根据阿里云历史行业风险治理相关数据显示，未经风险管控的自然流量中，约三分之一比例属于疑似黑灰产的高风险行为；而在建立合理的风控指标监控体系并采取风险防控手段后，高风险用户比例下降至3%以内，下降比率超过90%。

有效的风险防控方案是保障各类营销、促活拉新等活动效果的必要手段。

随着春节临近，部分互联网行业迎来业务高峰，企业为了争夺用户流量将投入大量获客、营销资源，但同时也将面临风控大考。

由于各行业、企业的业务场景及逻辑多种多样，黑灰产需要借助工具才能实现团伙作案。阿里云安全团队梳理了近年来主流的被黑灰产使用的作案工具，并分析其作案原理及攻击手法，为企业提升防控精准度和防控效率提供参考。

云 手 机

云手机即一台运行在云端服务器的虚拟手机，具备云计算赋予的超大规模、弹性扩容、成本低等优势，经常被用于移动办公、AIoT、工业互联网等场景。然而，这些创新的技术工具也被黑灰产瞄上，用在了攻击套利方面。

传统风险治理主要通过设备指纹等技术手段进行风控管理，因此黑灰产需要购买多台真机才能完成作案。但借助云手机，黑灰产只需要一个云手机厂商账号就可以同时开启大量新机批量套利，作案成本大大降低。

此外，黑灰产可以将云手机虚拟成各类实体手机的品牌型号作案，企业风控人员如果对云手机没有足够的认知，很难将作弊类的云手机设备与正常云手机用户区分开，风险识别挑战增加。

常见套利场景

1.薅羊毛：黑灰产利用云手机实现低成本设备群控，再使用脚本工具进行批量注册、养号，恶意攻击或者寻找企业营销活动漏洞，囤积平台权益，进行倒卖套利。

2.游戏打金：黑灰产注册大量游戏账号，借助云手机安装作弊应用来养号，以获得高价值游戏装备，然后通过特定交易渠道卖出，实现套利。

攻防原理

黑灰产可以通过云手机实现设备群控，从而完成大量虚假账号的注册、登录及活跃养号，然后根据不同行业业务特性实现套利，具有批量、自动化操作等风险特征。

针对这一情况，企业可以基于业务场景、风险画像标签搭建合理的业务指标监控体系，从而及时感知风险异动。比如：针对监控指标进行时序分析、操作行为聚类分析、团伙发现分析等，有效发现黑灰产风险行为。

改 机 工 具

改机，即把设备固有的硬件信息、软件信息、传感器信息，如：IMEI、IMSI、系统版本、内核版本、GPS、陀螺仪等，修改成用户自定义的信息，以此来骗过大多数APP的信息采集功能。

黑灰产团伙利用改机工具能够产生新的设备指纹，以此来绕过单设备无法注册多账号的限制，实现批量账号的注册、登录、养号，为后续攻击套利提供物料。

常见套利场景

1.薅羊毛：比如黑灰产可以利用改机工具修改设备信息，伪装成为“新用户”，用来躲避平台对有过“案底”的黑设备检测，或是刷取一些对领取账号资质有要求的高价值权益，进行套利。

2.营销推广作弊：黑灰产通过改机工具不断刷新设备指纹，绕过平台风控规则，批量注册小号，并进行广告点击、刷单、刷赞等作弊操作，消耗商家营销推广资源。

攻防原理

互联网营销活动中，大多数企业会通过限制设备参与活动次数来防止黑灰产批量薅羊毛；在遭遇攻击后，则通过建立设备“黑名单”来防止风险行为再次发生。而黑灰产通过改机工具，可以绕过上述限制，进行套利。

· 改机工具无法做到和官方手机完全一致，因此通过建立主流机型设备参数库进行设备参数比对，便能发现黑灰产作案的蛛丝马迹;

· 市面上的改机工具一般是基于特定框架实现的，如：Xposed；因此通过检测Xposed、注入模块、系统文件等方法，能及时发现设备是否存在改机行为;

· 通过对设备参数进行合法性校验也可以在一定程度上发现改机行为。

应 用 多 开

由于系统限制，同一软件在一个手机上只能安装一个。“应用多开”就是突破这类系统限制，实现在一部手机上同一应用安装多个，从而实现多账号自由切换

黑灰产不仅可以利用“应用多开”养号，更严重的是多开工具能截获目标APP的网络流量，从而实现监听网络包、截取登陆账号密码、窥探IM软件聊天记录，导致正常用户信息被第三方多开应用滥用于黑灰产活动。

常见套利场景

1.“杀猪盘”社交应用多账号操作：“杀猪盘”指诈骗分子利用网络交友，诱导受害人投资赌博的一种电信诈骗方式。黑灰产团伙使用多开软件等工具可以做到广撒网，实现1对N的消息发送，提高作案效率。

2.虚假推广刷量：黑灰产借助多开工具刷量，消耗用于拉新或促活活动中的投放资源，影响活动转化效果，给企业带来资损。

3.恶意引流：黑灰产通过批量应用分身，实现批量登录、操控账户，大量发送“牛皮藓”消息进行恶意引流。

攻防原理

目前市面上被黑灰产利用的多开软件多种多样，其中手机版虚拟机是行业中较新的一种作弊方案。

手机版虚拟机多开方案借鉴了qemu的实现原理，使用原生系统的Linux内核，在自己的APP内部搭建了一个新系统的rootfs。此类工具是近期最新出现的移动端虚拟机，可在Android手机上模拟出来另外一个独立的Android系统，并且自带各种作弊插件。

恶意多开应用常见于同设备操作，因此通过终端风险检测及服务端基于设备、操作环境、团伙聚类等方式可及时发现恶意多开行为。

虚 拟 定 位

虚拟定位即在获取到高权限的手机上从底层修改系统GPS采集的位置信息，欺骗手机APP获取恶意伪装的假GPS数据。

常见攻击场景

1.网约车刷单：针对网约车业务场景，利用虚拟定位工具模拟行驶，实现刷单，套取平台垫付金及奖励。

2.社交App虚拟定位诈骗：修改定位后以虚拟地址在社交应用上进行色情类诈骗。

3.商家信息爬取：修改定位后自动爬取附近商家的商品、价格等信息，售卖得利，常见于恶意市场竞争。

攻防原理

通过分析市面上比较主流的虚拟定位工具，可以大致了解这类软件的定位修改实现步骤：

拦截API，接口获取设备位置信息

使用规则文件替换位置数据

绕开系统对作弊插件的检测，达到插件隐身的目的。

掌握了虚拟定位工具的实现原理，可以结合业务场景进行更有针对性地风险检测及防护。

阿里云安全专家支招业务风险防控

1.完善业务设计，提高作案门槛

针对有可能存在资损的活动与业务流程:

适当提升用户参与门槛，如限定同设备、手机号参与活动的最高次数，以防止黑灰产“薅羊毛”；

增加核销规则，如：对现金券类的高价值权益的兑现使用进行账户资质、行为达标等多条件强校验。

2.主动监测风险异动，分层治理

通过主动监测活动营销资源核销比例及速率，结合账户行为、设备风险情况，主动进行实时与近实时的异动监控。对于捕捉到的异常事件进行量化评估，根据对业务的影响程度做不同处理，对具有潜在资损的活动权益进行合理的分层挽回与止损。

3.与专业风控团队合作

目前市面上的黑灰产作案工具、作案手法层出不穷。企业自建风控团队通常耗时会超过半年，而大多数业务风险问题从产生到爆发的时间都很短，几小时就足以造成巨额损失。因此与专业的风控团队建立合作可以有效弥补企业自身的能力短板，同时节约自研成本。

值得一提的是，业务风控是高度依赖实战经验的领域。阿里云业务风控团队在阿里巴巴集团自身十余年的风险管控过程中积累了丰富的最佳实践，结合大数据、流式计算、机器学习算法等创新技术，可以为企业提全链路跨风险场景的“端+云”的联防风控方案。