小编: 顶象防御云业务安全情报中心监测到,某短视频平台部分Up主在中秋节平台活动期间借助黑灰产工具分设备牧场、代理IP、黑卡、自动化程序等进行批量刷票,严重影响其他用户参与的
顶象防御云业务安全情报中心监测到,某短视频平台部分Up主在中秋节平台活动期间借助黑灰产工具分设备牧场、代理IP、黑卡、自动化程序等进行批量刷票,严重影响其他用户参与的积极性,给平台的带来大额的资产损失和大量虚假用户,不仅严重破坏了平台生态,而且使得刷票风气盛行,平台活动公平性被质疑,信誉受损。
野蛮生长的短视频行业
短视频相对于文字、图片来说,更具感染力也更容易获得用户自发地传播,也更符合年轻人充分利用碎片化时间了解社会和全民娱乐的心理,因此才能在社会文化中扮演越来越重要的角色。根据CNNIC发布的第49次《中国互联网络发展状况统计报告》数据显示,我国网民规模大10.32亿,互联网普及率达73%。截至2021年,我国短视频用户为9.34亿人,我国短视频渗透率为90%。
短视频行业主要是信息流模式,平台本身对信息流具有极强的控制能力,基于此,部分平台开始上线广告推广业务,需要推广的用户选择与平台合作,平台可以在信息流中投放广告推广。
广告变现模式下,也让黑灰产盯上了短视频平台的生意。从基本的刷赞、刷粉、刷流量,到销售工具软件,再到与短视频平台相关的牟利方式,几乎都有黑灰产的参与,甚至已经形成了完整的黑灰产产业链。
刷票的两种模式:机器刷票+人工刷票
机械工业出版社出版的《攻守道-企业数字业务安全风险与防范》一书中,对网络刷票有明确的定义:“网络刷票通常是指网上投票参选中参赛者利用某种方法突破投票网站的限制,实现重复投票、增加点击率和人气的过程,是一种网络投票造假行为”。
据顶象防御云业务安全情报中心第BSL-2022-a3c11号情报显示,黑产作弊工具主要有两种:机器刷票与人工刷票。
第一种,机器刷票。假票刷票可以给指定投票活动自动循环投票的票辅助刷票工具,主要是通过编程模拟手工网页投票然后进行自动投票的过程。搭配秒拨IP使用可实现突破IP限制,自动输入验证码,自动投票,快速增加票数的功能,轻松实现短时间上万票。
第二种,人工刷票。相较机器刷票,人工刷票成本更高,进而也发展出了两类不同模式。
一类是通过 “账号托管平台”获取大量真人账号,可以托管的账号包括微信、微博、抖音等,用户只要将小号托管到平台,平台使用用户小号“干活”获取收益,而用户将获得分成。另一类是发布众包悬赏和积分墙任务。
黑灰产的变现套路
顶象防御云业务安全情报中心分析发现,黑灰产的变现链路主要分三步。
第一步:通过社区和电商平台等发布刷票服务信息,增加服务曝光。
第二步:将有需求用户引流至社群,在微信群完成需求沟通及交易,机刷价格一般在几分钱1票左右,人工价格一般2元1票左右;机刷一般会要求1000票起刷,人工刷票100票起刷;
第三步:实施刷票,完成交易。
黑灰产刷票的技术手段
顶象防御云业务安全情报中心分析发现,黑灰产通过设备牧场、代理IP、虚拟号、自动化工具来实现垃圾注册、批量养号、自动化完成积分任务,然后通过提供刷榜服务赚取费用费。
1、基础资源获取。黑灰产从“卡商”手上获取大量的手机卡用于注册,通过接码平台提供的服务批量获取手机号验证码完成注册。
2、收集线报,熟悉规则。收集各个平台的相关活动信息,然后了解熟悉活动规则。
3、注册养号。黑灰产通过一系列的秒拨IP、设备牧场等工具对平台进行自动化注册和登录,
4、批量变现。黑灰产通过各类工具和社群进行网络刷票。
顶象防控建议及措施
针对短视频平台的黑灰产作弊手段,顶象防御云业务安全情报中心建议在终端、通信传输端进行防范,同时在业务侧进行防范,多场景全链路防控。
终端加固
从客户端安全考虑,App需要加终端加固。通过加固技术,实现端安全防护,如Android端的DEX文件保护、SO文件保护、资源文件保护、数据文件保护及程序运行保护;通过对APP中可执行文件进行深度混淆、加固保护,让黑产无法直接对App进行逆向、破解;
通信传输安全保障
在终端增加环境检测等模块后,环境检测模块产生的数据往往没有和业务数据进行绑定,这就造成黑产有可能会篡改报文中的一些数据,所以本方案里运用了一些安全手段,防止终端安全检测模块的数据被篡改和冒用。
终端风险环境检测
黑产会使用模拟器、注入等技术,结合秒拨IP池、自动化程序的方式进行批量攻击;所以终端集成安全SDK以后,会对App运行环境进行检测,检查是否有代码注入、hook、模拟器、云手机、注入、调试、代理、VPN、root、越狱等风险;
业务安全策略防控
道高一尺魔高一丈,经过多次的攻防对抗,有些黑产会不惜提高成本继续接攻击,当黑产攻击方式升级后,防控方案也要对应的升级;建议多场景接入业务安全风控,将注册、登录、积分任务、提现、投票等关联场景业务数据一同发送给风控系统,通过风控系统配置安全策略规则进行完整链路营销作弊风险识别,只传投票一个场景的业务数据进行单场景防控,防控力度远没有多场景全链路防控力度强。
风控维度建议
设备终端运行环境检测,校验运行环境是否正常,如识别指纹ID是否合法、端是否有注入、调试、模拟器、VPN、代理等特征,通常营销作弊设备大多具备以上特征;
多场景行为检测,设备使用限制,如限制多账号使用同一设备注册,多账号使用同一设备登录、账号对应的设备经常变化、IP短时间高频访问等行为维度检测;
维护本地黑白名单,基于风控数据、历史投票数据,沉淀并维护对应黑白名单数据,包括用户ID,IP地址,设备黑名单等;
外部数据服务,建议对接IP黑库,投票场景黑产为了规避IP风险,经常会结合IP代理池一起组合使用,一票一IP的刷票方式,导致IP行为策略无法覆盖,通过IP黑库可以覆盖此类代理、秒拨、机房及历史黑产行为风险IP模型,线上数据有一定积累以后,通过风控数据以及业务的沉淀数据,对用户行为进行建模,模型的输出可以直接在风控策略中使用。
防控产品组合建议
设备指纹+决策引擎:设备指纹可以针对端上风险进行识别,例如注入、模拟器、调试等,配合决策引擎使用,可以实时发现风险并给予处置;
行为验证码:据黑产作弊手段分析,该黑产主要还是以低成本的机刷作弊方式进行恶意攻击,对于机刷,轻部署且最简单的识别工具就是行为验证码,在批量注册、批量养号、刷票、刷积分等业务场景,行为验证码可对请求进行人机校验,可有效拦截此类黑产攻击;
风险IP名单库:机刷为了规避IP风险,经常会结合IP代理池一起组合使用,IP黑库可以覆盖此类风险IP。
当前网址:http://www.hbxwzx.com/shehui/2022-11-09/197505.html
免责声明:本文仅代表作者个人观点,与北方资讯网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
