知物由學 | 用案例起底黑灰產的各種“騷”操作
“知物由學”是網易易盾打造的一個品牌欄目,詞語出自漢·王充《論衡·實知》。人,能力有高下之分,學習才知道事物的道理,而後才有智慧,不去求問就不會知道。“知物由學”希望透過一篇篇技術乾貨、趨勢解讀、人物思考和沉澱給你帶來收穫的同時,也希望開啟你的眼界,成就不一樣的你。當然,如果你有不錯的認知或分享,也歡迎在“網易易盾”公眾號後臺投稿。
1.隱私資料盜用,包含姓名、聯絡方式、通訊錄、社交賬號、公積金資料、移動運營商資料等;2.業務資料盜用,包含購物記錄、外賣記錄、叫車記錄等;3.自動化請求,包含刷單、刷量、搶號、搶票的行為;4.遊戲外掛,包含修改器、加速器、模擬器、雲真機等;5.業務漏洞利用,優惠券漏洞、獎勵漏洞等;
{ "code": "1", "data": true, “msg”: “Nomor handphone telah terdaftar”,(手機號已註冊) "state": "SUCCESS"}
{ "data": { "message": "Enter the code we sent via SMS to your registered phone number (+86XXXXXXXX884).", "otp_token": "6d358cf9-f82f-4a41-9d68-1cb17c375d1d", "expires_in": 300, "otp_length": 4, "next_retry": { "state": "sms", "timer_in_seconds": 30 } }, "success": true, "errors": null}
原理還是類似,有人只是做了一個變種:突破口是在一個二手的交易平臺,他們整合了某寶的SDK,透過SDK他們能夠拿到相關的資料。由於直接破解的難度很高,這時候就可以利用,先前登入拿到的Token,將Token傳送到群控裝置上,此時的群控裝置上有交易平臺的App,直接hook相關API,進行引數拼裝,傳送相關請求,就能達到我們的目的。最後再進行資料的解析,透過架設伺服器將資料發回。
以上就是這次起底的全部內容。
最後,如果想更加針對性地討論移動黑灰產、應用安全、手遊安全,歡迎加入我們的QQ技術交流群:931107146!
目前移動領域的黑灰產有以下幾大類:
下面,我們就來具體聊聊黑灰產的產業鏈路和各種騷操作。
黑灰產產業鏈路
資料黑灰產典型的鏈路就是,透過非法獲取個人隱私資料和第三方業務資料,整合多個平臺的資料,融合到一個完整的內部資料庫,然後透過將資料包裝,分裝到各個業務場景(金融風控、電商風控、定向推送、電話黑名單、信用評級)等。
當然,如果拋開非法獲取,基於自有的運營資料,進行的資料探勘分析,從而再進行其他的擴充,實際上是一個合法合理的資料產業鏈。
自動化產業鏈路就是上圖的路徑,簡單的來說就是刷子、黃牛做的事情,只不過這是一個專業度非常高的刷子。流程一是基於逆向開發,破解介面加密,直接進行批次化的請求,這種方式受限於被破解的App的加固難度和業務場景,開發難度大。流程二說的開發成本更低、裝置成本更高,但是裝置可重複利用,這裡忽略這部分的成本,這一套體系後續會更加詳細的進行描述。
典型的黑灰產形態
自動化請求
這是一個醫院的掛號業務流程,選醫生-選時間-提交預約。在一些醫院的知名專家號是非常的熱門搶手,除了因為本身有他們超高的職業能力以外,還有一部分黃牛刷子的存在,這些號的本身的價值就高達幾百上千元,非法獲利者的利潤空間非常的大,造成了他們不惜一切代價的去利用漏洞。
這個APP本身也進行了一定程度的風控,比如登陸限制等,但是破解難度依然不大。加密演算法也只是簡單的進行了一個RSA加密,金鑰也能輕易的在App中獲取到。本身需要進行三個流程的操作,現在只需要一步便能直接取號,完全超過了正常人的獲取速度。
目前,這個App大概也是發現了風控需求的緊迫性,在提交環節新增設了驗證碼的環節,雖然阻止了一部分的低水平刷子,但是驗證碼的強度不夠,破解難度依然不高。這裡推薦負責業務安全的同學使用行為式驗證碼,安全性高,使用者體驗又好。比如說,易盾的行為式驗證碼,易盾的行為式驗證碼包括智慧無感知、滑動拼圖、文字點選、圖示點選、推理拼圖等,能夠高效過濾機器行為,並保證使用者體驗。
多頭探測
是指透過手機號或者郵箱賬號等,檢測使用者在多家金融機構(P2P、現金貸、證券、銀行等)的註冊行為。一般用來判定使用者的風險等級、是否是潛在客戶、賬號黑名單等。
資料的獲取方式
獲取資料的時候並不需要進行登陸、可直接利用賬號進行檢測,一般透過客戶端或者Web端的註冊介面、登陸介面、忘記密碼介面。
漏洞分析
關聯介面返回的資料內容冗餘(這個需要開發者自行修復)、介面缺少驗證碼等校驗、缺少風控工具、業務流程漏洞。
事例分析
下圖是一家現金貸的公司介面返回值,入參僅需要手機號,加密能夠破解,從這個介面返回我們就可以看出這個手機號已經在這家公司註冊。假設我們拿這個賬號,探測100家的註冊行為,是不是這個手機我們就能做一個維度的風險測評了。
{ "phone_ok": true, "message": "Nomor dapat digunakan untuk reset password" //該號碼可用於重置密碼}
下圖是印尼規模靠前某電商某介面的返回值,原理同上,假設被其他電商利用,進行批次請求,就能發現一大批潛在的客戶,從而進行廣告的推送,等其他商業行為。作為普通使用者,我們的行為資料在不經意之間,就因為開發商的疏忽被洩漏了。作為開發商,我們有責任去保護我們的資料安全可靠。
{ "data": { "checkEmail": { "isExist": true, "errors": [], "__typename": "CheckEmail" } }}
這是一個國內前三電商的海外版本介面,同樣有這樣的問題
這是印度規模很靠前的某出行APP上的疏漏,如果手機註冊他們會提示一種話術,不存在則有另外一種話術,同樣能都利用。
有人說這是海外開發者的水平不足的問題,其實不然,國內的黑灰產更加的盛行,被突破的App只會更多。作為開發者,我們在關注邏輯安全、程式碼安全、業務安全的時候,也應該更加的重視資料的安全。
授權爬取
下圖一個已知的被授權爬取業務攻克的東南亞大型APP的列表,包含東南亞最大的出行平臺、東南亞最大三家電商平臺、政府APP(公積金資料等)、全球知名的社交平臺、運營商等。每一個都是在當地數一數二的企業龍頭,可見個人資料的洩漏不僅只是小廠商的問題,這是一個全行業都面臨的危機,大家可自行對標國內的公司。
下面介紹一個國內的例子。
想必大部分人都聽過或用過電商返利App,這種型別的App在前幾年非常的流行,他們都是利用電商們的推廣SDK,進行相關營銷,從何獲得分成。這種SDK都會有一個授權的登陸頁,跳轉到電商的App進行授權,返回返利App獲得授權Token。其實本身這樣的流程看上去沒有任何問題,然而電商所用的SDK可以在後臺開啟相關的個人喜好、收藏、瀏覽記錄、購物車等。返利App沒有強大的資料探勘和精準營銷的能力,但是利用這些頁面,他們就能獲得比較好的推薦資源。這些頁面大多是Web頁面,透過監控App底層的流量介面,就能很輕易的獲取,個人的喜好資料。
上述的業務形態,是一個很有侷限性的場景,下面介紹一個比較通用的業務形態。
上圖看我們很難分辨,到底哪裡一個是真的授權登入頁。右圖其實也是真實的登入頁,只不過是被進行了改造,注入了監控的程式碼和想要的UI效果,加入了一個協議用於提示授權風險,這個對於大多數使用者來說,完全不會關注到。透過使用者的自發登入(可能使用者會被變相引導為第三方登入),能夠獲取到Token與Cookie,用於後續的其他操作。
至於為什麼不完全仿造或者儲存密碼,是因為儲存密碼的法律風險更大,而且破解加密的方法更難,大型廠商在登入環節的風控更嚴格。拿到Token後,會傳送到相應的伺服器,進行資料爬取。使用者對於自己的資料丟失很多時候是無感知的,很多廠商自身也是無感知的,這個就需要專業的風控產品去幫助他們。同時也要更加的注重全流程的風控,透過對某寶的觀察,不難發現他們的Web端的資料越來越少,很多資料只能出現在App端,比如信用分。這裡也建議,一些核心的流程應該越來越多的往App的方向進行轉移,利用好加固和風控產品,能夠更加有效的和黑灰產進行對抗。只是透過Web端的爬取,也依然還有受限的地方,隨著我們風控的升級,黑灰產的手段也在不斷的升級迭代,我們也一直致力於黑灰產的對抗,樂此不疲。
下面介紹一種在App端發生的漏洞(目前已經失效):早些年,某寶的信用分一直都是風控行業的寵兒,在P2P還盛行的那幾年,無數廠商都希望能夠抓到這樣的資料。然而,想直接透過破解某寶獲取信用分幾乎是不可能的。
以上就是這次起底的全部內容。
結束語
安全其實是全鏈路都需要關注的問題,任何一個環節做的不到位,都將會前功盡棄。作為開發者,我們需要提高我們的安全意識,在每一個細節上都要考慮一點安全問題,因為現在已經不在是隻做產品的網際網路時代,而是一個安全為先的網際網路時代。
小到驗證碼、安全鍵盤,大到應用加固、反外掛、反垃圾、反作弊,方方面面的安全領域我們都需要開始應用起來。
相關文章
- 知物由學 | Android 模擬點選研究,如何突圍“黑灰產”的自動化作弊?Android
- 知物由學 | “群控軟體”助長黑灰產套利的零和遊戲,硬核技術打擊隱秘的不公遊戲
- 知物由學 | 行為時序建模在社交引流黑產識別中的應用
- 知物由學 | 保護iOS應用有新招,IPA加固打擊黑產“復刻”iOS
- Python - 解包的各種騷操作Python
- Android 截圖的各種騷操作Android
- 知物由學 | AI與黑產的攻守之道,詳解攻擊類文字影像的檢測AI
- 通過HTTP的HEADER完成各種騷操作HTTPHeader
- Python玩轉PDF各種騷操作大全!Python
- 黑灰產如何薅色情APP羊毛?揭秘助力黑灰產偽造新裝置的“它”APP
- 知物由學 | “聊騷”屢禁不止,深度學習技術如何對抗語音色情?深度學習
- Git科普文,Git基本原理&各種騷操作Git
- 起底遊戲外掛黑產:6000 元可定製遊戲
- APP生成框架遭濫用,背後黑灰產驚人!APP框架
- 阿里CEO張勇:打破各企業邊界聯手對抗黑灰產阿里
- 知物由學 | 前端國際化工具,助力產品走向海外前端
- chrome開發者工具各種騷技巧Chrome
- 知物由學 | 小遊戲的安全風險在哪裡?遊戲
- 知物由學 | 關聯圖分析在反作弊業務中的應用
- 白日夢的MySQL專題(第33篇):各種登陸MySQL的騷操作MySql
- 知物由學 | iOS裝置指紋的前世今生iOS
- 知物由學 | Lua指令碼保護的前世今生指令碼
- 知物由學 | 增量學習助力內容風控
- 知物由學 | SO加固如何提升Android應用的安全性?Android
- 知物由學 | iOS AssetBundle資源保護iOS
- 比隱私濫用更可怕的,是AI攝像頭的黑灰產之困AI
- 知物由學 | Windows反外掛的資料對抗Windows
- 在react中使用svg的各種騷姿勢ReactSVG
- 知物由學 | Android應用破解與防護,阻斷猖獗的應用亂象Android
- 知物由學 | iOS應用的隱私合規技術介紹與技巧iOS
- 知物由學 | 機器學習在資訊保安領域的五大典型應用機器學習
- 知物由學 | 人工智慧時代,如何反爬蟲?人工智慧爬蟲
- 知物由學 | 遇到外掛,遊戲廠商怎麼辦?遊戲
- 破壞網路可信身份認證,黑灰產業鏈正在興起產業
- 知物由學 | 見招拆招,Android應用破解及防護祕籍Android
- 知物由學 | 你的網路安全問題背後的真正原因
- k電商頻遭“薅羊毛” 加大打擊網路黑灰產
- Python 4 種不同的存取檔案騷操作Python