“发卡平台”是互联网黑灰产业链交易中一个比较大型的组成部分,但大众对其的了解并不深入。在本篇研究报告中,威胁猎人会从互联网黑灰产发展,特别是产业链节点之间协作效率提升角度来系统梳理其意义,并通过数据来让大众更直观的了解这个产业链的情况。
一、发卡平台如何支撑互联网黑灰产的规模化
互联网黑灰产业链的交易环节是由一个分层的交易环境构成,除了我们熟悉的暗网之外,交易量更大且交易内容更丰富的就要提到国内已经非常繁荣的“发卡平台灰色生态”,发卡平台灰色产业链支撑了国内黑灰产的规模化和效率提升。
什么是发卡平台?
发卡平台的本质是互联网黑灰色产业链发展到一定阶段后,对产业链自身效率提升的刚需引导出的产物。早期基于信任的个体交易早已不能满足快速发展的黑灰产的需求,发卡平台的出现,极大地提升了黑灰产交易双方的协作效率。
发卡平台的兴起——法律监管缺位
互联网犯罪的特征与传统刑事案件有一个重要的区别就是作案链条要长很多,且难追踪。这导致在网络犯罪的追责上很难追到上游犯罪链条,且法律依据也并不明确导致案件落地难度也更大,这种情况下往往最终抓捕的只是整条产业链的最后的几个节点,而上游的产业链节点处于相对安全的情况。也还因为发卡平台交易的内容与犯罪场景存在距离,让其规避法律风险的空间很大。比如交易内容为某某帐号,其可用做诈骗场景,但上游的供号商可以完全以自己不知情规避法律风险。
这种法律依据的不明确及其导致的上游犯罪节点抓捕难,是当前发卡平台盛行的关键原因。
发卡平台解决的核心问题
与正常的淘宝网中卖家一样,发卡平台能解决两个核心问题:
3.1互联网黑灰产上下游分工协作的效率问题
互联网黑灰产业链与传统犯罪一个比较大的区别,是网络黑灰产的分工会更加精细,一条产业链会包含多个团伙的分工协作,这就对黑灰产人员的协作效率带来了要求。互联网黑灰产想要获得更大的利益,需要通过规模化完成,也就对黑灰产整体之间的协作效率产生了刚性的需求。
比如说一个网络诈骗的场景下,往往是由“卡商”提供手机号给“养号方”,再由“养号方”进行账号恶意注册,在供养一段号码之后再销往要在业务上做诈骗的最终“诈骗团伙”,整个链条当中还包括中间各种“自动化工具的提供方”。这就像一个流水线的车间,很多时候参与到产业链的人也不知道最终的使用场景是什么。
3.2互信问题
整个互联网黑灰产早期的发展从一个小群体开始起步,早期的基于关系的信任网络让起步阶段的信任问题并没有出现严重的障碍,但发展到当前,黑灰产业链在全国已经有超过150万人直接参与。已经从一个“村子”发展成为了一个“大都市”,在这样的一个“大都市”的环境下已经不能基于简单信任网络来驱动交易。而黑吃黑和职业骗子也在黑灰产业链中盛行,更是让整个“大都市”的信任基础崩塌。
发卡平台的出现在一定程度上缓解这种信任问题。发卡平台的自动化交易其实从本质上也并不能完全解决信任问题,但通过发卡平台把交易流程结构化之后,可以让欺诈的成本变高,同时降低欺诈的随机性。比如以前会存在卖家真的有货,但也不会发货的问题。
二、发卡平台在互联网黑灰产交易生态中的定位及其特点
理解了发卡平台的定位和意义之后还要再把视角切回到互联网黑灰产的全局,来看其整体交易环境。
互联网黑灰产环境分层
我们可以把整体交易分成对应的三个层:
第一层:地下交易市场
这部分交易的内容往往是大宗和重量级的,而大量最终被媒体曝光的信息泄漏事件,很多也是在这一层经过较长周期交易之后才被拿到暗网去交易的。
这个层次中的交易存在于特定的一个地下社群,基于群体的信任关系。存在这层的往往是顶级黑客和中间商皮条组织。比如说欧洲的技术团队获取到一个战斗机图纸,然后再经过东南亚的皮条中介组织售卖到第二世界国家等等。买家也是这个世界的特定群体。
第二层:暗网
暗网这两年逐步被大众认知,其意义还是在“公开的匿名性”。公开是指交易信息的公开,与公网内容并无区别。匿名是指交易双方的身份匿名,具备更好的反侦查能力。这让很多掌握资源和权限的卖家通过暗网售卖信息及权限,因为在这里能够最大化和最方便的对接到下游,同时又能保证自己的安全。
在这个层中,群体扩展到整体的极客团队,交易内容也更广泛,黑灰产业链都在中有自己的空间。
第三层:发卡平台
发卡平台我们在第一部分已经论述过。在这层,群体就变成了更加广泛的灰色产业链群体,而交易的内容也以灰色地带数字产品为主。
一直以来,大众对发卡平台的整体了解程度并不高,这就要说到发卡平台的群体控制机制。简单来说,就是发卡平台是在固定黑灰产群体中的效率提升工具。这个机制的核心是“分散化”——即平台的分散化和商品的分散化,发卡平台中的商品并不会在官网网站上被展示出来,甚至都没有一个搜索的入口,商品信息的传递最终仍然是通过特定群体的社交网络来完成,你想获取到最新的交易商品信息就必须已经是这个群体中的一员。这个机制使得发卡平台即使已经在整体灰色产业链当中起到着中坚力量,但仍然不被大众所知。
在百度搜索“发卡平台”后能看到很多平台,与其他电商网站以及接码平台不同的是,我们无法在网站上直接看到店铺、商品的集中展示页面,也没有搜索能力,购买商品需要知道店铺的指定链接。
四、当前国内发卡平台中的黑灰产数据
我们通过长期监测发卡平台,接触参与发卡平台交易的黑灰产群体,经过采样统计和研究推测,目前参与到发卡平台交易的黑灰产从业人员超过1万人,涉及的商品种类将近数千种,商品数量超过百万,年产值数千万。
我们对监控到的发卡平台在售的灰色商品进行了分类统计,主要分为账号类、影视会员卡密类、虚拟商品寄售类、软件技术类四大类。商品详细分类及代表商品展示如下表所示:
在发卡平台出售的商品中,账号类商品数量最多,占比为59.12%,账号是黑灰产进行攻击的基础资源,所售账号种类涉及到众多行业,比如社交、电商、娱乐、生活服务等等;发卡平台另一活跃商品类型为各大影视会员卡密,占比为23.18%,包括但不限于腾讯视频、爱奇艺、优酷等。在售灰色商品分类及占比统计情况如下图所示:
我们以3月10日至3月25日近两周的新增商品为例,每日选取一款代表商品进行展示,详情如下:
五、如何有效预防黑产作恶?
威胁猎人基于对黑灰产交易的布控能力,帮助企业发现正在面临的业务风险问题:
关于帐号安全预警功能:
黑灰产大量注册“饲养”的预备作恶账号就如同炸弹隐藏在真实用户中。针对这一点,TH-Karma从产业链角度进行逐点布控,以辅助企业掌握恶意注册风险问题。
帐号安全预警功能如下:
1.黑灰产发起的针对企业新场景的恶意注册。
2.黑灰产正在进行的恶意注册行为,包括攻击的接口、利用的自动化工具、使用的恶意资源等。
企业通过帐号安全预警功能,了解自身面临的帐号安全问题以便及时进行风险防控:
1.实时感知企业新增的业务场景是否面临恶意注册的风险。
2.企业了解自身注册场景下正在面临的攻击行为,还原黑产攻击逻辑,以便及时进行风控策略的调整。
3.掌握黑灰产交易项目以及项目价格变动情况,了解自身风控策略的有效性以及业务安全场景的变动趋势。