互联网技术的成熟,入门门槛的降低,本应是推动中国互联网发展的“润滑剂”,但却出现众多利用互联网技术实施不法行径的现象。究其原因是部分互联网产业及技术“被迫”成为了黑灰产用于敛财的工具。本文从黑灰产欺诈手法、原理角度“揭露”那些被黑灰产利用的互联网行业及技术。
黑灰产欺诈手法原理及利用到的互联网技术
使用“备案”域名搭建虚假网游平台
不法分子潜伏在各大游戏平台及交易平台,以低价售卖游戏装备或高价收购游戏账号为幌子,引导用户在指定的网游平台交易。具备较强网络安全意识的用户,一般会通过网站的备案信息来确认平台真伪,当发现平台是企业备案时便会放松警惕。随后会听从骗子的诱导进行多次充值或转账。
早期虚假钓鱼网站出于成本及躲避溯源的考虑,域名往往不含有备案信息,但此特征容易被网络安全产品检测识别。近几年随着游戏消费观念的升级及网游产业的兴起,不法分子也加大了对虚假网游交易平台的成本投入和技术升级,逐渐采用含备案信息的域名搭建钓鱼网站,来抵抗网络安全公司的域名检测识别。
图中域名通过社交软件传播时,并没有被识别
黑灰产使用的含备案信息的域名来源于已备案域名的批发商城。这些批发商城可以简单理解为一个域名“贩子”,专门售卖一些含备案信息的域名,并延展出含有攻防性质的域名,如“绿标”域名(域名通过社交软件发送时,提示绿色的官方认证,可放心访问标识)。
如下图展示,这些域名商城通过域名抢注(域名过期后,原备案信息还存在)、使用个人/企业信息进行域名代备案等方式掌握到获取大量备案域名,并将此类域名根据域名性质(企业、个人)、域名接入商、社交软件/网络安全厂商是否拦截进行分类并售卖。
利用网站源码搭建“欺诈”游戏平台
早期中国计算机资源缺乏,开发难度大成本高,为降低开发成本难度,出现了一些帮助企业快速建网站的程序CMS。近些年随着中国互联网的快速发展,互联网共享精神得到推广,各类开源程序在互联网涌现。 如下图展示,利用服务器、域名,网站框架、网站源码即可完成平台的搭建。甚至部分云服务厂商在售卖云服务器时,已经将网站环境搭建好,用户只需上传网站源码,绑定域名即可完成平台搭建。
而作为搭建“欺诈”类游戏平台最重要的网站源码,在搜索引擎、电商平台也随处可见。在售卖源码的过程中,一方面提供演示站供买家了解平台使用方式,一方面提供安装教程,甚至提供躲避网络安全厂家识别出其风险的手段。
如下图展示,在规定的时间内,点击屏幕将一定数量的口红成功射到转动的转盘上,连闯三关即可获得价值不菲的大牌口红的线上版口红机,就是借助源码快速搭建出来的。由于其玩法简单,短期内在互联网风靡。试玩环节,操作简单,给用户一种易中奖的假象,但由于此类平台商家可以设置游戏难度,修改中奖概率,即使玩家投入大量资金,最终也无法获得奖品。
基于黑灰产的手法演变互联网安全平台的应对策略
从诈骗团伙转而利用含有备案信息的域名来躲避安全厂商对于欺诈类域名的识别的行为可以看出,黑灰产在技术、话术等多方面,为躲避识别也在不断的升级诈骗手法。面对此种现象,各安全平台需要需要从黑灰产产业链的角度,看待诈骗事件。如针对诈骗团伙使用的备案域名,需了解备案域名的来源、原理、买卖方式。一方面拦截售卖渠道、一方面通过域名whois历史节点、同源(IP)网站内容特征、历史节点内容快照等多种方式,实现对网站的识别,而非仅仅通过域名的备案信息判断网站真伪。