×

黑产揭秘:“打码平台”那点事儿
  

beloved小子 3535

{{ttag.title}}
黑产揭秘:“打码平台”那点事儿

一、普通打码平台
一)介绍
现在很多简单的字符验证码已经不能够有效阻挡机器行为,使用简单的OCR识别工具即可进行识别,稍微复杂的可以结合机器学习等进行高准确率的识别。
普通的字符验证码很容易被识别,因而又产生了一些较复杂的验证码,比如如下一些较难通过机器进行识别的。

所以若想进行恶意注册或批量的机器行为则需要绕过此类的高难度验证码。针对这种需求,人工打码平台就产生了,其通过组织真实的人来进行识别,并提交验证结果。
二)运行流程图

说明:比如现在羊毛党要去某网站刷活动优惠券,但该网站有较复杂的图像验证码。通常羊毛党会在打码平台注册账号并充值,并通过打码平台提供的api接口,提交验证码识别。打码平台将验证码分发到各个佣工的客户端里,获取佣工的识别结果,并最终反馈给羊毛党。
1、网赚平台:
很多打码平台需要跟网赚平台进行合作,因为网赚平台的用户量比较大。这种每天输入一些验证码就能赚钱的平台是很多小白用户比较喜欢的。我们查看一叫做“有赚网”的网赚平台,其发布各种任务供用户参与,并通过金币的形式给用户发放,金币累积一定数量后可进行提现。网赚平台会设有专门的打码模块,里面列举了合作的打码平台。如图

点击其中一个“知码打码”的打码平台项目,如图

点击获取工号和密码后,然后下载提供的软件,登陆后简单测试通过后,即可收到打码平台推送过来的验证码,如图

佣工可以勾选想要接收的验证码复杂度,有选择题、填空题、鼠标点击类型等等。同时通过软件可以查看该平台积压的验证码的数量,如图为45个,用户输入结果后会很快刷新到下一个验证码。每种验证码的积分不同,验证码难度较高的积分较大些,同时网赚平台夜间工作给的积分也会多,所以我们可以看到打码平台的夜间服务费用也会高一些。我们粗略计算下这种网赚的收益,按官方说明10000个金币可兑换1元的标准,我们按一个验证码平均可可以获得100个金币计算,则打100个验证码即可获得1元,每天打10000个验证码才能获得100元。
2、普通打码平台
打码平台提供多种类型的验证码,有正常的普通字符验证码、有选择题、算术题、以及其他的特殊类型的。每种验证码的计费类型不同,我们查看某打码平台的价格类目表,

其中每种验证码的价格不同,该平台冲10元可获得25000快豆。其中最普通的验证码需要10个快豆,也就是说10元可以识别2500个普通验证码,我们查看下12306的图形验证码识别价格为60快豆,即10元可以识别400多个验证码。同时打码平台会以api的形式供用户使用,其只需传入账号密码以及验证码所属类型、验证码文件即可进行识别,如图

3、开发者
每个打码平台都会有很多开发者,开发者通过打码平台提供的sdk,进行开发软件。比如针对12306编写一个抢票软件,并内接该打码平台,那么羊毛党在使用该软件时只需填入打码平台的账号密码即可使用。同时开发者可以拿到提成,提成一般较高。
4.羊毛党
什么是羊毛党?
有选择地参与活动,从而以相对较低成本甚至零成本换取物质上的实惠。这一行为被称为“薅羊毛”,而关注与热衷于“薅羊毛”的群体就被称作“羊毛党”。早前,“羊毛党”们主要活跃在O2O平台或电商平台。另外随着2015年互联网金融的发展,一些网贷平台为吸引投资者常推出一些收益丰厚的活动,如注册认证奖励、充值返现、投标返利等,催生了以此寄生的投资群体,他们也被称为P2P“羊毛党”。当然,使用打码平台的不一定就是羊毛党,还有可能是一些抢票的“黄牛党”或者黑色产业的欺诈者。
三)利益链

说明:佣工通过自身劳动,通过网赚平台变现,获得利益;网赚平台与打码平台进行合作,并有利益分成。打码平台将服务进行封装,提供给羊毛党。打码平台的开发者通过开发软件供羊毛党使用。同时羊毛党通过批量的注册、活动优惠等方式从网站进行获利。
二、手机打码平台
一)介绍
短信验证码在互联网业务中用于过滤低价值的用户,从而将服务推送给目标用户。这是基于手机号基本实现实名认证,每个人拥有的手机号也是有限制的前提。似乎通过手机短信验证就能够防止垃圾注册,筛选出真正有价值的客户。然而黑产针对基于手机号注册的场景,推出手机打码平台。手机打码平台囤积大量的手机卡提供短信收发的服务。实际调查中发现大型手机打码平台有几百万手机卡,小型也有几万的手机卡。
二)运行流程图
手机打码平台的流程图如下,主要有两个角色,一个是平台的普通用户通常为羊毛党、一个是平台的卡商。

说明:手机打码平台会提供各种项目的接口,比如xxx账号注册、xxx绑定手机等。羊毛党只需要调用接口,获取某个项目可用的手机号,并将该手机号填入目标网站,然后调用接口获得短信内容即可。
1、手机打码平台
手机打码平台提供各种项目,我们查看下某一手机打码平台的项目列表,如图

每个项目的价格不同,像p2p金融类的可能价格较高,其他的普通的比如115网盘手机绑定价格较便宜,一个手机号只需1毛。接收短信流程很简单,查看下该平台的官方API接口说明,如图

我们只需要调用接口,获取某个项目的手机号,填入网站,并调用接口获取短信内容即可。同时打码平台通常还会提供发送短信的接口、接收语音验证码等功能,如下为某一手机打码平台发送短信的接口

2、卡商
卡商是指拥有大量手机卡的用户,其通过猫池并通过打码平台提供的软件,提供相关项目的短信收发服务。卡商的手机号被使用一次,则可获得相应的收入,如下为一打码平台的卡商客户端,卡商将插有大量手机卡的猫池接入电脑,并选择需要做的项目即可。

其中猫池可以理解为有通信模块,可以收发短信,可以插很多手机卡的设备。一般有8口、16口的,多的有128口的,即可以同时插128张手机卡。猫池有多种类型,现在有很多猫池是支持3G、4G的,如下为插有手机卡的猫池图


卡商通常会有大量的卡,用来做手机打码只是其中的一个业务,还有很多是用来刷钻、刷会员、刷流量等。市场价格一般在10元左右一张,且这些卡有很多也是经过实名认证的,且有很多属于0月租、0余额的特殊卡。当然可以发送短信的则是有一定余额的。我们查看下一售卖手机卡的卡商发的广告,如图



关于这种大量的卡的来源,其中一手机打码平台的卡商透露了如下信息


同时这些卡商会有其他的业务比如超级会员、黄钻、绿钻等,查看一打码平台卡商发的信息,如图

3、羊毛党
我们查看一薅羊毛的群,里面每天会更新一些活动信息

当然发出来的都是一些小利润的,一些较大利润的羊毛党们都不会轻易透露,当然其中也有很多属于灰色或黑色产业。在一些薅羊毛的群里,通常会伴有身份信息的售卖,在某一群里查看到售卖正反身份证图片加手持身份证的信息,只需2毛一份,如图

三)利益链

说明:
羊毛党通过手机打码平台提供的手机号去网站批量注册,获得小号,再利用这些小号批量获取优惠。比如uber的推荐用户注册送优惠券,还有一些网站的新用户推荐注册送话费等等来获利。打码平台从提供手机打码服务里进行收费,并与对接的卡商进行利益分成,平台自己也会有一些手机卡。同时卡商也是有多种业务,一种是专门做打码平台的业务,其他的还有通过售卖卡给羊毛党,用来做刷超级会员、刷钻等业务进行获利。
三、如何防控
针对普通打码平台以及手机打码平台如何进行防控。采用新型的验证码技术是一种方式,构建手机打码平台黑名单库也是一种方式。但基于构建的用户手机号信誉体系以及用户设备信誉体系,结合众多数据构建自己的安全风控系统才更为重要。
一)新型验证码
替换传统验证码,采用新型的验证码。传统的验证码已经很难去防止机器行为,因而出现了一些基于用户行为的新型验证码。新型验证码最大的特点是不再基于知识进行人机判断,而是基于人类固有的生物特征以及操作的环境信息综合决策,来判断是人类还是机器。
比如Google的reCaptcha

以及阿里巴巴的NoCaptcha

当然这也并不代表此类验证码不能被绕过,今年的Asia Blackhat上公布了一种破解Google reCaptcha的思路,具体可以参考[相关paper]
二)手机信誉库
针对短信打码平台,可以回归短信验证码的本质需求,即过滤互联网中低价值的用户。而由于手机号并非完全实名制,事实上获取一个手机号的成本并不高,所以基于手机号并不能有效筛选出真正的高价值客户。尽管手机号本身获取成本不高,但是对于大多数普通互联网用户并不频繁更换手机号,所以可以基于手机号对应的行为来建立基于手机的征信库,从而基于手机号的信誉实现筛选出高价值客户功能,而非单一的依赖用户是否拥有一个手机号。
三)风控体系
对于普通的网站而言,建立自己的用户信誉体系尤为重要。基于用户的设备信誉、用户行为等信息进行防控。
其中对于p2p金融类的网站而言,构建自己的安全风控系统尤为重要。金融类的较为敏感,对于用户的身份应当做强的安全校验,比如进行银行卡绑定的身份校验等。
四)其他
现在的手机已经需要进行实名认证,对于大量手机卡滥用会有一定的效果。但是在调查中发现其中还是有大量的特殊卡,且都经过实名认证或者是进行了企业认证的卡。另外对于手机打码平台,国家已经出台了相关政策,认定手机打码平台属于违法行为,因而这些手机打码平台也都转为地下。

你不懂,反正 发表于 2017-4-26 11:14
  
字太多,,,
李琦 发表于 2017-4-26 11:43
  
。。。。。。好鄙视你
新手718917 发表于 2017-4-26 11:46
  
黑产揭秘
一帆凤顺 发表于 2017-4-26 13:57
  
字太多
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人