下載 | 2018上半年短視頻行業黑灰產年度報告
責編:gltian |2018-09-04 13:28:11當前短視頻平臺仍處于快速增長期,不斷有新的平臺涌入市場,并且同質化較低,各個平臺定位、內容和目標群體之間仍存在差異化的競爭。但對于黑灰產從業人員而言,一套產業鏈模式就可以復刻在任何一個短視頻平臺。當對舊平臺的攻防成本日漸增高,對于黑灰產從業人員而言,新生代的短視頻平臺更像是“雪中送炭”。因此,不僅要對已存在的產業鏈模式深入了解,更應該去深追其背后黑產從業人員的角色定位,只有了解之后才能對衍生的新增產業鏈加以控防。
黑灰產鏈條定義
業務術語
(1)引流:將短視頻平臺用戶轉到其他利于變現平臺,包括但不限于微信、QQ。
(2)刷量:對短視頻相關業務,采取作弊手段(刷作品播放量、刷粉絲、刷人氣、刷贊等)。
(3)批量注冊:利用改機工具,刷新設備指紋達到單部手機的復用,進而批量注冊短視頻平臺賬號。
行話/黑話
(1)接碼平臺:提供手機號,獲取注冊,解封,換綁短信的驗證碼平臺。
(2)貓池:貓池廠家負責生產貓池設備,并將設備賣給卡商使用。貓池是一種插上手機卡就可以模擬手機進行收發短信、接打電話、上網等功能的設備,在正常行業也有廣泛應用,如郵電局、銀行、證券商、各類交易所、各類信息呼叫中心等。貓池設備可以實現對多張手機卡的管理。
(3)改機工具:刷新設備指紋,解決單臺設備注冊上限的問題。
(4)卡商:卡商指通過各種渠道(如開皮包公司、與代理商打通關系等)從運營商或者代理商那里辦理大量手機卡,通過加價轉賣下游卡商賺取利潤的貨源持有者。
(5)養號:將批量注冊的小號,不斷發作品,關注用戶,修改頭像,主要目的是為了降低賬號被封的概率。
(6)白號:指接入接碼平臺直接用手機號注冊的賬號,也稱直登號。
(7)跳轉號:指適用qq號或者微博快捷登陸后,激活綁定轉換而成的號碼。
(8)直播號:開了直播權限,以及實驗室有鎖、無鎖的賬號
(9)單雙參號:指除賬號密碼攜帶其他參數的賬號,一般用作于刷量。
(10)活粉:帶有作品,個簽,個人頭像,模擬真實用戶操作的一批賬號。
(11)死粉:又稱僵尸粉,這類賬號,只是帶有簡單的個簽和個人頭像,賬號活躍度低。
(12)刷粉:短時間內提高賬號的粉絲數量。
(13)出粉:將個人無法消耗的人氣流量,以交易“人頭數”的形式,獲取報酬。
(13)協議:通過通信協議進行,直接模擬接口通信進行攻擊的工具。
情報術語
(1)開源情報:通過對公開的信息進行深度的挖掘分析,確認具體的威脅或事件,從而直接指導這些威脅或事件的具體決策和行動。
(2)閉源情報:通過對內部平臺所監控到信息進行深度的挖掘分析,確認具體的威脅和事件,從而直接指導這些威脅或事件的具體決策和行動。
(3)工具情報:通過對黑灰產工具做深入的逆向分析,了解其攻擊原理和攻擊方式方法,然后通過聚類以及關聯分析的方式挖掘出這個工具背后一系列的黑色產業鏈、黑產團伙、攻擊目標和變種工具等等,從而描繪出一個以工具為源頭的黑灰產產業鏈關系圖譜。其能有效定位企業當前所處的風險狀態,還原攻擊特征迭代風控規則。
產業鏈上游及相關角色
產業鏈上游根據中游和下游的需求,生產和提供各類黑灰產資源。其主要相關角色包括:
1)工具開發者:開發各類黑灰產工具,具備一定的研發能力,大多使用Python、Lua、易語言,有較強的反偵查能力,大多有固定的中游銷售渠道,多為兼職。
2)卡源卡商:多以正常業務為幌子,通過各種渠道從運營商或代理商獲取手機卡資源向接碼平臺、號商等出售,并定期回收銷號。其提供的手機卡按類型可分為:虛擬卡/實卡、語音卡/短信卡、海外卡/國內卡、流量卡/注冊卡。
3)貓池廠商:向接碼平臺提供貓池設備,可分為2G、3G、4G貓池。
4)號商:大量注冊平臺賬號,并以人工或工具方式養號,借助賬號代售平臺出售賬號。
5)黑客:通過技術或社會工程學手段發起攻擊,多以竊取用戶數據為主要目的,再通過地下黑市出售。
產業鏈中游及相關角色
產業鏈中游負責將上游生產和提供的各類黑灰產資源進行包裝和批量轉售,多以各類平臺或服務的形式存在。其主要相關角色包括:
1)接碼平臺:負責連接卡商和羊毛黨、號商等有手機驗證碼需求的群體,提供軟件支持、 業務結算等平臺服務,通過業務分成獲利
2)打碼平臺:為軟件開發者、工作室、普通用戶提供即時、精準的圖片識別答題服務,通過識別驗證碼服務獲利。
3)帳號代售平臺:對工作室、普通用戶提供相對應需求的賬號,通過抽取相對應的傭金獲利。
3)工具代售平臺:對工作室、普通用戶提供解決刷量需求的工具,通過抽取相對應的傭金獲利。
4)地下黑市:相關的黑灰產業群、論壇,為工作室、普通用戶提供一個需求解決場所。
產業鏈下游及相關角色
產業鏈下游負責直接執行黑灰產行為,多以工作室形式存在。其主要相關角色包括:
1)刷量工作室:通過解決普通用戶的刷量需求獲利。
2)引流工作室:解決客戶的需求短時間內將大量快手用戶引向其他平臺,對引流人數和引向的平臺設置不同的門檻,抽取傭金。
3)主播工作室:主要服務于高人氣主播,利用相關工具刷人氣短時間內吸引其他用戶觀看,通過假聊工具營造人氣火爆的場景。
以賬號為核心的黑灰產業鏈
核心產業鏈一:虛假注冊
參考鉆石模型,我們對虛假注冊產業鏈的運轉模式做出如下分析:
3.1.1.1.攻擊者:開發者團隊
1)主要操作:通過出售批量注冊、自動養號腳本;通過出售改機工具;通過售賣云控平臺使用權獲利。
2)主要交易渠道:QQ群、微信群、論壇、Telegram群,自建相關站點。
3.1.1.2.能力/功能:相關黑灰產工具
- 注冊、養號腳本:大多使用Python、Lua、易語言編寫,受制于各大短視頻公司業務調整,生存周期不確定。注冊類腳本售價2000元/年、養號類腳本售價1500元/年。
- 改機工具:主要負責更改手機串號,更改手機型號,更改MAC地址,更改無線網絡參數,模擬SIM卡參數,模擬手機運營商,更改手機號等等幾百項手機參數。典型的有:nzt改機工具 、xx抹機,售價約為300元/年。
- 群控、云控平臺:主要負責讓連接的多部手機根據既定腳本批量執行操作。典型的有:觸動云控、俠客手機群控,售價約為38元/臺/年。
3.1.1.3.基礎設施:QQ群、微信群、論壇、Telegram群
3.1.1.4.受害者:短視頻平臺
賬號注冊環節主要針對虛假注冊等業務,虛假注冊操作流程主要依靠云控平臺、批量注冊腳本的開發者、接碼平臺。通過目前已捕獲的注冊腳本,我們發現虛假注冊的流程和去年相比無明顯變化。通過運行批量注冊腳本、調用接碼平臺短信驗證碼API接口完成賬號注冊,最終本地生成一個.txt文件(包含手機號、密碼、手機參數)。
3.1.2.1 攻擊者:號商
- 主要操作:通過直接出售賬號給普通用戶;通過批量出售賬號給刷量工作室或相關代售賬號代售平臺代為出售賺取利益。
2)主要交易渠道:QQ群、微信群、論壇、Telegram群,以及自建或第三方的賬號代售平臺。
3.1.2.2.能力/功能:賬號
- 老號:通過自動化批量注冊工具產出的賬號,再有過一段時間養號行為的賬號。這類賬號通常附帶一些作品,對于平臺而言老號具有一定的權重性。老號的類型包括但不限于nzt工具產出、批量注冊機產出、跳轉號形式。
- 跳轉號:指使用QQ號或者微博快捷登錄后,激活綁定(利用接碼平臺綁定業務)而轉化而成的平臺賬號。這里使用的QQ和微博號多數通過批量注冊工具產出,在原平臺不具備用戶影響力。被用作授權其他平臺,購買成本僅幾分錢。
- 白號:也稱為直登號,指接入接碼平臺直接用手機號注冊的賬號,通過導入頭像和昵稱可以批量注冊。
- 單雙參號:指攜帶參數的賬號(包括但不限于手機型號、網絡狀態、安卓版本、登入token),適用于刷粉、刷量掛人氣工具。
3.1.2.3.基礎設施:相關黑灰產群、論壇 、刷量工作室
- 相關黑灰產群:通過群內散發大量出售賬號信息,內容大概以:賬號類型+價格、賬號類型+賬號代售平臺鏈接。
- 工具售賣工作室:指售賣工作室自產的工具或開發者人員交由工作室代售的工具,這類刷量工具需要倚靠大量小號完成刷量任務。
3.1.2.4.受害者:短視頻相關業務、正常用戶
- 被批量注冊的小號,在養號過程中產生的低俗信息,很大程度上影響了正常用戶的軟件使用體驗。
- 通過小號刷量的作弊行為更是對其他原創視頻作者的傷害,影響正常用戶對短視頻平臺公平性的判斷。
3.1.3. 衍生產業鏈一:批量養號
參考鉆石模型,我們對批量養號產業鏈的運轉模式做出如下分析:
3.1.3.1攻擊者:號商
1)主要操作:通過接碼平臺實現賬號批量注冊和過短信驗證;通過短視頻提取工具獲得批量短視頻作品資源;通過云控/群控平臺批量模擬正常用戶信息;通過刷量工具刷粉養號;對外出售養好的賬號。
2)主要交易渠道:QQ群、微信群、論壇、Telegram群,以及自建或第三方的賬號代售平臺。
3)成本估算:1-2元
4)盈利估算:老號4-6元,白號2-3元。
5)交易規模:暫無相關數據可統計交易規模。
3.1.3.2.能力/功能:賬號
1)老號:批量注冊的賬號經過養號一段時間售出(可直登、用于工具刷量),在2018年07月間監測到快手老號售價約為5-7元。
2)白號:近期內批量注冊的賬號(可直登賬號)。
3)直播實名號:已開通直播權限并且實名認證的賬號。
4)直播非實名號:已開通直播權限但未實名認證的賬號。
5)跳轉號:通過QQ、微博注冊的相關賬號,通過綁定手機生成(可直登)。
3.1.3.3.基礎設施:接碼平臺、云控/群控平臺、改機工具、代理IP池、批量注冊腳本
1)接碼平臺:主要負責提供大量手機號碼注冊賬號,接碼平臺很多,活躍的有數十家,比較知名的有:Thewolf、星辰、愛樂贊、玉米(現“菜眾享”)等,其中Thewolf和星辰可以接語音驗證碼。:
2)云控/群控平臺:主要負責讓連接的多部手機根據既定腳本批量執行操作。典型的有:觸動云控、俠客手機群控,成本約為38元/臺/年。
3)改機工具:主要負責更改手機串號,更改手機型號,更改MAC地址,更改無線網絡參數,模擬SIM卡參數,模擬手機運營商,更改手機號等等幾百項手機參數。典型的有:nzt改機工具 、xx抹機,成本約為300元/年。
4)代理IP池:主要負責提供IP批量注冊賬號,典型的有:蘑菇代理、站大爺、螞蟻代理,成本約為4000-5000元/年。
5)批量注冊腳本:主要負責自動化批量注冊賬號,通常和云控平臺搭配使用,在云控平臺管理手機,對勾選的設備一鍵運行設定好的腳本,自動打開短視頻app注冊賬號。
3.1.3.4.受害者/目標:正常用戶、短視頻平臺
- 號商養號過程中,產生的低俗信息影響正常用戶的使用體驗。
- 批量注冊的賬號,經過養號行為之后,賬號本身具備一定的權重,這類賬號大量被用于刷量、引流可能會給短視頻平臺帶來不良輿論。
3.1.4.1 攻擊者:提單平臺
通過平臺提單的模式,僅需提供手機號、密碼即可。
3.1.4.2 功能/能力:賬號實名認證、直播代開
3.1.4.3 基礎設施:身份證、企業相關信息
提供身份證、企業相關信息用于各種賬號類型的認證。認證加V的形式則提供相應的新浪微博會員認證和頭條用戶認證。
3.1.4.4 受害者:普通用戶
認證號是被平臺審核通過,具備真實信息備案的賬號。相比其他原創作者賬號,這類賬號更容易吸收海量人氣,引流難度遠低于普通賬號。被引流的普通用戶會被帶入各種詐騙模式,除去常見的蘋果手機低賣的模式,還有被引流到后續連環詐騙的可能。
參考鉆石模型,我們對虛假注冊產業鏈的運轉模式做出如下分析:
3.2.1.1攻擊者:需求用戶
- 主要操作:
- 提交需求交由相對應的引流工作室,短時間內引入大量自有業務的適配人員;
- 通過使用相關的人氣帶掛工具,在直播時通過發起編輯好的假聊內容誘使用戶引入相關平臺;
- 通過偽造的認證信息短時間獲取大量人氣流量,通過作品引流到相關變現平臺;
- 通過視頻解析軟件,盜取人氣高的作品偽裝自產作品,截取人氣流量,通過二次編輯的作品引流至其他平臺;
2)主要交易渠道:QQ群、微信群、論壇、Telegram群,以及自建或第三方的刷單業務平臺。
3.2.1.2 能力/功能:精準引流、出粉
- 短時間滿足客戶的流量需求,對客戶自有業務吸收一批適配的人員流量。
- 對于自身無法消耗的人氣流量,以交易自養的微信群、QQ群為主,這類交易售價針對群人頭數設置不同價位,完成出粉的目的。
3.2.1.3 基礎設施:引流喊話工具、評論置頂工具
3.2.1.4 受害者:短視頻平臺、原創作者、正常用戶
- 引流可能導致短視頻平臺固有的正常用戶流失,同時被引入的平臺可能涉及違法犯罪活動,會對短視頻平臺本身造成不良輿論。
- 被盜取的原創視頻,對原創作者而言截取的不僅僅是人氣流量,更多的是對作品的原創性熱枕下降。
- 低劣、惡俗的引流模式中涉及的話術,可能引起正常用戶的軟件體驗,對平臺本身監管垃圾信息存在質疑。
參考鉆石模型,我們對虛假注冊產業鏈的運轉模式做出如下分析:
3.2.1.1攻擊者:普通用戶、刷量工作室
- 主要操作:通過向工作室或相關刷量平臺提交刷量任務;通過使用刷量工具進行刷量任務。
3.2.1.2 能力/功能:漲粉絲、提高作品播放量
3.2.1.3 基礎設施:刷量工具、人氣代掛工具
- 刷作品播放:通過導入小號文本中的賬號,并對作品本身連接提取用戶ID下發任務,調用小號進行訪問作品,完成刷播放任務
- 人氣代掛工具:通過調用工具里的小號文件中的單雙參數,按調整的頻率依次掛入直播間。工具功能包括但不限于對送禮用戶自動點關注、自動回復感謝、假聊(設定大量不同的文字內容,通過工具發出)。
3.2.1.4 受害者:短視頻業務
刷量業務不僅僅針對短視頻行業,刷量背后的是一批以刷為生的游走法律邊緣的不法分子。
- 刷量對短視頻公司而言除去海量的接口攻擊之外,帶來的更多是催生其他黑灰產業的成長(包括但不限于號商、開發者人員)。
- 其他原創作者和短視頻平臺是刷量業務造成傷害的承載者。通過刷量短時間可以使得作品內容被推上熱搜,但真正能長期吸粉的主要因素應該是優質的作品內容。
3.2.3.1 攻擊者:開發者人員、號商
- 視頻解析工具的作用是采集并下載無水印的原創作品。
- 視頻解析工具,可以幫助號商養號期間的作品內容填充,降低賬號被封的概率。
- 高質量的原創作品盜用可以應用于其他平臺,用來蘊養一個熱門賬號。
3.2.3.2功能/能力:視頻采集、去水印
3.2.3.3基礎設施:自建站點、采集工具
- 通過搭建第三方站點,通過作品的鏈接下載原創作品。
- 通過采集工具,可以獲取熱門作品的播放次數、點贊次數達到篩選優質作品的目的。
3.2.3.4 受害者:原創作者
- 高質量的原創作品往往會吸收大量的粉絲,盜用作品往往可以截取原創作者的粉絲收益。
- 原創作者面對作品的盜用,往往會懷疑平臺的公平性,或是對內容原創的熱枕降低。
3.2.4.1 攻擊者:開發者人員、號商
- 主要操作:通過對養號行為存活率高的賬號總結一套高存活養號流程;通過對引流市場引流技術的匯總出一套熱門引流技術;通過對小號的個簽修改歸納出一套存活度高的話術;通過總結已有可信的賬號售賣渠道出一套信息匯總。
- 主要交易渠道:QQ群、微信群、論壇,以及自建站點。
3.2.4.2功能/能力:熱門、存活度高
- 熱門:提供相對應快速上熱門且小概率被封號的教程。
- 存活度高:存活度是售賣教程的另一大特色,也是突出點。
3.2.4.3 基礎設施:黑灰產業群,自建站點
- 黑灰產業群:通過監控,熱門教程詞匯成為僅次于刷量,刷粉、引流的高頻詞匯。
- 自建站點:以研究流量走向,出售熱門教程為主的自建網站。該類站點售出教程涉及廣泛,依附于目前流量火爆的平臺。如快手、陌陌、微信、抖音、QQ不等。
3.2.4.4 受害者:短視頻平臺
- 熱門教程短時間內可以給售賣者提供大量資金,用于小號的產出。
- 教程適用范圍廣,同時也提供相應的素材包內容。大大提降低了入門的門檻,加大了黑灰產從業人員數量。
上半年度總體風險評價
短視頻在上半年度(2018年)的總體風險評價為: 高 。
1 )賬號類產業鏈風險:高
產業鏈數量:新增虛假認證、精準引流
產業鏈規模:上升
產業鏈成本:下降
2 )流量類產業鏈風險:高
產業鏈數量:新增刷量提單平臺
產業鏈規模:上升
產業鏈成本:下降
完整報告下載