簡介
互聯網業務的飛速發展,日漸滲透人類的生活,對經濟、文化、社會產生巨大的影響,同時互聯網業務安全也日趨重要。如同網路通信的基礎安全設施防火牆,互聯網業務安全也有其基礎安全設施--圖片驗證碼和簡訊驗證碼。
在互聯網業務中,廣泛使用圖形驗證碼用於區分人類和機器,使用簡訊驗證碼過濾低價值用戶及提供二次校驗功能。
作為互聯網業務的基礎安全設施,圖片驗證碼和簡訊驗證也面臨眾多的挑戰,下文將帶你走近互聯網業務眼前的威脅--圖片打碼平臺和簡訊打碼平臺。我們以如下兩個場景簡單說明下普通打碼平臺以及手機打碼平臺:
場景一,批量登入12306網站,並進行購買行為,但驗證碼不能自動識別。
12306的驗證碼比較複雜,程式較難識別。這時候就出現了普通驗證碼的打碼平臺,程式將驗證碼傳給打碼平臺的識別介面,打碼平臺將驗證碼發給後端的“傭工”進行識別,並獲取識別結果。這樣基於此類的人工打碼平臺,即可實現程式的自動化。
場景二,注册某購物平臺,但其需要填寫手機號和收到的驗證碼才可注册,如何進行批量機器注册?
這時候就出現了手機打碼平臺,該平臺提供大量的手機號,並能够發送和接收短信。這樣只需調用手機打碼平臺相關介面,獲取手機號並獲取短信內容即可進行批量注册。
最後我們將會簡單的闡述面對這些威脅新的解决之道。
一、普通打碼平臺
一)介紹
現在很多簡單的字元驗證碼已經不能够有效阻擋機器行為,使用簡單的OCR識別工具即可進行識別,稍微複雜的可以結合機器學習等進行高準確率的識別。烏雲知識庫裏已經有多篇介紹驗證碼識別的文章,感興趣的可自行蒐索。
普通的字元驗證碼很容易被識別,因而又產生了一些較複雜的驗證碼,比如如下一些較難通過機器進行識別的。
所以若想進行惡意注册或批量的機器行為則需要繞過此類的高難度驗證碼。針對這種需求,人工打碼平臺就產生了,其通過組織真實的人來進行識別,並提交驗證結果。
二)運行流程圖
說明:比如現在羊毛黨要去某網站刷活動優惠券,但該網站有較複雜的影像驗證碼。通常羊毛黨會在打碼平臺註冊帳號並充值,並通過打碼平臺提供的api介面,提交驗證碼識別。打碼平臺將驗證碼分發到各個傭工的用戶端裏,獲取傭工的識別結果,並最終迴響給羊毛黨。
1.網賺平臺:
很多打碼平臺需要跟網賺平臺進行合作,因為網賺平臺的用戶量比較大。這種每天輸入一些驗證碼就能賺錢的平臺是很多小白用戶比較喜歡的。我們查看一叫做“有賺網”的網賺平臺,其發佈各種任務供用戶參與,並通過金幣的形式給用戶發放,金幣累積一定數量後可進行提現。網賺平臺會設有專門的打碼模塊,裡面列舉了合作的打碼平臺。如圖
點擊其中一個“知碼打碼”的打碼平臺項目,如圖
點擊獲取工號和密碼後,然後下載提供的軟件,登陸後簡單測試通過後,即可收到打碼平臺推送過來的驗證碼,如圖
傭工可以勾選想要接收的驗證碼複雜度,有選擇題、填空題、滑鼠點擊類型等等。同時通過軟件可以查看該平臺積壓的驗證碼的數量,如圖為45個,用戶輸入結果後會很快重繪到下一個驗證碼。每種驗證碼的積分不同,驗證碼難度較高的積分較大些,同時網賺平臺夜間工作給的積分也會多,所以我們可以看到打碼平臺的夜間服務費用也會高一些。我們粗略計算下這種網賺的收益,按官方說明10000個金幣可兌換1元的標準,我們按一個驗證碼平均可可以獲得100個金幣計算,則打100個驗證碼即可獲得1元,每天打10000個驗證碼才能獲得100元。
2.普通打碼平臺
打碼平臺提供多種類型的驗證碼,有正常的普通字元驗證碼、有選擇題、算術題、以及其他的特殊類型的。每種驗證碼的計費類型不同,我們查看某打碼平臺的價格類目錶,
其中每種驗證碼的價格不同,該平臺沖10元可獲得25000快豆。其中最普通的驗證碼需要10個快豆,也就是說10元可以識別2500個普通驗證碼,我們查看下12306的圖形驗證碼識別價格為60快豆,即10元可以識別400多個驗證碼。同時打碼平臺會以api的形式供用戶使用,其只需傳入帳號密碼以及驗證碼所屬類型、驗證碼檔案即可進行識別,如圖
3.開發者
每個打碼平臺都會有很多開發者,開發者通過打碼平臺提供的sdk,進行開發軟件。比如針對12306編寫一個搶票軟件,並內接該打碼平臺,那麼羊毛黨在使用該軟件時只需填入打碼平臺的帳號密碼即可使用。同時開發者可以拿到提成,提成一般較高。
4.羊毛黨
什麼是羊毛黨?
有選擇地參與活動,從而以相對較低成本甚至零成本換取物質上的實惠。這一行為被稱為“薅羊毛”,而關注與熱衷於“薅羊毛”的群體就被稱作“羊毛黨”。
早前,“羊毛黨”們主要活躍在O2O平臺或電商平臺。另外隨著2015年互聯網金融的發展,一些網貸平臺為吸引投資者常推出一些收益豐厚的活動,如注册認證獎勵、充值返現、投標返利等,催生了以此寄生的投資群體,他們也被稱為P2P“羊毛黨”。
當然,使用打碼平臺的不一定就是羊毛黨,還有可能是一些搶票的“黃牛黨”或者黑色產業的欺詐者。
三)利益鏈
說明:傭工通過自身勞動,通過網賺平臺變現,獲得利益;網賺平臺與打碼平臺進行合作,並有利益分成。打碼平臺將服務進行封裝,提供給羊毛黨。打碼平臺的開發者通過開發軟件供羊毛黨使用。同時羊毛黨通過批量的注册、活動優惠等管道從網站進行獲利。
二、手機打碼平臺
一)介紹
簡訊驗證碼在互聯網業務中用於過濾低價值的用戶,從而將服務推送給目標用戶。這是基於手機號基本實現實名認證,每個人擁有的手機號也是有限制的前提。似乎通過手機短信驗證就能够防止垃圾注册,篩選出真正有價值的客戶。然而黑產針對基於手機號注册的場景,推出手機打碼平臺。手機打碼平臺囤積大量的手機卡提供簡訊收發的服務。實際調查中發現大型手機打碼平臺有幾百萬手機卡,小型也有幾萬的手機卡。
二)運行流程圖
手機打碼平臺的流程圖如下,主要有兩個角色,一個是平臺的普通用戶通常為羊毛黨、一個是平臺的卡商。
說明:手機打碼平臺會提供各種項目的介面,比如xxx帳號注册、xxx綁定手機等。羊毛黨只需要調用介面,獲取某個項目可用的手機號,並將該手機號填入目標網站,然後調用介面獲得短信內容即可。
1.手機打碼平臺
手機打碼平臺提供各種項目,我們查看下某一手機打碼平臺的項目清單,如圖
每個項目的價格不同,像p2p金融類的可能價格較高,其他的普通的比如115網盤手機綁定價格較便宜,一個手機號只需1毛。接收短信流程很簡單,查看下該平臺的官方API介面說明,如圖
我們只需要調用介面,獲取某個項目的手機號,填入網站,並調用介面獲取短信內容即可。同時打碼平臺通常還會提供發送短信的介面、接收語音驗證碼等功能,如下為某一手機打碼平臺發送短信的介面
2.卡商
卡商是指擁有大量手機卡的用戶,其通過猫池並通過打碼平臺提供的軟件,提供相關項目的簡訊收發服務。卡商的手機號被使用一次,則可獲得相應的收入,如下為一打碼平臺的卡商用戶端,卡商將插有大量手機卡的猫池接入電腦,並選擇需要做的項目即可。
其中猫池可以理解為有通信模塊,可以收發短信,可以插很多手機卡的設備。一般有8口、16口的,多的有128口的,即可以同時插128張手機卡。猫池有多種類型,現在有很多猫池是支持3G、4G的,如下為插有手機卡的猫池圖
卡商通常會有大量的卡,用來做手機打碼只是其中的一個業務,還有很多是用來刷鑽、刷會員、刷流量等。市場價格一般在10元左右一張,且這些卡有很多也是經過實名認證的,且有很多屬於0月租、0餘額的特殊卡。當然可以發送短信的則是有一定餘額的。我們查看下一售賣手機卡的卡商發的廣告,如圖
關於這種大量的卡的來源,其中一手機打碼平臺的卡商透露了如下資訊
同時這些卡商會有其他的業務比如超級會員、黃鑽、綠鑽等,查看一打碼平臺卡商發的資訊,如圖
3.羊毛黨
我們查看一薅羊毛的群,裡面每天會更新一些活動資訊
當然發出來的都是一些小利潤的,一些較大利潤的羊毛黨們都不會輕易透露,當然其中也有很多屬於灰色或黑色產業。在一些薅羊毛的群裏,通常會伴有身份資訊的售賣,在某一群裏查看到售賣正反身份證圖片加手持身份證的資訊,只需2毛一份,如圖
三)利益鏈
說明:
羊毛黨通過手機打碼平臺提供的手機號去網站批量注册,獲得小號,再利用這些小號批量獲取優惠。比如uber的推薦用戶註冊送優惠券,還有一些網站的新用戶推薦注册送話費等等來獲利。打碼平臺從提供手機打碼服務裏進行收費,並與對接的卡商進行利益分成,平臺自己也會有一些手機卡。同時卡商也是有多種業務,一種是專門做打碼平臺的業務,其他的還有通過售賣卡給羊毛黨,用來做刷超級會員、刷鑽等業務進行獲利。
三、如何防控
針對普通打碼平臺以及手機打碼平臺如何進行防控。採用新型的驗證碼科技是一種管道,構建手機打碼平臺黑名單庫也是一種管道。但基於構建的用戶手機號信譽體系以及用戶設備信譽體系,結合眾多數據構建自己的安全風控系統才更為重要。
一)新型驗證碼
替換傳統驗證碼,採用新型的驗證碼。傳統的驗證碼已經很難去防止機器行為,因而出現了一些基於用戶行為的新型驗證碼。新型驗證碼最大的特點是不再基於知識進行人機判斷,而是基於人類固有的生物特徵以及操作的環境資訊綜合決策,來判斷是人類還是機器。
比如Google的reCaptcha
以及阿裡巴巴的NoCaptcha
當然這也並不代表此類驗證碼不能被繞過,今年的Asia Blackhat上公佈了一種破解Google reCaptcha的思路,具體可以參考(I‘m Not a Human Breaking the Google reCAPTCHA)
二)手機信譽庫
針對簡訊打碼平臺,可以回歸簡訊驗證碼的本質需求,即過濾互聯網中低價值的用戶。而由於手機號並非完全實名制,事實上獲取一個手機號的成本並不高,所以基於手機號並不能有效篩選出真正的高價值客戶。儘管手機號本身獲取成本不高,但是對於大多數普通互聯網用戶並不頻繁更換手機號,所以可以基於手機號對應的行為來建立基於手機的征信庫,從而基於手機號的信譽實現篩選出高價值客戶功能,而非單一的依賴用戶是否擁有一個手機號。
三)風控體系
對於普通的網站而言,建立自己的用戶信譽體系尤為重要。基於用戶的設備信譽、用戶行為等資訊進行防控。
其中對於p2p金融類的網站而言,構建自己的安全風控系統尤為重要。金融類的較為敏感,對於用戶的身份應當做强的安全校驗,比如進行銀行卡綁定的身份校驗等。
四)其他
現在的手機已經需要進行實名認證,對於大量手機卡濫用會有一定的效果。但是在調查中發現其中還是有大量的特殊卡,且都經過實名認證或者是進行了企業認證的卡。另外對於手機打碼平臺,國家已經出臺了相關政策,認定手機打碼平臺屬於違法行為,因而這些手機打碼平臺也都轉為地下。