黑产攻防者们 | 数美科技(2)

设备农场的典型场景是，房间里竖着数排能挂数百台手机的机架，仿佛一个高科技的“蔬菜大棚”。黑产从业者通过群控软件、改机工具进行自动化大规模的设备篡改——数百物理机器，在短短24小时内就可以篡改出数十万个虚假设备。

挂满手机的设备农场

设备农场的运营者可以自己牟利，也可以将设备农场租赁给下游黑产实施方，以收取租金。

再如打码平台。目前，激烈的竞争逼迫他们不断给“客户”带来更好的体验，有竞争力的打码平台早已用上了AI。90%左右的请求由AI完成，对于AI没有判断准确的部分，系统会自动分发给人工打码平台，由码工完成，同时，码工的工作成果又会反馈给AI，不断迭代出更强大的模型，快速破解各种新型验证码。

快速切换多个打码平台的黑产交互界面

以Sw0rdH01der协助破获的那家打码平台来说，两年前，他们就用上了TensorFlow、Caffe等深度学习平台，与科研院所和科技巨头一同走在技术前沿。

正因如此，对专业黑产来说，现今的主流验证手段都没什么作用。

“秒破”，Sw0rdH01der多次提到了这个词。

在互联网领域之外，比如金融行业信用卡的申请欺诈上，还有成组织地贩卖公民四件套信息（身份证、手机号、银行卡、手持身份证照片）的商家。目前，单组四件套市价已达近千元。

环节3-黑产实施

黑产实施，即利用上游线报、资源、工具，对平台实施薅羊毛等欺诈行为。

这个环节没太多技术含量，只能赚到产业链上1/3的“辛苦钱”，充斥着技术背景一般的“脚本小子”。

他们大多使用“易语言”，这是一种不需要任何英文基础，完全以汉字编码的语言，深受黑灰产从业者的青睐。

黑产行业内还有完善的“培训体系”，推出了一周速成、一月包会的服务，编出了“接码平台加IG（一种改机工具），飞行模式切IP（打开再关闭飞行模式，可以快速变更移动设备的IP地址）”等朗朗上口的黑产教学顺口溜。

环节4-变现套利

黑产作恶的最终目的是变现套利，即通过提现和各种价值套利方式进行变现。由于很多羊毛党薅到的不是直接的现金，黑产中便演化出了一个不可或缺的角色——点物成金的“变现师傅”。

变现师傅的人脉、渠道资源和议价能力（能以多大的折扣“销赃”），直接决定了他们获取不法利润的丰厚程度。

试想一下，当你利用某银行和某线下便利店合作推出的信用卡支付促销漏洞，薅来一屋子方便面时，你如何变现？一般人能做到吗？变现师傅就能做到。

所以在黑产中，变现师傅是个很有门槛的角色。

“你要认识足够多的人，人家愿意给足够高的价买你的东西，能谈到七折还是八折，看你的本事。”Sw0rdH01der告诉「甲子光年」。

还有一种“卖苦力”的变现者——骡子。

这是金融欺诈中的常见角色。盗刷银行卡后，黑产需要一套严密的流程来避免资金被追踪。这些资金会被打到数十张乃至数百张银行卡上，骡子的职责就是骑着摩的到分散各地的ATM机中取出现金。

在上述四大环节、众多角色的参与中，整个黑产江湖已呈现出强烈的上下游敏捷响应能力和“互助精神”：

一旦某漏洞出现，庞大的黑产实施方会在第一时间尝试攻击；一旦手段不灵，“羊毛薅不到了”的烽火就会迅速燃遍各大QQ/电报群，打码平台等技术供应者随即快速跟进；一旦哪个打码平台率先突破，它就能在此次战役中大赚一笔；而经此一役，这种“先进”解决方案又会被争相复制，快速普及。

到2018年，随着数美服务的许多客户进入海外扩张阶段，数美又有了一个新发现：国内黑产出海了！

数美攻防团队在“搭讪”黑产时，已开始遇到同时发送中英文产品简介的客服。

没有对比就没有伤害，一个有些讽刺的现实是，国内黑产已领先全球。

3.魔高一尺道高一丈

国内黑产的快速升级，除了“有钱能使鬼推磨”的利益驱动外，更直接的刺激因素正是黑产对抗者的存在。

在自然界，类似的“竞争协同进化”已上演千百年：

昆虫进化出了啃食植物的口器，植物就会相应地进化出利刺或毒素——魔高一尺，道高一丈，螺旋上升，协同向前。

让我们快速回顾一下数美在过去几年经历的几轮攻防战：

黑产常见手法：从打接口、虚拟机到设备农场

数美先后与打接口、虚拟机和设备农场三种常见的黑产操作对阵，难度从低到高依次升级。

2015年公司刚成立时，数美面临的最普遍的黑产是打接口和虚拟机。

这两种手法比较相似，都是用电脑模拟手机等移动设备，以虚假设备信息和网站、APP的服务器端通信。

这种低成本手段是移动互联网水大鱼大时期的遗留物，铭刻着各平台未对黑产痛下杀手时的“美好记忆”，由于操作简便，不需额外资源，仍是目前主流的黑产手段之一。

识别虚拟机的主要方式是：引入设备标识判断逻辑，没有任何设备标识信息或信息不正确，就会被判断为打接口“假客户端”。

识别虚拟机的方法也不算困难——其中一种方法是看CPU、PC上虚拟机使用的CPU指令集架构和移动设备会有明显差别，如果发现指令集属于PC而非移动设备，则识别成功。

打接口、虚拟机，攻破。

此后，黑产不得不启用更高成本的新手段——用真实手机作恶，设备农场形态应运而生。