黑灰产情报周报｜黑产引流新套路：利用真实用户拉群，转移封号风险

1、黑产行为系列：针对棋牌网站黑吃黑的“低保”项目。

2、代理/秒拨平台代理池近期补充大量新IP资源，这些新IP资源的历史关联恶意行为远低于历史IP，识别难度增加，黑产称“高质量IP”。

3、黑产引流新思路，利用真人作弊方式规避较严格的风控策略。

一、黑产作恶工具风险情报

1、对近一周新增黑产恶意攻击工具攻击的域名进行统计，排名如下：

图1-1  Top 10 产品接口占比情况

• 本周电商行业新增工具依然最多，与上周不同的是，本周新增了几款淘宝自动评价/退款工具、拼多多刷单神器工具。

• 本周针对Top4-10攻击的工具都是营销活动作弊类，其中Top4-7的蓝人爱家、联保优品、互电、海尔智家是 现金奖励 ，Top8-10的中国建设银行、浦惠到家、沃邮箱是话费/京东E卡/实物奖励（黑产 方便变现的奖励 ）， 现金和话费类营销活动黑产的关注和响应度最高 ，建议现金类活动避免微信、支付宝直接打款，增加提现审核流程，提高黑产攻击门槛。

2、互联网公司活动“淡季”的时候，黑产都在干嘛——针对棋牌网站黑吃黑的“低保”项目

棋牌博彩类网站建立初期会给一些号段发送注册邀请短信，这些手机号（特邀手机号）注册会有较高注册奖励（俗称“彩金”）。

做“低保”的黑产团伙通过特邀扫号类工具在接码平台随机取号，利用棋牌网站的校验接口扫出收过特邀短信的手机号，只用特邀手机号进行注册，最后提现获利，实现精准薅羊毛。

由于棋牌类网站极容易“跑路”关闭（这是一个跑得快的游戏，新出网站比准备跑路的棋牌提现成功的概率更高），极易被棋牌网站“反撸”，但攻击成本极低，所以此类活动被黑产亲切地称为“低保”项目。

由于此类项目回报具有不确定性，手里没有优质盈利项目的黑产人员为了防止手中的攻击设备“空跑”，才会去做类似的“低保”项目。

扫号类工具除了应用在上述特邀客户检测场景外，也经常发生在黑产实施攻击前的 新老号检测场景 ，如部分限制新用户参与的营销活动。该类扫号工具一般是通过调用平台登录接口来区分新老号，平台可根据 短时间 出现 同一设备指纹大量登录失败 的流量 的特征 建立攻击预警 。

图1-2 自动化工具

1、各类黑手机号码黑产市场占比及平均取用价格

图2-1 各类黑手机号码黑产市场占比及平均取用价格

• 拦截卡平均价格远高于传统卡，传统卡使用占比远高于拦截卡。拦截卡的获取难度远远大于传统卡，这导致拦截卡的价格是传统卡的数倍。因此，黑产在日常攻击中，更倾向于使用传统卡；只有遇到部分风控较为严格的厂商时才会尝试使用拦截卡。

• 实体卡平均价格高于虚拟卡，但两者的使用占比却相当接近.即虚拟卡并没有因其价格优势成为主要的攻击物料，这是因为某些厂商会对实体卡及虚拟卡采取不同的风控措施，且针对虚拟卡的风控措施普遍比实体卡严格。这导致在攻击这部分厂商时，只能使用实体卡作为攻击物料。

三、黑产作恶IP

1、近一周，黑产作恶IP的C段聚集率：

图3-1 黑产作恶IP的C段聚集率

图3-2 不同C段聚集率下，国内IP占比

• 本周C段聚集率小于20%的C段的占比有较大幅度的上升（较上周增长13.73%），且本周连续7天捕获到的黑IP数量在持续增加。根据以往经验， 代理/秒拨平台的代理池近期补充了新的IP资源 ，这些新IP资源的历史关联恶意行为远低于历史IP，识别难度增加，黑产称“高质量IP”。

• 相比海外IP资源，黑产在国内IP资源的收集和利用上更为全面；考虑到国内大部分的作恶IP来自于家庭宽带，这使得单纯的从IP层面上去识别一个IP是正常人使用还是黑产持有变得十分困难。

• 以下举例五个C段聚集率为100%的C段IP：

￮ 163.179.206.*

￮ 27.44.214. *

￮ 113.117.110. *

￮ 223.242.13. *

￮ 1.207.72. *

2、近一周，国内外作恶IP情况：

• 本周作恶IP还是以国内IP为主，占比达80.94%，国外IP占比19.06%，仍有不少黑产将目光投向国外厂商或国内厂商的海外版软件。

3、IP大省中，大量连号IP资源被黑产掌握

图3-3 不同C段聚集率下，国内外地域分布排名第一的省份或国家

• 与根据过往经验得出的预测接近，国内IP大省及海外IP大国均是各C段聚集率下的主要贡献者。其中，国内江苏、广东、浙江三个长期排名前5的IP大省均是不同C段聚集率下的首要贡献者；而在海外，英国、土耳其、美国、印度尼西亚也是长期排名前5的IP大国。

四、黑产交易情报

1、近一周，真人众包作恶攻击行业Top10：

图4-1 真人众包攻击行业Top10