知物由學 | 用案例起底黑灰產的各種“騷”操作

網易易盾發表於2020-05-26
“知物由學”是網易易盾打造的一個品牌欄目,詞語出自漢·王充《論衡·實知》。人,能力有高下之分,學習才知道事物的道理,而後才有智慧,不去求問就不會知道。“知物由學”希望透過一篇篇技術乾貨、趨勢解讀、人物思考和沉澱給你帶來收穫的同時,也希望開啟你的眼界,成就不一樣的你。當然,如果你有不錯的認知或分享,也歡迎在“網易易盾”公眾號後臺投稿。

目前移動領域的黑灰產有以下幾大類:

1.隱私資料盜用,包含姓名、聯絡方式、通訊錄、社交賬號、公積金資料、移動運營商資料等;2.業務資料盜用,包含購物記錄、外賣記錄、叫車記錄等;3.自動化請求,包含刷單、刷量、搶號、搶票的行為;4.遊戲外掛,包含修改器、加速器、模擬器、雲真機等;5.業務漏洞利用,優惠券漏洞、獎勵漏洞等;

下面,我們就來具體聊聊黑灰產的產業鏈路和各種騷操作。

黑灰產產業鏈路


知物由學 | 用案例起底黑灰產的各種“騷”操作


資料黑灰產典型的鏈路就是,透過非法獲取個人隱私資料和第三方業務資料,整合多個平臺的資料,融合到一個完整的內部資料庫,然後透過將資料包裝,分裝到各個業務場景(金融風控、電商風控、定向推送、電話黑名單、信用評級)等。

當然,如果拋開非法獲取,基於自有的運營資料,進行的資料探勘分析,從而再進行其他的擴充,實際上是一個合法合理的資料產業鏈。

知物由學 | 用案例起底黑灰產的各種“騷”操作


自動化產業鏈路就是上圖的路徑,簡單的來說就是刷子、黃牛做的事情,只不過這是一個專業度非常高的刷子。流程一是基於逆向開發,破解介面加密,直接進行批次化的請求,這種方式受限於被破解的App的加固難度和業務場景,開發難度大。流程二說的開發成本更低、裝置成本更高,但是裝置可重複利用,這裡忽略這部分的成本,這一套體系後續會更加詳細的進行描述。

典型的黑灰產形態

自動化請求

知物由學 | 用案例起底黑灰產的各種“騷”操作


這是一個醫院的掛號業務流程,選醫生-選時間-提交預約。在一些醫院的知名專家號是非常的熱門搶手,除了因為本身有他們超高的職業能力以外,還有一部分黃牛刷子的存在,這些號的本身的價值就高達幾百上千元,非法獲利者的利潤空間非常的大,造成了他們不惜一切代價的去利用漏洞。

這個APP本身也進行了一定程度的風控,比如登陸限制等,但是破解難度依然不大。加密演算法也只是簡單的進行了一個RSA加密,金鑰也能輕易的在App中獲取到。本身需要進行三個流程的操作,現在只需要一步便能直接取號,完全超過了正常人的獲取速度。

目前,這個App大概也是發現了風控需求的緊迫性,在提交環節新增設了驗證碼的環節,雖然阻止了一部分的低水平刷子,但是驗證碼的強度不夠,破解難度依然不高。這裡推薦負責業務安全的同學使用行為式驗證碼,安全性高,使用者體驗又好。比如說,易盾的行為式驗證碼,易盾的行為式驗證碼包括智慧無感知、滑動拼圖、文字點選、圖示點選、推理拼圖等,能夠高效過濾機器行為,並保證使用者體驗。

多頭探測

是指透過手機號或者郵箱賬號等,檢測使用者在多家金融機構(P2P、現金貸、證券、銀行等)的註冊行為。一般用來判定使用者的風險等級、是否是潛在客戶、賬號黑名單等。

資料的獲取方式

獲取資料的時候並不需要進行登陸、可直接利用賬號進行檢測,一般透過客戶端或者Web端的註冊介面、登陸介面、忘記密碼介面。

漏洞分析

關聯介面返回的資料內容冗餘(這個需要開發者自行修復)、介面缺少驗證碼等校驗、缺少風控工具、業務流程漏洞。

事例分析

下圖是一家現金貸的公司介面返回值,入參僅需要手機號,加密能夠破解,從這個介面返回我們就可以看出這個手機號已經在這家公司註冊。假設我們拿這個賬號,探測100家的註冊行為,是不是這個手機我們就能做一個維度的風險測評了。

{    "phone_ok": true,    "message": "Nomor dapat digunakan untuk reset password"    //該號碼可用於重置密碼}

下圖是印尼規模靠前某電商某介面的返回值,原理同上,假設被其他電商利用,進行批次請求,就能發現一大批潛在的客戶,從而進行廣告的推送,等其他商業行為。作為普通使用者,我們的行為資料在不經意之間,就因為開發商的疏忽被洩漏了。作為開發商,我們有責任去保護我們的資料安全可靠。

{    "data": {        "checkEmail": {            "isExist": true,            "errors": [],            "__typename": "CheckEmail"        }    }}

這是一個國內前三電商的海外版本介面,同樣有這樣的問題

{    "code": "1",    "data": true,    “msg”: “Nomor handphone telah terdaftar”,(手機號已註冊)       "state": "SUCCESS"}


這是印度規模很靠前的某出行APP上的疏漏,如果手機註冊他們會提示一種話術,不存在則有另外一種話術,同樣能都利用。

{    "data": {        "message": "Enter the code we sent via SMS to your registered phone number (+86XXXXXXXX884).",        "otp_token": "6d358cf9-f82f-4a41-9d68-1cb17c375d1d",        "expires_in": 300,        "otp_length": 4,        "next_retry": {            "state": "sms",            "timer_in_seconds": 30       }    },    "success": true,    "errors": null}


有人說這是海外開發者的水平不足的問題,其實不然,國內的黑灰產更加的盛行,被突破的App只會更多。作為開發者,我們在關注邏輯安全、程式碼安全、業務安全的時候,也應該更加的重視資料的安全。

授權爬取

下圖一個已知的被授權爬取業務攻克的東南亞大型APP的列表,包含東南亞最大的出行平臺、東南亞最大三家電商平臺、政府APP(公積金資料等)、全球知名的社交平臺、運營商等。每一個都是在當地數一數二的企業龍頭,可見個人資料的洩漏不僅只是小廠商的問題,這是一個全行業都面臨的危機,大家可自行對標國內的公司。

知物由學 | 用案例起底黑灰產的各種“騷”操作


下面介紹一個國內的例子。

知物由學 | 用案例起底黑灰產的各種“騷”操作


想必大部分人都聽過或用過電商返利App,這種型別的App在前幾年非常的流行,他們都是利用電商們的推廣SDK,進行相關營銷,從何獲得分成。這種SDK都會有一個授權的登陸頁,跳轉到電商的App進行授權,返回返利App獲得授權Token。其實本身這樣的流程看上去沒有任何問題,然而電商所用的SDK可以在後臺開啟相關的個人喜好、收藏、瀏覽記錄、購物車等。返利App沒有強大的資料探勘和精準營銷的能力,但是利用這些頁面,他們就能獲得比較好的推薦資源。這些頁面大多是Web頁面,透過監控App底層的流量介面,就能很輕易的獲取,個人的喜好資料。

上述的業務形態,是一個很有侷限性的場景,下面介紹一個比較通用的業務形態。

知物由學 | 用案例起底黑灰產的各種“騷”操作


上圖看我們很難分辨,到底哪裡一個是真的授權登入頁。右圖其實也是真實的登入頁,只不過是被進行了改造,注入了監控的程式碼和想要的UI效果,加入了一個協議用於提示授權風險,這個對於大多數使用者來說,完全不會關注到。透過使用者的自發登入(可能使用者會被變相引導為第三方登入),能夠獲取到Token與Cookie,用於後續的其他操作。

至於為什麼不完全仿造或者儲存密碼,是因為儲存密碼的法律風險更大,而且破解加密的方法更難,大型廠商在登入環節的風控更嚴格。拿到Token後,會傳送到相應的伺服器,進行資料爬取。使用者對於自己的資料丟失很多時候是無感知的,很多廠商自身也是無感知的,這個就需要專業的風控產品去幫助他們。同時也要更加的注重全流程的風控,透過對某寶的觀察,不難發現他們的Web端的資料越來越少,很多資料只能出現在App端,比如信用分。這裡也建議,一些核心的流程應該越來越多的往App的方向進行轉移,利用好加固和風控產品,能夠更加有效的和黑灰產進行對抗。只是透過Web端的爬取,也依然還有受限的地方,隨著我們風控的升級,黑灰產的手段也在不斷的升級迭代,我們也一直致力於黑灰產的對抗,樂此不疲。

下面介紹一種在App端發生的漏洞(目前已經失效):早些年,某寶的信用分一直都是風控行業的寵兒,在P2P還盛行的那幾年,無數廠商都希望能夠抓到這樣的資料。然而,想直接透過破解某寶獲取信用分幾乎是不可能的。

原理還是類似,有人只是做了一個變種:突破口是在一個二手的交易平臺,他們整合了某寶的SDK,透過SDK他們能夠拿到相關的資料。由於直接破解的難度很高,這時候就可以利用,先前登入拿到的Token,將Token傳送到群控裝置上,此時的群控裝置上有交易平臺的App,直接hook相關API,進行引數拼裝,傳送相關請求,就能達到我們的目的。最後再進行資料的解析,透過架設伺服器將資料發回。

知物由學 | 用案例起底黑灰產的各種“騷”操作


以上就是這次起底的全部內容。

結束語

安全其實是全鏈路都需要關注的問題,任何一個環節做的不到位,都將會前功盡棄。作為開發者,我們需要提高我們的安全意識,在每一個細節上都要考慮一點安全問題,因為現在已經不在是隻做產品的網際網路時代,而是一個安全為先的網際網路時代。

小到驗證碼、安全鍵盤,大到應用加固、反外掛、反垃圾、反作弊,方方面面的安全領域我們都需要開始應用起來。

最後,如果想更加針對性地討論移動黑灰產、應用安全、手遊安全,歡迎加入我們的QQ技術交流群:931107146!

相關文章