之后，”作弊式进点控，面情报维度进的情报集，面于永安在线上亿的画像能，”真作弊进的定及取作，另外把、任务链结算链数据付给该付平台。平台在到数据后进匹配证，发现数千个账号，之后又账号的性为系定到数个上账号，及数个账号。永安在线进该平台研究账号的为，发现账号长隐匿在平台，动组取的恶。、攻的 1. 产群控化 2018年半年的候，出现家号fi“市面上好群控”的厂商，自的产，据说面统群控 95。动台，发现，个fi 线电线的，” fi 为“ 控”。 1.1 群控控群控，作台机进攻击的式，” 说产作的fi，在市场 fifl的，群控的商都非常长利技术”其进优化。作的群控。页码： /34 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队的控的造。台安机的屏幕currency1，把fi 电“集fl 式集fl flfi，进统电。页码： /35 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队于数， “ 存的式，个机fi“为个。到，作台控当于作个机的观感。 fi个存的机，现在fi个架，幅fi 产的 fl。 fl 作式上，业业务的键数都有定算，在 ”其进攻击的候，产常常fi 模点击的式装常作，到攻击的。常的模点击识别、”字、形状来定到fi点击的标，式经常fi 进，识别形状，来自点击进标页面，识别，度”。控 a m于 le ma r2的安自动化具， ”字、控件 d、控件名fi 定到PP的控件进作，说上述式，点击后截，根据个像素个像素的该点击的，度得到，很业自产的自动化采a m fl的。 1.2 产化，化攻击fifl和成 “群控”“的进化fi ，结合来的事件，发现，当互联灰产攻击有个点： 1.2.1 成攻击取随互联的发，产形fl 定的攻击模式套“，有的攻击场景依于流，装fl常业务，复利。fl 页码： /36 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队 1.2.2 产基础资源在产市场，像样fifl定的“”有很： P、证、、付账号、改机具、自动化攻击软件、”动证码、隐 fi现渠道。都逐渐形fl 像码平台样的“ 务产作平台”，平台来，组合fl 的灰产础。产攻击严依赖础。fl 页码： /37 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队为：产fifl及”的于攻防逻辑上务趋于定，产经攻防逻辑迭的逐渐到攻击效fl的优化迭上。依攻击为，来其fi化。 1.3 产攻击的式 1.3.1 控优化点：的攻击具包配套务，攻击的作产在群控的务商，表现出秒拨 P、改机具的功能进包集合的趋势。 P 功能改机功能、虚定功能，且端能，产” 套攻击上的账号上，快的式，进攻击。控存能，好的群控的标 fl， ” 的作的，攻击的效得到有效。页码： /38 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队除 fl攻击效外，包的式，有效产的作技术， fi保证配 ”，产” 在”“技术点” 的情发起攻击，防面临杂的攻击。fl 1.3.2 模式化点：模式，自 “扩 ”，维fl，且便输 “ 机” 攻击模式，作 ” 端 ” 端的机虚机进作，发起攻击。机“群控”的趋势，来的机“键机”、虚定 P进包，样的包务格4元/ 。上机号码flfl，元到元 ” 到的场券。其fl 于统 currency1机的攻击式。业面临攻击复杂的现。页码： /39 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队产” 在fi ，利机”自的攻击群进 “扩 ”，模式在灵。到盈利于攻击fl 数限制，进攻击的场景，于攻击效的灵的模式，现在”进攻击，真，作都定攻击个业的厂商，注动，在合适的机，利的余，“ ” 业进盈利。fl 为：机作页面fl 1.3.3 中控化点：统群控因数据线输屏幕数据指数据造fl的数限制。机安装端，在PC端端上统机其发，输后机端模点击 fl攻击。 1.3.4 控页码： /40 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队化点：fi在点，存在端，团易 fi发码，便机个的“控”，作任 ”机进。 1.3. 群控化点：早的作，在开发上限制，为，数限制在台。采屏幕映的式机屏幕映到电脑，集线机电脑数据线，出屏幕作指。 1.4 攻面”当今产样产业化、专业化、团化链条化的作模式，攻防”抗业产 fl长的场久战。业可情报，据攻击法到护点）数据标签currency1 攻击）的“ ，知fifl，平信，了的目标、攻击和 ” 的作恶fl， ” 发起攻击fi的、、 fl、渠道、” 的上及攻击得到的。在业务侧，合自的标，” 、整策略，定到产的攻击账号、流，击防。产取，因为，定有迹” 。产有的上础，非常依赖，产业链的键结点，识别、击防的有效结点。 ”产攻击式给出业控” 做的的”抗点的议：页码： /41 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队情报业务安全攻中的全产业链上出发的布控集的情报，” 作为控策略的释撑。情报产情趋势能有效反业控策略的有效性，业控制攻防fl。反情报“包括：产攻击的、及到的易平台、攻击的标、利的攻击具、及到的机号、 P 。点的布控，” 有效的在产及发现，产的攻击“径逻辑，做好控策略。数据标签 fi地的案产的技术上、上迭，发起攻击总础的的，注册的机号的 P。据统，全产发起的恶注册攻击到 800 ，跃机号150 上，平个机号进6 攻击。果产度”其的础进控，识别出业业务场景的产，则” ” 灰产做恶的虚假账号进的拦截权。产础识别的控式，能够定度上控的 ”释性。 2. 产IP资源化页码： /42 116 2020年灰产攻防研究年度总结报告永安在线业务安全情报团队 P，作为互联础的标识，来都产 ”抗激的攻防点。，在永安在线深业务安全数年的，发现产技术迭进化的度， ”产的研究依在早年的。产发， ”产的，必造fl在攻防的 ”fl，防御度，防后，效效果。个，”于产，“秒拨”早个，秒拨 P早 fl为当流的产 P，”，永安在线在个流的发现，很在做业务安全的 ”秒