阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3430阅读
  • 2回复

[云安全体系/架构/合规专区]黑产揭秘:“打码平台”那点事儿

发帖
107
云币
373
h_w_OCC&2  
黑产揭秘:“打码平台”那点事儿 ]t'bd <O  
@1p ,  
_jhdqON6E  
简介 [>pqf  
hhZU E]  
互联网业务的飞速发展,日渐渗透人类的生活,对经济、文化、社会产生巨大的影响,同时互联网业务安全也日趋重要。如同网络通信的基础安全设施防火墙,互联网业务安全也有其基础安全设施--图片验证码和短信验证码。在互联网业务中,广泛使用图形验证码用于区分人类和机器,使用短信验证码过滤低价值用户及提供二次校验功能。 GiF})e}  
作为互联网业务的基础安全设施,图片验证码和短信验证也面临众多的挑战。此前我们通过《验证码的前世今生(前世篇)》《验证码的前世今生(今生篇)》 了解了验证码的发展及演变,原理及优缺点。今天本文将带你走近互联网业务眼前的威胁——图片打码平台和短信打码平台。我们以如下两个场景简单说明下普通打码平台以及手机打码平台: vU|.Gw  
场景一:批量登陆12306网站,并进行购买行为,但验证码不能动识别。 6Eu&%`  
12306的验证码比较复杂,程序较难识别。这时候就出现了普通验证码的打码平台,程序将验证码传给打码平台的识别接口,打码平台将验证码发给后端的“佣工”进行识别,并获取识别结果。这样基于此类的人工打码平台,即可实现程序的自动化。 #"Wh$x%  
场景二:注册某购物平台,但其需要填写手机号和收到的验证码才可注册,如何进行批量机器注册? KPT@I3P  
这时候就出现了手机打码平台,该平台提供大量的手机号,并能够发送和接收短信。这样只需调用手机打码平台相关接口,获取手机号并获取短信内容即可进行批量注册。 TNvE26.(  
最后我们将会简单的阐述面对这些威胁新的解决之道。 &;V3[ *W"  
JN{xh0*  
一、普通打码平台 SdI/  
lQ}e"#<  
一)介绍 rX8EXraO  
N$j I&SI?}  
现在很多简单的字符验证码已经不能够有效阻挡机器行为,使用简单的OCR识别工具即可进行识别,稍微复杂的可以结合机器学习等进行高准确率的识别。 JW5SBt>  
普通的字符验证码很容易被识别,因而又产生了一些较复杂的验证码,比如如下一些较难通过机器进行识别的。
ElEa*70~g  
{]a 6o[}u  
所以若想进行恶意注册或批量的机器行为则需要绕过此类的高难度验证码。针对这种需求,人工打码平台就产生了,其通过组织真实的人来进行识别,并提交验证结果。 d\cwUXf J  
&M,"%w!  
kZlRS^6  
二)运行流程图 x_&m$Fh  
.%@=,+nqz  
<IF\;,.c  
 xYMNyj~  
说明:比如现在羊毛党要去某网站刷活动优惠券,但该网站有较复杂的图像验证码。通常羊毛党会在打码平台注册账号并充值,并通过打码平台提供的api接口,提交验证码识别。打码平台将验证码分发到各个佣工的客户端里,获取佣工的识别结果,并最终反馈给羊毛党。 _n3Jf<Y  
1、网赚平台: t?-7Z6  
很多打码平台需要跟网赚平台进行合作,因为网赚平台的用户量比较大。这种每天输入一些验证码就能赚钱的平台是很多小白用户比较喜欢的。我们查看一叫做“有赚网”的网赚平台,其发布各种任务供用户参与,并通过金币的形式给用户发放,金币累积一定数量后可进行提现。网赚平台会设有专门的打码模块,里面列举了合作的打码平台。如图
J6!t"eB+  
`R}D@  
点击其中一个“知码打码”的打码平台项目,如图
}}GBCXAf_  
t `4^cd5V  
点击获取工号和密码后,然后下载提供的软件,登陆后简单测试通过后,即可收到打码平台推送过来的验证码,如图
`;^%t  
$Xlyc.8YId  
佣工可以勾选想要接收的验证码复杂度,有选择题、填空题、鼠标点击类型等等。同时通过软件可以查看该平台积压的验证码的数量,如图为45个,用户输入结果后会很快刷新到下一个验证码。每种验证码的积分不同,验证码难度较高的积分较大些,同时网赚平台夜间工作给的积分也会多,所以我们可以看到打码平台的夜间服务费用也会高一些。我们粗略计算下这种网赚的收益,按官方说明10000个金币可兑换1元的标准,我们按一个验证码平均可可以获得100个金币计算,则打100个验证码即可获得1元,每天打10000个验证码才能获得100元。 zr0_SCh;2  
2、普通打码平台 !d1}IU-h  
打码平台提供多种类型的验证码,有正常的普通字符验证码、有选择题、算术题、以及其他的特殊类型的。每种验证码的计费类型不同,我们查看某打码平台的价格类目表,
-S=Zsr\  
u+]v. Mt  
其中每种验证码的价格不同,该平台冲10元可获得25000快豆。其中最普通的验证码需要10个快豆,也就是说10元可以识别2500个普通验证码,我们查看下12306的图形验证码识别价格为60快豆,即10元可以识别400多个验证码。同时打码平台会以api的形式供用户使用,其只需传入账号密码以及验证码所属类型、验证码文件即可进行识别,如图
y>S.B/ d  
 X7sWu{n  
k3m|I*_\L  
'_n{+eR74  
3、开发者 6'Sc=;;:  
每个打码平台都会有很多开发者,开发者通过打码平台提供的sdk,进行开发软件。比如针对12306编写一个抢票软件,并内接该打码平台,那么羊毛党在使用该软件时只需填入打码平台的账号密码即可使用。同时开发者可以拿到提成,提成一般较高。 ?=<vC  
4、羊毛党 YbC6&_  
什么是羊毛党? `d=$9Pi  
有选择地参与活动,从而以相对较低成本甚至零成本换取物质上的实惠。这一行为被称为“薅羊毛”,而关注与热衷于“薅羊毛”的群体就被称作“羊毛党”。早前,“羊毛党”们主要活跃在O2O平台或电商平台。另外随着2015年互联网金融的发展,一些网贷平台为吸引投资者常推出一些收益丰厚的活动,如注册认证奖励、充值返现、投标返利等,催生了以此寄生的投资群体,他们也被称为P2P“羊毛党”。当然,使用打码平台的不一定就是羊毛党,还有可能是一些抢票的“黄牛党”或者黑色产业的欺诈者。 5 TD"  
XM/P2=;  
三)利益链 h^P>pI~  
R]%ZqT{PS  
0EM`,?i .Q  
+w/Ax[K  
说明:佣工通过自身劳动,通过网赚平台变现,获得利益;网赚平台与打码平台进行合作,并有利益分成。打码平台将服务进行封装,提供给羊毛党。打码平台的开发者通过开发软件供羊毛党使用。同时羊毛党通过批量的注册、活动优惠等方式从网站进行获利。 ]lF'o&v]  
L%a ni}V  
二、手机打码平台 KQ/v](7 7  
f8! PeQ?  
一)介绍 O0"i>}g4  
=JyYU*G4  
短信验证码在互联网业务中用于过滤低价值的用户,从而将服务推送给目标用户。这是基于手机号基本实现实名认证,每个人拥有的手机号也是有限制的前提。似乎通过手机短信验证就能够防止垃圾注册,筛选出真正有价值的客户。然而黑产针对基于手机号注册的场景,推出手机打码平台。手机打码平台囤积大量的手机卡提供短信收发的服务。实际调查中发现大型手机打码平台有几百万手机卡,小型也有几万的手机卡。 [pbX_  
L{~L6:6An  
二)运行流程图 yXNE2K  
XJ]MPiXj  
手机打码平台的流程图如下,主要有两个角色,一个是平台的普通用户通常为羊毛党、一个是平台的卡商。
?ZSG4La\  
#;H,`r  
说明:手机打码平台会提供各种项目的接口,比如xxx账号注册、xxx绑定手机等。羊毛党只需要调用接口,获取某个项目可用的手机号,并将该手机号填入目标网站,然后调用接口获得短信内容即可。  zUqiz  
1、手机打码平台 i~z:Fe{  
手机打码平台提供各种项目,我们查看下某一手机打码平台的项目列表,如图
w;' F;j~  
~0fT*lp  
每个项目的价格不同,像p2p金融类的可能价格较高,其他的普通的比如115网盘手机绑定价格较便宜,一个手机号只需1毛。接收短信流程很简单,查看下该平台的官方API接口说明,如图
3WJ> T1we  
W.\HfJ74  
我们只需要调用接口,获取某个项目的手机号,填入网站,并调用接口获取短信内容即可。同时打码平台通常还会提供发送短信的接口、接收语音验证码等功能,如下为某一手机打码平台发送短信的接口
=rgWO n8  
6!bA~"N  
2、卡商 vD) LRO Z  
卡商是指拥有大量手机卡的用户,其通过猫池并通过打码平台提供的软件,提供相关项目的短信收发服务。卡商的手机号被使用一次,则可获得相应的收入,如下为一打码平台的卡商客户端,卡商将插有大量手机卡的猫池接入电脑,并选择需要做的项目即可。
hC]c =$=7  
e=Kv[R'(M  
其中猫池可以理解为有通信模块,可以收发短信,可以插很多手机卡的设备。一般有8口、16口的,多的有128口的,即可以同时插128张手机卡。猫池有多种类型,现在有很多猫池是支持3G、4G的,如下为插有手机卡的猫池图
5S$HDO&  
?9!tMRb  
/Fh"Gl^  
卡商通常会有大量的卡,用来做手机打码只是其中的一个业务,还有很多是用来刷钻、刷会员、刷流量等。市场价格一般在10元左右一张,且这些卡有很多也是经过实名认证的,且有很多属于0月租、0余额的特殊卡。当然可以发送短信的则是有一定余额的。我们查看下一售卖手机卡的卡商发的广告,如图
j1YE_U  
*8/Q_w  
p/lMv\`5  
WGG|d)'@  
关于这种大量的卡的来源,其中一手机打码平台的卡商透露了如下信息
gKb4n Nt  
#Opfc8pm'  
An[*Jx  
4g\a$7 r  
……(未完) l,*Q?q  
6{lWUr  
N>ct`a)BD/  
查看完整文章,请点击黑产揭秘:“打码平台”那点事儿 G:WMocyXI'  
&v4w3'@1  
CM5A-R90  
作者:Ano_Tom@阿里安全,更多安全类文章,请访问阿里聚安全博客 t s ?b[v  
[ 此帖被移动安全在2016-11-28 17:28重新编辑 ]
级别: 论坛版主
发帖
4292
云币
2524

只看该作者 沙发  发表于: 2016-12-03
感谢您的分享!
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 板凳  发表于: 2016-12-04
阿里的滑动可以防止
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)