freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

卧底归来,暗夜揭秘黑产接码平台
2018-07-12 13:52:38

前章


我是陈坚强,经过我一个月的日观天象,熬夜观球

结合安全大数据,使用各种神奇的AI算法一通乱算

终于……我发现,今年的世界杯妥妥有毒

懂球帝工地搬砖,反压别墅靠海

小组赛没结束,输到皮都没了

啊……命运,为何比贝多芬弹奏的还要惨

但是人生总是有转机的,我现在还能敲下这篇文章,要从半月前的天台说起

那晚天台的风,像西游记第五十四回一样呼啸着

兜里手机一震,我接到了组织的秘密任务:

为更好对抗黑产,组织决定,派你卧底接码平台!!!

0x迷雾:烟瘴弥漫,接码平台为何物?


要卧底的接码平台到底是什么?为何会有接码平台?我的故事是这样:

接码平台,就是收集大量手机黑卡的资源平台,提供接收、发送手机验证码服务。日常生活中,当我们要使用某项网络服务,需在该平台上注册个人帐号,平台往往通过下发短信验证码来核身和确认。而黑产想注册大量的帐号,而又没足够多的手机号码资源时,接码平台应运而生。
接码平台软件截图

图:接码平台软件截图

接码平台的工作原理是什么呢?

接码平台主使用猫池设备养了大量的手机黑卡,并基于猫池设备的读取短信等功能,搭建的接码平台,提供获取手机号、获取验证码等服务。平台使用者,只需要调用平台对应的API接口就可以完成验证码的自动获取。

当注册、验证、解封等操作需要填手机号时,首先,调用「获取手机号码」的API,即可从接码平台获取猫池养的可接收验证码的手机号码;然后,调用「获取验证码」的API,获取网络服务商给该手机号下发的验证码,提交通过安全认证。

除了获取手机号码、获取验证码以外,平台还会提供「加黑无用号码」、「释放指定号码」API 接口,将被使用的不能再接收验证码的手机号“拉黑”。同时,还会提供「用户登录」、「获取用户信息」API 接口。有了这些 API接口,平台使用者可自行开发实现自动注册、解封帐号的工具或叫脚本。有图有真相。
接码平台API说明

图:接码平台API说明

0x风起:缕析接码,平台接口调用几何?


在该接码平台打了一周黑工后,我,坚强哥终于获取到平台的一手数据,通过对该平台各个API接口调用数据分析发现,获取手机号API的调用量以68%的占比稳居第一

接码平台接口调用量分布

图:接码平台接口调用量分布

令人惊讶的是,获取验证码API的调用量与获取手机号的API差别很大,并不在一个数量级,从获取手机号到获取验证码的转化率不足20%

经过分析,可能的原因为平台部分手机号接收不到验证码,自动机便会不断尝试获取新的手机号,导致调用「获取手机号」的量级最大;此外,某些别有良心的爬虫也是原因之一,其中细节嫁给我就告诉你。(坏笑,心动吗?)

0x走马:匪匪翼翼,接码项目分门别类


接码平台卧底归来后,我的代码成了整个防水墙团队最规整的模范。其中缘由,且听我慢慢道来:

网络服务商往往限制一个手机号只能注册一个帐号,手机号一旦被注册使用了,便不能再用以注册,或再次注册也接收不到验证码。为了方便管理,接码平台会根据项目来分类,并且每个项目分配了项目ID,井井有序,条理不乱。

与此对应,不同项目的价格也不尽相同,如注册微信号和注册探探号的价格差别就很大。

卧底的接码平台,目前有8000多个项目,覆盖各类网络服务,包括电商、游戏、社交领域的各类产品,甚至还有大量的虚拟货币产品。但并不是每个项目每天都有黑产在攻击,在 该平台上平均每天攻击的项目约300~400个,据卧底最近一个月的数据来看,黑产攻击的项目数量在稳步增多。 

接码平台日活项目数量趋势

图:接码平台日活项目数量趋势

对比调用「获取验证码」API接口数量,可以知道,电商、互金和社交类产品是最近一个月被攻击最多的目标。为了更清楚的了解黑产的动向,冒着被发现的风险,我偷偷调取了某APP被该接码平台请求验证码的数据,通过绘制数据曲线,不难发现,6月中旬有个像珠穆朗玛一样凸起的获取验证码高峰。

接码平台某APP验证码手机卡数量趋势

图:接码平台某APP验证码手机卡数量趋势

同时期,据腾讯防水墙情报监控显示:6月中旬,该APP做过一轮“拉新促活”的营销活动,新老用户可参与活动领取现金券,并通过充值话费进行套现。

嗅觉敏如狗,看到这个活动,黑产理所当然嗅到了金钱的味道。

0x虎穴:刀头舐血,深究平台手机黑卡


在经过层层考核后,终于获得了接码平台BOSS的信任,月黑风高夜,BOSS带我走进了小黑屋——核心资产秘密基地:一排排紧罗密布的猫池,猫池上插着一列列手机卡,风扇发出嗡嗡的嘈杂,老板说这就是他的“印钞机”,这本该给普通用户的活动经费优惠,却流入到黑产的手中,想到此我内心愤愤不平,考虑到要执行任务,只能面无表情故作淡定!

为了搞清楚接码平台上的手机黑卡,三天后深夜,趁老板不在,偷偷登录到后台,连夜获取了后台上的手机号码数据,经过分析发现,在最近这一个月,平台上有超过400万的手机黑卡,而仅用于获取短信验证码的手机黑卡每天就有20万之多,以平均每个手机黑卡每天接收2条验证码计,按给用户的价格是0.1元/条计算,接码平台日均收入约4万

接码平台获取验证码的手机号码数量趋势

图:接码平台获取验证码的手机号码数量趋势

估算了接码平台的惊人收入,反水的冲动涌上心头快要将我淹没......此时,脑海里荡着防水墙扫地阿姨的面庞:“人一辈子会遇上很多诱惑,要守住内心,不要变得不堪。”阿姨的话让我瞬间清醒,继续抓紧撸几行代码,看看接码平台的手机黑卡都是哪里来的。数据显示,该 接码平台手机卡主要集中在吉林、四川和浙江

接码平台手机黑卡地域分布

图:接码平台手机黑卡地域分布

记得之前闲聊时,接码平台BOSS提过与Top这几个地区卡商有密切合作,在防水墙监控中遥遥领先的广东黑卡在这个平台只能排第六,由此推断,该平台在广东的渠道比较少。有的行业靠天吃饭,黑产这一行看来是靠资源吃饭。

0x冰消:何人接码?轻接神秘罗纱面


知己知彼,百战不殆,趁此机会我下决心好好研究下对手,帮助团队更详尽的了解打码产业链以及平台上的用户为何人。想到这,顶着凌晨4点的星星,继续撸起了代码。

经过分析,接码平台上平均每天有几千个黑产用户登录,最终调用获取验证码接口的黑产用户数量上千,这些黑产用户,会使用不同的IP来访问和请求平台的接口,而这些IP主要集中在江苏、广东和浙江三地,看来黑产资源丰富情况与地区GDP呈正相关

就在熬夜奋战正酣时,我发现半夜里接码平台服务器的负载还很高,好奇心驱使,分析了下最近一个月调用「获取验证码」API接口的时间点,惊奇的发现,黑产从业者们大多数是夜猫子,前半夜尤为活跃,高峰期出现在半夜10~12点这个时间段

接码平台获取验证码请求量时间趋势图

图:接码平台获取验证码请求量时间趋势图

0x日出:卧底归来,一夫当关万夫莫开


我是陈坚强,现在在被黑产圈通缉,卧底行动获知的情报,已尽数反馈给防水墙团队兄弟们用以防护升级。敲完这一篇文章,就要继续逃命了,不能继续陪在扫地阿姨身边,我将潜入黑暗,守护业务安全!

陈坚强是杀手

犯我业务者,虽远必诛。腾讯防水墙致力于解决公司内外业务的安全问题,专注业务安全服务,用领先的人工智能技术解决业务欺诈、营销活动防刷、爬虫、撞库等问题。

如需了解更多,欢迎访问防水墙官网:007.qq.com及关注腾讯防水墙微信公众号

附:

手机黑卡揭秘篇——《手机黑卡,这个仇我记下了!》

# 业务安全 # 羊毛党 # 手机黑卡 # 接码平台 # 腾讯防水墙
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者