[read]风控要略——互联网业务反欺诈之路

=Start=

缘由:

整理一下周末这两天看的《风控要略——互联网业务反欺诈之路》这本书,方便以后有需要的时候进一步学习参考。

正文:

参考解答:

之前在记录《[read]互联网安全建设从0到1》这篇文章的时候,曾经有过几句感慨——现在市面上没有1本书能够完全覆盖大型互联网企业安全的所有内容,一方面是因为现在企业中安全涉及的领域越来越多,很难有一个人或是一个团队可以完全覆盖;另一方面就是很多企业安全团队不论是出于保密还是什么原因,很多东西不能写或是不能写透。

不过,反过来想想,何必非得要在1本书中覆盖所有的内容?如果你想较为系统地了解某个方向的内容,最好的方式还是找对应领域中的评价比较好的几本书对比来看,然后再找一些具体做过这个方向的同学深入沟通一下,有机会的话自己再实际上手试试(事情非亲自做不知难)。效果肯定会比单独阅读1本大而全(但很难深入)的书要好。

业务安全一般属于互联网企业中比较重要和核心的岗位(因为涉及到钱的问题),如果你不是具体做这一块工作的同学,是很难有机会了解他们在做什么的(因为有保密的需求,他们的组织架构在企业中是隐藏的——大部分人无法看到,他们做的事情你就更难了解到了)。虽然我也是做安全的,但主要做的还是偏传统基础安全方向,业务安全啥的有一定了解,但也知道的比较浅,这次借着阅读《风控要略》这本书的过程,大致系统的学习一下互联网企业面临的常见业务安全问题及其应对思路和方法,方便以后参考。


全书共17章,分为4个部分(洞察黑产(第1-2章)、体系构建(第3-11章)、实战教程(第12-13章)和新的战场(第14-17章))。其中我个人觉得写的非常好(或者说让我了解了一些之前我不是太清楚的名词/手法)的地方主要有:第2章、第3-4章的大部分内容、第5章、第9-11章、第13-15章的部分内容。整体来说书中介绍的很多内容都让我受益匪浅,值得推荐给各位想对业务安全有所了解和涉猎的同学阅读,开卷有益。


前言

很多问题的产生并不是因为黑产团伙的技术有多么高明,而是因为防御方不能够很好地帮助客户理解业务风险。

本书主要分为洞察黑产、体系构建、实战教程和新的战场4个部分。
第1部分介绍了黑产欺诈团伙的运作套路和攻击手段;
第2部分总结了我们在构建反欺诈技术体系过程中沉淀的实践经验;
第3部分分享了我们和黑产对抗的多个实战案例,以及机器学习算法的综合运用;
第4部分介绍了我们在物联网、内容安全、隐私合规等方面的实践和对海外厂商的观察。

希望读者通过阅读本书,可以对互联网反欺诈的行业现状有一个系统而具体的认识。业务安全的真正力量是内生的,专业的安全风控公司可以提供工具、平台和策略建议,但是只有业务方真正理解风险和防控思路,才能在与黑产的对抗中设计好业务规则、运营好安全策略,取得较好的效果。如果读者正在关注该领域或从事相关工作,我们相信本书一定能够为您提供帮助。

引言 互联网业务安全概述

当前中国互联网安全产业大体可以分为「基础安全」和「业务安全」两个领域。

从互联网诞生至2014年,互联网安全行业关注的热点基本都聚焦在「网络安全」、「系统安全」和「应用安全」这三大基础安全领域上。

2014年前后,随着互联网业务的爆发式发展,黑产团伙开始从“攻击渗透系统获利”的传统套路进化到“利用业务风控缺失进行大规模牟利”的模式,并且逐渐形成规模庞大、分工明确的黑色产业链。

在2014年之后的几年时间里,互联网风控反欺诈阵营和黑产集团展开了波澜壮阔的鏖战,涉及游戏、电商、支付、视频直播甚至共享单车等几乎所有互联网业务领域。双方在拉锯战中互有胜负,直到公安机关”净网行动”全面展开后,黑产的嚣张气焰才得到有效遏制。

第一部分 洞察黑产

第1章 黑产发展态势

1.1 黑产组织结构
1.2 黑产成员分布
1.3 黑产专业化分工
1.4 黑产攻击规模
1.5 电信欺诈黑产
1.6 本章小结

第2章 黑产武器库概览

2.1 虚假号码
2.1.1 猫池
2.1.2 短信验证码
2.1.3 接码平台
2.1.4 空号注册
2.1.5 流量卡和物联网卡
2.1.6 手机rom后门

2.2 代理IP
2.3 设备伪造工具
2.3.1 改机工具
2.3.2 多开工具
2.3.3 Root/越狱工具
2.3.4 Xposed
2.3.5 Cydia Substrate
2.3.6 Frida
2.3.7 硬改工具
2.3.8 脱机挂
2.3.9 备份恢复/抹机恢复
2.3.10 模拟器
2.3.11 定制浏览器
2.3.12 自动化脚本

2.4 其他工具
2.4.1 位置伪造工具
2.4.2 群控
2.4.3 工具集
2.5 本章小结

虚假手机号、代理IP、设备信息伪造、群控、(+虚假身份信息)……

第二部分 体系构建

第3章 反欺诈体系建设思路

3.1 动态防控理念
3.2 防控体系构建
3.3 本章小结

运营驱动+红蓝对抗,形成一个可以动态闭环、不断进化的防控体系。

第4章 风控核心组件设备指纹

4.1 设备指纹的原理
4.2 设备指纹的技术实现
4.2.1 Android设备指纹
4.2.2 iOS设备指纹
4.2.3 Web设备指纹
4.2.4 设备ID生成与恢复逻辑
4.2.5 被动式识别技术
4.3 代码保护
4.3.1 JS代码混淆技术
4.3.2 Android/iOS SDK加固保护
4.4 本章小结

在当前的情况下,设备指纹可以认为是互联网反欺诈对抗的核心(如果没有一个唯一且稳定的设备指纹标识——包括但不限于异常环境检测能力、自我保护防破解、唯一性/稳定性……,那在此基础上做的检测/防护策略,如同于浮沙建高台——看上去很美好实际却很脆弱)。

稳定性 vs. 唯一性 需要根据各自公司的业务实际情况进行权衡,没有最好的办法,只有最合适的选择。

第5章 基于用户行为的生物探针

5.1 生物探针
5.2 无感认证
5.2.1 无感认证的基础
5.2.2 无感认证的构建
5.3 生物探针的应用场景
5.4 本章小结

你【知道】什么;你【拥有】什么;你【是】谁;你的【行为模式】。

传感器-sensor

第6章 智能验证码的前世今生

6.1 验证码的诞生
6.1.1 验证码的本质
6.1.2 验证码的发展
6.2 验证码的攻防
6.2.1 字符验证码的识别
6.2.2 新型验证码的识别
6.2.3 对抗黑产的方案
6.3 设计一款优秀的验证码
6.3.1 设计标准
6.3.2 设计实战
6.4 本章小结

一系列绝大部分人类能够解答,但机器无法回答的问题。

Easy for Human, Hard for Bot, A better experience.

第7章 风控中枢决策引擎系统

7.1 规则引擎
7.1.1 脚本引擎
7.1.2 开源规则引擎
7.1.3 商业规则引擎
7.1.4 几种规则引擎实现方案的对比
7.2 规则管理
7.3 规则推送
7.4 规则执行
7.5 外部系统集成
7.6 灰度测试
7.7 本章小结

Groovy vs. Drools vs. JRules

灰度验证规则的效果和影响范围,避免对线上业务造成重大影响。

第8章 海量数据的实时指标计算

8.1 实时指标计算概述
8.2 实时指标计算方案
8.2.1 基于数据库SQL的计算方案
8.2.2 基于事件驱动的计算方案
8.2.3 基于实时计算框架的计算方案
8.2.4 实时指标计算方案对比
8.3 反欺诈实时指标计算实践
8.3.1 实时指标计算引擎原型
8.3.2 数据拆分计算
8.3.3 分片计算
8.3.4 引入Flink
8.3.5 Lambda架构
8.4 反欺诈实时指标计算系统
8.5 本章小结

第9章 风险态势感知系统

9.1 基于统计分析的方法
9.1.1 核心风控指标数据
9.1.2 核心业务数据

9.2 基于无监督学习的方法
9.3 基于欺诈情报的方法
9.4 预警系统
9.5 本章小结

第10章 风险数据名单体系

10.1 名单体系的价值
10.2 名单体系的设计
10.3 名单体系的生命周期
10.4 名单体系质量管理
10.5 本章小结

第11章 欺诈情报体系

11.1 情报采集
11.1.1 数据情报
11.1.2 技术情报
11.1.3 事件情报

11.2 情报分析
11.3 本章小结

第三部分 实战教程

第12章 机器学习算法的使用

12.1 机器学习的广泛应用
12.2 机器学习的落地过程
12.2.1 特征工程
12.2.2 模型选择
12.2.3 模型训练
12.2.4 工程化和业务落地
12.3 机器学习实战案例
12.3.1 案例一:黑产设备群控网络挖掘
12.3.2 案例二:黑产用户行为聚类分析
12.3.3 案例三:金融在线申请反欺诈
12.4 本章小结

第13章 互联网反欺诈实战

13.1 典型反欺诈业务场景风险分析
13.1.1 垃圾注册风险识别
13.1.2 批量登录风险识别
13.1.3 “薅羊毛”风险识别
13.1.4 裂变拉新作弊风险识别
13.1.5 “任务”作弊风险识别
13.1.6 恶意退单风险识别

13.2 解决方案设计示例
13.2.1 电商薅羊毛
13.2.2 裂变拉新
13.3 策略部署
13.3.1 策略配置
13.3.2 策略迭代
13.4 运营监控
13.4.1 监控预警报表
13.4.2 态势感知
13.4.3 情报监控
13.5 本章小结

第四部分 新的战场

第14章 物联网时代的风控

14.1 物联网安全态势
14.2 物联网安全威胁分析
14.2.1 云端平台安全威胁
14.2.2 网络通信安全威胁
14.2.3 设备终端安全威胁
14.2.4 物联网安全监管要求
14.3 物联网安全风险控制体系建设思路
14.4 物联网安全风险态势感知系统
14.5 本章小结

云、管、端。

第15章 内容安全与合规

15.1 内容安全合规概述
15.2 文本内容安全
15.2.1 敏感词系统
15.2.2 基于NLP的AI模型
15.3 图像内容安全
15.3.1 图像分类
15.3.2 敏感人物识别
15.3.3 图像文字识别
15.4 语音内容安全
15.4.1 有语义语音
15.4.2 无语义语音
15.5 视频内容安全
15.5.1 视频内容安全处理流程
15.5.2 关键帧提取
15.6 内容安全工程
15.7 内容安全系统的评价指标
15.8 本章小结

文本、图像、语音、视频,工程化能力和注意事项。

第16章 风控与数据合规使用

16.1 网络安全立法进程
16.2 个人数据合规使用
16.2.1 用户隐私政策
16.2.2 数据安全流转
16.3 数据合规技术创新实践
16.3.1 数据匿名查询
16.3.2 区块链共享黑名单
16.4 本章小结

第17章 海外风控公司

17.1 Arkose Labs
17.2 Sift
17.3 Forter
17.4 Shape Security
17.5 Okta
17.6 本章小结

取法乎上得其中,学习对标国外同行的先进经验。


参考链接:

风控要略——互联网业务反欺诈之路
https://item.jd.com/12946188.html

欢迎来到风控时代
https://www.zhihu.com/roundtable/risk

互联网金融平台如何反欺诈?
https://www.zhihu.com/question/29177586

消费信贷风控中的反欺诈体系
https://zhuanlan.zhihu.com/p/96778969

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4964.html

《[read]风控要略——互联网业务反欺诈之路》上的8个想法

  1. 2020上半年出行行业黑灰产研究报告
    https://mp.weixin.qq.com/s/sQJRZZonTF7bjCs1jd_H9A
    `
    # 报告背景
    衣食住行渗透在每个国民的日常生活,随着我国经济水平的快速发展及国民生活水平的提升,对于出行有了更高的要求。在庞大需求的刺激下,出行服务的公司如雨后春笋般崛起,提供打车,租车,顺风车等各类便捷出行服务。

    为了快速占领市场,各出行企业平台陆续推出了用户优惠补贴,司机入住奖励等多种活动,依附于该行业的黑灰产业链分工明确,合作紧密已发展成一定规模。当大量用户涌入平台时,是敌是友一时难以分辨,暗流涌动之下多家企业平台已遭受攻击。

    报告将围绕出行打车行业的黑产产业链分布,攻击手法还原,典型作弊工具分析,黑产变化趋势等多个角度,阐述出行打车行业2020年黑产最新动态。希望本报告能给该行业的安全风控从业者带来一些防控体系建设新思路。

    # 报告重点
    * 报告中提到的攻击数据来自20+出行企业,截取头部企业做为案例分析。
    * 当前黑产的攻击目标仍为出行行业的一些头部企业,攻击占比高达54.45%。
    * 第三方打车平台,如高*地图/腾*地图正在逐渐成为黑产攻击的目标。
    * 攻击出行平台所需要的各类料子信息(包含身份认证,信用卡,支付绑定等)所有料子全部购买只需6元。

    # 目录
    1. 出行行业现状
    2. 出行行业风险分布
    3. 出行行业常见黑色产业链
    4. 出行行业常用黑产资源
    5. 出行行业典型黑产工具分析
    6. 出行行业攻击方式总结
    7. 出行行业攻击成本
    8. 出行行业黑产变化趋势
    9. 出行行业防控建议
    10. 附录:黑话&术语

    六、出行行业攻击方式
    1.利用低版本应用作案
    2.绑定海外信用卡绕过预支付
    3.利用业务漏洞绕过预支付

    八、出行行业黑产变化趋势
    1. 从公开接码到线下对接
    2. 自动化工具与真人作弊相结合
    3. 黑产目标渠道逐渐转向小程序端
    4. 业务逻辑漏洞仍为黑产的攻击点

    九、出行行业防控建议
    1.外部情报布控
    2.内部数据分析
    3.业务流程梳理

    线报平台:为羊毛党提供最新薅羊毛、赚钱活动的信息平台。
    接码平台:用于接收手机验证码的平台。
    发卡平台:提供虚拟软件、卡密、数据等资源的自动交易平台。
    打码平台:用于自动化识别验证码的平台。
    众包平台:用于链接上游发布任务及下游真人作弊的平台。
    新型众包平台:提供接口给开发者/羊毛党使用的真人作弊平台,涉及到第三方账号的授权。
    料子:公民个人相关信息,涉及姓名、身份证、银行卡、手机号等数据。
    毛c:国际信用卡,可用于账号绑定及交易。
    卡商:提供手机号资源的供应商。
    `

  2. node-machine-id
    https://www.npmjs.com/package/node-machine-id
    `
    Cross-platform unique machine (desktop) id discovery

    Module based on OS native UUID/GUID which used for internal needs.

    (在不需要提升/申请权限,不依赖硬件组件的基础上的一个【相对】靠谱的方法)All others approaches requires elevated rights or much depends on hardware components, but this approach summarize the methods of selecting the most reliable unique identifier

    # Windows
    Win32/64 uses key MachineGuid in registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography (can be changed by administrator but with unpredictable consequences)
    It is generated during OS installation and won’t change unless you make another OS updates or reinstall. Depending on the OS version it may contain the network adapter MAC address embedded (plus some other numbers, including random), or a pseudorandom number.

    # macOS (mac平台上的设备指纹相对来说是最好做的,直接用命令或是其他方式读取设备序列号即可)
    OSx uses IOPlatformUUID (the same Hardware UUID) ioreg -rd1 -c IOPlatformExpertDevice
    Value from I/O Kit registry in IOPlatformExpertDevice class

    # Linux
    Linux uses /var/lib/dbus/machine-id (can be changed by root but with unpredictable consequences) http://man7.org/linux/man-pages/man5/machine-id.5.html
    The /var/lib/dbus/machine-id file contains the unique machine ID of the local system that is set during installation. The machine ID is a single newline-terminated, hexadecimal, 32-character, lowercase machine ID string. When decoded from hexadecimal, this corresponds with a 16-byte/128-bit string.

    The machine ID is usually generated from a random source during system installation and stays constant for all subsequent boots. Optionally, for stateless systems, it is generated during runtime at early boot if it is found to be empty.

    The machine ID does not change based on user configuration or when hardware is replaced.
    `

  3. 网鼎杯风云:真·大侠不搞偷袭,真·黑客不靠作弊
    `
    五、反作弊的烽火台

    5月12日,网鼎杯“青龙组”初赛后的第三天,网鼎杯官方发出裁决公告,宣布77支队伍涉嫌作弊,予以处理。

    在随后的“白虎”、“朱雀”、“玄武”三场初赛后的几天里,官方都有发出裁决公告,取消一批作弊战队的晋级资格和成绩。
    时间回到5月17日,“朱雀组”初赛期间,烽火台反作弊平台监测到一支战队的数据异常,疑似代打。工作人员小路拨通了该战队队长的手机号。
    “您好,我是网鼎杯裁判组的工作人员,您刚才提交了一道misc题,能口头陈述一下大致的解题思路吗?”
    电话那头沉默了两秒:“啊,哦!那道题不是我做的,是我队里别的队员做的。”
    小路:“请问是谁做的?方便把电话给他吗?”
    对话那头又沉默了几秒,随后开始表演:“喂?…… 诶?听得到吗?喂?咦?信号不好吗?”
    “请把电话给您做出那道题的队友,或者说一下他的名字,我直接打给他。”小路说。
    “喂?诶!能听见吗?喂?”嘟嘟嘟……电话挂断。
    类似的对话在网鼎杯比赛期间发生过很多次。AK告诉我,尽管网鼎杯初赛是在线上进行,但“烽火台反作弊平台”依然可以通过数据来捕捉异常线索,辅助裁判反作弊。

    他举了几个小例子。

    1)动态Flag
    比赛时,每位选手分到的每一道题都有一个随机生成的很长的网络访问地址,在选手点开赛题的一瞬间,平台算法会用这个随机的网络访问地址生成一个唯一的Flag。
    当选手答完并关闭赛题,这个网络访问地址和Flag也随即被销毁——这意味着即便是同一道题,不同选手的访问地址和Flag也完全不一样,所以但凡烽火台监测到一支队伍提交了另一支队伍的Flag,或者访问了别的队伍的赛题网址,就说明这两支队伍一定存在违规行为。
    大概就好比抄作业把对方的名字也给照抄了过来。

    2)带“坑”的题目
    还有一些题目就像是“密室逃脱”,选手在赛题环境里的一举一动都会被记录下来,按照赛题“剧情”,需要先在A房间拿到钥匙才能打开B房间的门,假如有选手打开了B房间的门拿到Flag,却没在A房间留下痕迹,那么就存在作弊的可能性。

    3)答案不可能雷同的题目
    还有些题目,从概率上就不太可能雷同答案。比如有一道题的其中一个步骤是让选手们补上一个残缺的二维码。
    二维码的画法有成千上万种,你可以画个葫芦娃,也可以画个小猪佩奇,甚至写个汉字,从概率上来说,几乎不可能雷同。
    但是这些方法只能查出直接“串flag”的作弊,如果两支队伍只是“交流解题思路”,这些办法就很难发现。

    4)赛后提交解题思路
    “每一场初赛后,我们会给到前240名的选手一个模板,要求选手在8小时之内提交详细的WriteUp(解题思路)。”AK说,这在一定程度上提高选手作弊的成本。

    5)大数据反作弊
    烽火台反作弊平台会记录每个选手的登录IP地址和每一道题的提交时间。
    “假如来自不同战队的A选手和B选手在差不多时间提交了同一道题,虽然看起来Flag是自己做的,可是调取他们的登录信息,发现他们的IP地址频繁变化并且出现IP地址相同的情况,那么就有代打的可能性。”
    除此之外,烽火台反作弊系统还积累的许多选手们在CTF竞赛社区里的社会关系:参加过什么比赛、服役过什么队、队员都有谁、擅长什么技术方向、这些数据会关联到每一场比赛中。
    “CTF社区的技术交流氛围很好,但网络安全竞赛的目的是选拔和评价人才,所以我们不希望这种社会关系渗透到比赛中,否则对刚进圈子但技术实力强的人不公平。”AK说。

    6)群众举报和外部信息
    群众举报也是一个重要的反作弊情报来源。文章前面提到的那个跑到技术论坛悬赏的,就在知乎上被人举报的。

    ==

    AK说“半决赛有2000名选手在现场,人一多,你会发现什么情况都可能发生,比赛平台的稳定性、人员的安全性、反作弊……你得提前考虑各种各样极端的情况。”
    网鼎杯的裁判张凯说了一个小插曲:“半决赛的前一天晚上,我们裁判组测试竞赛平台,发现大量的人对我们进行渗透测试,网络扫描,我就给他们发私信:再扫,把你们踢出去!”
    偷袭老同志,不好,年轻人要耗子尾汁。

    ==

    七、反作弊的代价

    反作弊有代价,除了本身的实施成本,最直接的体现是降低选手的参赛体验,让他们不如以往其他比赛那么自在。
    且不说线上比赛打到一半忽然有工作人员小姐姐给你打电话,问这问那核实身份,光是线下赛严苛的身份核验就让一些选手感到束缚,拉个粑粑还要报备。
    2018年第一届网鼎杯办完,就有选手跑到网上吐槽:“第一次遇到线下赛既不让连外网同时上交手机,而且无线路由器也不能用,哦,还有电磁屏蔽的……”
    抓到作弊,处罚力度也是个问题。
    AK告诉我,去年的全国大学生网络安全竞赛上,一个学生被现场裁判抓住连外网,判罚强制终止比赛,结果指导老师哭着找过来,说取消比赛资格可以,但请千万别通报学校,不然学生要受处分,影响学业。
    后来经核实,发现那位选手是因为第一次参加这么大规模的比赛,过于激动,所以忍不住拍了一些照片给女朋友发过去,并没有交流赛题。
    自那以后,AK意识到反作弊处罚得拿捏好度,生怕增加额外伤害。
    “按照规则,网鼎杯发现恶劣的作弊行为之后会把选手拉入竞赛黑名单,并且考虑通报给单位,但目前还没有通报过,这是一个保留手段。”他说,哪怕是公示出来的作弊处罚名单,主办方也会把队名打码,就是怕选手受到太大影响。

    “搞网络安全的都知道,漏报和误报是矛盾的,如果太严格,很容易误报,太宽松又容易会漏掉一些威胁。比赛反作弊也是一样,有时左右为难。”

    AK向我透露,今年网鼎杯初赛,一支队伍泄露Flag给另一支队伍,被烽火台发现,主办方把两支队伍都进行了处罚。结果公告一出没多久,他就收到申诉邮件,对方说:“为啥判我作弊,我没作弊啊,你怎么证明我提交了别人的Flag?”
    AK给对方详细陈述了“动态Flag”的机制,告诉他平台有日志记录,对方还是不信:“万一你平台出错了呢?”
    对方不依不挠发了十几封邮件,逼着主办方给他看了平台的日志,可还是不服。AK告诉对方:“你如果还是有疑虑,通过你单位写信盖章来做仲裁。”结果对方单位真的盖了章,那就仲裁吧,裁判组举手表决,依然是全票认定为串Flag作弊。
    “也许是觉得闹一闹搏一搏,单车就能变摩托。也许是怕承认作弊很难跟上级领导解释,所以无论如何也要争辩到底。”AK说,“我们主办方其实也挺委屈的,你不能用权威去压选手,不然大家会说你欺负人,说你不公平。”

    八、网鼎杯不相信江湖

    “很多CTF选手都是高校的学生,半条腿才迈进网络安全行业,别的还没学到,先学到代打作弊,你说有意思不?”AK摊摊手,“网鼎杯的初衷就是要找到真正有能力的人,然后倒逼他们的单位去发现他们,重视他们,给他们提供舞台和空间。”
    据我所知,今年“网鼎杯”除了奖金、奖杯和相关证书,联合主办方深信服还给Top50的高校战队额外提供校招绿色通道和实习机会。
    我想,这是深信服作为一家企业的一点点“私心”——想通过举办赛事来吸引和挖掘人才——更是它作为联合主办方的一次以身作则。
    毕竟,技术人才(而非PY上位者)才是我们国家网络安全产业做大,做强的希望和根本。
    如此,串题、代打就像是凿船,大家都在一条船上,脚下的船翻了,谁也别想好。
    告别AK时,我说想以“网鼎杯是一个江湖”作为主题,讲真正的大侠从来不屑于搞偷袭和靠关系上位。AK说他不太喜欢“江湖”这个词,市侩气息太重,不符合网鼎杯的气质。
    他说网鼎杯做的一切都是想让网络安全竞赛圈子更加规范起来,哪怕有时看起来有些严肃,拘谨,官方,丧失了一些娱乐性和自由性。
    我说:“那就叫‘网鼎杯不相信江湖’吧,法治社会需要秩序,不需要侠客和江湖。”AK笑了。

    注:本文提到的人名均为化名。
    最后再介绍一下我自己吧,我是谢幺,科技科普作者一枚,日常是把各路技术讲得通俗有趣。想跟我做朋友,可以加我的个人微信:xieyaopro。不想走丢的话,请关注【浅黑科技】!(别忘了加星标哦)
    `

  4. 我是人吗?关于人机验证绕过技术的一些总结
    https://mp.weixin.qq.com/s/SvB_7mr1jPuQjhzdE1YOQQ
    `
    一、前言
    人机验证服务是突破传统验证码的人机识别产品,通过对用户的行为数据、设备特征与网络数据构建多维度数据分析,可以对风险设备使用、模拟行为、暴力重放等攻击进行综合判决,解决企业账号、活动、交易等关键业务环节存在的欺诈威胁问题。早期的验证码通常是一串非常简单的形状标准的数字,经过长期发展,形式越来越多样化,现在简单的数字英文验证码已经很容易被机器读取破解,复杂的验证码设计得愈发反人类。不过得益于机器学习,尤其是深度学习的进步,很多学者和技术大牛都这方面有了一些研究成果,本文将对已有的一些人机验证绕过技术进行总结。

    二、亚马逊验证码识别
    三、12306验证码识别
    四、谷歌验证系统破解
    五、滑动验证破解

    六、总结
    当今互联网中,大量诸如垃圾注册、刷库撞库、薅羊毛等严重影响企业正常业务运作的恶意风险背后都离不开机器自动化脚本。绕开某一个网站的人机验证,重点在于让机器觉着你是人,而不是它的同类,但是机器觉着你是不是机器的重点在于设计这个机器的人所设置的一些检验手段。人机验证服务可以在保障用户体验的同时有效拦截机器风险,提供安全可靠的业务环境。对绕过技术的研究可以有效对恶意访问行为进行约束,对于反爬虫的信息保护也有极大的战略意义。
    `

    [1] 亚马逊验证码智能识别技术详解, https://zhuanlan.zhihu.com/p/46603425
    [2] 实例解析:12306验证码破解, https://zhuanlan.zhihu.com/p/53329216
    [3] Kaggle 12306验证码数据集, https://www.kaggle.com/libowei/12306-captcha-image
    [4] 12306验证码识别, https://github.com/senliuy/12306_crack
    [5] Google’s reCAPTCHA test has been tricked byartificial intelligence. https://www.wired.co.uk/article/google-captcha-recaptcha
    [6] 淘宝在找回密码时需要向右滑动验证,原理是? https://www.zhihu.com/question/35538123/answer/63302379

  5. 技术揭秘 | 互联网广告黑产盛行,如何反作弊?
    https://mp.weixin.qq.com/s/VXfqI5CJKhWJKi6EK_1Q_A
    `
    互联网行业发展的几十年来,已经渗透到生活的方方面面,各种互联网公司层出不穷。互联网公司的商业变现途径已经发展出引流、电商、游戏等多种流派,但是广告变现作为一种最快捷和直接的变现途径,依然占据着整个行业的大半壁江山。国际国内的各大互联网公司如:Google、Facebook、百度、阿里、腾讯、字节跳动、各大门户或视频网站,广告收入占其总收入的比例都非常高。有人的地方就有江湖,有江湖的地方就有纷争。互联网广告也引申出了作弊与反作弊的纷争。互联网广告作弊已经成为了一个有完整链条的行业,而反作弊部门也成为了各大依靠广告变现公司的标配。

    一 、常见广告计费模式
    一个网络媒体(网站)会包含数十个甚至成千上万个页面,网络广告所投放的位置和价格就牵涉到特定的页面以及浏览人数的多寡。这好比平面媒体(如报纸)的“版位”、“发行量”,或者电波媒体(如电视)的“时段”、“收视率”的概念。网络媒体常见的广告收费模式[2]有CPM、CPC、CPA、CPT、CPS、CPI

    二、虚假流量的获益形式和发生机制
    1. 广告投放流程
    2. 获益方式
    3. 发生机制

    三、广告点击反作弊核心问题
    1. 无效点击定义
    2. 广告点击业务的运转逻辑
    3. 反作弊的意义
    4. 反作弊的难点
    5. 作弊动机
    6. 作弊类型
    7. 评价反作弊效果的方法

    四、反作弊技术体系
    1. 技术体系大图
    2. 规则与模型对比
    3. 样本工程
    4. 特征工程
    5. 主动发现作弊
    6. 核心算法
    `

  6. 永安在线安全团队《2020年黑灰产攻防研究年度总结报告》
    https://mp.weixin.qq.com/s/M95Gk8DxnE_gwOT9-QMecA
    `
    一、永安在线业务安全情报能力
    1. 业务安全情报平台
    2. 风控基础数据标签
    3. 业务安全服务
    4. Karma业务情报搜索引擎

    二、黑灰产攻击的演变趋势
    1. 商业模式转变带来黑灰产核心资源变化
    2. 虚假账号的生产和流转呈规模化趋势
    3. 作恶方式从自动化工具向真人众包演变
    4. 真人作弊深度剖析

    三、攻防技术的迭代
    1. 黑产群控进化史
    2. 黑产IP资源进化史
    3. 秒拨IP识别技术案例分析
    4. 新工具“IP魔盒”案例分析
    5. 定制ROM改机案例分析
    6. 黑产攻击流程自动化体系

    四、黑产工具情报分析
    1. 工具样本的快速分析和有效性验证
    2. 工具分析及案例
    2.1 恶意爬虫工具
    2.2 抢券工具
    2.3 注册机工具
    `

  7. 公安部网安局公布十大网络黑产案例
    https://www.freebuf.com/articles/network/261029.html
    https://www.cstis.cn/post/544f8cb5-afa7-97c4-3f96-705c4e2f455e
    `
    2020年,全国公安机关网安部门发起“净网2020”打击网络黑产犯罪集群战役,重拳打击为电信网络诈骗、网络赌博、网络水军等突出违法犯罪提供网号恶意注册、技术支撑、支付结算、推广引流等服务的违法犯罪活动,共侦办刑事案件4453起,抓获违法犯罪嫌疑人14311名(含电信运营商内部工作人员152名),查处关停网络接码平台38个,捣毁“猫池”窝点60个,查获、关停涉案网络账号2.2亿余个。据相关数据显示,网络活跃接码平台日接码量降幅67%,黑市手机号数量降幅近50%,有力维护了网络秩序。近日,公安部网安局公布打击此类犯罪的十大典型案例。

    一、北京朝阳侦破“7·21”案
    北京朝阳网安部门打掉一个利用大量非法获取的物联网卡,为境外诈骗团伙提供短信推广服务的网络黑产链条,捣毁犯罪窝点12个,抓获犯罪嫌疑人19名,扣押“猫池”设备30台、物联网卡4万余张。2019年以来,犯罪嫌疑人寇某伙同公司员工黄某和付某,明知犯罪嫌疑人王某从事网络黑产违法犯罪活动,仍向其违规销售10余万张具有定向短信功能的物联网卡,王某利用这些卡为境外诈骗团伙提供短信推广服务。

    二、江苏南京侦破“11·2”案
    南京网安部门打掉一个运营商内部工作人员、中间人、黑卡销售公司相互勾结,大肆制售物联网黑卡的犯罪链条,抓获犯罪嫌疑人13名(其中某运营商内部工作人员3名),现场查获未售出的物联网卡5万余张(涉案物联网卡共40万张)。2019年12月以来,犯罪嫌疑人戴某利用某运营商内部人员关系,违规向犯罪嫌疑人彭某提供40万张物联网卡,致使其中35万张流向电信网络诈骗、网络黑产等违法犯罪活动。

    三、江苏徐州侦破“5·18”案
    徐州网安部门打掉一个专门为下游犯罪提供QQ“养号”服务的特大黑产平台,抓获违法犯罪嫌疑人47名,查获恶意注册、非法获取的QQ账号2亿余组。2016年以来,犯罪嫌疑人刘某利用平台上“卡商”接入的手机卡号和验证码资源,为“号商”提供QQ“养号”服务,致使大量QQ账号被不法分子用于电信网络诈骗、网络赌博等违法犯罪活动。2019年2月以来,该平台注册用户14万余个,资金流水近9000万元,非法获利3000余万元。

    四、山东威海侦破“3·13”案
    威海网安部门打掉一个为下游犯罪提供物联网卡及隐蔽上网链路的黑产团伙,抓获包括运营商内部工作人员牛某在内的犯罪嫌疑人23名。2017年以来,上海某公司吴某勾结某运营商员工牛某,批量购买100万张定向流量物联网卡,违规搭建代理上网服务器并将裸卡销售,致使大量物联网卡被用于电信网络诈骗等违法犯罪。经查证,该公司累计违规销售物联网卡222万余张,非法获利1000余万元。

    五、山东枣庄侦破“8·28”案
    枣庄网安部门打掉为网络赌博等犯罪提供账号注册服务的“曹操”接码平台,抓获非法买卖手机黑卡、物联网卡犯罪嫌疑人34名,扣押涉案物联网卡130余万张、“猫池”设备2000余台,并一举打掉运行4年的接码平台专用推广网站“爱码族”网。2020年7月以来,犯罪嫌疑人于某、王某、乔某搭建了“曹操”接码平台,为下游赌博、“薅羊毛”等违法犯罪活动提供网号注册服务,非法获利40余万元。

    六、湖北荆州侦破“2020·6·19”案
    荆州网安部门打掉一个为下游犯罪提供码号支撑的大型QQ“养号”黑产团伙,抓获犯罪嫌疑人9名,关停非法QQ号销售网站1个,查扣涉案“猫池”设备233台、物联网卡7万余张。2019年7月以来,犯罪嫌疑人谢某、姚某等4人利用从北京某虚拟运营商内部人员刘某、郭某手中购买的7万余张物联网卡从事QQ“养号”活动,累计销售恶意注册、非法获取的QQ账号270余万个,非法获利600余万元。

    七、广东广州侦破“7·06”案
    广州网安部门打掉一个生产、销售“繁星盒子”黑产设备的犯罪团伙,抓获犯罪嫌疑人80名,查处涉案开发和运营公司8家,查获群控设备345台。该设备由4家公司共同研制,系一种新型群控设备,可模拟630部安卓手机的硬件信息,具有批量登录微信、操控微信、IP代理等功能,多被用于电信网络诈骗、网络赌博等违法犯罪活动。该设备曾售往中缅边境的多个电信网络诈骗团伙,涉案金额1200余万元。

    八、四川广元侦破“8·16”案
    广元网安部门打掉一个某运营商多名工作人员参与,为诈骗、赌博等犯罪活动提供接码服务的网络黑产团伙,抓获犯罪嫌疑人24名,查获手机黑卡1.1万张、“猫池”设备107台。2020年3月以来,某运营商主管朱某伙同王某、杨某等3人,在客户办理手机卡时偷开、多开或以赠送礼品诱骗等方式办理大量手机卡,利用购买的“猫池”设备搭建黑产窝点,为下游犯罪活动提供接码服务,非法获利68万余元。

    九、海南海口侦破“2020·9·29”案
    海口网安部门打掉一个为下游犯罪提供接码服务的黑产团伙,查处关停接码平台1个,捣毁卡商、号商窝点4个,扣押电话黑卡3万余张、“猫池”设备200余台,查获交易的微信号近10万个。犯罪嫌疑人田某分别于2015年、2019年在海口和江苏徐州成立2个黑产窝点,通过对接刘某搭建的接码平台,为境外诈骗、洗钱等犯罪团伙批量提供手机号码及验证码,下游“号商”何某利用该平台共恶意注册和出售微信账号近10万个。

    十、云南楚雄侦破“8·21”案
    楚雄网安部门打掉一个为境外不法分子提供动态IP代理、动态VPS服务的黑产团伙,抓获犯罪嫌疑人34名,捣毁网络黑产窝点24个。2018年,犯罪嫌疑人赵某伙同杨某、邵某成立科技公司,在云南15个州市设立24个互联网数据中心机房,在明知其服务对象可能从事违法犯罪的情况下,仍为其提供互联网代理访问和宽带转租服务,致使6起涉赌、涉诈案件线索指向其宽带账号。经查证,该团伙非法获利450万元。

    (来源:人民公安报)
    `

  8. 48种常见电信诈骗手法
    http://www.tjgdjt.com/wenhua/content_27339.htm
    `
    1、QQ冒充好友诈骗。
    2、QQ冒充公司老总诈骗。
    3、微信冒充公司老总诈骗财务人员。
    4、微信伪装身份诈骗。
    5、微信假冒代购诈骗。
    6、微信发布虚假爱心传递诈骗。
    7、微信点赞诈骗。
    8、微信盗用公众账号诈骗。
    9、虚构色情服务诈骗。
    10、虚构车祸诈骗。
    11、电子邮件中奖诈骗。
    12、冒充知名企业中奖诈骗。
    13、娱乐节目中奖诈骗。
    14、冒充公检法电话诈骗。
    15、冒充房东短信诈骗。
    16、虚构绑架诈骗。
    17、虚构手术诈骗。
    18、电话欠费诈骗。
    19、电视欠费诈骗。
    20、退款诈骗。
    21、购物退税诈骗。
    22、网络购物诈骗。
    23、低价购物诈骗。
    24、办理信用卡诈骗。
    25、刷卡消费诈骗。
    26、包裹藏毒诈骗。
    27、快递签收诈骗。
    28、医保、社保诈骗。
    29、补助、救助、助学金诈骗。
    30、引诱汇款诈骗。
    31、贷款诈骗。
    32、收藏诈骗。
    33、机票改签诈骗。
    34、重金求子诈骗。
    35、PS图片实施诈骗。
    36、“猜猜我是谁”诈骗。
    37、冒充黑社会敲诈类诈骗。
    38、提供考题诈骗。
    39、高薪招聘诈骗。
    40、复制手机卡诈骗。
    41、钓鱼网站诈骗。
    42、解除分期付款诈骗。
    43、订票诈骗。
    44、ATM机告示诈骗。
    45、伪基站诈骗。
    46、金融交易诈骗。
    47、兑换积分诈骗。
    48、二维码诈骗。
    `

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注