华尔街一词一直很受精英阶层青睐,华尔街日报、华尔街之狼、华尔街上市。无独有偶,暗网的运营者们也看上了这个词,并搭建了一个名为“华尔街市场”的暗网平台。

5月3日,华尔街市场(简称WSM)全球第二大暗网黑市也走上了被查封的老路:三名网站管理者被抓,网站被关停。一时间满城风雨,议论纷纷。

暗网入口关闭

本文,妮美将带大家一起来了解下华尔街市场关停被捕的始末。

一、华尔街市场——非法商品集合地

美国的检察官在采访中表示“华尔街市场像 eBay 和亚马逊这类传统电商一样运营,只不过它的存在是为了贩运禁品。”

截止被查之前,华尔街市场还是最繁华的非法商品市场。它拥有超过 115 万个用户,大约5400个供应商和数万个可供购买的商品。

用户通过洋葱浏览器(Tor),进入华尔街市场。

经历过去年暗网6000多个网站被黑客攻击的事故后,运营者显得更加小心。为了预防黑客的DDoS攻击,进入前第一步需要输入验证码。

进入该市场主页后,我们就可以清楚看到在售的所有商品。

不过,和大众想象中的色情暴力场景不太一样,华尔街市场并没有杀人、儿童色情、相关的任何视觉冲击内容。

从最左边的产品列表里,可以查看产品分类:包括毒品(1105)、仿制品(72)、服务(53)、恶意软件(77)、欺诈(215)、数字商品(217)、指南和教程(591)。

该网站最主要的市场就是毒品售卖。点击毒品一栏,展示着与它相关的子类别:包括大麻,兴奋剂,迷幻剂,游离药物等等,每个子分类底部都还有有更多的分类。

如果你不知道自己想要什么货物?在产品页面,网站还提供了排序筛选功能,例如:一周热门排行,卖家信用排序,便于用户明确自己需求。

同所有的电商平台一样,进入一个”优质大麻“的产品详情页,可以看到买家的评论,“great product quick delivery thank” 产品质量不错,快递也不错,感谢。

在华尔街市场平台进行交易时,需要使用PGP双因素身份验证功能进行买卖沟通,确保用户身份的真实性和匿名的安全性。

该市场使用比特币和门罗币等加密虚拟货币交易,管理者对每笔交易收取2%至6%的佣金。

市场上最大的两位卖家,一人网名为“天行者女士(Ladyskywalker)”,另一位网名为“铂45”(Platinum45),主要销售甲基苯丙胺、羟可酮和一种名为Adderall的安非他明处方药。卖家会把毒品藏在动物体内并寄给买家,目前两人均已被美国警方逮捕。

据报道, 因在暗网购买毒品死亡的人不在少数。

2017 年 2 月 16 日,美国俄勒冈州,一名 18 岁女孩吸食过量U- 47700 后死亡; 2017 年 2 月 27 日,美国佛罗里达州,一名 24 岁女子吸食过量止痛剂芬太尼后死亡; 2016 年底,美国犹他州,两名 13 岁男孩因滥用朋友买的U- 47700 在 48 小时内先后死亡…

二、暗网管理者如何被捕?

对华尔街市场的管理者调查自2017年以来一直在进行,经过近两年的国际调查之后,警方决定于4月底收网。起因是4月份,华尔街管理者开始尝试执行退出骗局:转移托管中持有的所有加密货币(约1100万美元)跑路。

定位暗网运营者的过程非常困难,因为他们往往都使用了多重加密。

不过经过警方的努力,三名网站运营嫌疑人最终还是被捕了。

三名男子均是德国公民,Tibo Lousee,Jonathan Kalla和Klaus-Martin Frost,年龄在23岁、31岁、29岁。

德国警方在他们住所,发现了 55 万欧元现金、高达 6 位数的虚拟货币、高档汽车以及计算机和数据存储介质等证据,还在一名嫌疑人家中发现了枪支。

根据美国司法部公开的资料,这三个人被发现的主要过程如下:

Lousee

Lousee主要通过隐匿的VPN来访问WSM服务器。某次VPN 连接突然中断,身为管理员的他继续访问该服务器,暴露了其真实IP地址。

通过上述IP地址,可以追溯到名为UMTS-stick(aka surfstick)的设备。德国联邦调查局执行了多项监控措施后,最终决定以电子方式定位特定的UMTS-stick。

之后,监控小组进一步发现在2019年2月5日至7日期间,UMTS-stick被用于位于北莱茵 – 威斯特法伦州(德国)Lousee住所以及他的就业地点。

其他一些间接证据进一步将Lousee与操作联系起来,如类似的登录名,提及毒品和加密货币等等。

使用VPN访问服务器,给真实IP加了一层防护罩

Kalla

Kalla 是因为使用了被监控的代理服务器被发现的,尽管其VPN正常使用,警方通过代理服务器元数据找到了证据。

通过监控WSM服务器,警方发现一个provider2的账户频繁访问服务器,并通过访问的时间序列的唯一性,定位到该账户的元数据。而元数据包含的IP,正是kalla以他妈妈的名义登记的代理IP。

尽管你可以将IP伪装到其他系统,但一个地址和另一个地址的明显关联是不能改变的。

Frost

第三个管理员Frost被捕,是由于他的加密货币帐户公钥的泄漏。

FBI调查人员发现[WSM管理帐户]‘TheOne’ 的PGP公钥与之前被捣毁的 Hansa Market上另一个名字’dudebuy’的PGP公钥相同。由于每个公钥具有唯一性,警方因此定位到其虚拟币交易钱包。

紧接着从比特币支付处理公司调取的记录进一步了解到该钱包使用电子邮件地址[email protected]…比特币交易的买方信息显示为’Martin Frost’。

由于区块链交易记录的的不可消除性。2019年4月初,该钱包大量比特币流动的交易记录,也间接为Frost在4月初进行操作退出骗局提供证据。

巴西圣保罗29岁的Annibale也面临联邦毒品分发和洗钱指控,以及作为主持人,调解供应商与其客户之间的纠纷。Annibale还使用网名“MED3LIN”,在包括Reddit等网站上推广WSM。

不难发现,暗网也不再是可以逃避监管的非法之地,只要接入互联网就有迹可循,警方就可以把你找出来。

三、前5大暗网交易平台都黄了

从目前的情况来看,暗网并不是逃脱监控和打击的避风港。先后登顶的“第一”暗网交易平台,下场都不太好,网站悉数被端,创始人也陆续被抓。

曾经的最大暗网:“丝绸之路”Silk Road网站,它是一个创建于美国的网站,隐藏了大量毒品交易、性奴、儿童色情以及暗杀等犯罪线索。

2013 年 10 月,网站运营者——罗斯被美国 FBI、国安局(HIS)等多部门联手逮捕,被法院判决终身监禁。

“Silk Road ”丝绸之路倒下,献上一血。

“丝绸之路”后,暗网又迎来了四大交易平台,按照排名分别是:“阿尔法湾”(AlphaBay)、“梦想市场”(Dream Market)、“汉萨”(Hansa)和“俄罗斯匿名市场”(Russian Anonymous Marketplace)。

2017年,“阿尔法湾”是当之无愧的全球最大暗网交易平台。关闭前,网站上非法药品和有毒化学品的交易条目超过25万条,失窃身份证件和信用卡数据、恶意软件等的交易条目超过10万条。

2017年7月,“阿尔法湾”被警方关闭,创始人亚历山大·卡兹在泰国被捕,此后卡兹在泰国羁押待审期间死亡,美国司法部表示卡兹死于自杀。

“AlphaBay ”永久关闭,迎来双杀。

“阿尔法湾”(AlphaBay)网站 图来自网络

“阿尔法湾”关闭的同一天,荷兰执法机构宣布干掉了全球第三大暗网交易平台“汉萨”(Hansa)。

同样是当年7月,号称全球第四大暗网交易平台“俄罗斯匿名市场”(RAMP,Russian Anonymous Marketplace)也被俄罗斯警方端了。

“Hansa ”,“RAMP ”接连落网,四杀实现。

前四的交易平台一下子垮了仨,只剩下当年排名第二的“梦想市场”(Dream Market),供应商和用户纷至沓来,“梦想市场”千年老二排到了第一,可“好日子”也没过多久,其供应商Gal Vallerius 于2017年8月在亚特兰大机场降落时遭到逮捕,最终法院判处其20年有期徒刑。

“Dream Market ”的被端,警方完成五杀。Penta Kill!

与其他暗网门户网站被关闭不同的是,梦幻市场至少一开始并没有表明是被执法机构关闭,而是其主动将网站下线的。

并在网站上发布声明称“持续遭受了DDOS攻击,攻击者并就此勒索40万美元,不得已将在4月30日关闭网站维护。”

暗网交易平台“梦想市场”(Dream Market)关闭跑路的公告

下线的同时还引导庞大的交易者们前往合作伙伴的交易市场继续交易, 这个时候,交易者们非常担心是 FBI 套路:

暗中清缴网站,但继续保持网站运营,用来收集买卖家们的各种详细信息。待数据收集的差不多了、已经将不少的交易者逮捕的情况下,再公开说明某某交易市场已经被执法机构彻底关闭。

该网站大量用户随即转至位列第二的交易平台“华尔街市场”(Wall Street Market),甚至还有媒体在4月份预测,“华尔街市场”马上要成为全球最大的暗网市场。

眼看着“华尔街市场”正在对排名第一的交易平台发起“冲榜”,没想到又被端了,运营方都被查了个底儿掉。

“WSM ”over Again。到这里,头部暗网平台几乎团灭。

可以预见,随着各国打击暗网黑市的力度不断加大,暗网上的非法交易空间正在被逐步压缩。

但是暗网并没有就此消亡,在暗网的网站导引目录上,我们又看到了最新的暗网市场排名。

正如华尔街市场因为其他暗网的关闭而兴起一样,一个暗网的关闭往往会导致其他暗网的崛起。

可是,讲这么多跟我们又有什么关系呢?

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

不久前,一则新闻引起巨大震动,三年前弑母案中的嫌疑人吴谢宇在重庆江北机场被抓,有人透露吴谢宇进入机场不到十分钟,警察便找到了他。这场所谓的“完美犯罪”是否完美我们不敢妄下论断,但是带领我们抓捕嫌疑人、走进真相的“天眼系统”,或许并不全是完美。

目前中国已经安装了2000万个配备人工智能技术的摄像头,组成了世界上最先进的监控系统——“天眼系统”。我们通过这个系统高精度匹配人脸,锁定肇事逃逸司机、抓到看演唱会的通缉犯、也逮捕了吴谢宇。

在这个系统下,人脸识别成为重要的技术基础。不光在公安公共交通放方面,目前人脸识别技术应用场景越来越多,但在我们享受科技带来便利的同时,也有不少风险和担忧的声音。

快速发展的人脸识别技术

根据前瞻产业研究院数据显示,到2020年全球人脸识别市场规模将达75.95亿美元。在这场科技快速发展的赛道上,人脸识别真实而深刻的改变着我们的生活,无论是消费支付还是安检寻人,这场“刷脸”的变革正在慢慢渗透生活。

2015年招商银行宣布推出“ATM刷脸取款”业务,三年之后工行已经在215家网点采用了人脸识别技术;

2017年iPhone X Face ID 解锁功能上线,到2017年具备人脸识别功能的全球智能手机共达到了14.62亿台;

2017年首都国际机场打造刷脸登机的智慧机场,这个系统会在1分钟之内完成安全识别和处置,其验放效率较之前提高了66%,每个小时达到266人以上;

2017年支付宝宣布商用刷脸支付,2018年推出刷脸支付产品—— “蜻蜓”,直接将刷脸支付的接入成本降低80%;

2017年北京所有公租房推行“人脸识别”门禁;

2018年张学友四场演唱会借用人脸识别技术抓住五名逃犯;

2018年相关警务识别、智能业务应用越来越广泛;

……

其实对于人脸识别的研究早在 20 世纪 60 年代就开始了。如今经过 50 多年的发展,人脸识别技术已经取得了重大突破,很多经典算法和人脸库相继出现。目前人脸识别系统最高的正确率可以达到 99.5%,人眼在同等条件下识别的正确率仅为 97.52%,目前人脸识别的准确率已经做到了比肉眼更精准。

而国内的发展速度也毫不逊色。在2018年的全球人脸识别算法测试(FRVT)中,中国人工智能公司就囊括了前十中的五席。

2018年11月16日发布的报告显示,全球人脸识别算法的最高水平可以做到在千万分之一误报率下,漏报率降低于1%,这意味着千万分位误报下的识别准确率已经超过99%。相比于去年同期,全球人脸识别性能提升了80%。

发展背后风险四伏

但是,在快速发展背后,依然存在不少令人担忧的问题。

数据来源惹争议

首先是训练所使用的数据集。在人脸技术繁荣发展的背后有一个重要基础——大量的数据训练。

如果说人工智能是一辆飞奔的豪华跑车,那么数据就是提供强劲动力的“燃料”。为了保证“燃料”的质量,我们对于数据清理的要求越来越高;但是更为重要的是可供训练的数据量。目前研究人员使用较多的数据主要来自“开源数据集”。

除了早期实验团队专业请志愿者拍摄之外,绝大部分的数据主要来自网络获取和公共数据。比如雅虎旗下的图片分享网站——Flicker,通过“知识共享”政策将用户上传的图片等信息整合组成很多开源数据集,早在2014年雅虎就基于Flicker数据发布了1亿的图片与视频,其中包含了9930图片和70万视频的URL以及与之相关的元数据。

还有很多开源数据集大量收集电影、电视剧、运动比赛等公开影像,不少公共监控数据也被用于政府及相关企业进行安防方面的研究与训练。

这个带来了许多争议与担忧。一方面大家对于自己的面部信息被用于训练存在一些芥蒂,另一方面不同企业、政府对此也存在不同的观点与立场。

2018年4月,Facebook使用生物统计数据,在未经用户同意的情况下,非法对用户照片进行人脸识别,并存储相关信息。今年4月,亚马逊先前将其面部识别工具 Rekognition 提供给警方使用,引起侵犯民众隐私的争议。当时遭到亚马逊员工、用户、民间组织等超过 15 万人联名抗议。图灵奖得主也呼吁暂停售予执法机构。

而同样面对数据采集和使用方面,微软基于人权考虑,拒绝向警方提供面部识别技术。

信息泄露存风险

2019年2月,海外博主Victor Gevers在个人社交网站Twitter上曝出国内名为“SenseNet”的人工智能安防公司发生大规模数据库泄露——超过250万条的个人数据可被获取,680万条记录泄露。

这次的信息泄露引起了较大震动,这家公司主要从事借用深度学习用于面部识别技术和人群分析,并对外开放数据接口方便使用匹配,其纪录地点还包括警察局、酒店、旅游景点、公园、网吧等等。也就是说当你走在路上,很有可能脸部信息已经被提取、被分析,甚至被泄露。

而信息泄漏的风险背后还透出我们对于人脸与其他数据标签关联的担忧。我们目前刷脸支付的普及力度相对较低,人脸所关联上的数据标签还很少。但是未来随着人脸识别技术应用越来越广泛,这种关联度势必会提高。这种关联度的提高会给商业带来无限契机。比方说分析人脸信息和其他社交平台信息,将我们的人脸和相关的兴趣标签打包卖给商场。或许你下一次走进商场,实现全智能逛街,各种精准推送就是基于此。

目前,已经有不少公司有意无意间在做提高这种关联度的事情。Blippar App是一款基于AR技术的探索发现类应用,我们通过此APP扫描感兴趣的对象,不仅可以看到相关商品信息、了解城市街道介绍、甚至还可以直接相关获取社交信息。

黑产伺机而动

单纯的信息泄漏,缺乏关联度带来的危害似乎并没有那么直击要害。但是如果这些信息同样被黑产所用,那么损失将无法估量。

这本质上来说依旧是对抗间的矛盾。

当下像微软这样的科技巨头成为面部识别发展的领军者,很大程度上取决于他们可以访问大型面部数据库,而组成数据库的正是每天行走在路上、上传自拍等信息的你我。技术的发展要求我们“贡献”出海量的数据供其学习,但是这些数据是否有可能同样被黑产拿来训练呢?

这正在发生。今年的央视315就指出当下人脸识别的风险。而2016年底湖北公安也曾捣毁一专门贩卖公民身份证、动态认证视频(抬头、低头、眨眨眼睛、读一段文字)的团伙在他们查获的1800G信息中,不仅包括身份证正反面、还有手持自拍、侧拍、拿报纸拍,更为神奇还有抬头、点头、左转、右转、读文字的录像。而这些都在帮助黑产形成3D建模,训练如何躲过活体检测。

我们在担心什么?

其实在面对人脸识别技术的发展,我们的情绪是复杂的。就像此次重庆江北机场通过“天眼”抓捕嫌疑人吴谢宇,准确快速的保证安全,民众成为最大受益者。但是另一方面,看到人脸数据采集的不合理、信息泄漏的风险甚至被冒用身份的可能性,我们有些害怕了。

我们到底在害怕什么?

首先,我们害怕毫无察觉的丧失底牌。

因为人脸是唯一不需要用户主动配合就可以采集到的生物特征信息。对比其他生物特征的采集过程,如指纹、掌纹、虹膜、静脉、视网膜,都需要以用户的主动配合为前提,即如用户拒绝采集,无法获得高质量的特征信息。与此同时,人脸天生就暴露在外,难以做到自我掩护和伪装,这张脸,成为了识别身份的天然特征。

也就是说,面对四周不休不眠的“索伦之眼”,采集的时候我们毫无察觉、分析的时候我们全然不知,直到泄露的时候、直到曝光的时候,我们毫无还手之力。

其次,我们害怕无法挽回。

人脸识别技术为了防止黑产攻击,会加大对识别精度的训练;黑产为了牟利,会投入更多精力伪装活体面部;那,普通用户呢?我们只有一张脸,曝光了、泄露了、被冒用了,我们可以换一张“脸”吗?

不能。

还有面对信息关联的问题,即便目前看来提取社交照片用于训练的信息十分独立,但是当真正落地到应用场景中,无论我们是“刷脸支付”还是做推荐系统,都势必会产生、关联更多个人信息。一旦唯一的特征信息泄漏,背后风险我们难以估量。

所以,这件事情最可怕的点在于我们无法控制“人脸”何时交出去,更无法预判风险、甚至我们承担不起后果。

当然,我们同样是矛盾的。

目前对于人脸识别数据的采集使用国际间也存在争议,很多人对于自己的照片未经允许被拿去训练这件事情不寒而栗;但也有人认为如果不“投喂”数据,人脸识别技术便没有生长土壤,我们应当多一些包容,给技术发展多一些时间。

争议之下,我们并没有停步于此,相关的采集政策也同样在逐渐完善。2015年以来,国家密集出台了《安全防范视频监控人脸识别系统技术要求》、《信息安全技术网络人脸识别认证系统安全技术要求》等法律法规,为人脸识别在金融、安防、医疗等领域的普及打下了坚实的基础,扫清了政策障碍。

国外也同样如此,比如旧金山推出《停止秘密监视》条例,成为世界上第一个禁止人脸识别的城市。

旧金山提出《停止秘密监视》条例

作为企业也在尽可能保证隐私权,微软已经成立了一个名为“Aether委员会”的内部咨询小组研究人工智能的应用,并发布了一套开发人工智能技术的伦理原则。

无论如何,当下的我们并不是束手无策、更不能够因噎废食,提出担忧与疑虑是改进的第一步。至于如何在科技发展与隐私伦理间找到平衡、如何构建完善的采集机制,将是未来很长一段时间我们需要思考和努力的。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

提到黑客,我们脑海中出现的大多都是《黑客帝国》中的炫酷场景,但是真实生活中的黑客可能是一个手机码完十万代码引发万人“膜拜”,然后挥挥衣袖骑上小电驴送外卖的少年……“大扎好,我系姑天乐,我四渣渣辉,探挽懒月,介四里没有挽过的船新版本,挤需体验三番钟,里造会跟我一样,爱象节款游戏。”

1.gif

混迹市井的黑客们

电影终究是幻象,真实黑客的世界是虚拟与现实共存。

挣扎在温饱线上的大神

去年十一月,在某论坛上出现一个被恶意篡改的短视频APP,经过网警调查发现背后的始作俑者居然是一个职校在读学生。

小郭是辽宁本溪的一位大专学生,从大二开始对计算机编程产生了浓厚的兴趣。因为不是本专业,所以凭借着内心真实的热爱开始自学计算机。零基础的他因为家境不好不仅无法上培训课程,也没有钱买电脑。

于是,他开始用手机码代码!!这一码就是十万!!

2.png

图片来自知乎

小郭篡改短视频APP最先开始也不是为了牟利,他将篡改后的“版本”连同篡改的技术细节在论坛上分享给网友们,一时间数万粉丝称之为“大神”。大受“鼓舞”的他又进一步篡改软件,并将其分为“免费版”“收费版”两个版本,通过售卖获利3000余元。

警察找到他的时候发现,在网络上呼风唤雨、被大家称为“大神”的小郭,现实生活中却还挣扎在温饱线上,日常还需要送外卖来补贴家用。

3.png

送外卖补贴家用,原来段子视频是真的???

小郭在今年1月发现分享人数越来越多,逐渐失控便停止了售卖和分享。网友们一阵唏嘘,有手机码十万代码的毅力,做点什么也不止赚三千…

手握15亿的农村娃

来自农村的黑客们大多没有良好的技术学习条件,还有一些像小郭一样还需要通过其他工作维持温饱。但是也有很多例外,这位农村的未成年黑客不仅“学以致用”,还搞了个大事情。

叶某初中毕业后无所事事,找不到人生的方向。后来在亲友的介绍下来到县城的一家网吧打工,开始做起了网管,逐渐熟悉电脑操作。此时他仿佛找到自己的天命,钻研技术成为他的全部生活,不懂英文的叶某从14岁开始通过网络自学编程,不久便可以自己涉及开发各类黑客软件。

有一天他发现了一个神秘的“黑客大佬群”,由此打开了自己的黑客之路。经过群内的“大佬”指导,他开始通过搜索引擎,获取他人邮箱密码等数据信息,然后输入自编软件,建立数据库,匹配成“内料四大件”。

没用多久,17岁的叶某做成了行业内最大的“原料提供者”,很多的网上中介查询客户信息,然后盗刷分成。短短几年内背后涉及风险盗刷账号19万条,涉案金额达到14.98亿元!

当警察找到他时,他正在和“小弟”们游山玩水。被抓时他委屈的说,自己也是“受害者”,虽然信息超过19万条,但是拿到手的只有100万左右,不少中介人员拿料后“飞单”,并未与他分赃。

4.gif

水泥工艺背后的“熊猫烧香”

2006年肆虐中国的“熊猫烧香”,短短几个月感染超过200万人。凶残程度现在回忆起来还有人说“每一个做过机房管理的工作人员都记得那个被恐惧支配的夏天”。

5.png

让人意外的是,病毒背后的编写者只是毕业于娲石职业技术学校水泥工艺专业的一名学生。从事水泥行业并非李俊的志向,所以他毕业后便去到一个网络技术职业培训班,除此之外的大部分的计算机技术都是看书自学。2004年李俊到北京、广州的网络安全公司求职,但都因学历低的原因遭拒。

于是他抱着报复社会以及赚钱的目的开始编写病毒。他曾在2003年编写了病毒“武汉男生”,2005年他还编写了病毒QQ尾巴。直到2006年写出“熊猫烧香”震慑众人,感染的电脑上出现的满屏熊猫烧香图案,是李俊炫技的表现。

6.png

李俊一审判了4年,在监狱的时候有至少十家网络大公司以年薪100W发来了邀请函。但是李俊硬是一个都没瞧上,出狱后偏要自己干,干啥不好干了网络赌场,然后又进去了……

7.gif

2014年获刑三年,听说最近又出来了,不知道他下一步会做什么……

18岁的“女装大佬”黑客

还有些黑客,也是自学成才,但是做事就很滑稽。

杭州一家网络技术公司发现公司账户内的几万块钱不翼而飞。这些钱本来是用于给客户提供手机话费、Q币充值用的,但是按照正常的出账记录,没有这几万元的支出的。仔细一查,发现前几天有一个顶着“萝莉头像”的QQ号发来过一条消息:“你们数据库有漏洞”,萝莉还附赠了一个得意的表情。

后面随着警察的深入调查,抓到了这位“萝莉”……

8.png

原来是一位女装大佬,他是一个典型的技术宅男,家里除了电子设备就是女装。读完初中后就辍学了,也同样是找不到人生方向,后来上网发现自己对网络攻防很感兴趣,于是开启自学模式,跟着论坛上的技术帖子尝试寻找各个平台的技术漏洞。

在网络上伪装成“萝莉”,帮助这些公司找到了很多系统漏洞,顺便捞点钱。正当他觉得自己找到职业发展道路时,警察却找上了门……

多方因素导致“黑客困境”

根据之前的统计显示,如今的青少年“黑客”大多并非高学历,甚至不少犯罪嫌疑人为初中以下学历。这些黑客大多不是科班出生,但凭借着对于技术的热爱走上黑客的道路。他们的“付出”并不比任何人少,比如在暗网上盗取30多万条信息的黑客曾经还向网友交了180元学费……

9.png

当我们回望这些黑客的故事时,更多的还是惋惜。网络的开放性一方面为他们提供了开放的学习机会,但是另一方面相关知识资源良莠不齐,尤其在国内很多的黑客技术学习和黑产应用结合紧密。不少的年轻黑客从开始自学接触到的大多只是黑客技术攻击工具,缺少完备的计算机知识体系。更加危险的是,如今很多的黑客交流群其实只是黑产发展的”工具“,这些稚嫩单纯的少年黑客很容易就会被利用。

与此同时,他们在学习发展过程中缺少引导和生长土壤。

目前国内的白帽黑客行业发展并不完善。国外的hackone、Bugcrowd等成熟的白帽社区,他们从发现漏洞到与上报漏洞、领取赏金、参与比赛排名榜等等机制十分健全晚上。而对比之下国内缺少一个供新人学习讨论的平台,也缺乏对于年轻黑客的良性引导机制。很多的少年黑客有兴趣不知道去哪里学习、学习了不知道哪里能用上,一不小心就被各种黑灰产所利用。

其次,少年黑客在早期没有接受正确的引导和教育。比如2016年破解电商网站的黑客小严直到被抓才知道自己触犯法律。其他入侵平台服务器制作破解版软件的黑客很多只是一时兴起,对法律红线没有概念。

对于技术研究的巨大热情带来的是自我价值实现的强大需求。如果说安全从业人员是站在荒原上的守望者,那么这些黑客就是必须站在舞台中央的主角。台下的欢呼声、四周的尖叫声是他们证明能力的见证。

“任何职业都可以成为黑客。你可以是一个木匠黑客。不一定是高科技。只要与技能有关,并且倾心专注于你正在做的事情,你就可能成为黑客。” ——引自《黑客伦理与信息时代精神》。

黑客精神鼓励我们勇敢的坚持自己所“好奇”之处,激发潜能。我们希望未来有更多优秀的黑客能够在正义的道路上实现自己的价值,即便你曾经混迹在市井,但回归大道何时都不晚。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

一个创立十五年的社交网站,全球用户量超过20亿。但是却屡屡遭遇隐私问题争议,最近还出现相关报告发布称其20亿用户或超半数都为“虚假账户”……

1.jpg

多年来的“私人恩怨”

在Facebook不断发展的过程中,似乎从来不缺人气与争议。

除了隐私之外,还存在“私人恩怨”。扎克伯格哈佛校友的艾伦·格林斯潘,曾宣称拥有facebook商标的所有权,并且多年来坚持同facebook公司“斗争”。

2.jpg

格林斯潘说自己在Facebook上线前三个月就提出了类似的创意,名字叫「the Face Book」,他甚至还主动联系过扎克伯格希望合作。为此,他对外公布了一些早期的通讯记录,甚至还专门写了本书,描述自己创造HouseSYSTEM网站的过程,并宣称它是facebook的始祖。

“有好几次,在路上碰到、从我的门前经过、在帕罗阿托的餐厅吃墨西哥餐,我示以微笑,或者向他招招手,他都可以走过来,道个歉的。但是,他从来都没这样做过。他一点都不感觉愧疚。”

但是硬气如扎克伯格,格林斯潘始终没有等来Facebook的“解释”。于是格林斯潘坚持“斗争”,在各个方面找扎克伯格茬,越来越“柠檬”了,并且2012年的时候就直接状告Facebook盗用其商标。

4、.jpg

跨国官司的导火索

没想到上诉也没得到道歉,一气之下格林斯潘憋了一个大招。

2019年1月底,格林斯潘公布了一个关于Facebook的报告,长达70多页的报告直接指出Facebook的20亿月活用户中有超过一半都是虚假账户。

3.jpg

报告一出就引起轩然大波,沸沸扬扬的隐私安问题还没有解决,就又出现了“虚假账号”的负面新闻。Facebook官方也赶紧出来澄清,说:“有关虚假账户的报告是明显错误的,并且是不负责任的。”之后就直接起诉了四家中国公司和三位个人。

就这样,跨国官司的序幕打开。

被状告的四家中国公司主要贩卖Facebook、twitter等国外社交账号。Facebook指控这些企业和个人创建及销售虚假网络账号、点赞和关注者,用于传播虚假消息或其他欺诈行为。从2017年开始,这些公司通过myfacebook.cc和9xiufacebook.com等六个与Facebook有相似域名的网站行销和出售了大量虚假账号。

纠缠数年的噩梦——虚假账户

回过头来看,虚假账户并非新伤,而是Facebook的一个纠缠了数年的噩梦:

2012年9月,Facebook开始严打僵尸粉,删除虚假账号;

2013年3月,Facebook可能有8300万个“僵尸账号”;

2015年3月,Facebook清理僵尸粉导致名人点赞量下降10%;

2018年8月,Facebook删除试图干预美国中期选举的虚假账号;

2018年11月,Facebook公布有害内容清理报告:清理15亿虚假账号;

2019年2月,有报告称:Facebook 20亿月活用户一半都是假账号;

2019年2月,Facebook状告4家中国公司和3位个人推销虚假账号、点赞和用户好友;

……

除了官方公布虚假账号情况之外,早在2014年在YouTube就出现过一个名为《Facebook Fraud》的视频,里面主要介绍一位博主参与Facebook的推广计划之后,出现了粉丝量增加但推文关注、互动情况不变甚至减少的情况,怀疑Facebook用户中存在着大量“机器用户”。

Facebook Fraud

而这次格林斯潘的报告中,指出Facebook的系统性欺诈“不容小觑”。根据Statista的数据,Facebook在2018年的广告收入高达338亿美元。 也就是说,如果说10亿的“虚假账号”数量是真实的,那么就意味着Facebook从广告主那里获得的收益是“不义之财”。

5.jpg

图片来自新浪财经

不仅如此,除了Facebook这次上诉的几家中国企业,全球售卖虚假账号的灰产链条也早就野蛮生长、遍地开花了。

比如美国,类似Devumi、SocialBoss等营销推广网站,内容点赞、涨粉、视频播放刷量都应有尽有,价格多从1到20美元不等,还有一些网站直接售卖相关账号。

6.jpg

而国内相关的灰产就更多了,根据带不带cookie、注册年限、好友多少,账号价格不等。

8.jpg

有意思的是,通过灰产的宣传,发现其实国内外购买这些虚假账号的目的也有些许的差别。美国购买账号的大部分主要用于涨粉、增加点赞量等,而中国购买账号还涉及到不少跨境电商推广等商业目的。

在上述博主的视频中通过统计,发现他的“虚假粉丝”主要来源于发展中国家。Facebook在2017年的观察报告中也指出,大部分虚假帐户来自孟加拉国、印度、埃及和巴基斯坦等国。而这背后也反映出整个虚假账号、虚假流量市场不同地域的犯罪成本差距。与发达国家比较,发展中国家的确存在相关法律不健全、监管不到位、惩戒体系不完善、意识很欠缺等问题,甚至在斯里兰卡、埃及、印尼等地区还存在“机器工厂”,点击1000次只需要1美金。总体来说犯罪成本都远远低于发达国家,所以也就出现下图的情况。

9.jpg

机器之争,如何掌握主动权

而如今困扰各大社交平台的“虚假账号”、“虚假流量”其实在发展初期并没有受到过多的关注与打击,甚至还成为当时用户量、活跃度统计中重要的一部分。遗憾的是,水能载舟亦能覆舟。当初各平台所追求的“数字”如今却成为难以摆脱的梦魇。

当然,从2012年到今天,其实我们也看到了Facebook在面对“虚假账号”、“虚假流量”之下在不断作出努力。甚至还想过请FBI调查…

10.jpg

但是就目前来看还是存在许多问题:

一是误杀较多,影响用户体验;

二是对于异常账户检测技术方面还有许多进步空间。

第一个误杀的情况,由于Facebook的封禁是从设备硬件、账号登录情况、运营内容等多维度进行的。Facebook主管分析的副总裁Alex Schultz之前在采访中透露,平台已经在使用机器学习判定假账号。通常来说,一个被批量制造出来的帐号会在几分钟内被移除。

这样一来,如果出现IP、账号反复登录等异常情况,很可能就会被封禁,误杀率就这样被提高了。

11.jpg

第二点是从2012年到现在,Facebook多次大面积封禁虚假账号,但是这“野草烧不尽”般的势头背后反映出其在防御策略和技术方面还是有很多进步空间。

而目前对于异常账户的检测主要有以下几种方式:

基于行为特征的检测方案;

基于内容的检测方案;

基于图的检测方案;

无监督学习。

目前很多平台主要使用的还是基于内容的检测方案,辅之基于行为特征的检测方案。但是随着AI的不断发展,“机器账号”的伪装能力越来越强,这场机器之战之下,我们必须采用更为精细、科学的处理方式。比如从注册审核环节、使用轨迹等维度建立多维度、多环节、长周期的分析模型,尽力提高对于异常账户的检测精度。

而目前随着图学习、社交网络等研究的不断发展,我们也可以采用基于图的检测方案。这种方式的关键是构造一个图,在图中异常帐号与正常帐号具有不同的结构或者连接方式,然后利用图挖掘的相关算法找到图中具体的异常结构或者异常节点。从一个“异常账号”找到相类似的更多机器账号。

12.jpg

对于异常账户的检测,一直是做安全、做风控的研究重点。随着机器学习的发展,这两年复杂网络、GCN逐渐崛起,新技术的创新将近在咫尺。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

最近天气迟迟不转晴,导致我和被子的感情越来越深,看看上个月的考勤表:上班20天,迟到18天,事假2天

这到底是谁给我的勇气???

就在这时,妮美说要救我于水火之中,给我推荐了一则广告……

远程打卡神器

作为一个每天抵抗“被内外巨大温差”的起床困难户,不停在迟到边缘疯狂试探,看到这则广告仿佛看到了救星…

广告里介绍了一系列超神的牛X功能应用:

虚拟定位考勤打卡

微信实时共享位置

微信朋友圈代购

平台直播改定位吸粉

娱乐游戏改位置

……

3.png

而想要拥有这个神器的不止我一人。首先劳苦的广大上班族对此就有极大的需求量,躺在被窝就能打卡成功,想想都有点激动啊。

4.png

许多面对领导查岗、老婆查岗的人,也似乎非常想要这款产品…

5.png

于是,顺着广告信息,我联系上一位售卖相关产品的客服小王。

据她介绍,这个产品主要分为安卓和iOS两个系统,根据机型不同价格也不等。安卓的价格在60-200元左右,比如小米机型购买相关软件就是88元永久包售后,而苹果相关软件就是489元一年,或者包月买90元一个月。

6.png

下载之后测试了一下,不仅可以修改定位,还可以模拟行为路径。看来这不光能打卡,云健身甚至都行啊!

虚拟定位改机

上能远程定位打卡,下能微信分享位置防查岗,看来这个“虚拟定位”还是很强大的。那背后的技术操作成本高吗?

我们首先看看正常的定位原理是什么样的:

GPS 定位

基站定位

WI-FI定位

通过系统->定位模块->应用->构造数据->发送网络请求确定位置,而黑产实现修改虚拟定位也是在这几个环节篡改上层代码来操作的。

7.png

所谓的“虚拟定位”在安卓系统中主要分为root和未root两种情况,在iOS系统中分为越狱和未越狱。

root和已越狱,相当于已经获取系统最高权限,可以直接修改”系统->定位模块”, 或者”定位模块->应用->构造数据->发送网络请求”环节上的代码。

免root和免越狱都是在未获取最高权限的情况下, 可以修改”定位模块->应用->构造数据->发送网络请求”这个环节上的数据或者代码, 以创造虚假的位置信息被提交。

简单来说,就是无论什么系统、是否root、越狱,都可以通过一定方式拦截GPS定位、WI-FI、基站进行模拟返回,从而达到偷梁换柱的效果。之后类似打卡软件等第三方应用获取的数据就是模拟位置的定位数据。

8.png

那么问题来了,成功修改定位之后,是否就万事大吉了呢?

并不是。如今类似钉钉、企业微信等考勤打卡软件针对虚拟定位等作弊软件作出许多监测、防御手段。

结合人工智能,推出类似“笑脸打卡”等功能;

对于异常软件、账号进行监测,对恶意软件、分身代打卡等行为检测处理;

针对黑产修改定位过程中获取开发者权限,钉钉采取检测“是否打开开发者权限”,此项举措对于市面上70%的虚拟定位软件可以实现防御。

9.png

图片来自知乎

神器背后的黑产营生

个人的远程打卡、躲避查岗、朋友圈装X都只是小打小闹,但是后面黑产也盯上了。

首先就是贩卖相关软件,在微博上、微信上、知乎上、技术论坛上,搜索相关关键词随处可见黑灰产的引流广告。

其次,出现了不少打车软件司机借此刷单的行为。类似“司机助手”之类的软件,完全包含正常打车软件的全部功能,并且完全一致。在此基础上还可以进行“设置虚拟位置”、“接单、拒单”、“乘客筛选”三大功能,并可以详细设置参数,达到改变接单地点、拒绝接单、乘客筛选的目的。

12.png

无论是制作相关软件还是贩卖、传播都已经属于违法行为。就在2019年2月26日,一则关于“团队破解考勤APP加虚拟定位获刑”,一个小的作案团伙半年售出产品就有2646个,一年盈利超过百万。最终以涉嫌“提供侵入、非法控制计算机信息系统程序、工具罪”被逮捕。

13.png

不仅如此,重重暴利背后,还隐藏着不少风险:

工作风险,当你在车上焦急的使用虚拟定位打卡成功时,很可能在后台hr已经穿过屏幕watching you…

影响家庭幸福风险,小心你刚刚给老婆发的公司位置假定位,老婆就通过安装在你车上的定位软件知道你去浪了(微笑脸)。

人设崩塌风险,如果你在朋友圈通过虚拟定位营造出一个每天全球浪的人设,那么打脸的时候可能会很疼…

隐私泄漏风险,无论是修改定位过程中获取开发者权限、还是读取手机信息,都存在巨大隐患。

病毒风险,这些虚拟定位的软件大多是未经应用商店审核的产品,用户下载过程中,通过也不会理会”风险未知“的提醒,一旦出现恶意病毒,就会面临信息、财产安全等更多危险。

….

所以总的来说,我们是非常不推荐开发、使用、传播相关软件的。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

前言

从互联网的诞生,到如今人工智能技术的炙手可热,每一次技术革命都给人来带来极大的便捷。同时,存在这样一群人,他们掌握先进的抟术,并利用技术对企业与个人资产实施入侵与破坏,牟取利益,给社会带来极大的安全隐患。

技术不是恶的本身,我们唯有接近黑产,了解黑产,才能更有针对性的与之抗衡。

《2018交互安全行业研究报告》报告主要聚焦于 OSI 第七层的业务层,极验交互安全实验室通过2018年全年对全国近万个域名、数千亿次的交互数据展开分析,尽可能真实还原2018年国内互联网机器流量状况。

机器流量的定义

Good Bot:通过编程人员的设计脚本自动执行简单且重复的任务,提升工作效率。

包括:

搜索引擎爬虫: Googlebot、 Bingbot、 Baidubot在线爬虫服务自动发现和索引互联网网站的内容,收录到搜索引擎,方便互联网用户更容易找到他们需要的內容。

自动交易程序:股票/数字货币/贵金属等交易平台可以设置自动止损止盈、加仓减仓、定 时委托等业务,完成自动交易。

网站监控软件:实时检测网站、App的可用性、报告页面加载时间和停留时间、改善应用的用户体验、提升业务转化、减少用户流失,很多的应用性能管理(APM)解决方案和大数据分析软件都是如此。

自动订阅机器人:包括订阅的电子期刊、邮件推送、实时新闻、天气信息等。

自动聊天机器人:以主流电商平台为例,提供的机器客服,可以根据实时客户情况完成大量订单、售前售后问题的处理解答。

Bad Bot:坏机器人会为您的网站带来虚假流量,其恶意可能涉及爬取有价值的数据(文章內容、商品价格、评论信息等)、发布垃圾评论和网络钓鱼链接,影响网络分析和搜索引擎优化,导致DDoS攻击等。

恶意机器流量的特点

持续性:

不同于数据泄漏、拖库、勒索病毒这样的偶发性安全事件,恶意的机器流量更多呈现的是持续破坏性。体现在两个方面:

1、利益驱动 以航空公司机票查询接口为例,超过60%的流量都是机器流量,由于行业特殊的价格浮动体系,需要不断的爬取最新价格与航班信息。

2、无人管理 很多爬虫早已处于无人管理的状态,甚至存在近十年之久,早已失去当时爬虫的价值,但是由于无人管理导致对整个互联网的持续资源消耗。

普遍性:

随着越来越多的资产从线下迁移到线上,近几年大数据与人工智能的飞速发展,硬件性能的不断提高,专门做大数据的公司或者公司的大数据部门对输入样本/数据的需求量达到顶峰,只要你的网站存在可以利用资源,几乎都会成为爬取的样本。

行业性:

由于行业性质的不同,其利益产生点也相应不同,所以机器流量的攻击行为也呈现差异化,具体差异性表现为间歇性与持续性的差异;不同场景攻击目的的差异;登录与非登录状态下的差异。

机器流量的分布

行业分布排名Top10:

票务(23.6%)、政府公共服务(15.8%)、电商(12.6%)、内容平台(9.4%)、视频/直播(7.6%)、社交(5.9%)、游戏(5.2%)、OTA(3.8%)、新闻(3.5%)、数字货币(1.8%)、其他(10.8%)

2018 国内机器流量占比 — 票务行业机器

解读:

恶意机器流量在票务中近3/4都在火车票领域,而在火车票中几乎所有的流量都指向了某售票网站及APP,由于特殊的市场性质以及运力不足,导致恶意机器流量呈现罕见的大规模性聚集。

而这一问题,在节假日出行高峰期格外凸显,一票难求冋题依然严峻,由此产生的巨大利益空间,催生恶意机器流量的疯涨。恶意机器流量的逐年增加,将原本就不平等的机器与人“抢票”矛盾进一步激化,导致目前抢票软件的肆虐,普通用户需要支付更高额的成本来换取车票。

航空领域,由于机票其特殊的价格浮动体系,让各大航空公司不得不面对恶意机器爬虫问题,迫使航司需每年向中航信支付大量额外接口查询费用航空公司的恶意占座问题依然严峻,近年来所采用的“超售”、“熔断”、“对于支付订单回仓”等解决方案并未根本解决占座问题。

2018 国内机器流量占比 — 政务公共服务

解读:

近年来越来越多的公司,利用国家公共平台的信息作为其商业化产品的重要数据来源(大数据征信产品,精准营销服务产品,车辆信息查询产品等),辅助以良好的交互体验、产 品包装实现商业化的目的。这样大规模的数据来源需要大量的机器爬虫来提升入库的效率。

目前网络安全法并没有对国家公共信息爬取相关行为做明确的解释或者界定,但是巨大恶意机器流量确实对公共平台的带宽资源造成了极大的消耗,近90%的带宽资源都被恶 意机器流量所占用。

2018 国内机器流量占比 — 电商行业

解读:

非登录态下的爬虫占了整个电商行业近一半的流量,包括动态数据(销量、库存、原价、 现价等)和静态数据(商品信息、评论、点评等),机器流量来源更多的是同类电商平台或者比价平台。

近1/4的恶意机器流量在撞库场景,一旦撞库成功,这些账号则会被分销至洗号产业链 , 根据不同平台的账号细分完成进一步积分消耗,个人信息售卖,电信诈骗,持续其他平台撞库等行为。

其他场景的机器流量则体现为利用优惠券商品代下单,养号,刷单等业务问题。

2018 国内机器流量占比 — 内容平台

解读:

关于内容平台的恶意机器流量主要分为两部分,一是恶意爬虫对优质内容的爬取,二是广 告性质的发帖与评论,作为内容平台,不论是UGC还是PGC产出的优质内容,都是对平台本身用户砧性最基础保障。

2018 国内机器流量占比 — 游戏行业

解读:

2017年上半年,中国以275亿美元的游戏市场收入超过美国和日本,成为全球榜首。高额的攻击利润,让游戏行业成为黑产圈的“风口”。游戏公司因DDoS攻击,而造成经济 损失高达数百万元/天。其中,棋牌类游戏成为DDoS攻击“重灾区”,不少游戏公司因遭到DDoS攻击打击,被迫停止业务运营,频临倒闭。

欺诈作弊主要表现为:批量注册、流量造假、撞库盗号。欺诈作弊问题覆盖超过95%的游戏公司,一方面,游戏公司大量资源被黑产抢占,造成高成本、低转化的运营难题;另一方面,面对竞争,仅刷单欺诈一项,游戏商年损失超412亿。

根据2017年手游质量白皮书显示,近30%外挂手游都存在致命安全问题,即使这样,也未能阻挡外挂市场的空前繁荣,根据《绝地求生》反作弊系统BattlEye的官方数据报告显示,一条由成熟、庞大团队运作,规模达到数千亿美金的庞大游戏外挂黑色产业链已经形成。

2018 国内机器流量占比 — 其他

视频/直播行业

视频网站的恶意机器流量主要存在于刷量与刷榜中。一部网剧动辄几百亿的播放次数让人 畔目结舌的同时,其背后包括了视频制作方、视频出版方、广告主、投资方、平台本身等 复杂的利益关系;至于刷榜就是针对于某些节目或者艺人的变相投票业务,不论是经纪公 司还是粉丝都会与一些第三方刷量团队存在合作。这些恶意的机器流量通常会对视频平台 的用户荐权机制产生影响,因为播放量是其中一个重要的衡量因素。

直播平台恶意机器流量主要体现在虚假观看人数、主播订阅关注量、虚拟道具领取的场景。达到一定知名度的主播的工资体系由固定工资与浮动工资两部分构成,而浮动工资则 是与主播的人气、房间订阅量、礼物桂钩,所以衍生出了许多专门为主榴刷人气的第三方 团伙,也就是恶意流量的来源。这些恶意的机器流量对直播平台造成的危害不仅仅是高出 正常数倍的工资,还有其带来的巨大网络带宽的消耗所产生的CDN费用。

社交

社交领域的恶意机器流量主要集中在恶意注册、垃圾信息以及樟库攻击。

一方面,刷榜刷量的需求下,黑产利用程序,批量注册社交网站及APP马甲账号。并持续养号,用于谋取利益;

另一方面,通过撞库攻击,导致社交平台大量用户信息泄露,危及平台以及用户资产隐私信息安全。

OTA

OTA领域的恶意机器流量主要集中在数据造假与恶意爬虫上。随着互联网流量红利时代的消失,流量的成本也在剧增。而面临个性化市场需求,流量越来越分散,越来越贵。另 外,OTA领域同样也是爬虫重灾区,为维护平台活跃度的需要,针对UGC市场的争夺也早已进入白热化。

数字货币

从2016年开始,以几个主流货币为主的数字货币逐渐步入大众视野,据不完全统计,国内目前有近千家数字货币交易所,上万种数字货币。作为新兴的数字货币市场,大多企业正处在前期依靠大量补贴,简单粗暴的获客阶段。其所面对的主要恶意机器流量,主要为羊毛党。

业务场景分布占比

解读:

业务安全必须立足与业务,场景则是业务最直接的体现。

查询场景占31.4%的恶意机器流量正面说明了目前整个互联网爬虫肆虐的现状,包括国家公共政务平台、医院挂号系统、火车票务网站、演唱会票务网站、机票/酒店价格查询 等众多行业都饱受恶意爬虫的危害,给企业带来巨大不必要的带宽成本;

下单场景则主要集中于电商行业,随着电商行业的GMV不断刷新,以抢购、刷单为目的 黑色产业涟也逐渐走向成熟,在每年“双十一”、”618″、“年货节”等大促时间段内,下单场景的恶意流量都会出现激增;

登录、注册场景是重中之重的账户安全环节,也是所有黑产攻击的入口,随着近几年整个 行业对于账户安全的认知不断提高,大多数企业都在入口做了一定程度安全措施,近两年 占比相对稳中有降。

风险IP追踪分析

黑产团伙的定义

在业务安全的范畴内,黑产团伙特指通过复用相同的资源(IP池、UA池、手机卡、身份信息等)或使用相似的攻击手法在时间维度呈现一定的聚集性对业务方有目的的攻击行为发起方。

当前黑产团伙基础工具:VPS混合拨号、猫池+卡池、群控+云控。以标准版本来说:一套 100台手机的群控系统大概整体需要10w(整体包含服务器、日UB、手机支架、操作系 统、100台2G+16G的三网通手机)一套100台手机云控系统大概整体需要5w(包含8 核16G安卓版本4.4物理机100台以及必要的’P代理、一键新机、日志调试、应用下载 功能)

黑产团伙五大特点

专业化:

黑产团伙技术升级迭代非常快,甚至在相关业务场景已实现Al技术的应用

产业化:

网络黑产已经形成规模巨大、上下供应链成熟的庞大的产业链条,极大降低了犯罪的各环节成本

规模化:

目前我国网络黑产专职从业人员已经超过150万人,年产值达千亿级别

集团化:

黑产团伙具备较高的隐蔽性,从业者会专门注册合法公司,披着科技外衣来获取灰色收入

国际化:

黑产团伙往往跨境作案,并和国内多地维持隐蔽的联络,以此逃避警方打击。近年来,黑 产团伙活跃于泰国、菲律宾、柬埔寨、越南等东南亚国家

黑产团伙五大特点

极验交互安全实验室对国内黑产主要工具进行长期持续的监控,以一款主流黑产工具“火 牛”为例:在12.11-12.21十天的时间内就监测到7个版本的更新,一个月更新了23个 版本,除了修复Bug之外,更多的是攻击策略的不断变化更新。从侧面直接体现出,黑 产团伙与业务方安全团队对抗的不断升级。

整个安全行业攻守双方的不平等性一直存在,而且随着黑灰产业链的不断分工细化、人工 智能技术的普及与应用,对抗的形式在2018年更是愈加激烈。

极验交互安全实验室通过对2018年全年top2O黑产工具全年的跟踪分析、数+家一线互 联网公司风控部门交流,涉及电商、金融、航空、区块链等多个核心行业,2018业务安 全领域“业务规则”平均有效寿命不到100个小时,其中1月、6月、10月、11月、12 月几个业务高发期寿命甚至低于48小时。

多企业遭遇同一团伙攻击

专业的黑产团伙由于其前期软硬件投入成本、对甲方业务规则分析成本、账号可能被封禁的时间成本存在,往往都会同时在相同行业或者相同业务类型的多家业务方作案,有些团伙甚至有跨行业跨业务的作案行为。极验交互安全实验室通过近半年对数万家企业用户的 持续监控和对长链条时间跨度的聚类分析,抽取典型的10个的团伙覆盖企业数统计如下:

总结

随着互联网的快速发展,企业资产不断向网络倾斜。在暴利驱动下,网络黑产的市场规 模、技术创新以及破坏性,已到达互联网有史以来的巅峰。在我们享受科学技术带来的便利的同时,黑产已从往曰混迹于暗网黑市的小团伙,发展成如今登堂入室的新势力。

作为黑产攻击的主力军,恶意机器流量已经渗透至各行业的核心场景,并将随着人工智能技术的发展,对企业相对传统的业务安全防御体系造成近乎碾压之势。

同时黑产团伙由互联网初期的工作室、个体发展成为当前组织庞大的黑产集团。他们在财力、人力、技术等核心资源上,已经得到空前发展。从互联网初期小规模的礴羊毛行为, 到如今高频次、大规模的企业攻击行为,黑产团伙对抗已经成为全球企业发展无法回避的课题。

与之对应,越来越多的企业以及个人逐渐意识到黑产团伙对于资产与敏感信息的巨大破坏性。未来的业务安全,一定是交互场景与安全的紧密结合。随着人工智能技术在安全领域的应用与创新,企业与黑产之间的博弈将更加复杂多变。未来企业网络安全攻防,也将更具挑战。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

情人节那天,刚读小学六年级却早已情窦初开的表弟,为了给他倾慕已久的女神送礼物,决定变卖自己的微信号。 

可他万万没想到的是,给了账号密码后,钱还没收到,对方光速翻脸,把他微信给删了。

1.jpeg

大概,骗子也看不惯这些过初十的人吧。。。

身为一个合格女神舔狗,他没有轻言放弃,在被骗后花一晚上时间,查阅、专研了各种防骗教程和攻略。然后找了一个专业做微信号买卖的平台,把我姨的账号拿去给卖了!!! 

2.jpg

虽然,最终换了200块钱,但也被我姨暴打一顿。表弟,卒于2019年2月14日…..

3.png

本以为只有我表弟这种小学生,才会去干这种卖账号换钱的傻事,可在网上一搜索,发现这样的人还不少。

甚至,有些账号的微信好友都没删。。。

4.jpeg

一、微信号能拿去买卖吗? 

网络时代,我们有太多的网络资产,不少网友开始操心自己的网络资产在百年之后该怎么办?

5.png

对妮美在内的很多80后、90后而言,中小学时都非常看重自己QQ号等级。常幻想“等自己老了,就把自己积累的满是太阳的高等级QQ,遗传给自己的孩子”。

现在我辈早已从QQ转战微信,那么微信账号可以转让、继承吗?

1.你的微信并不属于你自己

如果你打开微信的条款协议,仔细查看,你就会发现,你的微信账号其实并不属于你自己。它提到,个人完成注册后,仅获得微信的使用权,并没有获得所有权,也因此,不得赠与、借用、租出、转让或售卖微信号。

6.jpeg

所以,你的微信号根本不属于你自己呀!惊不惊喜?意不意外?

不仅是微信,包括上述提到的微博、QQ以及支付宝等账号都不属于你自己!!!

2.倒卖微信号是违法的

在百度搜索“买卖微信账号”,可以发现许多专业从事卖微信号的网站,加微信就能购买,全程下来没有任何门槛。

WechatIMG1855.jpeg

我这边也轻松加了一个昵称为“夜的凄美”的从业人员微信,她那边一个号报价350。值得注意的是,她全程语音沟通,应该是怕关键词被识别出来,被封号。

7.jpeg而且尽管他们网站、产品看上去一应俱全,一副正规生意的模样,但法律条文却明确的指出,他们正在从事违法行为。

8.png

不管你是买还是卖,还是倒卖中介,只要参与到这里面,都已涉嫌违法。倘若你继续去追问,这些微信账号拿去干什么?会发现这后面牵连着更多的骗局。

二、回收微信账号的去处

黑产不是傻子,以这么高的价格收集来这些账号,自然是因为其创造的价值远高于此。目前来说,这些账号主要有这些用途:

1.站街

9.jpeg

很多出租、回收的账号都是用来“招嫖”,不管你男女,直接换成空姐、护士、学生、少妇装扮的性感照片头像。在各地“附近的人”上发布虚假色情信息。

10.jpeg

有网友就曾经历过,他表示租了一次微信号之后,第二天还有人加他的号,说“今天做不做,这次给200”。

还有些人利用微信售卖色情视频、侵权电影、黄色小说,为了规避风险,也经常购买大量微信号用来更换。

2.微信群赌博

 微信赌博是上新闻频率较高的安全事件了!比如微信红包踩雷,庄家为了保证群的活跃度和人气,他们往往会花钱买大量小号。

群内随便一个下注都是两三百,庄家也因此得以快速挣钱,一天甚至能入好几万。自然,这几百块的买微信小号钱,不值一提。

11.jpeg

此外,每一个账号每日红包支出或收入都会受腾讯监管,如果表现异常,微信很容易被封号,因此,庄家也需要多买些微信号来收钱。

12.jpeg

还有常见的交友骗局、买茶叶骗局、炒股骗局等等,涉及的案件不计其数,受骗者更是多如牛毛。

三、绕不开的侥幸心理

不知道风险,才为了一点钱把自己账号卖掉,这并不是事实的全部。真实情况是,很多人明知道这会被用来行骗,却还是卖掉自己的账号。木已成舟,多一个少一个都没差,他们认为,我只是提供了一个账号。 

所以,尽管微信官方一再提高监管力度,警方也在一直打击,但这些微信骗局却依然野火烧不尽。因为,它具有某种来自其植根土壤的顽固生命力,参与者的侥幸和贪婪。

始终有足够多的人们贪婪并愚蠢如是,哪怕行为违法,但还是妄图依靠投机取巧捞得一桶金。

“凝视深渊者,深渊将回以凝视”,在接触黑产时,你以为你能赚点小钱,却大有可能是“螳螂捕蝉、黄雀在后”,被其它人骗,甚至被逮捕,到最后到底是谁被套路呢?

最后,给大家分享一个“当卖茶叶遇到贪玩蓝月” 视频:

来围观下两大高手如何过招。也提醒一下各位家长,请务必要管好自己的孩子,可别再瞎跑出来卖微信号了!

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

中国第一部“硬核科幻大片”——《流浪地球》上映不到半个月,票房已经超过26亿元,吴京也成为国内第一个票房超过100亿的男主演。但是近几天,伴随高票房而来的,还有盗版片源、豆瓣评分争议等多起相关事件…….

一、“繁荣”的电影市场背后是什么?

近年来,随着电影市场的不断发展。根据《2018年中国电影市场城市热度趋势报告》,我国2018年全年票房突破600亿元大关,平均单片票房1.21亿元。如此广阔的市场下,国产电影总票房为378.97亿元,同比增长25.89%,市场占比为62.15%,比去年提高了8.31个百分点,市场主体地位十分明显。

不仅在数据方面呈现良好增长态势,从大型三维动画冒险片《大圣归来》到今天的国内第一部“硬核科幻片”《流浪地球》,在电影的题材内容上大家一直尝试突破。除此之外,小成本制作大爆的电影也不断出现,许多新鲜的血液为这个电影市场带来了更多的可能性。

但是在这样的“繁荣”背后,也出现了不少负面事件。

2016年3月,《叶问3》被证实票房造假,管理部门对该片发行方和部分影院进行了处罚和严重警告;

2018年4月,《后来的我们》出现大规模退票,票房造假引起大家热议;

2018年8月,电影《欧洲攻略》发现有大批水军在上映日刚过零点就给出大量一星差评,令口碑和票房都受到了不小伤害;

2019年2月,微信春节严查《流浪地球》等院线电影盗版,近130个侵权公众号被罚;

……

2.png

从票房注水到盗版横行,如今中国电影市场的尴尬境地在于烂片电影借用大量的数据造假、票房注水荣登前列;而那些费尽心力冲破资金、拍摄困难的优质电影却输在了这流量时代,被大量的恶意差评、盗版行为所困。

二、困境之下,是谁在和稀泥?

趋利而来,黑产不会缺席。

1. 盗版横行

这次《流浪地球》票房喜人,上映4天突破11亿。但是出品方坦言并没有时间庆祝,而是在“忙着防盗版”。因为同样在上映第四天,网络上出现了不少相关盗版资源信息。

3.png

价格甚至低至1.5元

出现在市面上的“高清资源”只是暂时露出的冰山一角,从获取片源、加工转制到代理转卖,这条“盗版黑产链条”早已以野蛮生长的姿态建立起来了。

目前的电影片源流出,主要是三种方式。第一种是在电影的原版资源因管理不当出现外泄;第二种是根据国内外上映时间差,获取片源;第三种是有人在电影院通过违规录制、加工之后传播售卖,也就是我们常说的“枪版”。

获取片源之后,黑产通过多种渠道对其进行转卖。他们无孔不入,从视频网站、博客论坛到社交、电商渠道无一幸免,有时候甚至评论区也沦为黑产揽客的“免费摊位”。

4.png

而倒卖的背后往往还有一个分级代理售卖体系。正在做电影资源生意的小王,当初一次性缴纳188元代理费用,被拉进了一个“资源分享群”。群主不仅每天不定期分享最新上映电影的资源,还会教授如何寻找片源、线上推广、发展下级代理以及招揽顾客。

而发展下线也需要给群主缴纳10-30元不等的红包。除此之外,代理机制下还配合一系列的推广工具,他们借助公众号等其他媒介进行扩散。许多关于电影分享、电视剧资源售卖的公众号层出不穷。

6.png

在这样的倒卖机制下,黑产有组织有预谋的进行分工,从多渠道寻找片源、到录制“枪版”视频、对片源进行压制、转制,最后将资源倒入代理体制,向市场扩散。而不仅黑产,很多所谓的“网赚”项目也参与其中,原本清清白白的“散户”最终也变成黑产产业链上的帮凶。

而盗版产业链还会带来一系列隐患,原本说好的“最新电影资源”,付钱下载之后很可能只是不相关的宣传视频,或者骗取流量的钓鱼链接。在没有官方认证审核的情况下,随便下载还会带来信息泄露、病毒等风险。

2. 水军

对比四处流窜的盗版,水军组织更像是一群群躲在暗处、来势汹汹的“暗夜人”。我们无法提前预估其行动计划,更难以批量对其进行集中反击。而在黑产组织下,水军承包的业务十分灵活,在利益驱使下,他们有时变身热心网友鼓励影视作品发展,有时化身键盘侠毫不负责的带来恶意评价。

这次《流浪地球》出现大批量修改豆瓣评分,原本打五星获取高赞的点评之后大批量修改成为一星,而钻了平台漏洞高赞并不会因此取消,给电影出品方带来了很大困扰。

而在背后,出现不少黑产“招兵买马”的信息。

7.jpg

在这些水军的操纵下,“全球人口不足一部剧点击量”频频出现。

从宣传期开始,微博、论坛、贴吧、博客、人人网等平台纷纷沦陷,水军借助人海战术,短时间内做到大量发帖、顶帖、转发、点赞,再加上黑产群控技术,操纵舆论导向不是难事。不仅如此,还有不少电影出品方借助水军宣传电影最终也是得不偿失。

8.png

3. 虚假票房

针对当下电影市场的困局,还有一点不得不提,就是大规模的票房注水。

从2011年电影《阿童木》注水,到后来《叶问3》票房注水被警告,这场关于虚假票房的博弈逐渐走入大众眼前。去年,《后来的我们》上映首日晚即排查出疑似被恶意刷票,退票数量约38万张,涉及票房约1300万,占影片当日总票房2.8亿的4.6%。而被恶意刷票的订单集中在19.9元等特惠票。通过先买票刷数据,后期退票来实现虚假票房,这场闹剧引起了行业震动。

9.png

票房注水中不少黑产继续充当水军角色,配合构建高票房假象,严重影响电影市场的正常秩序。2016年3月,广电总局电影局查出《叶问3》存在大量虚假票房,公布《叶问3》由于虚假排场和自购票房共产生的8800万假票房作废,配合造假的70多家影院和3家电商被警告、影片发行公司停业整顿。

三、畸形市场到底如何形成的?

回过头来,我们仔细思考眼下的发展困境到底问题出在了哪里?这个市场正在上演着“劣币驱逐良币”的悲剧。

当下流量为王,出品方想要的是高票房和高收益,有时不在乎电影作品本身是否“叫好”,只要“叫座”即可。而围绕这个目标,宣传方和制作方很容易数据造假,营造“高质高流量”的假象,既影响大众的判断选择,也对未来的电影发展产生误导。

长此以往,拍出烂片的导演责怪观众审美不足,“是你们喜欢看烂片呀”,不得不拍出所谓的“商业片”。这不仅发生在原本就拍不出好电影的导演和出品人身上,甚至以前拍出“神作”的导演们似乎也纷纷走下了神坛。我们不禁产生迷思:烂片越来越多是否真的是观众审美的锅?

并不是。是商业和艺术之间的平衡出了问题。

曾经拍出《红高粱》、《大红灯笼高高挂》等佳作的张艺谋,谁会想到后来耗费上亿巨制的《满城尽带黄金甲》却彻底扑街,面对满屏的露骨造型,老爷子自己也坦言:这的确是为了商业。

10.png

所以在数据影响利益,利益影响艺术的当下,我们看到越来越多的烂片,本质上是整个大环境已经有问题了。

11.png

我们往往忽略了电影并不只承载商业价值,其艺术价值也不能放弃。如果是其他商品,在经济规律的自然选择下,市场会代替我们作出最优的选择。但是电影、电视剧、音乐、书籍等并非如此。所有的票房、播放量、评分只是参考指标,其肩负的艺术价值,从一开始拍摄到制作就需要从业者坚定内心,铭记于心。在发挥最大艺术价值之前我们或许暂时看不到经济收益,但相信大众,最终时间会给出答案。

过度追求流量带来的惨剧,我们见的并不少。比如过年前一支《哈是佩奇》的宣传片席卷全网,其饱含的情怀引发了无数人的共鸣。难以相信的是同一个导演笔下,《小猪佩奇过大年》却并非诚意之作,评分仅为4.1,即便宣传再足,没有付出真心的作品,也得不到观众认可。

四、困境或许意味着转机

当然,困境之谷通常也蕴藏着无限可能。如今的电影市场,体制在不断完善,比如这次《流浪地球》电影盗版的问题,其实国家版权局在事前事后都给予了高度关注和帮助。

如今对于盗版电影的追踪技术也不断发展,我们在电影院看到的电影都是添加了多层水印的,这个就相当于服务器投影仪随身携带了数字身份证。一旦出现盗版就可以顺着数字标记对其追踪,将追踪时间从过去的几天缩短到了几个小时,甚至一个小时就可以完成追踪,为电影出品方减少损失。而面对票房注水、数据造假等情况,多方也同样在不断努力。

更为可喜的是,许多优质的小制作电影也拥有了更多展露机会。我们期待着法律和监管的不断完善,我们更永怀希冀电影等艺术市场更加清澈公平。但前提是,平台方和从业者坚定原则,抵制一切造假行为,抵制烂片,从你我做起。

参考来源:

1.《网友举报闲鱼现《流浪地球》盗版 国家版权局回应》——观察者网:http://ent.sina.com.cn/m/c/2019-02-11/doc-ihqfskcp4162667.shtml

2.《电影质检所副所长龚波:2012年至今300多部院线电影遭盗版》——搜狐:http://www4.freep.cn/a-a-250162513_114941.xml

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

院校政府网站一直是黑产眼中的金矿,但作为高校教务系统重要一环,选课系统却鲜有黑产惦记。这背后到底有哪些鲜为人知的故事呢?

我们有幸邀请到曾在某985教务处任职的A君,以及大学生代表B妹,围绕最近微博热议的高校选课系统,聊聊事件背后一些有趣的故事。1.png微博某大V在上周发布了一篇有关高校选课的内容,一经发出引发各大各校应届与往届学生群体热议。大家声泪俱下,纷纷吐槽母校奇葩的选课网站以及APP。为此,Magiccc还专门针对各大高校选课网站以及APP做了简单的评测,并整理了个榜单。这里就不细表,大家感兴趣的可以回复“榜单”获取,看看自己的母校是否在列。

一、当前各大高校的选课系统是否存在选课难问题? 

极验Magiccc:这次微博热议的选课系统,是真的存在选课难,难到黑灰产都放弃的程度?2.jpg3.jpg4.jpgA君:首先要说明,网上不少图都是P的,比如2013年人人网传疯了的复旦选课系统的验证码,后来果壳上有复旦的校友澄清了。不过,现在大部分学校选课系统的确存在一定压力。   

二、为什么会出现选课难问题?

极验Magiccc:作为校方以及学生代表,选课难的问题到底出在哪?

B妹:微博上不少同学反馈,出现选课难的主要原因,还是出在学校服务器以及验证码上。

比如:选课系统登了好半天,就是进不去好不容易网页显示了,验证码又不显示验证码刷出来后,复杂得怀疑人生,感觉自己不是文盲就是瞎最后终于挤进去了,喔嚯!课都被选满了总结下来就是,老旧的服务器,以及五花八门的验证码严重影响了我们的选课效率。5.jpg6.jpgA君:这个问题不能简单的归咎在选课系统,或者是校方服务器以及验证码。就拿13年那会在教务处任职的经历来说,虽然5年期间学校教务系统不会有太大调整,但是考虑到最近几年政府以及高校都在加大内部网站以及APP的建设以及投入,以下内容仅供探讨与交流.

主观原因:第一,先从学校的组织结构说起:国内大多数高校官网运营管理都会放到行政系统里的教务处底下,或者是后勤。在外界看来,校园网络就是一个简单的web发布平台。但由于高校的特殊性,各部门下面的二级站点数量繁多,其实对于网站的搭建以及后台要求是非常高的,这还不包括整个网站安全管理工作。

7.jpg

某高校网络拓扑图所以,国内985大多都有独立的部门管理这块的工作。其中,兰大早在二十年前就成立了网络中心,其网络安全与信息化办公室更是全国高校的标杆。

而与之形成对比的是,国内不少高校网络中心就是几个计算机学院的退休职工轮班,有的甚至压根就没网络中心,找个行政小姑娘兼着代管。往往这样的高校机房里,负责调控的终端的电脑可能都还是二十年前的古董机。平时可能也就打打斗地主,连连看什么的,消磨时间。这样子的教务系统人员结构,平常维护不出问题已经谢天谢地了。

8.png

兰州大学网络安全与信息化办公室

第二,服务器以及验证码问题,这个是目前关注度非常高的问题。

在说这个问题之前,先要跟大家说明两个问题:1)跟某网上订票平台一样,平时学校的服务器压力并没有那么大。开学以及期末期间,抢课算是教务系统压力最大的时候,但是大多数高校基于成本考虑,并没有按照峰值设计系统。就像没必要为了保证春运的流畅,而大修铁路、公路,购买大量列车客车,平时晾着不跑,光保养都是一笔不小的开支;

2)2011年6月,凤凰网曾经发不过一篇题为《盘点中国大陆欠债最多的十所大学》的文章,里面不少985、211。高校的债务多数是盲目扩张,为了政绩进行基础建设累计,从而到达评级标准(例如985,211或者专升本,三本升二本之类)。学校的主要收入来自各级财政拨款,所以大学跟政府一样,都是预算会计制度,每年结清利息就完事了,债务最后其实都是政府买单。

所以,虽然跟基建支出相比,服务器的钱都是小钱,但是放到教务处或者后勤办公室,一般都很难拿到这笔钱。所以每年系统挂了后,遇到临时情况,教务处也只能是一筹莫展。 9.jpg再来说验证码,就像微博上传的,不少学生上淘宝或者其他渠道找人代刷课,甚至有的学生,专门写脚本刷选课。服务器的压力超过大半来自这些机器代刷的量,这种大量并发用户请求、大数据量发送情况造成的高负载,基于前面提到的原因,不可能指望学校在短时间内处理。10.png 11.png12.png

川农大学生微博直接向校长投诉刷课外挂那么,学校为了保证公平,最简单有效的方案就是在教务系统部署验证码。除登录场景外,在点击选课之后,同样需要输入验证码。整体思路,跟某网上订票平台对抗黄牛与外挂抢火车票是一个逻辑。13.png14.jpg中传发现,验证码并没有解决问题,无奈之下,中传教务处找到外援清华大学信息化技术中心。

客观原因:

第一,教务管理系统

全国各大高校的教务系统也不尽相同。不过较为普及的还是正X公司教务管理系统,目前全国接近1300多所高校都用的是他们家提供的教务系统。毕竟服务的都是全国985、211的院校代表,不会出现太大问题。但就说一点吧,很多同学反映的验证码显示“X”,这个就跟网站的验证码采用FLASH形式显示有关,没安装Adobe Flash Player ActiveX插件,你能刷出验证码才怪。15.jpg另外,IE7在很多情况下并不会提醒用户安装 Flash ActiveX控件,所以很长一段时间,大家只能望着选课系统怀疑人生。

第二,课程及时间安排

之所以造成扎堆选课,甚至外挂刷选课现象,其实还是稀缺资源造成。这种“供不应求”表现为两个极端:一方面,专业关联优先与兴趣优先,让一些课成为热门,比如,大学英语;另一方面,只交论文不考试、老师从不点名的课等比较好过的课被疯抢,资源极为稀缺。

比如,体育课、游泳课。甚至在某些高校,出现私下换课,出钱“买”课现象。热门课程的价格在50—100元不等,有的甚至高达两三百。

第三,面对选课难,校方与学生如何应对?

极验Magiccc:选课难问题并不是一个新鲜的事,在当前情况下,学校与学生之间,是怎么处理这个问题的呢?

B妹:有钱的找淘宝,没钱的找闹钟,佛系的随缘:-考虑到选错课可能会增加低分风险,而直接导致GPA下降,奖学金说没就没。淘宝找人代刷选课,但现在的问题是,万能的淘宝也只能刷部门学校的选课系统。

所以面对进不去的教务系统,大家也很无奈;-还有就像我这样的穷狗,只能早早的爬起来,去学校的网吧,或者图书馆。就是早那么几分钟,让我顺利过关;-最后就是像我一个师姐,不争不抢,就捡被人剩下的,也没啥。

16.jpg当然还有保底方案,我就听说,有些学校只要专业分够了,还可以花钱买学分。所以,只要不是太渣,都能混个毕业。

A君:据我所知,目前各大高校都非常重视校园网络,并在逐年加大资金投入。比如:-条件好一些的学校,会选择重新构建高校选课系统,配备多台服务器部署选课系统,以应对选课高峰期的大规模并发访问。甚至开始排查代码质量以及架构问题;

另外一部分高校,在时间安排上做文章,错开选课时间也能实现分流,减轻压力。或者,在不影响课程质量的前提下,针对热门课程进行扩编,以保证学生能够有课可选。然后,针对恶意刷选课的现象,将目前的图片验证码更换成体验更佳的行为式验证码。就我所知道的,中山大学教务系统现在所使用的验证码就是极验的行为式验证码了。这样一来,有效的帮助学校解决了选课不平衡及部分学生无课可选的尴尬现状。

17.jpg

中山大学教务系统与极验“行为验证”

可以发现,选课系统这个老大难问题始终是各大高校绕不过的坎,而这还只是校园网络里面一个很小的环节。关于网站&APP的网络安全,运营管理等诸多问题这次并没有被提及,例如:近些年频发的高校以及政府网站被劫持,跳转网络博彩、色情站点现象,都暴露出政府事业单位在网络安全建设上都存在不少的问题。 

希望如A君所说,政府事业单位重视网站以及APP的安全以及运营管理工作,为大家提供一个更加安全,更加便捷,更具智慧的互联网环境。再次感谢A君与B妹作为第一期《极匠三人行》的分享嘉宾,我们下一期再见。最后送上彩蛋,大家回复公众号“榜单”,获取本次高校选课系统评测结果(本次榜单,趣味交流为主,无意冒犯各大高校)。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

赌博,来自地狱,毁灭人间幸福的魔鬼。无数人因沉溺其中,被深渊吞噬。

前中国蹦床世界冠军杨松,因为沉迷网络赌博,为了偿还巨额赌资进行诈骗,最终判刑十年。万丈光芒与万丈深渊之间,一步之遥。

近年来,为了打击网络赌博,国家各方机构也都在努力。但是,网络赌博这个黑色产业却仍然月入上千亿,这么大规模的资金究竟是如何“名正言顺”的进入赌博幕后操纵者的口袋的呢?

各方机构全面出击

2018国家开展“净网2018”专项行动,12部门联合发布公告禁止互联网售彩票,对于网络赌博案件进行强力打击。

640.png

2018年10月23日,支付宝发布“对网络赌博零容忍”的公告,并表示早在2015年就成立了跨部门的专业打击团队。

640.jpeg

并且严格掌控不为任何涉赌账户提供支付的服务。

640-1.jpeg

同样,微信以及微信支付也加入打击网络赌博的队伍中。在世界杯期间对于网络赌博处理超过50000个账号、8000个群。

640-2.jpeg

在这样的重拳打击之下,加上各个金融平台的监测管理,网络赌博想在朗朗乾坤之下进行资金运作似乎是非常困难,于是催生出“第四方支付”产业进行赌资乾坤大挪移。

第四方支付平台

前几天,深圳网警爆出一起资金超过34亿的网络赌博案件,并从中发现一条极为隐蔽的,且操盘复杂的“第四方支付”产业链。

640-3.jpeg

1.41家空壳公司

据警方披露,第四方支付平台的幕后是一家名为友汇创联(深圳)文化传播有限公司。

640-4.jpeg

这家友汇创联(深圳)文化传播有限公司的主要的控股人有四人,包括吴某、许某、刘某以及唐某。而这四人手下,又分别掌控着许多其他公司,大大小小有41家公司。

640-5.jpeg

图片来自企查查

2.注册资金少

通过公开的数据查询,我们发现这些公司的注册资本不高,多在50-100万之间,而这是空壳公司的一个较为典型的特征。

640-6.jpeg640-7.jpeg

图片来自南方日报

3.营业信息无

从市场上的营业信息来看,这几家公司从注册以来,从未公布任何营业活动。

640-8.jpeg

图片来自企查查

4.网络举报信息

而仔细查看其舆情信息,大部分是和犯罪信息结合的消极动态。甚至还有不少用户举报信息,而这些背后都指向网络赌博等违法活动。

640-9.jpeg

图片来自聚投诉

注册资本低,营业活动信息少,并且还充斥着大量的违法举报信息。足以洞见这些都是被黑产利用的空壳公司。

大规模金融账户

除了掌握大量空壳公司,这家传播公司还手握大规模的金融账户,其中包括410个支付宝账户和17个员工个人账户。

从媒体披露的信息来看,该企业主要是通过购买大量手机、身份信息来注册金融账户。这些金融账户的信息是通过网络渠道购买来的真实信息,所以单从注册信息上,根本无从判断这些账户的异常。

640-10.jpeg

图片来自南方+

有了空壳公司和大规模金融账户以及少量的个人账户之后,这一条狸猫换太子的资金转移之路也就建成了。

资金大挪移

所谓“第四方支付”,和我们常见的“第三方支付”相对,主要是指不具备支付牌照,而是通过聚合多种第三方支付平台、合作银行及其他服务商接口等支付工具的综合支付服务。

就像一个中介一样,帮助网络赌博公司把用户通过支付宝、微信支付等支付的资金收集起来。他是怎么躲避监管的呢?

首先用户将钱转到这些“干净”的支付宝账户中,然后钱再从这些支付宝账户转移到个人银行账户中,因为资金规模巨大,需要多个账户分散转移。最终钱通过空壳公司的运作再转移到网络赌博的幕后人手中。

640-11.jpeg

这种第四方支付不进行资金清算,而是把多种支付方式聚合起来,形成支付通道。如果说第三方支付提供的是资金清算通道,那第四方支付提供的就是支付基础之上的多种衍生服务。而它最最最大的优势就是暂时不需要任何支付牌照,甚至个人也可以组建运营。

也就是钻了这个漏洞,仅通过几万元购买了一个第四方支付软件的源代码和一些空壳公司,金融账户,友汇创联(深圳)文化传播有限公司便经营起了这么庞大的一个第四方支付平台。帮助赌博公司疯狂敛财。

640-12.jpeg

赌资转移模式

这整个资金转移路径非常隐蔽,赌博网站的经营者所控制的资金账户并不会和网站会员充值的赌资发生直接关系,这就让正规的第三方支付渠道难于发现赌博踪迹。网站赌资首先被打入网站预留的银行卡账户或者国内代理人的支付账户,然后第四方支付平台和国内代理再以不同的资金额度分批次转移到其他多个账户,之后通过层层流传就如其提前注册好的一大批空壳公司中,最终流向网站经营者的境外账户。

这样一来,即便一个月上亿的流水分散到多个账户多个公司也就变成百万左右的资金流,大大降低了监测风险。

高额的回报

警方披露,友汇创联(深圳)文化传播有限公司分设有商务部、技术部、运营部、行政财务部,组织架构健全,客户众多。

商务部负责网上寻找博彩、涉黄等相关黑产客户;技术部负责提供客户支付通道的上下线及支付环节的各种技术问题;运营部还会收集客户的问题并做进一步的优化方案;行政财务部进行结算资金。

同时,我们还发现,该公司还以较为优厚的待遇招聘技术架构师、跨境支付经理等方面的人才。

640-13.jpeg

图片来自企查查

该公司架构如此健全,运营也良好,并且员工待遇优厚,可见他们的收益非常好。

这些第四方支付平台按5%-7%左右的比例收取。而目前正常的支付宝和微信针对不同行业的手续费费率通常为结算金额的0.1%-1%,其中大多数为0.60%。传统POS机刷卡的手续费率通常在1%至3%之间。

这中间的差距有多大,我们随意感受一下……

640-14.jpeg

而且,他们永远不愁没有客户,需要他们的黑产太多了。

640-7.jpeg

如此暴利,门槛又如此之低,难怪迅速就发展起来一条完备的黑产链条。

解决方案

而这带来的也远不止我们所看到的犯罪团伙转移资金,还有的是因为缺乏监管,用户在支付环节存在财产风险、信息泄露甚至病毒等危害。其实第四方支付到目前为止,还是有很多正规平台在从事正常运营活动。但是由于其发展并不完善,进入和运营门槛都相对较低,而相关法制也不完善,才导致部分平台所用。

无论是面对网络赌博还是违规操作的支付平台,目前国家和相关企业都在积极合作,严厉打击。但是在这条产业链上,黑产们披着黑色幕布而行,掩盖在多个零散的账户和公司下,想要精准打击并非易事。但是事在人为,从安全角度出发,以下两个方面或许我们还可以付出更多努力:

异常账户监测

这次的赌博案件中有一个值得注意的点是其中资金链出现异常的地方和支付宝平台举报的异常账户线索吻合,为警方快速破案提供了很大帮助。从这个角度来说,由于第四方支付最主要的手段还是聚合各大支付渠道,最终资金转移还是会通过银行卡、支付宝等其他渠道。所以对于异常账户的监测还是十分必要的。

640-16.jpeg

对于交易账户的IP、设备、指纹甚至人脸识别等信息进行实时监测,以多维度综合判别是否异常;

对于较为频繁非正常交易,金额和账户存在问题的及时给出处理方案;

加强和政府部门的合作,建立较为顺畅的举报渠道。

对于空壳公司的监管

从注册阶段的信息审核、到运营的年度检查,空壳公司尤其突出的特征,结合国家的一系列“净网行动”对其作出严厉打击,力图将这条产业链扼杀在摇篮里!

参考来源

《「网警在行动」第四方支付平台3个月流入34亿元,深圳警方抓捕36人》——深圳网警

https://mp.weixin.qq.com/s/Zsi4823mJfp73ObxkvyEXA

《“净网安网2018”专项行动破案5000余起抓获2.1万余名嫌疑人》——新疆网警巡查执法

https://baijiahao.baidu.com/s?id=1622353140836455302&wfr=spider&for=pc

《42亿!一则广告牵出一起跨境网络开设赌场案》——湖北网警巡查执法

https://baijiahao.baidu.com/s?id=1606024317308025550&wfr=spider&for=pc

《“第四方支付”走账27亿被抓 3万元买源码起家最高一天挣20万元》——江苏法制报

http://ifinance.ifeng.com/16043764/news.shtml?srctag=pc2m&back=

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM