专栏名称: 一本黑
此号是枚互联网安全从业者所开,旨在将互联网中的黑色产业、行业里鲜有人知的故事,从幕后带到大众面前,让圈外人也无障碍的理解。
目录
相关文章推荐
YNTV2都市条形码  ·  为谋私利 他认死刑犯为母...... ·  昨天  
FreeBuf  ·  找报告、文档,来电台,拿赏金! ·  5 天前  
FreeBuf  ·  PsMapExec:一款针对活动目录AD的安 ... ·  6 天前  
FreeBuf  ·  全议题公布 | FCIS 2024网络安全创新大会 ·  1 周前  
51好读  ›  专栏  ›  一本黑

网络博彩的清明上河图

一本黑  · 公众号  · 互联网安全  · 2017-05-22 09:38

正文

文/振宇(微信公众号:一本黑)

【一本黑】媒体或商业转载必须获得授权,个人转发朋友圈无需授权。


读完需要

10
分钟

速读仅需6分钟





关于网络博彩的报道这几年可谓是层出不穷,描绘出一幅幅金银成山、财源广进的画面,然而这里面的报道却并非完全属实,内容都是基于外行人的推测和对现象的观察,用”只见贼吃肉,不见贼挨揍“形容丝毫不为过。


「一本黑」要用业内人的「真实写照」勾勒出网络博彩的清明上河图。

   

寒天(化名)是名计算机系的应届毕业生,近来跟着我学了几个月的渗透测试,希望入行网络安全。面对深圳高企的房价,最近总是想捞些偏门。


可能是在网上看了些对网络博彩的报道,深知黑色产业对黑客技术的需求,寒天铁了心要借黑产的力量赚笔钱。


“帮我一下吧,介绍一个在菲律宾做线上博彩的朋友给我。不然以我现在的工资,何年才能买上房子,才能成家。我不想一直这样漂泊下去,一直没着没落。”面对寒天的请求,已经漂泊了数年的我,真的无力反驳。虽然觉得不对,但是也无法否认寒天所面对的现实。


午饭约在一家粥店,从事了5年网络博彩的王哥就坐在我和寒天的对面。


听过寒天的诉求,王哥会心一笑,“确实,网络博彩是很依赖黑客技术,在菲律宾和大马(马来西亚),不少公司自己养着黑客团队,都是渗透和劫持的好手,几个人住在别墅里,一天可能就干两个小时。我们供着他们吃好喝好,还有保镖护着他们,有的干几年攒个小一千万可能就回国自己做正行了。


这样的团队,在大公司眼里都是宝,为了他们,公司愿意花很多钱。但是,还有些小的博彩公司,根本就没有这样的财力,所以就是从国内哄几个水平较差的小黑客过去。说是金山银山,实际上来了就扣押所有的证件,每天在监视下工作12个小时以上,专门搞搞简单的渗透,一个月挣不了几千块还天天被枪吓唬着,过的很惨。”

听了这些,寒天自己也在自我掂量,到底是年赚百万,还是去枪口下做苦力。


我十分好奇,“博彩究竟是要黑客去做些什么呢?”


  

王哥对我是知无不言,黑客的主要工作是破坏和获客。破坏就是让某些同行的网站瘫痪,客户上来玩不到什么,自然就流失了。这种事一般都是在晚上9点多钟开始,因为这是客户上线最多的时间。方法就是DDOS,简单地说就是最大限度的增加对方网络和系统的负担,从而造成服务过载,用户无法访问或者卡顿。


或者是利用漏洞攻击,因为许多平台的安全维护未必到位,系统里存在高危漏洞,以至于被黑客利用。


再来说获客,以前会直接在百度上打广告、做推广,后来被报道了几次,百度的风控越来越严,这条路基本上是封死了。还有就是和站长合作,用广告联盟和挂外链的方式来推广。还有众所周知的在黄网上挂广告引流。电话销售和短信广告也是一大渠道,就是人力成本较高。




黑客的获客就是做劫持和拖库,比如通过劫持DNS的方式,让用户在点击某个网站的时候跳转到博彩网站,这种劫持一般是针对政府网站、新闻网站、彩票网站,政府、新闻的站点的权重高排的靠前,而彩票网面对的群体和博彩最相近。


QQ登录弹窗可是兵家必争之地,而且都是发生在三四线城市。这种劫持未必一定是黑客所为,和运营商的内鬼里应外合也可以做到。「或许一本黑应该做个DNS劫持的专题」



比如有些黑客自己仿冒了一个彩票网站,然后再劫持真正的彩票网。因为绝大多数人都中不到奖,即使中了也都是小奖,所以很难被察觉是假站。福利彩票这个中国最大的智商税,随便薅块肉都能撑死你。。。



黑客拖库,就是直接盗取同行的客户数据,然后通过电话和短信来挖墙脚,这种精准客户的转化率非常高,基本所有的博彩公司都会采用这样的方式,所以很多客户都是在一家平台注册之后就开始收到许多同类平台的短信广告。



博彩只有三成在盈利

   

获客是知道了,我好奇地询问博彩公司的收益如何,是否真如传闻般是日入斗金?

王哥听了这话就不高兴了,”你知道吗,博彩平台,起码四到五成都是赔本干,能赚钱的只有两三成,剩下的都是在平本经营勉强支撑。“这我就不解了,让王哥继续讲。


“你们平常看的都是一面盖全,而且都是为了满足宣传需要。博彩公司赚大钱的,就是那几家,申X,皇X,北X...,这些规模很大的平台确实是一年能盈利几十上百亿,但这毕竟是凤毛麟角,而且他们有当地的合法经营牌照。现在博彩公司的经营成本非常高,再加上大陆网警打击越来越严,钱并不好赚。刚才讲到的获客方式,成本也是因为监管变严,行业竞争力加大,成本水涨船高,获取一个真实的客户,成本大约在一万元左右。


还有人工成本,中游的博彩公司人数在30人-50人左右,人均工资在一万左右。公司所用的博彩系统也要选择权威公司的,这些公司专门开发博彩平台,然后给博彩公司使用,年租金在一百万左右,同时还要将平台流水的百分之十收入囊中,对于现金流很大的公司,会给予两个点的优惠。如果不使用规范的平台,稍微有些经验的客户都不会来玩,省这点钱会得不偿失。”


“那一年下来,大约能赚多少钱呢?”我想得到一个确切的答案。


“这个行业主要是看流水,流水决定收入,流水大了,也能降低成本。博彩公司的收入主要是来源是赔率差,这个很难说出一个平均数,毕竟玩法这么多,玩家人数也都是浮动的。不过从经验来看,利润在8%左右。这里面要扣掉给支付接口的1%返点,可能还有给客户1%的返点,再去掉之前说的成本,最后的利润在2%左右。所以我们一年50亿的流水,能赚到的也就是1个亿。”


黑产所用的支付接口基本都是从网上买来的。专门有人去购买收集成套的身份信息,用来注册公司,利用空壳公司申请接口,然后租借给黑产,收取1%左右的手续费。

网络博彩服务的对象可以是全世界,市场哪里最大?

  

点上支烟,王哥叹了口气“因为人多,大陆还是最大的市场,但是也是最难搞的市场。由于中国的赌博文化被控制的很好,大家的风险意识都比较强,所以投入的资金都不大,所以客单价在全世界来看是很低的。


相比之下,韩国、日本、越南、欧洲的博彩文化都要好得多。更气人的是,国人很不讲信用,愿赌不服输的大有人在,甚至有人输了钱之后就报警说被网络诈骗,导致汇给公司的钱被支付商或银行给拦截,博彩公司为了不打草惊蛇,也不敢去申诉。总体来说,我们更喜欢做日韩的生意,而不是大陆的。


如果你们网站被投诉、或者被DDOS了怎么办?


   

“我们有专门买些产品来保护自己,比如抗投诉和抗DDOS的产品。抗投诉可以保护网站不会因为用户的投诉而封掉,原理是转换服务器、使用离岸服务器或者使用反向代理来保护自己的真实IP。抗DDOS的产品我们不敢明目张胆去购买百度和阿里云的产品,所以都是买境外公司的产品。”王哥也是言无不尽。


事已至此,整个博彩的商业逻辑已经很清晰了。


“最后一个问题,王哥,可以透露下你们是怎么洗钱的吗?”我觉得没必要遮掩,直接发问。


”收钱的账户也都是国内的卡,因为国内向境外的账户赚钱时间长而且审查严。我们大约有5000张这样的银行卡,都是从卡贩子那买来的,连卡主都不知道此卡的存在。收到的钱会以很多种方式处理,可能会直接消费掉一部分,大头可能会转换成比特币或者被转到海外我们自己成立的投资公司,再以投资的名义输入到我们境内的公司,之后就是通过财务手段来套现了。“


说是为寒天引荐,结果我给自己加了这么多戏…看他那副蔫了的样子,估计是傍黑产不成,心里难免失落吧。




振宇的碎碎念:这个专题起初来源于读者后台发来赌博网站求揭露,这是整个调查中最关键的一次取材。故事并非虚构,只是为了阅读需要稍加润色

欢迎大家继续把料杂向我。

悄悄的放上了羞羞的二维码~


往期精彩:

上了个“假”黄网,误入了7亿黑产的大门

怕被绿!竟然七成人都在借黑产定位追踪老婆

凭着女孩给的一串数字,黑客窥探出了人性