黑灰产行业简介

参考：2021年黑灰产行业研究及趋势洞察报告

1. 有哪些场景面临大量黑灰产攻击？

1.营销活动场景 -- 该场景最为猖獗

1. 抹机及接码注册：黑灰产会使用抹机工具修改设备参数伪装成一台新设备，再配合联系卡商进行手机号接码，从而达到在同一台设备上注册多个小号给主账号完成助力任务，薅取活动奖励，或者注册多个新号领取奖励的目的。

2. 接单代刷助力：黑灰产掌握了针对营销活动的自动化批量助力的技术，收取费用帮助普通用户刷助力，进而完成任务得到奖励。

3. 利用业务规则缺陷：黑灰产发现其中活动的奖励，在业务侧没有得到全方位的防护，比如通过一些特殊动作可以获得，或者只需简单“技巧性操作”即可领取，便会对此活动进行大规模攻击。

4. 虚拟定位改城市：黑产使用修改定位的方式对活动进行攻击，从而领取活动奖励。此攻击方式常出现的场景主要有支付类、银行类、电商类、出行类平台的特定地区优惠领券活动。

5. 真人众包。

2. 刷量作弊风险场景

利用违规方法去提高相关账号功能数值(如：点赞量、关注量等)，最终达到伪造虚假流量、炒作热度、增加曝光等目的。这种刷量行为常常扰乱社区秩序、破坏社区生态，不利于优秀内容脱颖而出，并且增加了创作者的成本。

刷量作弊主要有三种：机器刷量(最传统、覆盖了所有主流平台)、真人刷量和养高级别账号刷量。但机器刷量因特征明显，比较好检测，因此无法有效的在部分检测严格的社区内容平台上作恶。

此时许多黑灰产就会提高作恶手法，开始雇佣真人来提升刷量效果。此外，部分高级黑灰产，还针对一些大型社区平台排名权重的计算规则，推出了高级别账号刷量功能，这类功能的主体往往是黑产长期持有、拥有很高粉丝数、被黑产养着的号，黑灰产利用这些账号，对外提供优化排名、热榜置顶等服务。

3. 恶意引流风险场景

恶意引流是黑灰产典型的作恶场景，一般使用脚本工具，利用平台的私信、评论、留言等功能，批量发布引流信息；也会有黑灰产在社交平台，发布“收粉”、“拉群”任务，要求普通用户拉好友进群，达到一定人数后，就以一定的金额收群，然后再把群转给下游的诈骗团伙等。

4. 认证绕过风险场景

黑灰产用虚假认证资料通过平台的资格检测环节，例如：

1. 用改装后的设备和人脸建模绕过人脸检测；

2. 用伪造的证件为账号取得相关认证等。

这类作恶行为会造成虚假身份、虚假企业认证等问题，不仅影响平台生态，还有可能会带来引流诈骗等问题。

5. 真人众包代下单风险场景

黑产雇佣真人远程下单，来批量薅取电商活动限购的优惠商品。该场景下，被雇佣的真人用户按照黑灰产提供的商品链接和地址下单，最后下单用户得到黄牛返还的款项和佣金，黑灰产收到商品并转卖获利。

2. 黑灰产发展现状

1. 规模庞大，面临数十万黑灰产攻击

对黑灰产营销活动攻击产生的舆情分析后，发现：“活动”、“教程”、“接单”、“注册”、“邀请”等词，出现很高频。说明，黑灰产往往会在各平台举办活动时寻找突破口，成功后会把方法在内部进行传播，或者转卖能力为“接单盈利的模式”，而他们的攻击场景，往往集中出现在新用户注册、邀请拉新等优惠权益较高的活动上面。

黑灰产作恶时，往往会在各大社交平台聚集，用于进行引流维护及同行间的交流，因此，统计各个作恶场景下，这些黑产在各大社交平台的账号数量，可以大致描绘出每个场景的黑产“从业者”规模。

2. 追求效率为先，黑灰产仍普遍采取各类自动化作恶工具

黑灰产会采用各类工具进行批量、自动化攻击，以达到短时间内获得更多收益的目的。主要的工具分为：

（1）定制型：

1. 手机端：按键精灵、autojs、多开/分身、Xposed、代理工具、虚拟定位为代表的模拟操控工具；

2. 电脑端：E语言为代表的协议工具。

两类背后都有大量的工具开发者和使用者，由于协议工具需要对应用进行破解，相比之下，模拟操控工具的门槛更低，数量更多。定制型黑灰产作恶工具中，51%攻击账号安全场景，其次才是营销作弊和广告引流。账号安全，一旦被攻击成功，则会引起一系列如：虚假注册、信息泄露等问题，对于此场景的风险防护策略不容忽视。

（2）通用型：主要是各类改机工具和虚拟定位工具。

a) 各类该机工具：

1. 安卓端改机工具主要有：软改、 ROM改机、硬改；

2. 苹果端改机工具以佐罗为主，此外还有爱伪装、爱新机、爱立思等。

黑灰产往往通过会员充值或租赁的形式，借助远程连接获取云手机的使用权限后进行攻击，一次攻击成功后，再借助平台的一键新机功能实现改机。

b) 虚拟定位工具：

1. 安卓手机端虚拟定位类工具有很多；

2. 苹果手机端虚拟定位类工具：主要是任我行、天下游。

通用型黑灰产作恶工具中，虚拟定位工具主要在银行营销活动中被使用，苹果手机端主流工具是任我行，安卓手机端虚是悟空分身。

支付类、银行类、电商类平台的特定地区优惠领券活动，最吸引黑灰产使用虚拟定位工具进行攻击。主要因为此类平台开展的限定地区领取权益的营销活动优惠力度大，且黑灰产能对领取的权益进行变现，故使用修改定位的方式进行获利。

3. 利益驱动为主，黑灰产在交易平台大量交易

对各大平台进行攻击后，会将自己的“战利品”分销变现，一般会选择在各大发卡网站上进行售卖，以获得收益。

发卡平台：类似“淘宝”，黑产特有的交易网站，在上面可以陈列商品进行售卖，特点是伪装性强，一般一个链接对应一个店铺，而链接通常只有“内部人”才知道。

黑灰产第一大资源交易变现品类为账号类商品，占比近60%，其次是优惠券类商品，占比近15%。

（1）账号资源交易中主要涉及的TOP3行业是：内容行业、社交行业、电商行业。

1. 内容社区行业的黑灰产交易账号，最终被用于引流和刷量，是虚假流量和代写代发的核心资源。

2. 社交行业的黑灰产交易账号，主要用于引流和欺诈，此类账号的交易流转，是社交平台上内容风险和用户安全的问题根源。

3. 电商行业的黑产交易账号，主要用于薅取优惠权益，批量购买优惠商品。为了提高攻击效率，黑灰产多数情况下会提取这些账号的cookie或token数据，再配合工具完成自动化批量攻击。因此，电商行业的账号大量交易，会带来平台的巨大资损。

（2）优惠券资源的来源主体还是以各大电商平头为主，占比超97%；而接近50%的会员转卖/代充发生在音视频及内容社区行业，其中大部分属于异业合作的特惠会员，黑产往往会从这些平台的合作方渠道获取优惠的会员，之后再以低于官方的价格进行售卖。