一些简单的黑产攻防介绍
- 修改前置摄像头,直接播放本地视频或者图片(色情诈骗、网约车司机人脸识别);
- 恶意注册靶机系统:黑卡猫池、群控、云控、箱控(12个主板,模拟120台手机);
- 模拟点击脚本在黑产中使用比例逐年增高,主要是效果好很难区分是否为真实用户;
- ROS软路由(可管理250个IP)、秒拨(每次拨号IP改变);
- 黑产变现的渠道主要有:羊毛、引流(注册账号发布信息);
- 很多黑产行为在单个平台来讲都是一次性活动;
- 改机工具:类沙箱,可以更改大量手机信息,提供快照功能,方便上下游复现现场环境,权限高,欺骗效果好;
- 针对改机工具一般都进行恶意环境检测,指令集中是否有hook、cpu架构、文件目录等;
- 防护方针:增加黑产的量化攻击成本(时间、资金);
- 给出模糊的错误提示,而不是准确的,否则黑产很容易试出策略;
- 不要在注册环节就大量拦截,要考虑用户体验,也要收集黑产行为信息,杀量化攻击;
- 忘记密码可能会被利用,找回密码的机制要严格审核(匹配通讯录等);
- 黑产资源成本高,全网来讲资源重复利用率高;
- IP资源、定位、手机、脚本、改机工具、云控等方便规模化,精细化运作;
从中不难看出源头是黑卡、被利用的宽带账号、也有可能是路由器、物联网设备等;
运营商加强实名认证
宽带拨号频率限制
网络设备安全加固,关闭特殊权限端口,禁用弱密码
打击网络黑产交易,防止黑产规模化,产业化趋势;
蜜罐系统收集黑产IP
提供IP代理给黑产使用了解对方信息