大风号出品
威胁猎人彭巍：扒一扒黑产的前世今生
宅客频道编者按：如果说业务安全在 2012 年之前还只是以阿里、腾讯及携程等为主的局部战场，近些年随着垂直电商、社交、移动游戏和 O2O 等领域的快速发展，业务安全及反欺诈受到了更多的关注。但现实情况是，大多数厂商并没有像阿里和腾讯一样与黑产相爱相杀一起成长，面对黑产的攻击会一时无措。作为防守方，除了对抗技术外，更要增强对黑产的认知，了解当前在一些业务核心问题上的对抗阶段和思路。最近，在看雪安全开发者峰会上，来自威胁猎人的彭巍，通过多个黑产案例证明多数甲方在业务安全及反欺诈上很被动的主要原因是缺乏对黑产的认知，并帮助甲方研发梳理业务安全对抗思路并对当前主要的一些风险场景具体说明。以下为彭巍演讲实录，宅客频道（微信公众号：letshome）整理。本次分享的主题是业务安全的发展趋势以及对抗思路，我之前在金山毒霸负责系统和引擎开发，解决终端安全问题。今年年初加入了威胁猎人团队，这是一个专注业务安全相关黑灰产研究的团队，我的职务是产品总监加服务端研发负责人。 这是我分享的三个部分，第一，业务安全是什么。第二，业务安全昨天和今天。第三，针对对抗中的一些核心问题，提出对抗思路。业务安全是什么业务安全，顾名思义就是指企业业务上发生的安全问题。业务安全范围内比较被大家所了解的场景包括：账号安全、内容安全、运营活动安全三大部分。下面是它的详细分支，包括黄牛刷单、羊毛党等属于业务安全的范畴。业务安全解决的问题，大部分的情况就是去识别访问业务的是机器还是人，这个人是恶意用户还是正常用户。业务安全的昨天和今天业务安全的历史，首先按照移动互联网的爆发分为两个大的阶段，PC互联网又可以分为两个部分：第一个阶段，2007年之前，这个阶段可以总结为刚起步的黑产对抗腾讯阿里等企业。在这个阶段，2007年之前腾讯阿里等厂商因为各自业务逐渐开始涉及到庞大社交、游戏、线上交易等场景，于是黑产开始盯上这一块利益，厂商也开始逐步重视。这个阶段的特点其实是攻防节奏比较慢，防守方也是简单风控规则。第二个阶段，年，这个阶段黑产开始形成成熟的产业链，分工明确，各点击穿，同时防护方也开始形成立体的风控手段，这个阶段业务安全开始作为企业安全的重要一环，被互联网所认知。目前为止攻守双方是你来我往。第三阶段，随着互联网快速普及，各个细分领域快速增长，黑产逐渐健壮，大厂商是小步快跑以及新互联网企业的崛起情况，这个时候攻守双方逐渐拉开了距离。在目前的阶段，两点明显的趋势：1.场景爆发带来的业务安全问题陡增。这是一张监控部分接码平台项目列表得出的分析报表，可以看到年，薅羊毛产业链主要目标O2O、互联网金融、电商等都是极速增长，并且每天都有新的项目出现。▲通过撞库供给线路图，每一年都有新增的出现黑产的魔爪已经无处不在，这是快销行业常见的“再来一瓶”，也是我们通过接码平台发现快销行业的各种关键词，东鹏特饮、康师傅等。这个二维码不知道大家是否见过，现在快销行业为了提高再来一瓶的体验，直接会把二维码印在瓶身上，扫码之后就可以关注它的微信号或者公众号，然后抽奖领红包，但这些瓶盖最终会流向废品站，废品站再集中回收流入黑产，黑产把这些二维码数字化之后，通过海量的小号套取红包，这样导致厂商营销费用的损失，明明以前可以花1000万做5000万的事，现在得花3000万。2.黑产技术飞跃式的发展。黑产技术发展超乎想象，人多，耗的钱也多，举两个例子。获取IP资源的技术。IP作为互联网的紧缺资源，一直是厂商最重要的风控方案之一，如何获得 IP 资源也是黑灰产最先要解决的问题。黑产获得 IP 资源的方式也度过了几个阶段。最先开始通过匿名代理，然后挂机平台批量获取个人 ADSL 拨号 IP ，再到现在虚拟化 ADSL 实现海量 IP 资源获取。（秒拨）最后一个阶段我们说的“秒拨”，目前黑产获取 IP 资源的成本已经大大降低。这是一个秒拨的截图，看起来像 ADSI 家用的一样，实际不是，这里会有一个启用换 IP，还有某宝上搜索关键词，大量类似服务都可以买到。接码平台技术手机黑卡的流转以前一直是影响黑产效率的问题，设备的流转和卡的流转不方便，耗费成本。现在卡商和羊毛党通过接码平台实现了手机黑卡无缝流转，提高了黑产的生产效率，同时也对防守方产生很大的压力。上面是是接码平台的截图，是接受验证码平台。核心问题这是网上看到的图。这就是业务安全最核心的问题，就是有一群人比你聪明，他们比你有更多的资源。那你怎么办？言归正传。业务安全防守方目前核心问题是攻守双方信息严重不对称的问题，体现在三个方面。1.攻击平面快速增大。从攻击方来说，攻击场景爆发带来攻击平面快速增长。2.对黑产认知的盲区增大。这导致防守方的安全管理难度增大，守方对黑产认知盲区增加，有一些触网的大企业根本不知道这个面临业务安全问题是什么。3.传统安全管理失控。传统的安全团队都是期望与内部业务部门制定标准，但是随着业务的不断发展，安全团队其实是无法感知业务安全上接口风险，因为你甚至都不知道某一个业务新增的接口，这今天总结起来防守方都不知道自己被攻击了，都是事后被发现的。这是认知盲区的例子，是前段时间从某拼车APP血泪教育中的图，虽然不是导致他们倒在资本寒冬中的原因，但是证明大部分厂商对于业务安全是完全未知的，这是一个拼车APP，每天补贴掉100万，后来证明30%是被刷单者拿走了。对抗思路情报是各大安全领域的重要手段。业务安全的情报主要是搜集什么样的情报，两个类别来说明：1.开源情报是指监控QQ、论坛、QQ群、论坛、解码平台以及暗网获得的开源情报。这部分的情报经分析可以直接还原出针对某一个企业的作案手段，直接起到告警或者预防的作用。上图是我们监控论坛的截图，这是接码平台的截图，刚刚提到东鹏特饮的例子，就是通过关键词东鹏特饮而还原出整个作案手段的。2.闭源情报监控黑产攻击流量，可以更直接的监控到黑产攻击的详细信息。闭源情报可以提供到接口的详情，甚至攻击的来源以及路径。这是视频软件刷流量的作案软件，我们可以通过OD分析出来，直接提取出来这个下发任务的包，可以提取出来这个链接，可以直接写代码把这些情报提取出来。上图是监控暗网攻击流量的展示图，可以看到目前暗网攻击的TOP10，接口攻击详情、IP、地域等信息。有了情报之后最明显的价值就是，从之前业务安全防守时只能是事后发现，而导致了一直处于一个完全被动处处救火的情况，变成完全可以提前采取预防措施。另外，打造一个情报风控识别方案，像撞库识别方案，传统的撞库识别方案只是频次控制，维度再多也很难区分出异常频次波动和正常业务带来的频次波动。有一些安全情报抓出来的攻击流量，可以把异常频次类的数据，和闭源情报提取出来的攻击流量进行特征对比，可以极大降低误报率。戳蓝字查看更多精彩内容探索篇▼
暗网【上】|
暗网【下】草榴社区 | 女鉴黄师 | 以图搜图心脏滴血 | 撞库攻击 | 潜行追踪刷票 | 人肉 | 勒索 | 内鬼超级欺骗系统真相篇▼战斗民族野生聊天 App草榴社区这类色情网站为什么封不掉什么样的漏洞买得起北京二环一套房？上了个“假”黄网，误入了7亿黑产的大门13岁小黑客自学一年挖到了微软、谷歌的漏洞中学教材现黄色网站 人教社回应遭网友质疑干货！top白帽子 Gr36_ 手把手教你挖漏洞我们可以用“免疫系统”对抗黑客入侵吗？这位叔叔要教勒索软件一些做人的道理有个网站叫“我知道你下载了什么”无线电攻击居然还能用来打飞机“道哥”透露从业初心人物篇▼道哥：重回阿里的29个月黑客老王：一个人的黑客史吴石：站在0和1之间的男人黑客衰大：45天攻入姑娘的心黑客段子手“呆子不开口”“特斯拉破解第一人”刘健皓唐青昊：虚拟世界的越狱者MOSEC：盘古团队的野心优雅让周鸿祎“三顾茅庐” 的 黑客 MJ美女黑客张婉桥的“爱丽丝奇遇记”TK教主和玄武实验室的几个小故事把老婆训练成女黑客的漏洞大神黄正“真爱”黑客 Fooying 手把手教你追妹子更多精彩正在整理中……---
本文来自大风号，仅代表大风号自媒体观点。
用微信扫描二维码
分享至好友
用微信扫描二维码
分享至朋友圈
凤凰争鸣微信号
来点暖心的！扫这里威胁猎人：致力于黑产情报监控及分析，服务BAT等30多家超一线互联网公司
【猎云网（微信：ilieyun）武汉】3月14日报道（文/钱佳信）
对于太多人而言，网络黑产是个晦涩的词汇，可这并不妨碍网络黑产大军的迅速扩大。目前国内涉足网络黑产的从业者多达40万人，产业链上下游相关的从业者更是多达160余万，年产值约1100亿元。
所谓黑色产业(简称黑产)，就是利用病毒木马来获得利益的一个行业。近日，猎云网（微信：ilieyun）采访了威胁猎人创始人毕裕，他表示，2013年之后，国内企业的业务安全需求开始爆发。但是随着黑产的技术手段不断推进，大部分互联网公司业务安全的员工数量仍然很少。
威胁猎人成立于2017年1月，是一家以情报能力为核心的业务安全解决方案服务商。毕裕介绍到，威胁猎人以安全数据优势切入并实现场景化解决方案，目标用户是TOP100的互联网公司。
“抓住主动权是对抗黑产的重要手段。”毕裕介绍到，业务安全的工作重心一直在变化。第一个阶段是建立风控的基础模块、框架和系统，而第二阶段是如何用好这个系统，提升攻防效率。
那么威胁猎人是如何化被动为主动的呢？对抗黑产最核心的需求点是及时感知黑产的最新攻击逻辑和方法，考验的是风险感知能力和溯源能力。
威胁猎人推出的产品TH-Karma是一个业务安全情报服务平台，通过开源情报中社交网络信息、黑产线索源的信息等，提早发现黑产攻击意图和趋势，让客户了解黑产的一举一动。
“很多时候解决问题并不是难点，如何确定是攻击流量还是正常访问流量才是服务的重点。” 毕裕表示，TH-Karma从监控或侦查黑产情报和数据收集的角度出发，实时感知已发生的攻击，将流量对应至黑产攻击的场景分类。
目前，TH-Karma每天监控超过10万台服务器的攻击流量，帮助客户了解黑产攻击所需要的核心资源及相关成本，可以进行情报搜索、关联及深度分析等操作。
如果说石油是现代工业的血液，那手机黑卡就是互联网黑产的“原油”。威胁猎人也推出了手机黑卡检测产品，可以为用户提供黑卡手机号码的鉴定，帮助企业直接判断该手机号是否为羊毛党或者猫池手机号。
威胁猎人的盈利模式分为两种：SaaS平台按次、月或年收费；提供一整套业务安全解决方案。“我们期待自己能超出用户的预期，用更完整的外部情报来做好威胁感知。”
目前，威胁猎人已和BAT等30多家超一线企业达成合作。毕裕表示，未来产品矩阵会越来越丰富，在2B的基础上做好2C，对业务安全的问题解决也会参与。
威胁猎人团队近40人，核心成员多数来自腾讯和百度。CEO毕裕是前腾讯业务安全情报团队负责人和前猎豹移动高级安全技术经理。
项目：威胁猎人
公司：深圳永安在线科技有限公司
公众号：ThreatHunter
本文来自猎云网，如若转载，请注明出处：http://www.lieyunwang.com/archives/420167
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点盗账号密码，还有诈骗，「威胁猎人」怎么阻止黑产造成的千亿损失？-ZAKER新闻
，普遍存在着以计算机网络为工具、运用计算机和网络技术实施的以营利为目的的、有组织、有计划、分工明确的团伙式犯罪行为，简称 " 黑产 "。、身份证号码、手机号、QQ 号，微信号，淘宝帐号，邮箱，支付宝，家庭住址等进行非法贩卖。，近一年，我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失为人均 133 元，比去年增加 9 元，按照网民数 6.88 亿计算，总体经济损失约 915 亿元。很多大公司也没能幸免于难，腾讯数据泄露、网易邮箱泄密、宜人贷遭遇诈骗 ······ 随着业务层面逐渐扩大，大公司更加需要相关技术部门防止各种盗号等黑产行为。现在存在的问题是攻防双方严重信息不对称，黑产方有一条较强的产业链，而守方则没有达成合作共识。此外，很多安全产品还是以工程能力或者系统化产品为产品形态，但实际上，安全产品最终不可或缺的能力核心是攻防对抗周期，防守方要实时感受到黑产的变动，情报能力将变得非常重要。在CEO 毕裕看来，情报能力分为三层：风险感知，量化风险、场景化解决方案。威胁猎人目前通过业务安全威胁情报服务切入目标市场，提供标准化的安全能力工具和解决方案 。威胁猎人提供了线上感知平台 SaaS，首先持续对全网黑灰产研究和监控，形成的数据产品有黑产手机号画像、黑产 IP 画像，帮助用户分辨哪些是机器人、哪些是羊毛党，数据会不断更新和维护。产品优势就是不依赖甲方的数据，监控的都是纯黑数据，不用基于模型的先决先知。现在威胁猎人每天检测 20 亿数据。其次是场景化解决方案，威胁猎人会根据检测到的数据为用户提供场景化解决方案。比如某大型视频网站与某网络电影签约独家代理，双方基于效果分成，用户停留 4 分钟，电影方分 4 块钱，这个时候就可能出现制作方刷量的现象，这种行为对视频网站影响是比较大的，威胁猎人就可以帮助他们判断哪些 while 虚假流量、哪些是欺诈流量、被虚假账号刷了多少量等，视频网站可以做出相应措施，减少损失。威胁猎人现在有 30 多个客户，包括 BAT、华为、陌陌、bilibili、迅雷、今日头条等。盈利上，情报工具、平台、场景化是不同产品，每个产品 50 万以上，目前已经盈利。在使用效果上，威胁猎人可以将入侵率从 0.3% 降低到 0.015%，比如帮某云厂商注册拦截量提高到 75%，降低了该厂商防护成本和压力。黑产目前最常见的形式是金钱诈骗、流量骗取等，2012 年以前，整个形式主要在应用层的漏洞，攻击方利用漏洞对服务器攻击；2012 年以后，守方在应用层防护相对完善，攻方开始从业务端盗取数据，全网泄露的账号数量超过 50 亿个，企业安全和业务安全面临挑战，很多公司长期遭受慢速账号泄露的风险。在毕裕看来，现在行业的问题不是创新和技术，而是守方的联动性。黑产有一条强有力的产业链条，他们资源共享、数据共享。而守方数据共享很差，一家公司识别了 10 万个虚假手机号，这 10 万个对他来说没有用了，但对其他公司却有很高的价值。威胁猎人 2018 年的重点就是希望构建平台能力，一方面通过情报能力赢得企业端信任，另一方面在信任的基础上，让甲方把非敏感数据贡献出来，建成一个共享数据平台。国外类似的公司有
Science，Riskified、Signifyd、Forter，还有 RSA 和 IBM 这样提供安全服务的大型企业。威胁猎人曾经获得猎豹移动天使轮融资。CEO 毕裕是前腾讯业务安全情报团队负责人、前猎豹移动高级安全技术经理；联合创始人朱科锭有 10 年 + 安全行业经验，曾负责百度国际安全防护产品规划、前腾讯安全技术运营项目负责人 。
相关标签：
原网页已经由 ZAKER 转码排版
36氪2小时前
36氪4小时前
36氪5小时前
36氪7小时前
互联网新闻10小时前
36氪8小时前
猎云网5小时前
36氪9小时前
品途商业评论10小时前
36氪10小时前
电商行业27分钟前
猎云网5小时前
三节课4小时前
亿邦动力网5小时前页面已拦截
无锡网警提示您：
该网站已被大量用户举报，且存在未经证实的信息，可能会通过各种手段来盗取您的账号或骗取您的财产。