用中国移动宽带咨询手机能打10100进行咨询吗
点击联系发帖人
时间:2018-03-04 00:23
目前 B站 的验证码相比大部分其他用户较多的网站的验证码而言确实比较容易自动识别。&br&&a href=&//link.zhihu.com/?target=https%3A//github.com/GCC15/bilibili-captcha& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&GCC15/bilibili-captcha · GitHub&/a&&br&这个B站验证码识别器是前段时间和 &a data-hash=&ed6b3a0502afe33a6b36& href=&//www.zhihu.com/people/ed6b3a0502afe33a6b36& class=&member_mention& data-editable=&true& data-title=&@d hadzc& data-tip=&p$t$ed6b3a0502afe33a6b36& data-hovercard=&p$b$ed6b3a0502afe33a6b36&&@d hadzc&/a& 和 &a data-hash=&52f47bffe31b3ccf588a4& href=&//www.zhihu.com/people/52f47bffe31b3ccf588a4& class=&member_mention& data-editable=&true& data-title=&@Crepuscule& data-tip=&p$b$52f47bffe31b3ccf588a4& data-hovercard=&p$b$52f47bffe31b3ccf588a4&&@Crepuscule&/a& 一起实现的,使用 Python。&br&识别的大体方法是在灰度化和去噪之后先把图像分割成 5 个部分,分别对应 5 个字符,之后用神经网络(多层感知器)识别每个字符。&br&分割方法比较 naive,成功率约 45%,还有很大改进空间;而 MLP 单个字符的识别成功率接近 100%。&br&由于能够根据分割结果来判定分割是否成功,在实际用于登录或者注册的时候,可以在分割失败的情况下丢弃识别结果并请求新的验证码,这样可以使提交的识别结果的成功率达到 95% 以上。
目前 B站 的验证码相比大部分其他用户较多的网站的验证码而言确实比较容易自动识别。
这个B站验证码识别器是前段时间和
一起实现的,使用 Python。 识别的大体方法是在灰度化和去噪之后先把图像…
&figure&&img src=&https://pic4.zhimg.com/v2-188aebea358c29f17b0733_b.jpg& data-rawwidth=&520& data-rawheight=&348& class=&origin_image zh-lightbox-thumb& width=&520& data-original=&https://pic4.zhimg.com/v2-188aebea358c29f17b0733_r.jpg&&&/figure&&p&最近,央视曝光了一起离奇的电信诈骗案件。受害者既没有接到不明电话或短信,手机也没有中毒,账户里的钱莫名其妙地就被人全部盗刷。&/p&&p&随着调查的深入,民警发现这是违法分子利用用户在其它网站的泄漏密码使用“撞库”手段扫描用户网银的登录密码,再用非常规手段对用户网银绑定手机号修改所造成的案件。&br&&/p&&p&中国人看事物,都习惯分个阴阳。往往明面上有多么繁荣,暗地里就有多么猖獗。记得年初看到一份报告《Bot Traffic Report 2016》,报告称2016年机器人流量占全网流量的51.8%,超过人类流量,而其中恶意机器人流量占据了全网流量的28.9%。&br&&/p&&p&如何从庞大的恶意流量中捕获期望的数据,这件事一直深深地吸引着我们,团队为此进行着长期的研究,并在全网搭建了许多数据探针,捕获了大量第一手数据,让我们有机会窥见这个黑暗领域的一隅,从而有了黑产大数据这个系列的报告,今天的主题是:全球撞库追踪。&br&&/p&&p&&strong&一、&/strong&&strong&什么是撞库攻击&/strong&&br&&/p&&p&简单来说,&strong&使用他人在A网站的账号密码,去B网站尝试登陆,就是撞库攻击。&/strong&&br&&/p&&p&在早些年,盗取他人账号主要靠木马,密码字典则靠软件生成,而随着近几年频繁出现网站数据库泄漏事件,撞库攻击逐渐成为主流的盗号方式。撞库攻击也成为账号类攻击的重要一环,下图是整个账号类攻击链条:&figure&&img src=&https://pic4.zhimg.com/v2-2b9bee6ed0e2ab79ba03db9f_b.jpg& data-rawwidth=&656& data-rawheight=&451& class=&origin_image zh-lightbox-thumb& width=&656& data-original=&https://pic4.zhimg.com/v2-2b9bee6ed0e2ab79ba03db9f_r.jpg&&&/figure&&/p&&p&&strong&【词汇解释】&/strong&&/p&&p&&strong&拖库&/strong&:黑客从有价值的网站盗取用户资料数据。&br&&/p&&p&&strong&洗库&/strong&:黑客将用户账户的财产或虚拟财产或账户信息本身变现。&/p&&p&&strong&社工库&/strong&:黑客将获取的各种数据库关联起来,对用户进行全方位画像。&/p&&p&&strong&定向攻击&/strong&:黑客根据用户画像,对特定人或人群进行针对性的犯罪活动,比如诈骗。&/p&&p&&strong&二、从哪来 & 到哪去&/strong&&br&&/p&&p&前面回答了三大哲学问题之一「X是什么」,再来看另外两大问题:&br&&/p&&p&从哪里来&br&&/p&&p&到哪里去&/p&&p&&strong&1. 撞库源数据来源&/strong&&br&&/p&&p&黑客要进行撞库攻击,首先需要足够的原始账号数据,我们对网络上捕获到的撞库攻击进行分析,发现原始数据来源主要有以下几点:&br&&/p&&p&&strong&1)信封号产业链&/strong&&br&&/p&&p&信封号,就是被盗的QQ号。信封号产业链,就是QQ号盗取、销赃、并利用获利的产业链。每天互联网黑市上会有成百上千万的被盗QQ号流入该产业链,原本QQ账号密码只在腾讯内部有价值,但由于QQ邮箱的大规模使用,很多人在网站注册用户时直接使用QQ号对应的QQ邮箱和密码,导致被盗QQ号被大量直接用来进行网站撞库。&br&&/p&&p&&strong&2)网站泄漏数据库&/strong&&br&&/p&&p&网站泄漏数据库的标志性事件是2011年 CSDN 600万用户数据泄漏,引领了当年一波数据泄漏高峰,数十个网站的用户数据被公开,大量原本只在地下流通的泄漏数据被抛到台面上,给平时并不关注此道的黑客们提供了足够的数据源切入这个方向,也因此点燃了撞库攻击的热潮。&br&&/p&&p&类似事件还有2015年某邮箱数亿账号泄漏,都给黑客提供了重要的弹药资源。更何况被爆出来的数据泄漏,其实也仅仅是冰山一角。&br&&/p&&p&&strong&3)地下黑市流通&/strong&&br&&/p&&p&数据窃取与交易这个领域几乎是地下产业链隐藏最深的部分,有不少黑客通过数据交易来构建庞大的社工库。黑客之间的私下交易我们无法得知,到底有多少网站数据已经被窃取也没法客观评估,但通过某些半公开的渠道,亦可管中窥豹。下面是暗网某地下数据交易市场的截图:&figure&&img src=&https://pic3.zhimg.com/v2-66e38211a4fbc1faa7c4_b.jpg& data-rawwidth=&640& data-rawheight=&382& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&https://pic3.zhimg.com/v2-66e38211a4fbc1faa7c4_r.jpg&&&/figure&&/p&&p&&strong&2. 撞库源数据分类&/strong&&/p&&p&从近期的撞库数据来看,email占据了大约1/4,手机号占5.8%。&figure&&img src=&https://pic2.zhimg.com/v2-3aa3ea81e6ca2ab34d5b41_b.jpg& data-rawwidth=&516& data-rawheight=&374& class=&origin_image zh-lightbox-thumb& width=&516& data-original=&https://pic2.zhimg.com/v2-3aa3ea81e6ca2ab34d5b41_r.jpg&&&/figure&&/p&&p&&strong&3. 国家被攻击数据&/strong&&/p&&p&我们从近期全球数十亿次撞库攻击行为,聚合分析后,绘制了以下全球撞库攻击数据图:&br&&/p&&p&&strong&1)攻击流量去向&/strong&&br&&/p&&p&可以看出,中国和美国占据了撞库类攻击的绝大多数份额。&figure&&img src=&https://pic3.zhimg.com/v2-5db6bef4393b_b.jpg& data-rawwidth=&500& data-rawheight=&363& class=&origin_image zh-lightbox-thumb& width=&500& data-original=&https://pic3.zhimg.com/v2-5db6bef4393b_r.jpg&&&/figure&&/p&&p&&strong&2)各国被攻击公司占比&/strong&&/p&&p&其中有超过一半的被攻击公司来自中国。&figure&&img src=&https://pic1.zhimg.com/v2-2aaef6ba6f85_b.jpg& data-rawwidth=&490& data-rawheight=&373& class=&origin_image zh-lightbox-thumb& width=&490& data-original=&https://pic1.zhimg.com/v2-2aaef6ba6f85_r.jpg&&&/figure&&/p&&p&&strong&3)攻击来源分布&/strong&&/p&&p&同时,中国也是最大的攻击来源国,其次是俄罗斯黑客明显占据较大比例,包括俄罗斯、乌克兰、白俄罗斯等前苏联国家。&br&&/p&&p&&figure&&img src=&https://pic3.zhimg.com/v2-d6dcbd69b3_b.jpg& data-rawwidth=&521& data-rawheight=&368& class=&origin_image zh-lightbox-thumb& width=&521& data-original=&https://pic3.zhimg.com/v2-d6dcbd69b3_r.jpg&&&/figure&&strong&4. 中美攻击数据的差异&/strong&&/p&&p&在分析很多问题时,中国的数据相对海外都会呈现明显的差异。于是我们特地把中美两个互联网TOP 2国家的情况单独来做比较。&br&&/p&&p&&strong&1)被攻击公司类型&/strong&&br&&/p&&p&中国黑客明显以游戏公司目标为主,具有极明显的变现倾向,由于国内黑产产业化发达,游戏玩家众多,因此游戏业在被攻击公司中首当其冲。&figure&&img src=&https://pic4.zhimg.com/v2-7e6f6af0c36f06aff538bb5d58aa861a_b.jpg& data-rawwidth=&521& data-rawheight=&362& class=&origin_image zh-lightbox-thumb& width=&521& data-original=&https://pic4.zhimg.com/v2-7e6f6af0c36f06aff538bb5d58aa861a_r.jpg&&&/figure& 而美国被攻击行业则呈现较均衡的情况。&figure&&img src=&https://pic3.zhimg.com/v2-1f0a218884bff19fbdf413_b.jpg& data-rawwidth=&519& data-rawheight=&385& class=&origin_image zh-lightbox-thumb& width=&519& data-original=&https://pic3.zhimg.com/v2-1f0a218884bff19fbdf413_r.jpg&&&/figure&&/p&&p&&strong&2)攻击来源&/strong&&/p&&p&绝大多数对中国公司的攻击都是来自国内,主要由于海外互联网公司难以进入国内市场,存在市场和语言的双重隔离,导致连黑客攻击都自成一脉,以自产自销为主。相对来说,美国则是全球黑客青睐之地,战斗民族俄罗斯人再次战力爆表。&figure&&img src=&https://pic1.zhimg.com/v2-debcb98f4fcd4bd25eb6f7d46ec7ac75_b.jpg& data-rawwidth=&484& data-rawheight=&410& class=&origin_image zh-lightbox-thumb& width=&484& data-original=&https://pic1.zhimg.com/v2-debcb98f4fcd4bd25eb6f7d46ec7ac75_r.jpg&&&/figure&相对来说,美国则是全球黑客青睐之地,战斗民族俄罗斯人再次战力爆表。&figure&&img src=&https://pic3.zhimg.com/v2-da_b.jpg& data-rawwidth=&530& data-rawheight=&374& class=&origin_image zh-lightbox-thumb& width=&530& data-original=&https://pic3.zhimg.com/v2-da_r.jpg&&&/figure&&/p&&p&&strong&5. 主要受影响的行业&/strong&&/p&&p&&strong&1)游戏行业&/strong&&br&&/p&&p&游戏业在盈利能力上整个互联网可以说是最为可观,那么很自然的,游戏业的地下市场也就吸引了大量的从业人员,并产生了了众多的变现方案和利益链条。游戏业一直是黑客关注的重点,从盗号木马到外挂编写,从打金工作室到私服,从代练到金币装备交易。而能直接获得对方游戏账号的撞库方案自然也成为黑客关注的重中之重,因此,游戏公司在此类攻击中首当其冲也是理所当然了。&br&&/p&&p&&strong&2)版权行业&/strong&&br&&/p&&p&随着书影音类资源的正版化推进,以及带宽的增长,许多相关资源可以在线付费观看,当用户不愿意花时间去寻找资源下载电影,但愿意花低得多的费用买一个高级会员账号来使用时,相关的账号也就变得具有变现价值。&br&&/p&&p&&strong&3)社交行业&/strong&&br&&/p&&p&社交网站的灰色生意主要包括并不限于以下几类:&br&&/p&&p&刷粉、刷赞、刷榜、刷观看&br&&/p&&p&私信广告&/p&&p&色情社交&/p&&p&诈骗&/p&&p&随着社交平台风控策略的不断升级,因此社交平台老账号(注册时间较长)便成了某些圈内炙手可热的资源,比如某著名陌生人社交APP老号市场价值在30元以上。掌握这些资源便意味着被封杀的可能性降低,意味着以上生意的相对持续性。人多的地方就意味着生意,因此,社交账号从来都是黑产重要目标。&br&&/p&&p&&strong&三、攻击方法 & 主流防控&/strong&&br&&/p&&p&通过对海量攻击行为的监控和分析,我们可以看到黑客的攻击方法,同样也能看到厂商防控措施。&br&&/p&&p&&strong&1. 黑客如何攻击&/strong&&br&&/p&&p&&strong&1)判断账号是否存在&/strong&&br&&/p&&p&注册接口快速验证&br&&/p&&p&许多网站在填写注册信息时,会通过AJAX对账户名是否可用做实时验证,如果可用便在页面上打个勾。该接口大量被黑客用来判断某用户名是否有在网站注册。&/p&&p&登陆接口返回信息&/p&&p&部分网站如果账号密码错误会返回敏感信息暴露账号存在情况。例如返回提示「账号不存在」或「密码错误」,便能让黑客判断账号是否存在。此处我们推荐的返回信息是「账号或密码错误」。&/p&&p&找回密码接口&/p&&p&部分网站在找回密码的流程中,填写手机号或邮箱后会有一次带提示信息的再确认,此处也常常被黑客用来判断账户存在与否。&/p&&p&&strong&2)业务安全的集中管理问题突出&/strong&&br&&/p&&p&从我们的统计数据来看,许多网站的主登陆口往往有比较严格的审计措施,会根据登陆IP、频率等触发验证码或封IP。但当公司业务增多,安全管理复杂度大幅增加,不同子站各用一套自己登陆验证,缺乏统一登陆接口的问题便暴露出来。比如某个子产品的登陆功能,或者公司网站挂个论坛,往往会走单独的登陆接口,当这些边缘业务接口没有接入审计功能,便成为黑客攻击的温床。&br&&/p&&p&从我们捕捉到的攻击数据中可以看到很多此情况,黑客被对抗多次后都能再次发现新的毫无风控逻辑的撞库接口,甚至有的登陆接口公司安全部门都不知道其存在。所谓千里之堤,毁于蚁穴。尽管主业务做了大量的防御措施,当边缘业务出现疏忽时,一切措施便形同虚设。&br&&/p&&p&&strong&3)攻击效果&/strong&&br&&/p&&p&众所周知撞库类风险属于常规风险,其核心往往不在于如何完全避免,而更多考虑的是攻防对抗的成本提升。从对大量的撞库攻击监控来分析,我们对黑产撞库有效率和成功率进行统计,我们会发现一个事实,长期的撞库攻击会带来质的伤害,行业内现如今经常会爆出某厂商被拖库的新闻,但大部分最终也就是撞库的数据曝光刺激了媒体的神经:&br&&/p&&p&&strong&撞库有效率和成功率&/strong&&br&&/p&&p&根据对大量黑产撞库数据的统计,能够成功绕过风控策略的攻击占总攻击量的83%,撞库成功率则在0.4%左右浮动。&/p&&p&&strong&2. 主流防控&/strong&&br&&/p&&p&说完黑客的攻击方法,再来看看厂商是如何防控的。&br&&/p&&p&&strong&1)主要防护措施&/strong&&br&&/p&&p&封IP&br&&/p&&p&根据黑IP库或同IP发起的请求次数、密码错误率等决定是否一段时间内禁止该IP的请求。&/p&&p&验证码&/p&&p&最广泛部署的方案,有很多类型,例如字母扭曲、汉字识别、移动滑块、图像选择。普通厂商直接接入验证码,有后台分析能力的则在后台审计出现异常时才触发验证码以提升普通用户体验。&/p&&p&短信验证&/p&&p&建立在手机和手机号成本上的真人认证。&/p&&p&行为聚集&/p&&p&根据用户登录过程行为判断,例如页面停留时间、鼠标焦点、页面访问流程、csrf-token等。&/p&&p&设备聚集&/p&&p&通过客户端尤其是手机客户端,上报许多机器信息,识别是否存在伪造设备情况。&/p&&p&本质上,以上所有方案其实都是为了解决一件事情,就是判断电脑的对面是一个真实的人。&br&&/p&&p&&strong&3. 主流防控的绕过&/strong&&br&&/p&&p&面对暴利,没有人愿意坐以待毙。和厂商一样,黑产人员面对厂商的对抗,不但积极主动,甚至做到了平台化、链条化来进行反对抗。从我们监测到的攻击行为来看,撞库黑客在各个维度都有完善的方案和厂商进行对抗,主要从下面几个方面:&br&&/p&&p&&strong&1)低安全性边缘业务或新业务&/strong&&br&&/p&&p&面对严格的防护逻辑,最快的办法就是寻找其自身的漏洞。一旦发现非严格审计的的边缘业务接口,便绕过所有的防护措施,如入无人之境。&br&&/p&&p&厂商往往在这个维度缺乏有效的监控,因为本来就是被安全部门所忽视的接口,但当我们从第三方视角对黑产流量进行大数据分析时,这种伎俩变得无所遁形,何人何时开始对新接口进行攻击都在我们的监控范围内,可以极大增强厂商对该类漏洞的反应速度。&br&&/p&&p&&strong&2)IP对抗&/strong&&br&&/p&&p&IP地址作为互联网的紧缺资源,一直是厂商最重要的风控方案之一,如何获得大量IP出口也是黑产业者最先需要解决的问题。其实不仅仅是黑产,许多爬虫、搜索引擎、机器人程序都有类似需求。我们通过长期对大量撞库攻击的来源进行反向追踪,发现撞库攻击获取IP资源的方法主要有以下几类:&br&&/p&&p&扫描代理&br&&/p&&p&免费方案,通过全网扫描常见的代理服务器端口,收集可用的代理IP地址,自行管理维护,但成本高、效率低。&/p&&p&付费代理&/p&&p&代理商通过或扫描或搭建或交换的方式,提供全球的代理服务器,有效降低自行收集代理的管理成本。&/p&&p&付费VPN&/p&&p&和付费代理类似,只是技术不同。&/p&&p&拨号VPS&/p&&p&过去的两年里,我们监控到国内有一类新的IP获取方案逐渐被黑产应用,叫做拨号VPS或动态VPS。该类VPS也是一台虚拟服务器,但需要通过ADSL拨号才能上网,于是便拥有了整个城市的大量可用IP。听起来似乎并没有什么特别,你我家的ADSL也能做到,但依旧是大力出奇迹,相关供应商做到了打通全国多省市的拨号方法,俗称混拨。实现了在一台VPS中使用一个账号快速随机切换近百城市的ADSL线路拨入互联网,对很多企业的风控部门造成巨大压力。&/p&&p&实际使用效果如下图:&figure&&img src=&https://pic4.zhimg.com/v2-bddb0e45df3a2d5b_b.jpg& data-rawwidth=&616& data-rawheight=&422& class=&origin_image zh-lightbox-thumb& width=&616& data-original=&https://pic4.zhimg.com/v2-bddb0e45df3a2d5b_r.jpg&&&/figure&&/p&&p&&strong&3)验证码对抗&/strong&&/p&&p&作为一种最简单、应用最广的自动化图灵测试方案,十多年来,大量公司和团队不断尝试自动化破解,以至于验证码也不断升级变得人类也要多次才能识别。然而在中国,黑产创业者们依赖低成本人力,对无法通过技术识别的验证码直接使用了最暴力的方式——人工打码来进行破解,并传播到了大量第三世界国家,导致全球有近百万人以此为生。因此衍生了黑产供应商平台之一:&strong&打码平台&/strong&。&br&&/p&&p&从我们了解到的数据来看,打码工人平均每码收入1-2分钱,熟练工每分钟能打码20个左右,每小时收入在10-15元。&figure&&img src=&https://pic3.zhimg.com/v2-6cec3e32827cf93ccaa58cb7f2417cd6_b.jpg& data-rawwidth=&640& data-rawheight=&358& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&https://pic3.zhimg.com/v2-6cec3e32827cf93ccaa58cb7f2417cd6_r.jpg&&&/figure&&/p&&p&&strong&4)短信验证对抗&/strong&&/p&&p&当网站开发人员习惯以自己的视角来考虑安全对抗方案,认为接收短信依赖于手机和办卡的成本,出人意料的创新总是让人防不胜防。看下面这个设备,该设备俗称「猫池」,能统一管理256张SIM卡,再通过软件将收到的验证码通过api接口对外提供查询服务。并由此衍生了黑产供应商另一个细分市场:接码平台。&figure&&img src=&https://pic4.zhimg.com/v2-cbecc957f6a572bf0f5705afa660ece5_b.jpg& data-rawwidth=&640& data-rawheight=&240& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&https://pic4.zhimg.com/v2-cbecc957f6a572bf0f5705afa660ece5_r.jpg&&&/figure&黑产业者从该类平台使用不同手机号接收一个验证码只需要付费1-3毛钱,业务量可以参考2016年11月被公安查处的爱码平台案,下图是现场照片,仅该接码平台就拥有700多万手机黑卡用来进行验证码接收业务,其中大部分是黑产相关,有兴趣可以自行搜索案件详情。&figure&&img src=&https://pic2.zhimg.com/v2-a60ce40ad7c_b.jpg& data-rawwidth=&600& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic2.zhimg.com/v2-a60ce40ad7c_r.jpg&&&/figure&&/p&&p&&strong&5)模仿真人行为&/strong&&/p&&p&在规避后台的行为分析模型方面,黑客提交的请求早已不是仅仅填一个User-Agent就完事,从对黑客进行撞库攻击的流程来分析,为了规避后台分析,不少黑客的流程已经包括并不限于:&br&&/p&&p&完整的页面打开流程,而不是仅仅向关键接口提交请求&br&&/p&&p&csrf-token 等参数完备&/p&&p&随机的页面停留时间&/p&&p&http header 严格遵守浏览器特征&/p&&p&随机化各种看起来不重要的参数&/p&&p&&strong&4. 主流风控的常见问题&/strong&&br&&/p&&p&从我们对各种撞库攻击的效果分析来看,各厂商主要存在和面临如下问题:&br&&/p&&p&check-user-exist 类接口缺失风控策略&br&&/p&&p&登录失败时登陆接口返回敏感信息&/p&&p&帐号体系缺乏统一管理机制,经常有新业务或边缘业务绕过风控方案&/p&&p&基于IP、短信、验证码的验证变成了和专业平台对抗&/p&&p&&strong&四、总结和展望&/strong&&br&&/p&&p&&strong&1. 攻击新趋势&/strong&&br&&/p&&p&&strong&1)撞库逐渐取代盗号成为主流攻击方式&/strong&&br&&/p&&p&从我们持续对地下黑产的监控和挖掘来看,由于各种泄漏数据库的曝光,撞库的流量占比在近年来明显增长。另一方面,由于操作系统和浏览器安全性的持续提升,通过下载或网页挂马盗号的方式逐渐被撞库攻击取代,撞库已经成为获取用户账号的主流攻击方式。&br&&/p&&p&&strong&2)黑产资源平台化&figure&&img src=&https://pic4.zhimg.com/v2-188aebea358c29f17b0733_b.jpg& data-rawwidth=&520& data-rawheight=&348& class=&origin_image zh-lightbox-thumb& width=&520& data-original=&https://pic4.zhimg.com/v2-188aebea358c29f17b0733_r.jpg&&&/figure&&/strong&&/p&&p&相对早期黑客的单打独斗,如今黑产更像一个航母战斗群,黑客主要以基础账号库为核心资源,仅提供战斗力输出但防御很低,其它对抗类资源都由各种辅助资源平台直接提供,导致厂商对抗对象由黑客变成了各种资源平台,各种肉盾导致风控审计越来越困难,其中资源平台包括并不限于以下几类:&/p&&p&代理提供商&br&&/p&&p&VPN提供商&/p&&p&拨号VPS供应商&/p&&p&短信接码平台&/p&&p&验证码打码平台&/p&&p&……&/p&&p&&strong&3)拨号VPS发展迅速&/strong&&br&&/p&&p&相对比较成熟的代理服务器方案,拨号VPS尤其是混拨VPS提供了更大的IP池和国内随机化的地理位置,可以预见,该技术将进一步在黑产中应用广泛。&br&&/p&&p&&strong&2. 新风控角度的思考&/strong&&br&&/p&&p&&strong&1)核心账号资源对抗&/strong&&br&&/p&&p&从对撞库的攻防数据来看,目前大多数的撞库相关风控对抗其实是发生在厂商对黑产战斗群的各种护卫舰身上,并且由于对方的不同资源平台往往专注一个点不断优化,越打越强,导致风控措施效果也越来越差,反而在针对黑客核心资源的已泄漏账号库上缺乏有效对抗方案。&br&&/p&&p&试想,如果能从黑客进行撞库尝试使用的账号密码上发现这属于外网已泄漏账号,直接触发风控逻辑,那么便绕过了黑客所有的外围防护手段,直接从对方无法回避的点进行风控对抗。&br&&/p&&p&让人不由想起《笑傲江湖》中令狐冲和冲虚道长比剑,面对毫无破绽的太极剑法,唯有从圆形剑光中心挥剑直入,看似最没有破绽的地方反而是其破绽所在。&br&&/p&&p&道理说起来非常简单,但这种对抗方式是建立在比黑产掌握更庞大的泄漏数据基础上才有可能实现,除了搜集网上泄漏的数据外,必须有其它更实时有效方案进行数据补充。&br&&/p&&p&&strong&2)黑产大数据监控&/strong&&br&&/p&&p&基于长期对恶意流量的研究,我们通过不同方案对多种黑产流量进行持续监控,每天能捕获数亿条原始攻击请求,在撞库方面,保持日均数百万的原始账号库积累。通过这种方式,为账号类风控对抗提供了新的维度,并能提供持续的有力保障。&br&&/p&&p&独孤九剑为何独步天下,其中「破剑式」虽只一式,但其中于天下各门各派剑法要义兼收并蓄,以天下剑法为根基,堪破种种变化。这正是典型大数据的思维。数据面前,了无秘密!基于对黑产撞库攻击核心账号资源的持续监控,或许才是账号风控中「破撞式」的真正心法所在。&br&&/p&&br&&p&&b&威胁猎人(ThreatHunter)团队,专注安全多年,致力于为互联网公司解决业务安全风控问题。团队第一个产品「帐号宝」(&a href=&https://link.zhihu.com/?target=http%3A//zhanghaobao.net& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&帐号宝&/a&),全国首家风险账号检测即服务平台(CADaaS),致力于解决撞库风险和高危帐号审计。 &/b&&/p&
最近,央视曝光了一起离奇的电信诈骗案件。受害者既没有接到不明电话或短信,手机也没有中毒,账户里的钱莫名其妙地就被人全部盗刷。随着调查的深入,民警发现这是违法分子利用用户在其它网站的泄漏密码使用“撞库”手段扫描用户网银的登录密码,再用非常规…
&p&源地址:&a href=&http://link.zhihu.com/?target=http%3A//blog.attify.com//exploiting-iot-enabled-ble-smart-bulb-security/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Exploiting IoT enabled BLE smart bulb security - IoT Exploitation and Mobile Security Pentesting by Attify&/a&&/p&&h3&设备需求&/h3&&ul&&li&笔记本电脑&/li&&li&Ubertooth 蓝牙嗅探设备&/li&&li&hcitool&/li&&li&ubertooth-utils&/li&&li&&p&Gatttool&/p&&/li&&/ul&&h3&基本概念&/h3&&blockquote&&p&UUID, 就是用来唯一识别一个特征值的ID.&/p&&p&handle,就是对应的attribute 的一个句柄&/p&&p&所有对特征值的操作,都是通过对UUID 的搜索得到对应的handle之后,通过handle来操作特征值的。&/p&&/blockquote&&h3&步骤&/h3&&p&连接智能灯泡,确保能正常工作,手机app端保证能正常开启关闭灯泡&/p&
Step1 获取灯泡蓝牙地址
&p&命令:&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&hcitool lescan
&/code&&/pre&&/div&&p&扫描结果:&/p&&figure&&img src=&http://pic3.zhimg.com/v2-1ea720a2da4a527fa9b696_b.png& data-rawwidth=&893& data-rawheight=&137& class=&origin_image zh-lightbox-thumb& width=&893& data-original=&http://pic3.zhimg.com/v2-1ea720a2da4a527fa9b696_r.png&&&/figure&&br&&p&从图中可以看到地址为:88:C2:55:CA:E9:4A,设备名称是:cnligh&/p&
Step2 获取设备运行服务
&p&命令:&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&gatttool -I
connect 88:C2:55:CA:E9:4A
&/code&&/pre&&/div&&figure&&img src=&http://pic4.zhimg.com/v2-cbcba9981abfcab_b.png& data-rawwidth=&969& data-rawheight=&139& class=&origin_image zh-lightbox-thumb& width=&969& data-original=&http://pic4.zhimg.com/v2-cbcba9981abfcab_r.png&&&/figure&&br&&p&存在三个uuid值,其中 和
是蓝牙标准中定义的服务器描述, UUID
是私有定义的&/p&
Step3 列举私有uuid的handles
&p&使用在uuid 中的特殊的属性值和组结束handles来列举所有的handles&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&char-desc 0x0010 0xffff
&/code&&/pre&&/div&&figure&&img src=&http://pic3.zhimg.com/v2-f059be3cadc3fc83a268ea_b.png& data-rawwidth=&1067& data-rawheight=&520& class=&origin_image zh-lightbox-thumb& width=&1067& data-original=&http://pic3.zhimg.com/v2-f059be3cadc3fc83a268ea_r.png&&&/figure&&p&从上图可以看到所有的handles&/p&&p&可以参考:&a href=&http://link.zhihu.com/?target=https%3A//www.bluetooth.com/specifications/gatt/services& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&GATT Services | Bluetooth Technology Website&/a& 了解每个handle的意义&/p&
获取可读写handle
&p&有很多的handle,我们不知道那些是可写的,我们尝试读取他们的handle 值&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&char-read-hnd 0x0012
&/code&&/pre&&/div&&figure&&img src=&http://pic4.zhimg.com/v2-65347fbc6ccfb70cc1b08f_b.png& data-rawwidth=&840& data-rawheight=&42& class=&origin_image zh-lightbox-thumb& width=&840& data-original=&http://pic4.zhimg.com/v2-65347fbc6ccfb70cc1b08f_r.png&&&/figure&&p&得到一个错误提示,这里还有个小问题,我们不知道蓝牙包的结构,这就需要使用ubertooth来获取蓝牙数据包&/p&
获取蓝牙数据包
&p&嗅探命令&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&ubertooth-btle -f -t88:C2:55:CA:E9:4A
&/code&&/pre&&/div&&figure&&img src=&http://pic1.zhimg.com/v2-5ddcc584edcb4d80a14aa929ee552bac_b.png& data-rawwidth=&730& data-rawheight=&507& class=&origin_image zh-lightbox-thumb& width=&730& data-original=&http://pic1.zhimg.com/v2-5ddcc584edcb4d80a14aa929ee552bac_r.png&&&/figure&&br&&p&为了获取数据包,可以使用&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&ubertooth-btle -f -t88:C2:55:CA:E9:4A -c smartbulb_dump.pcap
&/code&&/pre&&/div&&p&-c是为了保存数据到pcap文件中&/p&&p&这时候打开app连接灯泡,进行开关操作,这时候就会获取到数据包信息&/p&&figure&&img src=&http://pic3.zhimg.com/v2-0e8ce1c50faacdd430e8dc76_b.png& data-rawwidth=&730& data-rawheight=&507& class=&origin_image zh-lightbox-thumb& width=&730& data-original=&http://pic3.zhimg.com/v2-0e8ce1c50faacdd430e8dc76_r.png&&&/figure&&p&从图中可以看出:&/p&&blockquote&&p&接入地址为 0x8e89bed6&br&处于37频道&br&数据包PDU 为ADV_IND,意味着这个是已经连接的,可扫描的,有回复的&br&设备地址为:88:c2:55:ca:e9:4a&/p&&/blockquote&&figure&&img src=&http://pic1.zhimg.com/v2-6e23aa87abdb1fbd086634_b.png& data-rawwidth=&1061& data-rawheight=&433& class=&origin_image zh-lightbox-thumb& width=&1061& data-original=&http://pic1.zhimg.com/v2-6e23aa87abdb1fbd086634_r.png&&&/figure&&br&&p&从上图可以看到,app的扫描请求和设备的回复&/p&
Wireshark分析数据包
&p&为了方便可以直接使用Wireshark来分析捕获到的数据包&/p&&figure&&img src=&http://pic4.zhimg.com/v2-4b7fed48b93c5da3ad357_b.png& data-rawwidth=&1366& data-rawheight=&768& class=&origin_image zh-lightbox-thumb& width=&1366& data-original=&http://pic4.zhimg.com/v2-4b7fed48b93c5da3ad357_r.png&&&/figure&&br&&p&过滤出ATT的数据包:btl2cap.cid==0x004&/p&&figure&&img src=&http://pic1.zhimg.com/v2-90dd9b8af87d1923cc98_b.png& data-rawwidth=&1366& data-rawheight=&768& class=&origin_image zh-lightbox-thumb& width=&1366& data-original=&http://pic1.zhimg.com/v2-90dd9b8af87d1923cc98_r.png&&&/figure&&br&&p&下面直接找写入操作的数据包&/p&&figure&&img src=&http://pic2.zhimg.com/v2-1d5fb72e3a1b660e8c751a_b.png& data-rawwidth=&1181& data-rawheight=&169& class=&origin_image zh-lightbox-thumb& width=&1181& data-original=&http://pic2.zhimg.com/v2-1d5fb72e3a1b660e8c751a_r.png&&&/figure&&br&&p&可以看到写入的handle正是0x0012&/p&&figure&&img src=&http://pic4.zhimg.com/v2-4bb81e205d2ea865d95fbf_b.png& data-rawwidth=&1315& data-rawheight=&502& class=&origin_image zh-lightbox-thumb& width=&1315& data-original=&http://pic4.zhimg.com/v2-4bb81e205d2ea865d95fbf_r.png&&&/figure&&br&&p&分析写操作,是可以找到地址、crc校验值、操作码,和uuid的&/p&&blockquote&&p&access address:
0xaf9a9515&br&master and slave address&br&CRC: 0x6dcb5&br&handle:
0x0012&br&UUID: 0xfff1&br&value : 03cff&/p&&/blockquote&&figure&&img src=&http://pic4.zhimg.com/v2-e2e6d7fc68d_b.jpg& data-rawwidth=&712& data-rawheight=&170& class=&origin_image zh-lightbox-thumb& width=&712& data-original=&http://pic4.zhimg.com/v2-e2e6d7fc68d_r.jpg&&&/figure&&br&&p&操作灯泡&/p&&p&改变颜色&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&char-write-req 0x000000 //bluish green
char-write-req 0x000000 // Red
char-write-req 0x //Green
char-write-req 0x000000 // Blue
&/code&&/pre&&/div&&p&改变开关状态&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&char-write-req 0x000000 //Off
char-write-req 0x000000 //On
&/code&&/pre&&/div&
源地址:设备需求笔记本电脑Ubertooth 蓝牙嗅探设备hcitoolubertooth-utilsGatttool基本概念UUID, 就是用来唯一识别一个特征值的ID.handle,…
&p&## APP抓包基础&/p&&p&为了测试app,经常需要对app发送的数据进行数据抓取,下面简单介绍下怎么通过代理程序进行,其中包括了抓取http的数据包、https的数据包、tcp/ip的数据包、socket连接数据包、蓝牙数据包(标准蓝牙、BLE)&/p&&p&&br&&/p&&p&### 抓包工具&/p&&p&1. burp&/p&&p&2. fiddler&/p&&p&3. charles&/p&&p&4. wireshark&/p&&p&5. tcpdump&/p&&p&6. hcitool、gatttool&/p&&p&&br&&/p&&p&### 辅助程序&/p&&p&1. xposed框架及模块&/p&&p&2. ProxyDroid&/p&&p&3. create_ap(&a href=&https://link.zhihu.com/?target=https%3A//github.com/oblique/create_ap%25EF%25BC%2589& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&https://github.com/oblique/create_ap)&/a&&/p&&p&4. ubertooth&/p&&p&&br&&/p&&p&## http的抓包&/p&&p&&br&&/p&&p&这个是最为简单的,只要把手机的wifi代理设置成代理工具的地址和端口就可以抓取到,这个不在细说。&/p&&p&&br&&/p&&p&## https的抓包&/p&&p&&br&&/p&&p&这个需要导入代理工具的证书,导入后就可以抓取到手机中的https通信,但是对于app有个问题,app若是做了证书的强校验,就对导入的证书不信任,从而导致导入了根证书也是无法获取到https流量的&/p&&p&&br&&/p&&p&为了解决这个问题,有几种方法可以破解掉证书强校验。&/p&&p&&br&&/p&&p&1. hook方式&/p&&p&这个是反编译app后把强校验的函数更改或者去掉,比较麻烦&/p&&p&2. xposed方式&/p&&p&这个比较方便,需要做的就是root手机以及在手机上安装xposed框架,具体的安装方式网上有很多,需要注意的是需要找到和自己手机内核对应的版本&/p&&p&安装后xposed有个模块市场,里面有很多大神写的模块,为了抓取https的数据包,需要的是JustTrustMe,这个的原理就是吧所有的强校验的函数统一hook,之后重启就能抓取https的数据包了&/p&&p&&br&&/p&&p&## tcp/ip的数据包抓取&/p&&p&&br&&/p&&p&这个不单单是用在app上面,像针对智能硬件测试的时候,可以抓取智能硬件的数据包&/p&&p&这个就没办法使用代理程序的方法进行抓取,比较通用的方式是搭建自己的AP,在AP上对流量进行抓取分析,但是有个问题,看到的流量的目的地址都是AP的地址,对于流量的分析是比较不利的&/p&&p&后来发现create_ap,这个配合wireshark和tcpdump简直神了&/p&&p&首先安装create_ap,很简单,直接make就行,安装好后,在主机上运行(测试了双网卡的ubuntu运行最为稳定):`create_ap wlp3s0 enp0s25 aptest test0987`&/p&&p&就会开启一个aptest的热点,智能设备或者手机连接这个ap,主机上会增加一个网口,后面用wireshark或tcpdump就可以抓取到数据了,而且源ip是智能设备的ip,目的ip是云端服务器的ip,我记得这种ap模式叫做hostap,自己配置是相当麻烦,这个工具就一条命令&/p&&p&当然这种也可以抓取http的流量,只是分析可能没有代理工具方便&/p&&p&&br&&/p&&p&## socket连接数据包&/p&&p&&br&&/p&&p&有的app采用了长连接的方式传递数据,不是http之类的,这种的话burp可以抓取到部分,可能这个功能burp还不完全,这里有个比较好的办法,我是利用ProxyDroid+xposed框架及模块+charles&/p&&p&首先xposed可以把app的强校验干掉,charles有socket代理模式,ProxyDroid可以设置手机所有的流量走socket代理,这样就把流量都导入到了charles中,charles相对于burp有它的优势所在,他可以向对话似的把socket长链接展示出来。后面的分析很方便&/p&&figure&&img src=&https://pic2.zhimg.com/v2-6b1c5b05b284be46341a21_b.jpg& data-rawwidth=&1884& data-rawheight=&368& class=&origin_image zh-lightbox-thumb& width=&1884& data-original=&https://pic2.zhimg.com/v2-6b1c5b05b284be46341a21_r.jpg&&&/figure&&p&## 蓝牙数据包的抓取&/p&&p&&br&&/p&&p&这个ubuntu下安装了bluz协议栈后就很容易的抓取。&/p&&p&利用到的工具就是hcitool,这个可以对蓝牙数据包,ble数据包进行扫描,gatttool可以获取数据包和操作数据包&/p&&p&更为强大的ubertooth,这个是蓝牙分析的利器。&/p&&p&这些的具体使用可以看下&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&&span class=&invisible&&https://&/span&&span class=&visible&&zhuanlan.zhihu.com/p/25&/span&&span class=&invisible&&609035&/span&&span class=&ellipsis&&&/span&&/a&&/p&&p&&/p&
## APP抓包基础为了测试app,经常需要对app发送的数据进行数据抓取,下面简单介绍下怎么通过代理程序进行,其中包括了抓取http的数据包、https的数据包、tcp/ip的数据包、socket连接数据包、蓝牙数据包(标准蓝牙、BLE) ### 抓包工具1. burp2. fiddler3. c…
&figure&&img src=&https://pic3.zhimg.com/v2-8f313bbeec185fd7deb17_b.jpg& data-rawwidth=&970& data-rawheight=&647& class=&origin_image zh-lightbox-thumb& width=&970& data-original=&https://pic3.zhimg.com/v2-8f313bbeec185fd7deb17_r.jpg&&&/figure&&h2&&strong&简介&/strong&&/h2&&p&互联网业务的飞速发展,日渐渗透人类的生活,对经济、文化、社会产生巨大的影响,同时互联网业务安全也日趋重要。如同网络通信的基础安全设施防火墙,&strong&互联网业务安全也有其基础安全设施--图片验证码和短信验证码。&/strong&在互联网业务中,广泛使用图形验证码用于区分人类和机器,使用短信验证码过滤低价值用户及提供二次校验功能。&/p&&p&作为互联网业务的基础安全设施,图片验证码和短信验证也面临众多的挑战。&strong&此前我们通过&/strong&&strong&&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&《验证码的前世今生(前世篇)》&/a&&/strong&&strong&和&/strong&&strong&&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&《验证码的前世今生(今生篇)》&/a&&/strong&&strong&了解了验证码的发展及演变,原理及优缺点。&/strong&&strong&今天&/strong&&strong&本&/strong&&strong&文将带你走近互联网业务眼前的威胁——图片打码平台和短信打码平台。&/strong&我们以如下两个场景简单说明下普通打码平台以及手机打码平台:&/p&&p&&strong&场景一:批量登陆12306网站,并进行购买行为,但验证码不能自动识别。&/strong&&/p&&p&12306的验证码比较复杂,程序较难识别。这时候就出现了普通验证码的打码平台,程序将验证码传给打码平台的识别接口,打码平台将验证码发给后端的“佣工”进行识别,并获取识别结果。这样基于此类的人工打码平台,即可实现程序的自动化。&/p&&p&&strong&场景二:注册某购物平台,但其需要填写手机号和收到的验证码才可注册,如何进行批量机器注册?&/strong&&/p&&p&这时候就出现了手机打码平台,该平台提供大量的手机号,并能够发送和接收短信。这样只需调用手机打码平台相关接口,获取手机号并获取短信内容即可进行批量注册。&/p&&p&最后我们将会简单的阐述面对这些威胁新的解决之道。&/p&&h2&&strong&一、普通打码平台&/strong&&/h2&&p&&strong&一)介绍&/strong&&/p&&p&现在很多简单的字符验证码已经不能够有效阻挡机器行为,使用简单的OCR识别工具即可进行识别,稍微复杂的可以结合机器学习等进行高准确率的识别。&/p&&p&普通的字符验证码很容易被识别,因而又产生了一些较复杂的验证码,比如如下一些较难通过机器进行识别的。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-e0fe3bb25ddc02ff3dab_b.jpg& data-rawwidth=&539& data-rawheight=&202& class=&origin_image zh-lightbox-thumb& width=&539& data-original=&https://pic1.zhimg.com/v2-e0fe3bb25ddc02ff3dab_r.jpg&&&/figure&&p&所以若想进行恶意注册或批量的机器行为则需要绕过此类的高难度验证码。针对这种需求,人工打码平台就产生了,其通过组织真实的人来进行识别,并提交验证结果。&/p&&p&&strong&二)运行流程图&/strong&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-c4ef065e22b44f6fac00cbbb48900de4_b.jpg& data-rawwidth=&746& data-rawheight=&522& class=&origin_image zh-lightbox-thumb& width=&746& data-original=&https://pic3.zhimg.com/v2-c4ef065e22b44f6fac00cbbb48900de4_r.jpg&&&/figure&&p&说明:比如现在羊毛党要去某网站刷活动优惠券,但该网站有较复杂的图像验证码。通常羊毛党会在打码平台注册账号并充值,并通过打码平台提供的api接口,提交验证码识别。打码平台将验证码分发到各个佣工的客户端里,获取佣工的识别结果,并最终反馈给羊毛党。&/p&&p&&strong&1、网赚平台:&/strong&&/p&&p&很多打码平台需要跟网赚平台进行合作,因为网赚平台的用户量比较大。这种每天输入一些验证码就能赚钱的平台是很多小白用户比较喜欢的。我们查看一叫做“有赚网”的网赚平台,其发布各种任务供用户参与,并通过金币的形式给用户发放,金币累积一定数量后可进行提现。网赚平台会设有专门的打码模块,里面列举了合作的打码平台。如图&/p&&figure&&img src=&https://pic1.zhimg.com/v2-a555abbf2b77739ccff6d_b.jpg& data-rawwidth=&673& data-rawheight=&672& class=&origin_image zh-lightbox-thumb& width=&673& data-original=&https://pic1.zhimg.com/v2-a555abbf2b77739ccff6d_r.jpg&&&/figure&&p&点击其中一个“知码打码”的打码平台项目,如图&/p&&figure&&img src=&https://pic4.zhimg.com/v2-dfbfb59029fff5ba00e5425_b.jpg& data-rawwidth=&671& data-rawheight=&699& class=&origin_image zh-lightbox-thumb& width=&671& data-original=&https://pic4.zhimg.com/v2-dfbfb59029fff5ba00e5425_r.jpg&&&/figure&&p&点击获取工号和密码后,然后下载提供的软件,登陆后简单测试通过后,即可收到打码平台推送过来的验证码,如图&/p&&figure&&img src=&https://pic2.zhimg.com/v2-92e38fc7f990d5b0f3fa_b.jpg& data-rawwidth=&678& data-rawheight=&579& class=&origin_image zh-lightbox-thumb& width=&678& data-original=&https://pic2.zhimg.com/v2-92e38fc7f990d5b0f3fa_r.jpg&&&/figure&&p&佣工可以勾选想要接收的验证码复杂度,有选择题、填空题、鼠标点击类型等等。同时通过软件可以查看该平台积压的验证码的数量,如图为45个,用户输入结果后会很快刷新到下一个验证码。每种验证码的积分不同,验证码难度较高的积分较大些,同时网赚平台夜间工作给的积分也会多,所以我们可以看到打码平台的夜间服务费用也会高一些。我们粗略计算下这种网赚的收益,按官方说明10000个金币可兑换1元的标准,我们按一个验证码平均可可以获得100个金币计算,则打100个验证码即可获得1元,每天打10000个验证码才能获得100元。&/p&&p&&strong&2、普通打码平台&/strong&&/p&&p&打码平台提供多种类型的验证码,有正常的普通字符验证码、有选择题、算术题、以及其他的特殊类型的。每种验证码的计费类型不同,我们查看某打码平台的价格类目表,&/p&&figure&&img src=&https://pic4.zhimg.com/v2-9eedee70c31ad5f6a1daea_b.jpg& data-rawwidth=&988& data-rawheight=&752& class=&origin_image zh-lightbox-thumb& width=&988& data-original=&https://pic4.zhimg.com/v2-9eedee70c31ad5f6a1daea_r.jpg&&&/figure&&p&其中每种验证码的价格不同,该平台冲10元可获得25000快豆。其中最普通的验证码需要10个快豆,也就是说10元可以识别2500个普通验证码,我们查看下12306的图形验证码识别价格为60快豆,即10元可以识别400多个验证码。同时打码平台会以api的形式供用户使用,其只需传入账号密码以及验证码所属类型、验证码文件即可进行识别,如图&/p&&figure&&img src=&https://pic4.zhimg.com/v2-792b5a5ac5cab4d43a2caba_b.jpg& data-rawwidth=&586& data-rawheight=&527& class=&origin_image zh-lightbox-thumb& width=&586& data-original=&https://pic4.zhimg.com/v2-792b5a5ac5cab4d43a2caba_r.jpg&&&/figure&&p&&strong&3、开发者&/strong&&/p&&p&每个打码平台都会有很多开发者,开发者通过打码平台提供的sdk,进行开发软件。比如针对12306编写一个抢票软件,并内接该打码平台,那么羊毛党在使用该软件时只需填入打码平台的账号密码即可使用。同时开发者可以拿到提成,提成一般较高。&/p&&p&&strong&4.羊毛党&/strong&&/p&&blockquote&什么是羊毛党?&/blockquote&&p&有选择地参与活动,从而以相对较低成本甚至零成本换取物质上的实惠。这一行为被称为“薅羊毛”,而关注与热衷于“薅羊毛”的群体就被称作“羊毛党”。早前,“羊毛党”们主要活跃在O2O平台或电商平台。另外随着2015年互联网金融的发展,一些网贷平台为吸引投资者常推出一些收益丰厚的活动,如注册认证奖励、充值返现、投标返利等,催生了以此寄生的投资群体,他们也被称为P2P“羊毛党”。当然,使用打码平台的不一定就是羊毛党,还有可能是一些抢票的“黄牛党”或者黑色产业的欺诈者。&/p&&p&&strong&三)利益链&/strong&&/p&&figure&&img src=&https://pic4.zhimg.com/v2-808fba6af722d871ab3e5c6fa2a74e18_b.jpg& data-rawwidth=&520& data-rawheight=&319& class=&origin_image zh-lightbox-thumb& width=&520& data-original=&https://pic4.zhimg.com/v2-808fba6af722d871ab3e5c6fa2a74e18_r.jpg&&&/figure&&p&说明:佣工通过自身劳动,通过网赚平台变现,获得利益;网赚平台与打码平台进行合作,并有利益分成。打码平台将服务进行封装,提供给羊毛党。打码平台的开发者通过开发软件供羊毛党使用。同时羊毛党通过批量的注册、活动优惠等方式从网站进行获利。&/p&&h2&&strong&二、手机打码平台&/strong&&/h2&&p&&strong&一)介绍&/strong&&/p&&p&短信验证码在互联网业务中用于过滤低价值的用户,从而将服务推送给目标用户。这是基于手机号基本实现实名认证,每个人拥有的手机号也是有限制的前提。似乎通过手机短信验证就能够防止垃圾注册,筛选出真正有价值的客户。然而黑产针对基于手机号注册的场景,推出手机打码平台。手机打码平台囤积大量的手机卡提供短信收发的服务。实际调查中发现大型手机打码平台有几百万手机卡,小型也有几万的手机卡。&/p&&p&&strong&二)运行流程图&/strong&&/p&&p&手机打码平台的流程图如下,主要有两个角色,一个是平台的普通用户通常为羊毛党、一个是平台的卡商。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-333fb9b992cdf_b.jpg& data-rawwidth=&601& data-rawheight=&392& class=&origin_image zh-lightbox-thumb& width=&601& data-original=&https://pic1.zhimg.com/v2-333fb9b992cdf_r.jpg&&&/figure&&p&说明:手机打码平台会提供各种项目的接口,比如xxx账号注册、xxx绑定手机等。羊毛党只需要调用接口,获取某个项目可用的手机号,并将该手机号填入目标网站,然后调用接口获得短信内容即可。&/p&&p&&strong&1、手机打码平台&/strong&&/p&&p&手机打码平台提供各种项目,我们查看下某一手机打码平台的项目列表,如图&/p&&figure&&img src=&https://pic4.zhimg.com/v2-89b2916ad4ebf0e3d2c7a6_b.jpg& data-rawwidth=&1185& data-rawheight=&767& class=&origin_image zh-lightbox-thumb& width=&1185& data-original=&https://pic4.zhimg.com/v2-89b2916ad4ebf0e3d2c7a6_r.jpg&&&/figure&&p&每个项目的价格不同,像p2p金融类的可能价格较高,其他的普通的比如115网盘手机绑定价格较便宜,一个手机号只需1毛。接收短信流程很简单,查看下该平台的官方API接口说明,如图&/p&&figure&&img src=&https://pic2.zhimg.com/v2-1f99ea1da8a3a09c5ad66f6df9484fd7_b.jpg& data-rawwidth=&1214& data-rawheight=&640& class=&origin_image zh-lightbox-thumb& width=&1214& data-original=&https://pic2.zhimg.com/v2-1f99ea1da8a3a09c5ad66f6df9484fd7_r.jpg&&&/figure&&p&我们只需要调用接口,获取某个项目的手机号,填入网站,并调用接口获取短信内容即可。同时打码平台通常还会提供发送短信的接口、接收语音验证码等功能,如下为某一手机打码平台发送短信的接口&/p&&figure&&img src=&https://pic1.zhimg.com/v2-94a5e9a6d2b8c98c3bf5_b.jpg& data-rawwidth=&833& data-rawheight=&462& class=&origin_image zh-lightbox-thumb& width=&833& data-original=&https://pic1.zhimg.com/v2-94a5e9a6d2b8c98c3bf5_r.jpg&&&/figure&&p&&strong&2、卡商&/strong&&/p&&p&卡商是指拥有大量手机卡的用户,其通过猫池并通过打码平台提供的软件,提供相关项目的短信收发服务。卡商的手机号被使用一次,则可获得相应的收入,如下为一打码平台的卡商客户端,卡商将插有大量手机卡的猫池接入电脑,并选择需要做的项目即可。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-82e120fb4f84e0bf345a23c108ffed57_b.jpg& data-rawwidth=&735& data-rawheight=&492& class=&origin_image zh-lightbox-thumb& width=&735& data-original=&https://pic1.zhimg.com/v2-82e120fb4f84e0bf345a23c108ffed57_r.jpg&&&/figure&&p&其中猫池可以理解为有通信模块,可以收发短信,可以插很多手机卡的设备。一般有8口、16口的,多的有128口的,即可以同时插128张手机卡。猫池有多种类型,现在有很多猫池是支持3G、4G的,如下为插有手机卡的猫池图&/p&&figure&&img src=&https://pic2.zhimg.com/v2-484e02d5e4db453a9fe94e2ae9230616_b.jpg& data-rawwidth=&832& data-rawheight=&545& class=&origin_image zh-lightbox-thumb& width=&832& data-original=&https://pic2.zhimg.com/v2-484e02d5e4db453a9fe94e2ae9230616_r.jpg&&&/figure&&figure&&img src=&https://pic1.zhimg.com/v2-7d53a06bcd8f0ef3316e84_b.jpg& data-rawwidth=&571& data-rawheight=&528& class=&origin_image zh-lightbox-thumb& width=&571& data-original=&https://pic1.zhimg.com/v2-7d53a06bcd8f0ef3316e84_r.jpg&&&/figure&&p&卡商通常会有大量的卡,用来做手机打码只是其中的一个业务,还有很多是用来刷钻、刷会员、刷流量等。市场价格一般在10元左右一张,且这些卡有很多也是经过实名认证的,且有很多属于0月租、0余额的特殊卡。当然可以发送短信的则是有一定余额的。我们查看下一售卖手机卡的卡商发的广告,如图&/p&&figure&&img src=&https://pic3.zhimg.com/v2-1e98ae835f7c6b5fab46_b.jpg& data-rawwidth=&564& data-rawheight=&475& class=&origin_image zh-lightbox-thumb& width=&564& data-original=&https://pic3.zhimg.com/v2-1e98ae835f7c6b5fab46_r.jpg&&&/figure&&figure&&img src=&https://pic4.zhimg.com/v2-6bf289f73b52c9a5f44c4_b.jpg& data-rawwidth=&528& data-rawheight=&344& class=&origin_image zh-lightbox-thumb& width=&528& data-original=&https://pic4.zhimg.com/v2-6bf289f73b52c9a5f44c4_r.jpg&&&/figure&&figure&&img src=&https://pic1.zhimg.com/v2-27f1e66c60_b.jpg& data-rawwidth=&618& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&618& data-original=&https://pic1.zhimg.com/v2-27f1e66c60_r.jpg&&&/figure&&p&关于这种大量的卡的来源,其中一手机打码平台的卡商透露了如下信息&/p&&figure&&img src=&https://pic2.zhimg.com/v2-46f0c50afc464cf75b8f4e29b46f6c2d_b.jpg& data-rawwidth=&800& data-rawheight=&427& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&https://pic2.zhimg.com/v2-46f0c50afc464cf75b8f4e29b46f6c2d_r.jpg&&&/figure&&figure&&img src=&https://pic1.zhimg.com/v2-5cbb06eeeb8dd_b.jpg& data-rawwidth=&896& data-rawheight=&353& class=&origin_image zh-lightbox-thumb& width=&896& data-original=&https://pic1.zhimg.com/v2-5cbb06eeeb8dd_r.jpg&&&/figure&&p&同时这些卡商会有其他的业务比如超级会员、黄钻、绿钻等,查看一打码平台卡商发的信息,如图&/p&&figure&&img src=&https://pic4.zhimg.com/v2-615a9f0f1da33d45cda03_b.jpg& data-rawwidth=&504& data-rawheight=&526& class=&origin_image zh-lightbox-thumb& width=&504& data-original=&https://pic4.zhimg.com/v2-615a9f0f1da33d45cda03_r.jpg&&&/figure&&p&&strong&3、羊毛党&/strong&&/p&&p&我们查看一薅羊毛的群,里面每天会更新一些活动信息&/p&&figure&&img src=&https://pic3.zhimg.com/v2-a6b654fed7c563eef0915cf_b.jpg& data-rawwidth=&635& data-rawheight=&458& class=&origin_image zh-lightbox-thumb& width=&635& data-original=&https://pic3.zhimg.com/v2-a6b654fed7c563eef0915cf_r.jpg&&&/figure&&p&当然发出来的都是一些小利润的,一些较大利润的羊毛党们都不会轻易透露,当然其中也有很多属于灰色或黑色产业。在一些薅羊毛的群里,通常会伴有身份信息的售卖,在某一群里查看到售卖正反身份证图片加手持身份证的信息,只需2毛一份,如图&/p&&figure&&img src=&https://pic1.zhimg.com/v2-8ef5b2ed5e7cf33fa1a1d_b.jpg& data-rawwidth=&1025& data-rawheight=&374& class=&origin_image zh-lightbox-thumb& width=&1025& data-original=&https://pic1.zhimg.com/v2-8ef5b2ed5e7cf33fa1a1d_r.jpg&&&/figure&&p&&strong&三)利益链&/strong&&/p&&figure&&img src=&https://pic1.zhimg.com/v2-b9d84bbabb9f9f88c1209_b.jpg& data-rawwidth=&474& data-rawheight=&235& class=&origin_image zh-lightbox-thumb& width=&474& data-original=&https://pic1.zhimg.com/v2-b9d84bbabb9f9f88c1209_r.jpg&&&/figure&&p&说明:&/p&&p&羊毛党通过手机打码平台提供的手机号去网站批量注册,获得小号,再利用这些小号批量获取优惠。比如uber的推荐用户注册送优惠券,还有一些网站的新用户推荐注册送话费等等来获利。打码平台从提供手机打码服务里进行收费,并与对接的卡商进行利益分成,平台自己也会有一些手机卡。同时卡商也是有多种业务,一种是专门做打码平台的业务,其他的还有通过售卖卡给羊毛党,用来做刷超级会员、刷钻等业务进行获利。&/p&&h2&&strong&三、如何防控&/strong&&/h2&&p&针对普通打码平台以及手机打码平台如何进行防控。采用新型的验证码技术是一种方式,构建手机打码平台黑名单库也是一种方式。但基于构建的用户手机号信誉体系以及用户设备信誉体系,结合众多数据构建自己的安全风控系统才更为重要。&/p&&p&&strong&一)新型验证码&/strong&&/p&&p&替换传统验证码,采用新型的验证码。传统的验证码已经很难去防止机器行为,因而出现了一些基于用户行为的新型验证码。新型验证码最大的特点是不再基于知识进行人机判断,而是基于人类固有的生物特征以及操作的环境信息综合决策,来判断是人类还是机器。&/p&&p&比如Google的reCaptcha&/p&&figure&&img src=&https://pic1.zhimg.com/v2-0cbc5ecd94b0eff090fd_b.jpg& data-rawwidth=&395& data-rawheight=&93& class=&content_image& width=&395&&&/figure&&p&以及阿里巴巴的NoCaptcha&/p&&figure&&img src=&https://pic4.zhimg.com/v2-bf0e889bf89e4d6e12b93d_b.jpg& data-rawwidth=&418& data-rawheight=&61& class=&content_image& width=&418&&&/figure&&p&当然这也并不代表此类验证码不能被绕过,今年的Asia Blackhat上公布了一种破解Google reCaptcha的思路,具体可以参考&a href=&https://link.zhihu.com/?target=https%3A//www.blackhat.com/docs/asia-16/materials/asia-16-Sivakorn-Im-Not-a-Human-Breaking-the-Google-reCAPTCHA.pdf& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&[相关paper]&/a&&/p&&p&&strong&二)手机信誉库&/strong&&/p&&p&针对短信打码平台,可以回归短信验证码的本质需求,即过滤互联网中低价值的用户。而由于手机号并非完全实名制,事实上获取一个手机号的成本并不高,所以基于手机号并不能有效筛选出真正的高价值客户。尽管手机号本身获取成本不高,但是对于大多数普通互联网用户并不频繁更换手机号,所以可以基于手机号对应的行为来建立基于手机的征信库,从而基于手机号的信誉实现筛选出高价值客户功能,而非单一的依赖用户是否拥有一个手机号。&/p&&p&&strong& 三)风控体系&/strong&&/p&&p&对于普通的网站而言,建立自己的用户信誉体系尤为重要。基于用户的设备信誉、用户行为等信息进行防控。&/p&&p&其中对于p2p金融类的网站而言,构建自己的安全风控系统尤为重要。金融类的较为敏感,对于用户的身份应当做强的安全校验,比如进行银行卡绑定的身份校验等。&/p&&p&&strong&四)其他&/strong&&/p&&p&现在的手机已经需要进行实名认证,对于大量手机卡滥用会有一定的效果。但是在调查中发现其中还是有大量的特殊卡,且都经过实名认证或者是进行了企业认证的卡。另外对于手机打码平台,国家已经出台了相关政策,认定手机打码平台属于违法行为,因而这些手机打码平台也都转为地下。&/p&&p&&b&作者:Ano_Tom@阿里安全,更多安全类文章,请访问&a href=&https://link.zhihu.com/?target=https%3A//jaq.alibaba.com/community/index.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&阿里聚安全博客&/a&&/b&&/p&
简介互联网业务的飞速发展,日渐渗透人类的生活,对经济、文化、社会产生巨大的影响,同时互联网业务安全也日趋重要。如同网络通信的基础安全设施防火墙,互联网业务安全也有其基础安全设施--图片验证码和短信验证码。在互联网业务中,广泛使用图形验证码…
&figure&&img src=&https://pic1.zhimg.com/v2-83ec41c32e9de31d1b187b4_b.jpg& data-rawwidth=&468& data-rawheight=&279& class=&origin_image zh-lightbox-thumb& width=&468& data-original=&https://pic1.zhimg.com/v2-83ec41c32e9de31d1b187b4_r.jpg&&&/figure&&p&从昨晚开始,一个神秘的圈子开始哀鸿遍野,因为腾讯开始对一些违法违规的微信号开始大规模的封号。&/p&&figure&&img src=&https://pic4.zhimg.com/v2-e92bcfdcd8c6bb1d0bbce302_b.jpg& data-rawwidth=&640& data-rawheight=&766& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&https://pic4.zhimg.com/v2-e92bcfdcd8c6bb1d0bbce302_r.jpg&&&/figure&&p&这背后,一个叫做“群控”的群体渐渐浮出水面。&/p&&h2&&strong&什么是群控&/strong&&/h2&&p&我在玩“阴阳师”的时候,经常被对面的群控(如雪女)冻到地老天荒,但显然今天说的不是它们。&/p&&p&到底什么是群控,一番搜索之下,我在百度百科找到一条简短的解释:&/p&&blockquote&&p&群控,属于直接数控。可以用一台电脑控制上百部手机,实现手机群控。企业级硬件管理系统和自动化营销系统,让软件解放双手,通路云一台电脑控制百部手机,同时操作微信达到电脑群控手机的效果,极大程度上节省人工成本,提高办公和微信营销效率。&/p&&/blockquote&&p&看上去蛮高大上的样子,但是配图还是暴露了一些端倪,什么样的“办公”需要这样的架势。&/p&&figure&&img src=&https://pic3.zhimg.com/v2-8baed89de_b.jpg& data-rawwidth=&960& data-rawheight=&1280& class=&origin_image zh-lightbox-thumb& width=&960& data-original=&https://pic3.zhimg.com/v2-8baed89de_r.jpg&&&/figure&&p&看上去,就是用什么软件来同时管理多个设备,从而完成一些任务,而这些任务通常都涉及灰色利益链。&br&&/p&&h2&&strong&种类繁多的群控&/strong&&/h2&&p&对这方面我完全是外行,但是感谢万能的朋友圈,几经辗转,联系到了一些“圈内人”,他们给我揭开了一个鲜为人知的世界。&/p&&p&P君告诉我,前面我说的图片中那种一下子控制很多手机的,只是群控中最昂贵的一种,而群控其实种类繁多、应用广泛。&/p&&p&&strong&从控制方式来说,可以分为软件类和硬件类,&/strong&软件类主要用模拟器,便宜但容易被封,硬件类针对微信的又有多开和单开,单开最为稳定,但价格昂贵,起步20万,不是一般人能玩的。&/p&&p&群控商用的手机大多是200元左右的安卓机,当然也有用苹果的,什么充话费送手机之类的颇受欢迎。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-cb47d3ca047c_b.jpg& data-rawwidth=&800& data-rawheight=&600& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&https://pic1.zhimg.com/v2-cb47d3ca047c_r.jpg&&&/figure&&p&&strong&从控制对象来说,又可以分为针对手机的群控和针对手机卡的群控等,&/strong&前者主要控制一些手机上的APP如微信等,如果只是群发短信,那么用一个软件来管理手机卡就可以了。&/p&&figure&&img src=&https://pic3.zhimg.com/v2-6b7cfaff24cc20b55b5e_b.jpg& data-rawwidth=&1280& data-rawheight=&960& class=&origin_image zh-lightbox-thumb& width=&1280& data-original=&https://pic3.zhimg.com/v2-6b7cfaff24cc20b55b5e_r.jpg&&&/figure&&p&以微信类的群控为例,软件群控的话就使用模拟器的方式,市面上最好用的模拟器叫“夜X神”,但是软件类的被封得太厉害了,手机多开也容易被封,硬件类的又太贵,正在他们一筹莫展的时候,微信for windows 出现了,于是,各种针对电脑版微信的群控软件被研发出来,据说最稳定的叫做“皮X丘限量版微信管理软件”,市场售价320元/套。&/p&&h2&&strong&群控的用途&/strong&&/h2&&p&费劲千方百计做这些东西显然不是为了公益事业,群控的用户可谓非常之广泛,试举几例。&/p&&p&&strong&薅羊毛&/strong&&/p&&p&薅羊毛就是占小便宜,小便宜虽小,占得多了就成了大生意。&/p&&p&比如手机卡这玩意,以前形成过一个圈子叫“卡盟”,短信验证码就是卡盟下面的一个分支,前两年过得不大好,为了节约成本,他们就不用国内卡,而是用越南卡、缅甸卡、印尼卡等等,缅甸卡国内买的话一年月租18块钱,注意是一年18元,不是一月,还有零费用的印尼卡更是被撸到心碎,但就这样依然没多少钱赚。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-0a02b8bb92dc6bebc527_b.jpg& data-rawwidth=&336& data-rawheight=&570& class=&content_image& width=&336&&&/figure&&p&京东到家、口碑外卖、鲜老虎、饿了么、团购之类的o2o来了,拯救了薅羊毛党,因为他们时不时会搞一些活动,这时候就是群控出手的时候了。&/p&&p&这么说吧,“羊毛党大军”所到之处可谓是寸草不生,去年饿了么的圣诞节活动只开了不到一天,就被羊毛党撸的把活动临时停止了,口碑外卖去年夏天有个活动,也被羊毛党撸的都hold不住了。&/p&&figure&&img src=&https://pic2.zhimg.com/v2-96b0a46be3e9a4f7ae37a5_b.jpg& data-rawwidth=&724& data-rawheight=&960& class=&origin_image zh-lightbox-thumb& width=&724& data-original=&https://pic2.zhimg.com/v2-96b0a46be3e9a4f7ae37a5_r.jpg&&&/figure&&p&除此之外,诸如折800、楚楚街等创业产品为了拉用户,首次注册都要送这送那的,“薅羊毛党”们过得挺滋润。&br&&/p&&figure&&img src=&https://pic4.zhimg.com/v2-52ad01d1a4c204c297e171_b.jpg& data-rawwidth=&720& data-rawheight=&1160& class=&origin_image zh-lightbox-thumb& width=&720& data-original=&https://pic4.zhimg.com/v2-52ad01d1a4c204c297e171_r.jpg&&&/figure&&p&&strong&微商&br&&/strong&&/p&&p&作为这次微信重点打击的微商,他们是怎样用群控产品的呢?&/p&&p&我们都知道,一个微信号只能加5000个好友,所以很多微商都有几个乃至几十个微信号,我微信号3000好友都感觉心累,同时维护这么多5000个好友的微信号不得累死。所以,微商们从群控商那里买来群控系统,可以实现自动加新人、发朋友圈、培训代理商、点赞、卖货等等。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-edda7af19b4d89_b.jpg& data-rawwidth=&719& data-rawheight=&870& class=&origin_image zh-lightbox-thumb& width=&719& data-original=&https://pic1.zhimg.com/v2-edda7af19b4d89_r.jpg&&&/figure&&p&除此之外,群控软件还能实现一些微信没有的功能,比如转发语音和小视频(之前的微信版本不能转发小视频)等,可谓微商居家旅行必备利器。&/p&&p&P君告诉我,群控商们卖给微商的套装同样是8800元,这个套装包括:&/p&&blockquote&&p&一部越狱或者root好的手机用来微信多开&/p&&p&50个微信号(附带几百个微信群)&/p&&p&90万粉丝(包含微信群里粉丝的数量)&/p&&p&一个月服务器费用&/p&&p&皮X丘管理软件&/p&&/blockquote&&p&看上去,微商们在系统集成、项目管理、代理分发等方面都走在了时代的前列。&/p&&p&&strong&刷数据&/strong&&/p&&p&去年有阵子一大波知名自媒体人被曝光有刷数据之嫌,就是因为群控系统出现了问题,好不尴尬。&/p&&p&除了微信公众号,知乎、今日头条包括大众点评等平台的数据都可以刷,无论是阅读数、点赞数都可以搞得很华丽,唯独评论这种文字性的不能用群控系统刷,要做假只有人工,所以成本很高,除非是厂家或者公关公司请供应商来做水军,一般个人很少做。&/p&&p&所以,如果你看到某个自媒体大号阅读数和点赞数都很高,但却没什么赞赏、也没什么评论,评论的点赞数很少,那么十有八九是有问题的,反正,我是知道有些人是从来不敢开评论功能的。&/p&&p&群控可以做的事情还有很多,我听说湖南那边有个小村子,全村人都做这个,买回手机和软件,靠点击广告为生,居然也能过得不错。当然,主要的钱还是被上游开发商们和中游的推销商们所赚取。&/p&&figure&&img src=&https://pic4.zhimg.com/v2-e64bd174b6e84abac5e869_b.jpg& data-rawwidth=&701& data-rawheight=&284& class=&origin_image zh-lightbox-thumb& width=&701& data-original=&https://pic4.zhimg.com/v2-e64bd174b6e84abac5e869_r.jpg&&&/figure&&h2&&strong&遭受腾讯打击之后,群控黑幕会消失吗&/strong&&/h2&&p&“你见过一晚上涨价10倍吗?”C女士问我。&/p&&p&她说,最近刷数据的价格一直不稳定,老是涨价,而“微信人工业务平台”在这波涨价之前就挂掉了,原因未知。&/p&&p&腾讯重拳出击之后,各种群控的老号更是死的死伤的伤,甚至有些人的主号都未能幸免于难,一些“工作人员”都出去找工作了。&/p&&p&看上去打击的效果显著,但这对群控市场的影响只是暂时的,据我观察,去年微信也曾进行过大规模封号,这从微信团队去年的一则微博评论中可以一窥端倪。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-3b3f80ee31b1fd7a7e73_b.jpg& data-rawwidth=&1440& data-rawheight=&1094& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&https://pic1.zhimg.com/v2-3b3f80ee31b1fd7a7e73_r.jpg&&&/figure&&p&而今天,同样是腾讯微信团队官微,同样是这条微博之下,出现了大量同样的叫骂声。&/p&&figure&&img src=&https://pic2.zhimg.com/v2-bb3e48cffddb5d7a49ae3444_b.jpg& data-rawwidth=&750& data-rawheight=&1253& class=&origin_image zh-lightbox-thumb& width=&750& data-original=&https://pic2.zhimg.com/v2-bb3e48cffddb5d7a49ae3444_r.jpg&&&/figure&&p&在2会期间,在“3.15”即将到来之际,腾讯对这些群控的老微信号进行一波清理,但并不能治本,相信不久之后又会像之前那样死灰复燃。&/p&&p&而且,前文提到的那种土豪级别群控商,就是掌握大量手机,每个手机只安装一个微信,这种是怎么也不会被封号的。&/p&&p&更何况,腾讯能清理的只有微信,而针对微信的群控,只是群控大军中的一个分支而已。&/p&&p&就在本文截稿之时,P君给我晒了一个图,他今天刚签了两个8800元的单,这其中群控软件“皮X丘”是花了230元购买的,多开软件是网上免费下载的,粉丝则是互换导流和“添加附近的人”等渠道来的,再加上800元的服务器费用和一部500多远的魅蓝手机,每个的成本不过1500元左右,两单下来,今天他又有差不多15000元的收入。&/p&&p&当然,我并不是说这个行业有多好收入有多高,只是想说,其实在我们的视野之外,还有很多鲜为人知的生存状态,而本文所揭开的,连冰山一角都算不上。&/p&
从昨晚开始,一个神秘的圈子开始哀鸿遍野,因为腾讯开始对一些违法违规的微信号开始大规模的封号。这背后,一个叫做“群控”的群体渐渐浮出水面。什么是群控我在玩“阴阳师”的时候,经常被对面的群控(如雪女)冻到地老天荒,但显然今天说的不是它们。到底…
&p&几个规模不大,但是很有趣的,算不上黑,更够不上产业链,绝大多数已经黄了,主要是看看聪明才智啊。&/p&&p&1 天猫赔付。&/p&&p&天猫规定,拍下付款后如果卖家缺货/在72小时内没有发货并出现有效物流信息,从卖家的保证金里赔付货款的30%的天猫积分给买家(单笔五万分-五百人民币上限),于是有伙人利用这个规则,专门寻找价格标错的的商品,一拥而上每个号拍数个1700元左右的订单,然后卖家发货则亏大,不发货则赔30%,反正有七天无条件兜底。更厉害的是死猫,就是拿一种特殊的软件搜长期不在线,疏于看管,但是却不下架商品的店家,原理相同。&/p&&p&2 垫付刷单。&/p&&p&这个骗子很多,但是有诚信的也不是没有,私下店家会开活,分为两种,卖家用储蓄卡给你支付,不怕你退款,几次后,你可以自己垫付,一般是2小时或当天18点以前返款,一单酬劳在6-10元左右,金额越大,号的质量越好,酬劳越高。&/p&&p&现在淘宝销量排前面的茶叶,减肥,壮阳,卫浴,这四个类目没有不刷单的,搜什么金骏眉铁观音,出来的全是刷出来的店。发布任务时候店家就说的清清楚楚,就是为了提高关键字排名,让刷单者从“铁观音”之类的关键词搜索,然后Ctrl+F找他们店,天猫跟C店无异,除了刷单的信誉会好点以外。&/p&&p&3 接码平台&/p&&p&有人豢养大量零租/欠费/濒临欠费的特殊套餐地方卡,例如什么湛江卡,济宁卡,全中国找,只为了符合一个条件:欠费/濒临欠费的时候不断接短信数月,或者月租极低甚至达到零租卡的地步,然后用猫池,即一种早年用于群发垃圾短信,可以将大量未开Sim卡直接连上电脑的设备,建立接码平台专门替人接验证码,一毛钱一条。&/p&&p&例如,我想注册30个大众点评网账号参加天天中奖——一个抽代金卷的活动,但是需要30个手机号,于是我就去找这类接码平台买验证码,选择你所需要注册的网站(美团大众苏宁国美,上百个可选),然后他会显示一个没注册过手机号给我,我拿这个点注册,验证码由接码平台系统接到反馈给我,然后我输入,就得到一个注册成功的大众点评账号,这样的账号存活率不高,但是短期使用足够。&/p&&p&4 团购套现&/p&&p&团购网站常常会推出一些体验性质的活动,类似于小额全免的,只要是全免就有搞头,例如美团网有一个明星请你看电影的活动,每个人最多送40张一元无限制代金卷,或者前阵子的糯米手机首单二十五元无限制劵,那就有人动脑筋了,美团送无限制劵那次,无锡当地有一个卖蛋挞的老板,他在美团上有团购,一元一个,然后他一下午领了一万多张劵,全在自己店里卖家号上消费掉,美团给他一万货款,这是极端的,你也完全可以拿着这个劵,去找当地的正好符合代金卷金额的商家,说这个吃的我不要了,你给我点钱,总之货款是团购网站给你,咱俩都不亏,一般小商家都不会拒绝。&/p&&p&5 僵尸号反复抽奖&/p&&p&这个我认为最无聊,很暴力,就是微博转发,QQ抽奖,有人成千上万个账号拿软件没日没夜的抽,大家拼机型和账号数量,然后把奖品拿到淘宝卖,最有名的就是今年春节的蒙牛有好礼码上幸福年,每个QQ每天能抽三次,一共送一万箱纯甄/焕轻/奶特,以中粮我买网提货卷的形式支付,反正淘宝上最火那家店卖出去将近两千张劵,而这个活动参与总人次我记得是一亿三千万还是一亿四千万,你们感受下僵尸号的威力。&/p&&p&6 实名支付宝/资料。&/p&&p&淘宝号用处很多,但是支付宝不实名屁用没有,于是就有人出售能够用来实名的资料以及账号,使用的时候就让你顶掉原拥有者的账号,于是有些人的账号就被莫名其妙顶了,这个原理是什么嘞?&/p&&p&为防社工库高手利用大量资料搞僵尸号,支付宝实名目前已经使用了一套安全度极高的实名验证方式,即跟公安系统联网。&/p&&p&一、检查银行卡姓名和身份证姓名是否对应&br&二、身份证号加姓名是否真实对应&br&三、银行预留手机号以及验证码和银行卡是否对应&br&或支付宝打进这个银行卡号的那笔款项是否正确。&/p&&p&这是一个非常聪明的反击,这相当于变相把账号注册的难度和银行的安保级别挂钩了,因为没办法用虚假身份办银行卡,这样对于买手机号,查身份证号的人,就傻眼了。&/p&&p&但是聪明的你一定发现了,这里有一节是断的:&br&没错,就是身份证号和银行卡号不要求对应,&br&代表什么呢?&/p&&p&假如你叫李刚,中国得有百万李刚,通过某些社工库,能搜到上千个李刚的开房记录,包括身份证号,然后,他只要掌握了一张李刚的银行卡,那么,当当,他可以用这张银行卡匹配全部李刚的身份证号,拿来做新的实名账号也可以,顶掉这些李刚已有的支付宝也可以。&/p&&p&于是,就有了一大堆资料和实名账号,于是四个月前,每个支付宝账号领一瓶友宝一分钱领饮料的时候,广州某些地铁站,大学城附近,常常有行家里手带着拉杆箱般饮料,然后拿恒大冰泉洗个澡之类的,轻松愉快。&/p&&p&&br&&/p&&p&&b&欢迎关注个人公众号梓泉(ziquanM) 获取第一手深扒皮,黑历史,腥八卦。&/b&&/p&
几个规模不大,但是很有趣的,算不上黑,更够不上产业链,绝大多数已经黄了,主要是看看聪明才智啊。1 天猫赔付。天猫规定,拍下付款后如果卖家缺货/在72小时内没有发货并出现有效物流信息,从卖家的保证金里赔付货款的30%的天猫积分给买家(单笔五万分-五…
谢邀。&br&&br&周末加班,抽空回答一下。都是用过的网站。&br&&br&&b&a.图片&/b&&br&&a href=&//link.zhihu.com/?target=http%3A//ffffound.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&FFFFOUND!&/a& 各种猎奇,激发灵感的图片,可以作参考。非高清资源&br&&br&&a href=&//link.zhihu.com/?target=http%3A//500px.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&The Premier Photography Community / 500px&/a&
摄影师社区,高清大图 (保存图片方式你懂得)&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.flickr.com/explore& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&http://www.flickr.com/&/a&
高清摄影 (被墙了)保存方法同上&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.gratisography.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Gratisography: Free, use as you please, high-resolution pictures.&/a&
每周更新,时尚大图&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.freeimages.com/home& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&The Leading Free Stock Photography Site&/a&
需要注册才能使用&br&&br&&a href=&//link.zhihu.com/?target=http%3A//pixabay.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Pixabay - Free Images&/a&
分类搜索大图&br&&br&&a href=&//link.zhihu.com/?target=http%3A//snapographic.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&free high-resolution pictures for personal and commercial use&/a&
同上&br&&br&&b&b.PS资源&/b&&br&&br&&br&&br&&b&&a href=&//link.zhihu.com/?target=http%3A//ui-cloud.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&UICloud | User Interface Design Search Engine, UI, UX, GUI, Inspiration, Resources, Elements, User Experience, Free Downloads, Freebies&/a&&br&&/b&&br&&br&&a href=&//link.zhihu.com/?target=http%3A//fbrushes.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Free Photoshop Brushes, Photoshop Patterns and Textures&/a&
笔刷 纹理下载&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.templatemonster.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Website Templates&/a& 网页模板下载&br&&br&&a href=&//link.zhihu.com/?target=http%3A//ui-cloud.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&UICloud | User Interface Design Search Engine, UI, UX, GUI, Inspiration, Resources, Elements, User Experience, Free Downloads, Freebies&/a&
UI素材&br&&br&&a href=&//link.zhihu.com/?target=http%3A//findicons.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Icon Search Engine&/a&
icon搜索&br&&br&&br&&b&c.综合类&/b&&br&&b&推荐:?&/b&&b&?&/b&&b&?&/b&&b&?&/b&&b&?&/b&&br&&b&其实很多时候看设计,看资源不用非得国外网站,国内现在也有很多优秀的平台,上面会分享很多干货。关注他们的微博,经常会发合集和资源。我也是通过它们知道很多国外资源。&/b&&br&&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.uehtml.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&UE设计平台-网页设计,设计交流,界面设计,酷站欣赏&/a&&br&&br&&b&&a href=&//link.zhihu.com/?target=http%3A//hao.uisdc.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hao.uisdc.com/&/span&&span class=&invisible&&&/span&&/a&
神器!!!!真的是神器!!!很多资源站都可以从这里条过去!&/b&&br&&br&&a href=&//link.zhihu.com/?target=http%3A//hao.uisdc.com/shop/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&优设电商导航&/a&
电商类导航,看banner什么最方便了!&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.uisdc.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&优设-UISDC: 优秀网页设计联盟-SDC-网页设计师交流平台&/a& 综合性文章干货两手抓&br&&br&&a href=&//link.zhihu.com/?target=http%3A//color.uisdc.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&网页配色,设计配色,配色图表,配色卡,配色方案图谱生成-SDC优设网配色工具&/a& 中国配色&br&&br&好了,设计师,多看,多动,多思考。&br&&br&真的解决不到问题,再考虑问别人,不然每次伸手,会失去前面思考的重要环节。&br&&br&po张我每天上的最多的几个网站,或许觉得很低端,可是很多优秀的资源已经回被转载出来。学会利用好资源,阅读别人已经帮你筛选过的资源,不要过多的沉溺在逛一个又一个的酷炫网站里,更为重要。&br&&figure&&img src=&https://pic4.zhimg.com/f68aae4230c7_b.jpg& data-rawwidth=&393& data-rawheight=&193& class=&content_image& width=&393&&&/figure&&br&&br&&b&------------------更新---------------&/b&&br&&a href=&//link.zhihu.com/?target=http%3A//www.imcreator.com/free& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&IM Free - Free Design Resources&/a& 综合性免费素材网站&br&&br&&a href=&//link.zhihu.com/?target=http%3A//publicdomainarchive.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Vintage and Modern Free Public Domain Images Archive Download&/a&
偏lomo风格大图&br&&br&&a href=&//link.zhihu.com/?target=http%3A//sf.kdd.cc/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&在线书法字典网,多书法字体备选(全矢量图片)&/a&
虽然设计很渣,还很多广告,可是做毛笔字效果真的棒棒哒!&br&&br&&a href=&//link.zhihu.com/?target=http%3A//poolga.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&poolga.com/&/span&&span class=&invisible&&&/span&&/a&&b&福利站,iphone,ipad 全壁纸,设计感插画,再也不用官方壁纸了!&/b&&br&&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.deviantart.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&deviantart.com/&/span&&span class=&invisible&&&/span&&/a& 补上!!忘记这个了!&br&&br&&a href=&//lin}
目前 B站 的验证码相比大部分其他用户较多的网站的验证码而言确实比较容易自动识别。
这个B站验证码识别器是前段时间和
一起实现的,使用 Python。 识别的大体方法是在灰度化和去噪之后先把图像…
&figure&&img src=&https://pic4.zhimg.com/v2-188aebea358c29f17b0733_b.jpg& data-rawwidth=&520& data-rawheight=&348& class=&origin_image zh-lightbox-thumb& width=&520& data-original=&https://pic4.zhimg.com/v2-188aebea358c29f17b0733_r.jpg&&&/figure&&p&最近,央视曝光了一起离奇的电信诈骗案件。受害者既没有接到不明电话或短信,手机也没有中毒,账户里的钱莫名其妙地就被人全部盗刷。&/p&&p&随着调查的深入,民警发现这是违法分子利用用户在其它网站的泄漏密码使用“撞库”手段扫描用户网银的登录密码,再用非常规手段对用户网银绑定手机号修改所造成的案件。&br&&/p&&p&中国人看事物,都习惯分个阴阳。往往明面上有多么繁荣,暗地里就有多么猖獗。记得年初看到一份报告《Bot Traffic Report 2016》,报告称2016年机器人流量占全网流量的51.8%,超过人类流量,而其中恶意机器人流量占据了全网流量的28.9%。&br&&/p&&p&如何从庞大的恶意流量中捕获期望的数据,这件事一直深深地吸引着我们,团队为此进行着长期的研究,并在全网搭建了许多数据探针,捕获了大量第一手数据,让我们有机会窥见这个黑暗领域的一隅,从而有了黑产大数据这个系列的报告,今天的主题是:全球撞库追踪。&br&&/p&&p&&strong&一、&/strong&&strong&什么是撞库攻击&/strong&&br&&/p&&p&简单来说,&strong&使用他人在A网站的账号密码,去B网站尝试登陆,就是撞库攻击。&/strong&&br&&/p&&p&在早些年,盗取他人账号主要靠木马,密码字典则靠软件生成,而随着近几年频繁出现网站数据库泄漏事件,撞库攻击逐渐成为主流的盗号方式。撞库攻击也成为账号类攻击的重要一环,下图是整个账号类攻击链条:&figure&&img src=&https://pic4.zhimg.com/v2-2b9bee6ed0e2ab79ba03db9f_b.jpg& data-rawwidth=&656& data-rawheight=&451& class=&origin_image zh-lightbox-thumb& width=&656& data-original=&https://pic4.zhimg.com/v2-2b9bee6ed0e2ab79ba03db9f_r.jpg&&&/figure&&/p&&p&&strong&【词汇解释】&/strong&&/p&&p&&strong&拖库&/strong&:黑客从有价值的网站盗取用户资料数据。&br&&/p&&p&&strong&洗库&/strong&:黑客将用户账户的财产或虚拟财产或账户信息本身变现。&/p&&p&&strong&社工库&/strong&:黑客将获取的各种数据库关联起来,对用户进行全方位画像。&/p&&p&&strong&定向攻击&/strong&:黑客根据用户画像,对特定人或人群进行针对性的犯罪活动,比如诈骗。&/p&&p&&strong&二、从哪来 & 到哪去&/strong&&br&&/p&&p&前面回答了三大哲学问题之一「X是什么」,再来看另外两大问题:&br&&/p&&p&从哪里来&br&&/p&&p&到哪里去&/p&&p&&strong&1. 撞库源数据来源&/strong&&br&&/p&&p&黑客要进行撞库攻击,首先需要足够的原始账号数据,我们对网络上捕获到的撞库攻击进行分析,发现原始数据来源主要有以下几点:&br&&/p&&p&&strong&1)信封号产业链&/strong&&br&&/p&&p&信封号,就是被盗的QQ号。信封号产业链,就是QQ号盗取、销赃、并利用获利的产业链。每天互联网黑市上会有成百上千万的被盗QQ号流入该产业链,原本QQ账号密码只在腾讯内部有价值,但由于QQ邮箱的大规模使用,很多人在网站注册用户时直接使用QQ号对应的QQ邮箱和密码,导致被盗QQ号被大量直接用来进行网站撞库。&br&&/p&&p&&strong&2)网站泄漏数据库&/strong&&br&&/p&&p&网站泄漏数据库的标志性事件是2011年 CSDN 600万用户数据泄漏,引领了当年一波数据泄漏高峰,数十个网站的用户数据被公开,大量原本只在地下流通的泄漏数据被抛到台面上,给平时并不关注此道的黑客们提供了足够的数据源切入这个方向,也因此点燃了撞库攻击的热潮。&br&&/p&&p&类似事件还有2015年某邮箱数亿账号泄漏,都给黑客提供了重要的弹药资源。更何况被爆出来的数据泄漏,其实也仅仅是冰山一角。&br&&/p&&p&&strong&3)地下黑市流通&/strong&&br&&/p&&p&数据窃取与交易这个领域几乎是地下产业链隐藏最深的部分,有不少黑客通过数据交易来构建庞大的社工库。黑客之间的私下交易我们无法得知,到底有多少网站数据已经被窃取也没法客观评估,但通过某些半公开的渠道,亦可管中窥豹。下面是暗网某地下数据交易市场的截图:&figure&&img src=&https://pic3.zhimg.com/v2-66e38211a4fbc1faa7c4_b.jpg& data-rawwidth=&640& data-rawheight=&382& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&https://pic3.zhimg.com/v2-66e38211a4fbc1faa7c4_r.jpg&&&/figure&&/p&&p&&strong&2. 撞库源数据分类&/strong&&/p&&p&从近期的撞库数据来看,email占据了大约1/4,手机号占5.8%。&figure&&img src=&https://pic2.zhimg.com/v2-3aa3ea81e6ca2ab34d5b41_b.jpg& data-rawwidth=&516& data-rawheight=&374& class=&origin_image zh-lightbox-thumb& width=&516& data-original=&https://pic2.zhimg.com/v2-3aa3ea81e6ca2ab34d5b41_r.jpg&&&/figure&&/p&&p&&strong&3. 国家被攻击数据&/strong&&/p&&p&我们从近期全球数十亿次撞库攻击行为,聚合分析后,绘制了以下全球撞库攻击数据图:&br&&/p&&p&&strong&1)攻击流量去向&/strong&&br&&/p&&p&可以看出,中国和美国占据了撞库类攻击的绝大多数份额。&figure&&img src=&https://pic3.zhimg.com/v2-5db6bef4393b_b.jpg& data-rawwidth=&500& data-rawheight=&363& class=&origin_image zh-lightbox-thumb& width=&500& data-original=&https://pic3.zhimg.com/v2-5db6bef4393b_r.jpg&&&/figure&&/p&&p&&strong&2)各国被攻击公司占比&/strong&&/p&&p&其中有超过一半的被攻击公司来自中国。&figure&&img src=&https://pic1.zhimg.com/v2-2aaef6ba6f85_b.jpg& data-rawwidth=&490& data-rawheight=&373& class=&origin_image zh-lightbox-thumb& width=&490& data-original=&https://pic1.zhimg.com/v2-2aaef6ba6f85_r.jpg&&&/figure&&/p&&p&&strong&3)攻击来源分布&/strong&&/p&&p&同时,中国也是最大的攻击来源国,其次是俄罗斯黑客明显占据较大比例,包括俄罗斯、乌克兰、白俄罗斯等前苏联国家。&br&&/p&&p&&figure&&img src=&https://pic3.zhimg.com/v2-d6dcbd69b3_b.jpg& data-rawwidth=&521& data-rawheight=&368& class=&origin_image zh-lightbox-thumb& width=&521& data-original=&https://pic3.zhimg.com/v2-d6dcbd69b3_r.jpg&&&/figure&&strong&4. 中美攻击数据的差异&/strong&&/p&&p&在分析很多问题时,中国的数据相对海外都会呈现明显的差异。于是我们特地把中美两个互联网TOP 2国家的情况单独来做比较。&br&&/p&&p&&strong&1)被攻击公司类型&/strong&&br&&/p&&p&中国黑客明显以游戏公司目标为主,具有极明显的变现倾向,由于国内黑产产业化发达,游戏玩家众多,因此游戏业在被攻击公司中首当其冲。&figure&&img src=&https://pic4.zhimg.com/v2-7e6f6af0c36f06aff538bb5d58aa861a_b.jpg& data-rawwidth=&521& data-rawheight=&362& class=&origin_image zh-lightbox-thumb& width=&521& data-original=&https://pic4.zhimg.com/v2-7e6f6af0c36f06aff538bb5d58aa861a_r.jpg&&&/figure& 而美国被攻击行业则呈现较均衡的情况。&figure&&img src=&https://pic3.zhimg.com/v2-1f0a218884bff19fbdf413_b.jpg& data-rawwidth=&519& data-rawheight=&385& class=&origin_image zh-lightbox-thumb& width=&519& data-original=&https://pic3.zhimg.com/v2-1f0a218884bff19fbdf413_r.jpg&&&/figure&&/p&&p&&strong&2)攻击来源&/strong&&/p&&p&绝大多数对中国公司的攻击都是来自国内,主要由于海外互联网公司难以进入国内市场,存在市场和语言的双重隔离,导致连黑客攻击都自成一脉,以自产自销为主。相对来说,美国则是全球黑客青睐之地,战斗民族俄罗斯人再次战力爆表。&figure&&img src=&https://pic1.zhimg.com/v2-debcb98f4fcd4bd25eb6f7d46ec7ac75_b.jpg& data-rawwidth=&484& data-rawheight=&410& class=&origin_image zh-lightbox-thumb& width=&484& data-original=&https://pic1.zhimg.com/v2-debcb98f4fcd4bd25eb6f7d46ec7ac75_r.jpg&&&/figure&相对来说,美国则是全球黑客青睐之地,战斗民族俄罗斯人再次战力爆表。&figure&&img src=&https://pic3.zhimg.com/v2-da_b.jpg& data-rawwidth=&530& data-rawheight=&374& class=&origin_image zh-lightbox-thumb& width=&530& data-original=&https://pic3.zhimg.com/v2-da_r.jpg&&&/figure&&/p&&p&&strong&5. 主要受影响的行业&/strong&&/p&&p&&strong&1)游戏行业&/strong&&br&&/p&&p&游戏业在盈利能力上整个互联网可以说是最为可观,那么很自然的,游戏业的地下市场也就吸引了大量的从业人员,并产生了了众多的变现方案和利益链条。游戏业一直是黑客关注的重点,从盗号木马到外挂编写,从打金工作室到私服,从代练到金币装备交易。而能直接获得对方游戏账号的撞库方案自然也成为黑客关注的重中之重,因此,游戏公司在此类攻击中首当其冲也是理所当然了。&br&&/p&&p&&strong&2)版权行业&/strong&&br&&/p&&p&随着书影音类资源的正版化推进,以及带宽的增长,许多相关资源可以在线付费观看,当用户不愿意花时间去寻找资源下载电影,但愿意花低得多的费用买一个高级会员账号来使用时,相关的账号也就变得具有变现价值。&br&&/p&&p&&strong&3)社交行业&/strong&&br&&/p&&p&社交网站的灰色生意主要包括并不限于以下几类:&br&&/p&&p&刷粉、刷赞、刷榜、刷观看&br&&/p&&p&私信广告&/p&&p&色情社交&/p&&p&诈骗&/p&&p&随着社交平台风控策略的不断升级,因此社交平台老账号(注册时间较长)便成了某些圈内炙手可热的资源,比如某著名陌生人社交APP老号市场价值在30元以上。掌握这些资源便意味着被封杀的可能性降低,意味着以上生意的相对持续性。人多的地方就意味着生意,因此,社交账号从来都是黑产重要目标。&br&&/p&&p&&strong&三、攻击方法 & 主流防控&/strong&&br&&/p&&p&通过对海量攻击行为的监控和分析,我们可以看到黑客的攻击方法,同样也能看到厂商防控措施。&br&&/p&&p&&strong&1. 黑客如何攻击&/strong&&br&&/p&&p&&strong&1)判断账号是否存在&/strong&&br&&/p&&p&注册接口快速验证&br&&/p&&p&许多网站在填写注册信息时,会通过AJAX对账户名是否可用做实时验证,如果可用便在页面上打个勾。该接口大量被黑客用来判断某用户名是否有在网站注册。&/p&&p&登陆接口返回信息&/p&&p&部分网站如果账号密码错误会返回敏感信息暴露账号存在情况。例如返回提示「账号不存在」或「密码错误」,便能让黑客判断账号是否存在。此处我们推荐的返回信息是「账号或密码错误」。&/p&&p&找回密码接口&/p&&p&部分网站在找回密码的流程中,填写手机号或邮箱后会有一次带提示信息的再确认,此处也常常被黑客用来判断账户存在与否。&/p&&p&&strong&2)业务安全的集中管理问题突出&/strong&&br&&/p&&p&从我们的统计数据来看,许多网站的主登陆口往往有比较严格的审计措施,会根据登陆IP、频率等触发验证码或封IP。但当公司业务增多,安全管理复杂度大幅增加,不同子站各用一套自己登陆验证,缺乏统一登陆接口的问题便暴露出来。比如某个子产品的登陆功能,或者公司网站挂个论坛,往往会走单独的登陆接口,当这些边缘业务接口没有接入审计功能,便成为黑客攻击的温床。&br&&/p&&p&从我们捕捉到的攻击数据中可以看到很多此情况,黑客被对抗多次后都能再次发现新的毫无风控逻辑的撞库接口,甚至有的登陆接口公司安全部门都不知道其存在。所谓千里之堤,毁于蚁穴。尽管主业务做了大量的防御措施,当边缘业务出现疏忽时,一切措施便形同虚设。&br&&/p&&p&&strong&3)攻击效果&/strong&&br&&/p&&p&众所周知撞库类风险属于常规风险,其核心往往不在于如何完全避免,而更多考虑的是攻防对抗的成本提升。从对大量的撞库攻击监控来分析,我们对黑产撞库有效率和成功率进行统计,我们会发现一个事实,长期的撞库攻击会带来质的伤害,行业内现如今经常会爆出某厂商被拖库的新闻,但大部分最终也就是撞库的数据曝光刺激了媒体的神经:&br&&/p&&p&&strong&撞库有效率和成功率&/strong&&br&&/p&&p&根据对大量黑产撞库数据的统计,能够成功绕过风控策略的攻击占总攻击量的83%,撞库成功率则在0.4%左右浮动。&/p&&p&&strong&2. 主流防控&/strong&&br&&/p&&p&说完黑客的攻击方法,再来看看厂商是如何防控的。&br&&/p&&p&&strong&1)主要防护措施&/strong&&br&&/p&&p&封IP&br&&/p&&p&根据黑IP库或同IP发起的请求次数、密码错误率等决定是否一段时间内禁止该IP的请求。&/p&&p&验证码&/p&&p&最广泛部署的方案,有很多类型,例如字母扭曲、汉字识别、移动滑块、图像选择。普通厂商直接接入验证码,有后台分析能力的则在后台审计出现异常时才触发验证码以提升普通用户体验。&/p&&p&短信验证&/p&&p&建立在手机和手机号成本上的真人认证。&/p&&p&行为聚集&/p&&p&根据用户登录过程行为判断,例如页面停留时间、鼠标焦点、页面访问流程、csrf-token等。&/p&&p&设备聚集&/p&&p&通过客户端尤其是手机客户端,上报许多机器信息,识别是否存在伪造设备情况。&/p&&p&本质上,以上所有方案其实都是为了解决一件事情,就是判断电脑的对面是一个真实的人。&br&&/p&&p&&strong&3. 主流防控的绕过&/strong&&br&&/p&&p&面对暴利,没有人愿意坐以待毙。和厂商一样,黑产人员面对厂商的对抗,不但积极主动,甚至做到了平台化、链条化来进行反对抗。从我们监测到的攻击行为来看,撞库黑客在各个维度都有完善的方案和厂商进行对抗,主要从下面几个方面:&br&&/p&&p&&strong&1)低安全性边缘业务或新业务&/strong&&br&&/p&&p&面对严格的防护逻辑,最快的办法就是寻找其自身的漏洞。一旦发现非严格审计的的边缘业务接口,便绕过所有的防护措施,如入无人之境。&br&&/p&&p&厂商往往在这个维度缺乏有效的监控,因为本来就是被安全部门所忽视的接口,但当我们从第三方视角对黑产流量进行大数据分析时,这种伎俩变得无所遁形,何人何时开始对新接口进行攻击都在我们的监控范围内,可以极大增强厂商对该类漏洞的反应速度。&br&&/p&&p&&strong&2)IP对抗&/strong&&br&&/p&&p&IP地址作为互联网的紧缺资源,一直是厂商最重要的风控方案之一,如何获得大量IP出口也是黑产业者最先需要解决的问题。其实不仅仅是黑产,许多爬虫、搜索引擎、机器人程序都有类似需求。我们通过长期对大量撞库攻击的来源进行反向追踪,发现撞库攻击获取IP资源的方法主要有以下几类:&br&&/p&&p&扫描代理&br&&/p&&p&免费方案,通过全网扫描常见的代理服务器端口,收集可用的代理IP地址,自行管理维护,但成本高、效率低。&/p&&p&付费代理&/p&&p&代理商通过或扫描或搭建或交换的方式,提供全球的代理服务器,有效降低自行收集代理的管理成本。&/p&&p&付费VPN&/p&&p&和付费代理类似,只是技术不同。&/p&&p&拨号VPS&/p&&p&过去的两年里,我们监控到国内有一类新的IP获取方案逐渐被黑产应用,叫做拨号VPS或动态VPS。该类VPS也是一台虚拟服务器,但需要通过ADSL拨号才能上网,于是便拥有了整个城市的大量可用IP。听起来似乎并没有什么特别,你我家的ADSL也能做到,但依旧是大力出奇迹,相关供应商做到了打通全国多省市的拨号方法,俗称混拨。实现了在一台VPS中使用一个账号快速随机切换近百城市的ADSL线路拨入互联网,对很多企业的风控部门造成巨大压力。&/p&&p&实际使用效果如下图:&figure&&img src=&https://pic4.zhimg.com/v2-bddb0e45df3a2d5b_b.jpg& data-rawwidth=&616& data-rawheight=&422& class=&origin_image zh-lightbox-thumb& width=&616& data-original=&https://pic4.zhimg.com/v2-bddb0e45df3a2d5b_r.jpg&&&/figure&&/p&&p&&strong&3)验证码对抗&/strong&&/p&&p&作为一种最简单、应用最广的自动化图灵测试方案,十多年来,大量公司和团队不断尝试自动化破解,以至于验证码也不断升级变得人类也要多次才能识别。然而在中国,黑产创业者们依赖低成本人力,对无法通过技术识别的验证码直接使用了最暴力的方式——人工打码来进行破解,并传播到了大量第三世界国家,导致全球有近百万人以此为生。因此衍生了黑产供应商平台之一:&strong&打码平台&/strong&。&br&&/p&&p&从我们了解到的数据来看,打码工人平均每码收入1-2分钱,熟练工每分钟能打码20个左右,每小时收入在10-15元。&figure&&img src=&https://pic3.zhimg.com/v2-6cec3e32827cf93ccaa58cb7f2417cd6_b.jpg& data-rawwidth=&640& data-rawheight=&358& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&https://pic3.zhimg.com/v2-6cec3e32827cf93ccaa58cb7f2417cd6_r.jpg&&&/figure&&/p&&p&&strong&4)短信验证对抗&/strong&&/p&&p&当网站开发人员习惯以自己的视角来考虑安全对抗方案,认为接收短信依赖于手机和办卡的成本,出人意料的创新总是让人防不胜防。看下面这个设备,该设备俗称「猫池」,能统一管理256张SIM卡,再通过软件将收到的验证码通过api接口对外提供查询服务。并由此衍生了黑产供应商另一个细分市场:接码平台。&figure&&img src=&https://pic4.zhimg.com/v2-cbecc957f6a572bf0f5705afa660ece5_b.jpg& data-rawwidth=&640& data-rawheight=&240& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&https://pic4.zhimg.com/v2-cbecc957f6a572bf0f5705afa660ece5_r.jpg&&&/figure&黑产业者从该类平台使用不同手机号接收一个验证码只需要付费1-3毛钱,业务量可以参考2016年11月被公安查处的爱码平台案,下图是现场照片,仅该接码平台就拥有700多万手机黑卡用来进行验证码接收业务,其中大部分是黑产相关,有兴趣可以自行搜索案件详情。&figure&&img src=&https://pic2.zhimg.com/v2-a60ce40ad7c_b.jpg& data-rawwidth=&600& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic2.zhimg.com/v2-a60ce40ad7c_r.jpg&&&/figure&&/p&&p&&strong&5)模仿真人行为&/strong&&/p&&p&在规避后台的行为分析模型方面,黑客提交的请求早已不是仅仅填一个User-Agent就完事,从对黑客进行撞库攻击的流程来分析,为了规避后台分析,不少黑客的流程已经包括并不限于:&br&&/p&&p&完整的页面打开流程,而不是仅仅向关键接口提交请求&br&&/p&&p&csrf-token 等参数完备&/p&&p&随机的页面停留时间&/p&&p&http header 严格遵守浏览器特征&/p&&p&随机化各种看起来不重要的参数&/p&&p&&strong&4. 主流风控的常见问题&/strong&&br&&/p&&p&从我们对各种撞库攻击的效果分析来看,各厂商主要存在和面临如下问题:&br&&/p&&p&check-user-exist 类接口缺失风控策略&br&&/p&&p&登录失败时登陆接口返回敏感信息&/p&&p&帐号体系缺乏统一管理机制,经常有新业务或边缘业务绕过风控方案&/p&&p&基于IP、短信、验证码的验证变成了和专业平台对抗&/p&&p&&strong&四、总结和展望&/strong&&br&&/p&&p&&strong&1. 攻击新趋势&/strong&&br&&/p&&p&&strong&1)撞库逐渐取代盗号成为主流攻击方式&/strong&&br&&/p&&p&从我们持续对地下黑产的监控和挖掘来看,由于各种泄漏数据库的曝光,撞库的流量占比在近年来明显增长。另一方面,由于操作系统和浏览器安全性的持续提升,通过下载或网页挂马盗号的方式逐渐被撞库攻击取代,撞库已经成为获取用户账号的主流攻击方式。&br&&/p&&p&&strong&2)黑产资源平台化&figure&&img src=&https://pic4.zhimg.com/v2-188aebea358c29f17b0733_b.jpg& data-rawwidth=&520& data-rawheight=&348& class=&origin_image zh-lightbox-thumb& width=&520& data-original=&https://pic4.zhimg.com/v2-188aebea358c29f17b0733_r.jpg&&&/figure&&/strong&&/p&&p&相对早期黑客的单打独斗,如今黑产更像一个航母战斗群,黑客主要以基础账号库为核心资源,仅提供战斗力输出但防御很低,其它对抗类资源都由各种辅助资源平台直接提供,导致厂商对抗对象由黑客变成了各种资源平台,各种肉盾导致风控审计越来越困难,其中资源平台包括并不限于以下几类:&/p&&p&代理提供商&br&&/p&&p&VPN提供商&/p&&p&拨号VPS供应商&/p&&p&短信接码平台&/p&&p&验证码打码平台&/p&&p&……&/p&&p&&strong&3)拨号VPS发展迅速&/strong&&br&&/p&&p&相对比较成熟的代理服务器方案,拨号VPS尤其是混拨VPS提供了更大的IP池和国内随机化的地理位置,可以预见,该技术将进一步在黑产中应用广泛。&br&&/p&&p&&strong&2. 新风控角度的思考&/strong&&br&&/p&&p&&strong&1)核心账号资源对抗&/strong&&br&&/p&&p&从对撞库的攻防数据来看,目前大多数的撞库相关风控对抗其实是发生在厂商对黑产战斗群的各种护卫舰身上,并且由于对方的不同资源平台往往专注一个点不断优化,越打越强,导致风控措施效果也越来越差,反而在针对黑客核心资源的已泄漏账号库上缺乏有效对抗方案。&br&&/p&&p&试想,如果能从黑客进行撞库尝试使用的账号密码上发现这属于外网已泄漏账号,直接触发风控逻辑,那么便绕过了黑客所有的外围防护手段,直接从对方无法回避的点进行风控对抗。&br&&/p&&p&让人不由想起《笑傲江湖》中令狐冲和冲虚道长比剑,面对毫无破绽的太极剑法,唯有从圆形剑光中心挥剑直入,看似最没有破绽的地方反而是其破绽所在。&br&&/p&&p&道理说起来非常简单,但这种对抗方式是建立在比黑产掌握更庞大的泄漏数据基础上才有可能实现,除了搜集网上泄漏的数据外,必须有其它更实时有效方案进行数据补充。&br&&/p&&p&&strong&2)黑产大数据监控&/strong&&br&&/p&&p&基于长期对恶意流量的研究,我们通过不同方案对多种黑产流量进行持续监控,每天能捕获数亿条原始攻击请求,在撞库方面,保持日均数百万的原始账号库积累。通过这种方式,为账号类风控对抗提供了新的维度,并能提供持续的有力保障。&br&&/p&&p&独孤九剑为何独步天下,其中「破剑式」虽只一式,但其中于天下各门各派剑法要义兼收并蓄,以天下剑法为根基,堪破种种变化。这正是典型大数据的思维。数据面前,了无秘密!基于对黑产撞库攻击核心账号资源的持续监控,或许才是账号风控中「破撞式」的真正心法所在。&br&&/p&&br&&p&&b&威胁猎人(ThreatHunter)团队,专注安全多年,致力于为互联网公司解决业务安全风控问题。团队第一个产品「帐号宝」(&a href=&https://link.zhihu.com/?target=http%3A//zhanghaobao.net& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&帐号宝&/a&),全国首家风险账号检测即服务平台(CADaaS),致力于解决撞库风险和高危帐号审计。 &/b&&/p&
最近,央视曝光了一起离奇的电信诈骗案件。受害者既没有接到不明电话或短信,手机也没有中毒,账户里的钱莫名其妙地就被人全部盗刷。随着调查的深入,民警发现这是违法分子利用用户在其它网站的泄漏密码使用“撞库”手段扫描用户网银的登录密码,再用非常规…
&p&源地址:&a href=&http://link.zhihu.com/?target=http%3A//blog.attify.com//exploiting-iot-enabled-ble-smart-bulb-security/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Exploiting IoT enabled BLE smart bulb security - IoT Exploitation and Mobile Security Pentesting by Attify&/a&&/p&&h3&设备需求&/h3&&ul&&li&笔记本电脑&/li&&li&Ubertooth 蓝牙嗅探设备&/li&&li&hcitool&/li&&li&ubertooth-utils&/li&&li&&p&Gatttool&/p&&/li&&/ul&&h3&基本概念&/h3&&blockquote&&p&UUID, 就是用来唯一识别一个特征值的ID.&/p&&p&handle,就是对应的attribute 的一个句柄&/p&&p&所有对特征值的操作,都是通过对UUID 的搜索得到对应的handle之后,通过handle来操作特征值的。&/p&&/blockquote&&h3&步骤&/h3&&p&连接智能灯泡,确保能正常工作,手机app端保证能正常开启关闭灯泡&/p&
Step1 获取灯泡蓝牙地址
&p&命令:&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&hcitool lescan
&/code&&/pre&&/div&&p&扫描结果:&/p&&figure&&img src=&http://pic3.zhimg.com/v2-1ea720a2da4a527fa9b696_b.png& data-rawwidth=&893& data-rawheight=&137& class=&origin_image zh-lightbox-thumb& width=&893& data-original=&http://pic3.zhimg.com/v2-1ea720a2da4a527fa9b696_r.png&&&/figure&&br&&p&从图中可以看到地址为:88:C2:55:CA:E9:4A,设备名称是:cnligh&/p&
Step2 获取设备运行服务
&p&命令:&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&gatttool -I
connect 88:C2:55:CA:E9:4A
&/code&&/pre&&/div&&figure&&img src=&http://pic4.zhimg.com/v2-cbcba9981abfcab_b.png& data-rawwidth=&969& data-rawheight=&139& class=&origin_image zh-lightbox-thumb& width=&969& data-original=&http://pic4.zhimg.com/v2-cbcba9981abfcab_r.png&&&/figure&&br&&p&存在三个uuid值,其中 和
是蓝牙标准中定义的服务器描述, UUID
是私有定义的&/p&
Step3 列举私有uuid的handles
&p&使用在uuid 中的特殊的属性值和组结束handles来列举所有的handles&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&char-desc 0x0010 0xffff
&/code&&/pre&&/div&&figure&&img src=&http://pic3.zhimg.com/v2-f059be3cadc3fc83a268ea_b.png& data-rawwidth=&1067& data-rawheight=&520& class=&origin_image zh-lightbox-thumb& width=&1067& data-original=&http://pic3.zhimg.com/v2-f059be3cadc3fc83a268ea_r.png&&&/figure&&p&从上图可以看到所有的handles&/p&&p&可以参考:&a href=&http://link.zhihu.com/?target=https%3A//www.bluetooth.com/specifications/gatt/services& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&GATT Services | Bluetooth Technology Website&/a& 了解每个handle的意义&/p&
获取可读写handle
&p&有很多的handle,我们不知道那些是可写的,我们尝试读取他们的handle 值&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&char-read-hnd 0x0012
&/code&&/pre&&/div&&figure&&img src=&http://pic4.zhimg.com/v2-65347fbc6ccfb70cc1b08f_b.png& data-rawwidth=&840& data-rawheight=&42& class=&origin_image zh-lightbox-thumb& width=&840& data-original=&http://pic4.zhimg.com/v2-65347fbc6ccfb70cc1b08f_r.png&&&/figure&&p&得到一个错误提示,这里还有个小问题,我们不知道蓝牙包的结构,这就需要使用ubertooth来获取蓝牙数据包&/p&
获取蓝牙数据包
&p&嗅探命令&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&ubertooth-btle -f -t88:C2:55:CA:E9:4A
&/code&&/pre&&/div&&figure&&img src=&http://pic1.zhimg.com/v2-5ddcc584edcb4d80a14aa929ee552bac_b.png& data-rawwidth=&730& data-rawheight=&507& class=&origin_image zh-lightbox-thumb& width=&730& data-original=&http://pic1.zhimg.com/v2-5ddcc584edcb4d80a14aa929ee552bac_r.png&&&/figure&&br&&p&为了获取数据包,可以使用&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&ubertooth-btle -f -t88:C2:55:CA:E9:4A -c smartbulb_dump.pcap
&/code&&/pre&&/div&&p&-c是为了保存数据到pcap文件中&/p&&p&这时候打开app连接灯泡,进行开关操作,这时候就会获取到数据包信息&/p&&figure&&img src=&http://pic3.zhimg.com/v2-0e8ce1c50faacdd430e8dc76_b.png& data-rawwidth=&730& data-rawheight=&507& class=&origin_image zh-lightbox-thumb& width=&730& data-original=&http://pic3.zhimg.com/v2-0e8ce1c50faacdd430e8dc76_r.png&&&/figure&&p&从图中可以看出:&/p&&blockquote&&p&接入地址为 0x8e89bed6&br&处于37频道&br&数据包PDU 为ADV_IND,意味着这个是已经连接的,可扫描的,有回复的&br&设备地址为:88:c2:55:ca:e9:4a&/p&&/blockquote&&figure&&img src=&http://pic1.zhimg.com/v2-6e23aa87abdb1fbd086634_b.png& data-rawwidth=&1061& data-rawheight=&433& class=&origin_image zh-lightbox-thumb& width=&1061& data-original=&http://pic1.zhimg.com/v2-6e23aa87abdb1fbd086634_r.png&&&/figure&&br&&p&从上图可以看到,app的扫描请求和设备的回复&/p&
Wireshark分析数据包
&p&为了方便可以直接使用Wireshark来分析捕获到的数据包&/p&&figure&&img src=&http://pic4.zhimg.com/v2-4b7fed48b93c5da3ad357_b.png& data-rawwidth=&1366& data-rawheight=&768& class=&origin_image zh-lightbox-thumb& width=&1366& data-original=&http://pic4.zhimg.com/v2-4b7fed48b93c5da3ad357_r.png&&&/figure&&br&&p&过滤出ATT的数据包:btl2cap.cid==0x004&/p&&figure&&img src=&http://pic1.zhimg.com/v2-90dd9b8af87d1923cc98_b.png& data-rawwidth=&1366& data-rawheight=&768& class=&origin_image zh-lightbox-thumb& width=&1366& data-original=&http://pic1.zhimg.com/v2-90dd9b8af87d1923cc98_r.png&&&/figure&&br&&p&下面直接找写入操作的数据包&/p&&figure&&img src=&http://pic2.zhimg.com/v2-1d5fb72e3a1b660e8c751a_b.png& data-rawwidth=&1181& data-rawheight=&169& class=&origin_image zh-lightbox-thumb& width=&1181& data-original=&http://pic2.zhimg.com/v2-1d5fb72e3a1b660e8c751a_r.png&&&/figure&&br&&p&可以看到写入的handle正是0x0012&/p&&figure&&img src=&http://pic4.zhimg.com/v2-4bb81e205d2ea865d95fbf_b.png& data-rawwidth=&1315& data-rawheight=&502& class=&origin_image zh-lightbox-thumb& width=&1315& data-original=&http://pic4.zhimg.com/v2-4bb81e205d2ea865d95fbf_r.png&&&/figure&&br&&p&分析写操作,是可以找到地址、crc校验值、操作码,和uuid的&/p&&blockquote&&p&access address:
0xaf9a9515&br&master and slave address&br&CRC: 0x6dcb5&br&handle:
0x0012&br&UUID: 0xfff1&br&value : 03cff&/p&&/blockquote&&figure&&img src=&http://pic4.zhimg.com/v2-e2e6d7fc68d_b.jpg& data-rawwidth=&712& data-rawheight=&170& class=&origin_image zh-lightbox-thumb& width=&712& data-original=&http://pic4.zhimg.com/v2-e2e6d7fc68d_r.jpg&&&/figure&&br&&p&操作灯泡&/p&&p&改变颜色&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&char-write-req 0x000000 //bluish green
char-write-req 0x000000 // Red
char-write-req 0x //Green
char-write-req 0x000000 // Blue
&/code&&/pre&&/div&&p&改变开关状态&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&char-write-req 0x000000 //Off
char-write-req 0x000000 //On
&/code&&/pre&&/div&
源地址:设备需求笔记本电脑Ubertooth 蓝牙嗅探设备hcitoolubertooth-utilsGatttool基本概念UUID, 就是用来唯一识别一个特征值的ID.handle,…
&p&## APP抓包基础&/p&&p&为了测试app,经常需要对app发送的数据进行数据抓取,下面简单介绍下怎么通过代理程序进行,其中包括了抓取http的数据包、https的数据包、tcp/ip的数据包、socket连接数据包、蓝牙数据包(标准蓝牙、BLE)&/p&&p&&br&&/p&&p&### 抓包工具&/p&&p&1. burp&/p&&p&2. fiddler&/p&&p&3. charles&/p&&p&4. wireshark&/p&&p&5. tcpdump&/p&&p&6. hcitool、gatttool&/p&&p&&br&&/p&&p&### 辅助程序&/p&&p&1. xposed框架及模块&/p&&p&2. ProxyDroid&/p&&p&3. create_ap(&a href=&https://link.zhihu.com/?target=https%3A//github.com/oblique/create_ap%25EF%25BC%2589& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&https://github.com/oblique/create_ap)&/a&&/p&&p&4. ubertooth&/p&&p&&br&&/p&&p&## http的抓包&/p&&p&&br&&/p&&p&这个是最为简单的,只要把手机的wifi代理设置成代理工具的地址和端口就可以抓取到,这个不在细说。&/p&&p&&br&&/p&&p&## https的抓包&/p&&p&&br&&/p&&p&这个需要导入代理工具的证书,导入后就可以抓取到手机中的https通信,但是对于app有个问题,app若是做了证书的强校验,就对导入的证书不信任,从而导致导入了根证书也是无法获取到https流量的&/p&&p&&br&&/p&&p&为了解决这个问题,有几种方法可以破解掉证书强校验。&/p&&p&&br&&/p&&p&1. hook方式&/p&&p&这个是反编译app后把强校验的函数更改或者去掉,比较麻烦&/p&&p&2. xposed方式&/p&&p&这个比较方便,需要做的就是root手机以及在手机上安装xposed框架,具体的安装方式网上有很多,需要注意的是需要找到和自己手机内核对应的版本&/p&&p&安装后xposed有个模块市场,里面有很多大神写的模块,为了抓取https的数据包,需要的是JustTrustMe,这个的原理就是吧所有的强校验的函数统一hook,之后重启就能抓取https的数据包了&/p&&p&&br&&/p&&p&## tcp/ip的数据包抓取&/p&&p&&br&&/p&&p&这个不单单是用在app上面,像针对智能硬件测试的时候,可以抓取智能硬件的数据包&/p&&p&这个就没办法使用代理程序的方法进行抓取,比较通用的方式是搭建自己的AP,在AP上对流量进行抓取分析,但是有个问题,看到的流量的目的地址都是AP的地址,对于流量的分析是比较不利的&/p&&p&后来发现create_ap,这个配合wireshark和tcpdump简直神了&/p&&p&首先安装create_ap,很简单,直接make就行,安装好后,在主机上运行(测试了双网卡的ubuntu运行最为稳定):`create_ap wlp3s0 enp0s25 aptest test0987`&/p&&p&就会开启一个aptest的热点,智能设备或者手机连接这个ap,主机上会增加一个网口,后面用wireshark或tcpdump就可以抓取到数据了,而且源ip是智能设备的ip,目的ip是云端服务器的ip,我记得这种ap模式叫做hostap,自己配置是相当麻烦,这个工具就一条命令&/p&&p&当然这种也可以抓取http的流量,只是分析可能没有代理工具方便&/p&&p&&br&&/p&&p&## socket连接数据包&/p&&p&&br&&/p&&p&有的app采用了长连接的方式传递数据,不是http之类的,这种的话burp可以抓取到部分,可能这个功能burp还不完全,这里有个比较好的办法,我是利用ProxyDroid+xposed框架及模块+charles&/p&&p&首先xposed可以把app的强校验干掉,charles有socket代理模式,ProxyDroid可以设置手机所有的流量走socket代理,这样就把流量都导入到了charles中,charles相对于burp有它的优势所在,他可以向对话似的把socket长链接展示出来。后面的分析很方便&/p&&figure&&img src=&https://pic2.zhimg.com/v2-6b1c5b05b284be46341a21_b.jpg& data-rawwidth=&1884& data-rawheight=&368& class=&origin_image zh-lightbox-thumb& width=&1884& data-original=&https://pic2.zhimg.com/v2-6b1c5b05b284be46341a21_r.jpg&&&/figure&&p&## 蓝牙数据包的抓取&/p&&p&&br&&/p&&p&这个ubuntu下安装了bluz协议栈后就很容易的抓取。&/p&&p&利用到的工具就是hcitool,这个可以对蓝牙数据包,ble数据包进行扫描,gatttool可以获取数据包和操作数据包&/p&&p&更为强大的ubertooth,这个是蓝牙分析的利器。&/p&&p&这些的具体使用可以看下&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&&span class=&invisible&&https://&/span&&span class=&visible&&zhuanlan.zhihu.com/p/25&/span&&span class=&invisible&&609035&/span&&span class=&ellipsis&&&/span&&/a&&/p&&p&&/p&
## APP抓包基础为了测试app,经常需要对app发送的数据进行数据抓取,下面简单介绍下怎么通过代理程序进行,其中包括了抓取http的数据包、https的数据包、tcp/ip的数据包、socket连接数据包、蓝牙数据包(标准蓝牙、BLE) ### 抓包工具1. burp2. fiddler3. c…
&figure&&img src=&https://pic3.zhimg.com/v2-8f313bbeec185fd7deb17_b.jpg& data-rawwidth=&970& data-rawheight=&647& class=&origin_image zh-lightbox-thumb& width=&970& data-original=&https://pic3.zhimg.com/v2-8f313bbeec185fd7deb17_r.jpg&&&/figure&&h2&&strong&简介&/strong&&/h2&&p&互联网业务的飞速发展,日渐渗透人类的生活,对经济、文化、社会产生巨大的影响,同时互联网业务安全也日趋重要。如同网络通信的基础安全设施防火墙,&strong&互联网业务安全也有其基础安全设施--图片验证码和短信验证码。&/strong&在互联网业务中,广泛使用图形验证码用于区分人类和机器,使用短信验证码过滤低价值用户及提供二次校验功能。&/p&&p&作为互联网业务的基础安全设施,图片验证码和短信验证也面临众多的挑战。&strong&此前我们通过&/strong&&strong&&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&《验证码的前世今生(前世篇)》&/a&&/strong&&strong&和&/strong&&strong&&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&《验证码的前世今生(今生篇)》&/a&&/strong&&strong&了解了验证码的发展及演变,原理及优缺点。&/strong&&strong&今天&/strong&&strong&本&/strong&&strong&文将带你走近互联网业务眼前的威胁——图片打码平台和短信打码平台。&/strong&我们以如下两个场景简单说明下普通打码平台以及手机打码平台:&/p&&p&&strong&场景一:批量登陆12306网站,并进行购买行为,但验证码不能自动识别。&/strong&&/p&&p&12306的验证码比较复杂,程序较难识别。这时候就出现了普通验证码的打码平台,程序将验证码传给打码平台的识别接口,打码平台将验证码发给后端的“佣工”进行识别,并获取识别结果。这样基于此类的人工打码平台,即可实现程序的自动化。&/p&&p&&strong&场景二:注册某购物平台,但其需要填写手机号和收到的验证码才可注册,如何进行批量机器注册?&/strong&&/p&&p&这时候就出现了手机打码平台,该平台提供大量的手机号,并能够发送和接收短信。这样只需调用手机打码平台相关接口,获取手机号并获取短信内容即可进行批量注册。&/p&&p&最后我们将会简单的阐述面对这些威胁新的解决之道。&/p&&h2&&strong&一、普通打码平台&/strong&&/h2&&p&&strong&一)介绍&/strong&&/p&&p&现在很多简单的字符验证码已经不能够有效阻挡机器行为,使用简单的OCR识别工具即可进行识别,稍微复杂的可以结合机器学习等进行高准确率的识别。&/p&&p&普通的字符验证码很容易被识别,因而又产生了一些较复杂的验证码,比如如下一些较难通过机器进行识别的。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-e0fe3bb25ddc02ff3dab_b.jpg& data-rawwidth=&539& data-rawheight=&202& class=&origin_image zh-lightbox-thumb& width=&539& data-original=&https://pic1.zhimg.com/v2-e0fe3bb25ddc02ff3dab_r.jpg&&&/figure&&p&所以若想进行恶意注册或批量的机器行为则需要绕过此类的高难度验证码。针对这种需求,人工打码平台就产生了,其通过组织真实的人来进行识别,并提交验证结果。&/p&&p&&strong&二)运行流程图&/strong&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-c4ef065e22b44f6fac00cbbb48900de4_b.jpg& data-rawwidth=&746& data-rawheight=&522& class=&origin_image zh-lightbox-thumb& width=&746& data-original=&https://pic3.zhimg.com/v2-c4ef065e22b44f6fac00cbbb48900de4_r.jpg&&&/figure&&p&说明:比如现在羊毛党要去某网站刷活动优惠券,但该网站有较复杂的图像验证码。通常羊毛党会在打码平台注册账号并充值,并通过打码平台提供的api接口,提交验证码识别。打码平台将验证码分发到各个佣工的客户端里,获取佣工的识别结果,并最终反馈给羊毛党。&/p&&p&&strong&1、网赚平台:&/strong&&/p&&p&很多打码平台需要跟网赚平台进行合作,因为网赚平台的用户量比较大。这种每天输入一些验证码就能赚钱的平台是很多小白用户比较喜欢的。我们查看一叫做“有赚网”的网赚平台,其发布各种任务供用户参与,并通过金币的形式给用户发放,金币累积一定数量后可进行提现。网赚平台会设有专门的打码模块,里面列举了合作的打码平台。如图&/p&&figure&&img src=&https://pic1.zhimg.com/v2-a555abbf2b77739ccff6d_b.jpg& data-rawwidth=&673& data-rawheight=&672& class=&origin_image zh-lightbox-thumb& width=&673& data-original=&https://pic1.zhimg.com/v2-a555abbf2b77739ccff6d_r.jpg&&&/figure&&p&点击其中一个“知码打码”的打码平台项目,如图&/p&&figure&&img src=&https://pic4.zhimg.com/v2-dfbfb59029fff5ba00e5425_b.jpg& data-rawwidth=&671& data-rawheight=&699& class=&origin_image zh-lightbox-thumb& width=&671& data-original=&https://pic4.zhimg.com/v2-dfbfb59029fff5ba00e5425_r.jpg&&&/figure&&p&点击获取工号和密码后,然后下载提供的软件,登陆后简单测试通过后,即可收到打码平台推送过来的验证码,如图&/p&&figure&&img src=&https://pic2.zhimg.com/v2-92e38fc7f990d5b0f3fa_b.jpg& data-rawwidth=&678& data-rawheight=&579& class=&origin_image zh-lightbox-thumb& width=&678& data-original=&https://pic2.zhimg.com/v2-92e38fc7f990d5b0f3fa_r.jpg&&&/figure&&p&佣工可以勾选想要接收的验证码复杂度,有选择题、填空题、鼠标点击类型等等。同时通过软件可以查看该平台积压的验证码的数量,如图为45个,用户输入结果后会很快刷新到下一个验证码。每种验证码的积分不同,验证码难度较高的积分较大些,同时网赚平台夜间工作给的积分也会多,所以我们可以看到打码平台的夜间服务费用也会高一些。我们粗略计算下这种网赚的收益,按官方说明10000个金币可兑换1元的标准,我们按一个验证码平均可可以获得100个金币计算,则打100个验证码即可获得1元,每天打10000个验证码才能获得100元。&/p&&p&&strong&2、普通打码平台&/strong&&/p&&p&打码平台提供多种类型的验证码,有正常的普通字符验证码、有选择题、算术题、以及其他的特殊类型的。每种验证码的计费类型不同,我们查看某打码平台的价格类目表,&/p&&figure&&img src=&https://pic4.zhimg.com/v2-9eedee70c31ad5f6a1daea_b.jpg& data-rawwidth=&988& data-rawheight=&752& class=&origin_image zh-lightbox-thumb& width=&988& data-original=&https://pic4.zhimg.com/v2-9eedee70c31ad5f6a1daea_r.jpg&&&/figure&&p&其中每种验证码的价格不同,该平台冲10元可获得25000快豆。其中最普通的验证码需要10个快豆,也就是说10元可以识别2500个普通验证码,我们查看下12306的图形验证码识别价格为60快豆,即10元可以识别400多个验证码。同时打码平台会以api的形式供用户使用,其只需传入账号密码以及验证码所属类型、验证码文件即可进行识别,如图&/p&&figure&&img src=&https://pic4.zhimg.com/v2-792b5a5ac5cab4d43a2caba_b.jpg& data-rawwidth=&586& data-rawheight=&527& class=&origin_image zh-lightbox-thumb& width=&586& data-original=&https://pic4.zhimg.com/v2-792b5a5ac5cab4d43a2caba_r.jpg&&&/figure&&p&&strong&3、开发者&/strong&&/p&&p&每个打码平台都会有很多开发者,开发者通过打码平台提供的sdk,进行开发软件。比如针对12306编写一个抢票软件,并内接该打码平台,那么羊毛党在使用该软件时只需填入打码平台的账号密码即可使用。同时开发者可以拿到提成,提成一般较高。&/p&&p&&strong&4.羊毛党&/strong&&/p&&blockquote&什么是羊毛党?&/blockquote&&p&有选择地参与活动,从而以相对较低成本甚至零成本换取物质上的实惠。这一行为被称为“薅羊毛”,而关注与热衷于“薅羊毛”的群体就被称作“羊毛党”。早前,“羊毛党”们主要活跃在O2O平台或电商平台。另外随着2015年互联网金融的发展,一些网贷平台为吸引投资者常推出一些收益丰厚的活动,如注册认证奖励、充值返现、投标返利等,催生了以此寄生的投资群体,他们也被称为P2P“羊毛党”。当然,使用打码平台的不一定就是羊毛党,还有可能是一些抢票的“黄牛党”或者黑色产业的欺诈者。&/p&&p&&strong&三)利益链&/strong&&/p&&figure&&img src=&https://pic4.zhimg.com/v2-808fba6af722d871ab3e5c6fa2a74e18_b.jpg& data-rawwidth=&520& data-rawheight=&319& class=&origin_image zh-lightbox-thumb& width=&520& data-original=&https://pic4.zhimg.com/v2-808fba6af722d871ab3e5c6fa2a74e18_r.jpg&&&/figure&&p&说明:佣工通过自身劳动,通过网赚平台变现,获得利益;网赚平台与打码平台进行合作,并有利益分成。打码平台将服务进行封装,提供给羊毛党。打码平台的开发者通过开发软件供羊毛党使用。同时羊毛党通过批量的注册、活动优惠等方式从网站进行获利。&/p&&h2&&strong&二、手机打码平台&/strong&&/h2&&p&&strong&一)介绍&/strong&&/p&&p&短信验证码在互联网业务中用于过滤低价值的用户,从而将服务推送给目标用户。这是基于手机号基本实现实名认证,每个人拥有的手机号也是有限制的前提。似乎通过手机短信验证就能够防止垃圾注册,筛选出真正有价值的客户。然而黑产针对基于手机号注册的场景,推出手机打码平台。手机打码平台囤积大量的手机卡提供短信收发的服务。实际调查中发现大型手机打码平台有几百万手机卡,小型也有几万的手机卡。&/p&&p&&strong&二)运行流程图&/strong&&/p&&p&手机打码平台的流程图如下,主要有两个角色,一个是平台的普通用户通常为羊毛党、一个是平台的卡商。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-333fb9b992cdf_b.jpg& data-rawwidth=&601& data-rawheight=&392& class=&origin_image zh-lightbox-thumb& width=&601& data-original=&https://pic1.zhimg.com/v2-333fb9b992cdf_r.jpg&&&/figure&&p&说明:手机打码平台会提供各种项目的接口,比如xxx账号注册、xxx绑定手机等。羊毛党只需要调用接口,获取某个项目可用的手机号,并将该手机号填入目标网站,然后调用接口获得短信内容即可。&/p&&p&&strong&1、手机打码平台&/strong&&/p&&p&手机打码平台提供各种项目,我们查看下某一手机打码平台的项目列表,如图&/p&&figure&&img src=&https://pic4.zhimg.com/v2-89b2916ad4ebf0e3d2c7a6_b.jpg& data-rawwidth=&1185& data-rawheight=&767& class=&origin_image zh-lightbox-thumb& width=&1185& data-original=&https://pic4.zhimg.com/v2-89b2916ad4ebf0e3d2c7a6_r.jpg&&&/figure&&p&每个项目的价格不同,像p2p金融类的可能价格较高,其他的普通的比如115网盘手机绑定价格较便宜,一个手机号只需1毛。接收短信流程很简单,查看下该平台的官方API接口说明,如图&/p&&figure&&img src=&https://pic2.zhimg.com/v2-1f99ea1da8a3a09c5ad66f6df9484fd7_b.jpg& data-rawwidth=&1214& data-rawheight=&640& class=&origin_image zh-lightbox-thumb& width=&1214& data-original=&https://pic2.zhimg.com/v2-1f99ea1da8a3a09c5ad66f6df9484fd7_r.jpg&&&/figure&&p&我们只需要调用接口,获取某个项目的手机号,填入网站,并调用接口获取短信内容即可。同时打码平台通常还会提供发送短信的接口、接收语音验证码等功能,如下为某一手机打码平台发送短信的接口&/p&&figure&&img src=&https://pic1.zhimg.com/v2-94a5e9a6d2b8c98c3bf5_b.jpg& data-rawwidth=&833& data-rawheight=&462& class=&origin_image zh-lightbox-thumb& width=&833& data-original=&https://pic1.zhimg.com/v2-94a5e9a6d2b8c98c3bf5_r.jpg&&&/figure&&p&&strong&2、卡商&/strong&&/p&&p&卡商是指拥有大量手机卡的用户,其通过猫池并通过打码平台提供的软件,提供相关项目的短信收发服务。卡商的手机号被使用一次,则可获得相应的收入,如下为一打码平台的卡商客户端,卡商将插有大量手机卡的猫池接入电脑,并选择需要做的项目即可。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-82e120fb4f84e0bf345a23c108ffed57_b.jpg& data-rawwidth=&735& data-rawheight=&492& class=&origin_image zh-lightbox-thumb& width=&735& data-original=&https://pic1.zhimg.com/v2-82e120fb4f84e0bf345a23c108ffed57_r.jpg&&&/figure&&p&其中猫池可以理解为有通信模块,可以收发短信,可以插很多手机卡的设备。一般有8口、16口的,多的有128口的,即可以同时插128张手机卡。猫池有多种类型,现在有很多猫池是支持3G、4G的,如下为插有手机卡的猫池图&/p&&figure&&img src=&https://pic2.zhimg.com/v2-484e02d5e4db453a9fe94e2ae9230616_b.jpg& data-rawwidth=&832& data-rawheight=&545& class=&origin_image zh-lightbox-thumb& width=&832& data-original=&https://pic2.zhimg.com/v2-484e02d5e4db453a9fe94e2ae9230616_r.jpg&&&/figure&&figure&&img src=&https://pic1.zhimg.com/v2-7d53a06bcd8f0ef3316e84_b.jpg& data-rawwidth=&571& data-rawheight=&528& class=&origin_image zh-lightbox-thumb& width=&571& data-original=&https://pic1.zhimg.com/v2-7d53a06bcd8f0ef3316e84_r.jpg&&&/figure&&p&卡商通常会有大量的卡,用来做手机打码只是其中的一个业务,还有很多是用来刷钻、刷会员、刷流量等。市场价格一般在10元左右一张,且这些卡有很多也是经过实名认证的,且有很多属于0月租、0余额的特殊卡。当然可以发送短信的则是有一定余额的。我们查看下一售卖手机卡的卡商发的广告,如图&/p&&figure&&img src=&https://pic3.zhimg.com/v2-1e98ae835f7c6b5fab46_b.jpg& data-rawwidth=&564& data-rawheight=&475& class=&origin_image zh-lightbox-thumb& width=&564& data-original=&https://pic3.zhimg.com/v2-1e98ae835f7c6b5fab46_r.jpg&&&/figure&&figure&&img src=&https://pic4.zhimg.com/v2-6bf289f73b52c9a5f44c4_b.jpg& data-rawwidth=&528& data-rawheight=&344& class=&origin_image zh-lightbox-thumb& width=&528& data-original=&https://pic4.zhimg.com/v2-6bf289f73b52c9a5f44c4_r.jpg&&&/figure&&figure&&img src=&https://pic1.zhimg.com/v2-27f1e66c60_b.jpg& data-rawwidth=&618& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&618& data-original=&https://pic1.zhimg.com/v2-27f1e66c60_r.jpg&&&/figure&&p&关于这种大量的卡的来源,其中一手机打码平台的卡商透露了如下信息&/p&&figure&&img src=&https://pic2.zhimg.com/v2-46f0c50afc464cf75b8f4e29b46f6c2d_b.jpg& data-rawwidth=&800& data-rawheight=&427& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&https://pic2.zhimg.com/v2-46f0c50afc464cf75b8f4e29b46f6c2d_r.jpg&&&/figure&&figure&&img src=&https://pic1.zhimg.com/v2-5cbb06eeeb8dd_b.jpg& data-rawwidth=&896& data-rawheight=&353& class=&origin_image zh-lightbox-thumb& width=&896& data-original=&https://pic1.zhimg.com/v2-5cbb06eeeb8dd_r.jpg&&&/figure&&p&同时这些卡商会有其他的业务比如超级会员、黄钻、绿钻等,查看一打码平台卡商发的信息,如图&/p&&figure&&img src=&https://pic4.zhimg.com/v2-615a9f0f1da33d45cda03_b.jpg& data-rawwidth=&504& data-rawheight=&526& class=&origin_image zh-lightbox-thumb& width=&504& data-original=&https://pic4.zhimg.com/v2-615a9f0f1da33d45cda03_r.jpg&&&/figure&&p&&strong&3、羊毛党&/strong&&/p&&p&我们查看一薅羊毛的群,里面每天会更新一些活动信息&/p&&figure&&img src=&https://pic3.zhimg.com/v2-a6b654fed7c563eef0915cf_b.jpg& data-rawwidth=&635& data-rawheight=&458& class=&origin_image zh-lightbox-thumb& width=&635& data-original=&https://pic3.zhimg.com/v2-a6b654fed7c563eef0915cf_r.jpg&&&/figure&&p&当然发出来的都是一些小利润的,一些较大利润的羊毛党们都不会轻易透露,当然其中也有很多属于灰色或黑色产业。在一些薅羊毛的群里,通常会伴有身份信息的售卖,在某一群里查看到售卖正反身份证图片加手持身份证的信息,只需2毛一份,如图&/p&&figure&&img src=&https://pic1.zhimg.com/v2-8ef5b2ed5e7cf33fa1a1d_b.jpg& data-rawwidth=&1025& data-rawheight=&374& class=&origin_image zh-lightbox-thumb& width=&1025& data-original=&https://pic1.zhimg.com/v2-8ef5b2ed5e7cf33fa1a1d_r.jpg&&&/figure&&p&&strong&三)利益链&/strong&&/p&&figure&&img src=&https://pic1.zhimg.com/v2-b9d84bbabb9f9f88c1209_b.jpg& data-rawwidth=&474& data-rawheight=&235& class=&origin_image zh-lightbox-thumb& width=&474& data-original=&https://pic1.zhimg.com/v2-b9d84bbabb9f9f88c1209_r.jpg&&&/figure&&p&说明:&/p&&p&羊毛党通过手机打码平台提供的手机号去网站批量注册,获得小号,再利用这些小号批量获取优惠。比如uber的推荐用户注册送优惠券,还有一些网站的新用户推荐注册送话费等等来获利。打码平台从提供手机打码服务里进行收费,并与对接的卡商进行利益分成,平台自己也会有一些手机卡。同时卡商也是有多种业务,一种是专门做打码平台的业务,其他的还有通过售卖卡给羊毛党,用来做刷超级会员、刷钻等业务进行获利。&/p&&h2&&strong&三、如何防控&/strong&&/h2&&p&针对普通打码平台以及手机打码平台如何进行防控。采用新型的验证码技术是一种方式,构建手机打码平台黑名单库也是一种方式。但基于构建的用户手机号信誉体系以及用户设备信誉体系,结合众多数据构建自己的安全风控系统才更为重要。&/p&&p&&strong&一)新型验证码&/strong&&/p&&p&替换传统验证码,采用新型的验证码。传统的验证码已经很难去防止机器行为,因而出现了一些基于用户行为的新型验证码。新型验证码最大的特点是不再基于知识进行人机判断,而是基于人类固有的生物特征以及操作的环境信息综合决策,来判断是人类还是机器。&/p&&p&比如Google的reCaptcha&/p&&figure&&img src=&https://pic1.zhimg.com/v2-0cbc5ecd94b0eff090fd_b.jpg& data-rawwidth=&395& data-rawheight=&93& class=&content_image& width=&395&&&/figure&&p&以及阿里巴巴的NoCaptcha&/p&&figure&&img src=&https://pic4.zhimg.com/v2-bf0e889bf89e4d6e12b93d_b.jpg& data-rawwidth=&418& data-rawheight=&61& class=&content_image& width=&418&&&/figure&&p&当然这也并不代表此类验证码不能被绕过,今年的Asia Blackhat上公布了一种破解Google reCaptcha的思路,具体可以参考&a href=&https://link.zhihu.com/?target=https%3A//www.blackhat.com/docs/asia-16/materials/asia-16-Sivakorn-Im-Not-a-Human-Breaking-the-Google-reCAPTCHA.pdf& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&[相关paper]&/a&&/p&&p&&strong&二)手机信誉库&/strong&&/p&&p&针对短信打码平台,可以回归短信验证码的本质需求,即过滤互联网中低价值的用户。而由于手机号并非完全实名制,事实上获取一个手机号的成本并不高,所以基于手机号并不能有效筛选出真正的高价值客户。尽管手机号本身获取成本不高,但是对于大多数普通互联网用户并不频繁更换手机号,所以可以基于手机号对应的行为来建立基于手机的征信库,从而基于手机号的信誉实现筛选出高价值客户功能,而非单一的依赖用户是否拥有一个手机号。&/p&&p&&strong& 三)风控体系&/strong&&/p&&p&对于普通的网站而言,建立自己的用户信誉体系尤为重要。基于用户的设备信誉、用户行为等信息进行防控。&/p&&p&其中对于p2p金融类的网站而言,构建自己的安全风控系统尤为重要。金融类的较为敏感,对于用户的身份应当做强的安全校验,比如进行银行卡绑定的身份校验等。&/p&&p&&strong&四)其他&/strong&&/p&&p&现在的手机已经需要进行实名认证,对于大量手机卡滥用会有一定的效果。但是在调查中发现其中还是有大量的特殊卡,且都经过实名认证或者是进行了企业认证的卡。另外对于手机打码平台,国家已经出台了相关政策,认定手机打码平台属于违法行为,因而这些手机打码平台也都转为地下。&/p&&p&&b&作者:Ano_Tom@阿里安全,更多安全类文章,请访问&a href=&https://link.zhihu.com/?target=https%3A//jaq.alibaba.com/community/index.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&阿里聚安全博客&/a&&/b&&/p&
简介互联网业务的飞速发展,日渐渗透人类的生活,对经济、文化、社会产生巨大的影响,同时互联网业务安全也日趋重要。如同网络通信的基础安全设施防火墙,互联网业务安全也有其基础安全设施--图片验证码和短信验证码。在互联网业务中,广泛使用图形验证码…
&figure&&img src=&https://pic1.zhimg.com/v2-83ec41c32e9de31d1b187b4_b.jpg& data-rawwidth=&468& data-rawheight=&279& class=&origin_image zh-lightbox-thumb& width=&468& data-original=&https://pic1.zhimg.com/v2-83ec41c32e9de31d1b187b4_r.jpg&&&/figure&&p&从昨晚开始,一个神秘的圈子开始哀鸿遍野,因为腾讯开始对一些违法违规的微信号开始大规模的封号。&/p&&figure&&img src=&https://pic4.zhimg.com/v2-e92bcfdcd8c6bb1d0bbce302_b.jpg& data-rawwidth=&640& data-rawheight=&766& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&https://pic4.zhimg.com/v2-e92bcfdcd8c6bb1d0bbce302_r.jpg&&&/figure&&p&这背后,一个叫做“群控”的群体渐渐浮出水面。&/p&&h2&&strong&什么是群控&/strong&&/h2&&p&我在玩“阴阳师”的时候,经常被对面的群控(如雪女)冻到地老天荒,但显然今天说的不是它们。&/p&&p&到底什么是群控,一番搜索之下,我在百度百科找到一条简短的解释:&/p&&blockquote&&p&群控,属于直接数控。可以用一台电脑控制上百部手机,实现手机群控。企业级硬件管理系统和自动化营销系统,让软件解放双手,通路云一台电脑控制百部手机,同时操作微信达到电脑群控手机的效果,极大程度上节省人工成本,提高办公和微信营销效率。&/p&&/blockquote&&p&看上去蛮高大上的样子,但是配图还是暴露了一些端倪,什么样的“办公”需要这样的架势。&/p&&figure&&img src=&https://pic3.zhimg.com/v2-8baed89de_b.jpg& data-rawwidth=&960& data-rawheight=&1280& class=&origin_image zh-lightbox-thumb& width=&960& data-original=&https://pic3.zhimg.com/v2-8baed89de_r.jpg&&&/figure&&p&看上去,就是用什么软件来同时管理多个设备,从而完成一些任务,而这些任务通常都涉及灰色利益链。&br&&/p&&h2&&strong&种类繁多的群控&/strong&&/h2&&p&对这方面我完全是外行,但是感谢万能的朋友圈,几经辗转,联系到了一些“圈内人”,他们给我揭开了一个鲜为人知的世界。&/p&&p&P君告诉我,前面我说的图片中那种一下子控制很多手机的,只是群控中最昂贵的一种,而群控其实种类繁多、应用广泛。&/p&&p&&strong&从控制方式来说,可以分为软件类和硬件类,&/strong&软件类主要用模拟器,便宜但容易被封,硬件类针对微信的又有多开和单开,单开最为稳定,但价格昂贵,起步20万,不是一般人能玩的。&/p&&p&群控商用的手机大多是200元左右的安卓机,当然也有用苹果的,什么充话费送手机之类的颇受欢迎。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-cb47d3ca047c_b.jpg& data-rawwidth=&800& data-rawheight=&600& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&https://pic1.zhimg.com/v2-cb47d3ca047c_r.jpg&&&/figure&&p&&strong&从控制对象来说,又可以分为针对手机的群控和针对手机卡的群控等,&/strong&前者主要控制一些手机上的APP如微信等,如果只是群发短信,那么用一个软件来管理手机卡就可以了。&/p&&figure&&img src=&https://pic3.zhimg.com/v2-6b7cfaff24cc20b55b5e_b.jpg& data-rawwidth=&1280& data-rawheight=&960& class=&origin_image zh-lightbox-thumb& width=&1280& data-original=&https://pic3.zhimg.com/v2-6b7cfaff24cc20b55b5e_r.jpg&&&/figure&&p&以微信类的群控为例,软件群控的话就使用模拟器的方式,市面上最好用的模拟器叫“夜X神”,但是软件类的被封得太厉害了,手机多开也容易被封,硬件类的又太贵,正在他们一筹莫展的时候,微信for windows 出现了,于是,各种针对电脑版微信的群控软件被研发出来,据说最稳定的叫做“皮X丘限量版微信管理软件”,市场售价320元/套。&/p&&h2&&strong&群控的用途&/strong&&/h2&&p&费劲千方百计做这些东西显然不是为了公益事业,群控的用户可谓非常之广泛,试举几例。&/p&&p&&strong&薅羊毛&/strong&&/p&&p&薅羊毛就是占小便宜,小便宜虽小,占得多了就成了大生意。&/p&&p&比如手机卡这玩意,以前形成过一个圈子叫“卡盟”,短信验证码就是卡盟下面的一个分支,前两年过得不大好,为了节约成本,他们就不用国内卡,而是用越南卡、缅甸卡、印尼卡等等,缅甸卡国内买的话一年月租18块钱,注意是一年18元,不是一月,还有零费用的印尼卡更是被撸到心碎,但就这样依然没多少钱赚。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-0a02b8bb92dc6bebc527_b.jpg& data-rawwidth=&336& data-rawheight=&570& class=&content_image& width=&336&&&/figure&&p&京东到家、口碑外卖、鲜老虎、饿了么、团购之类的o2o来了,拯救了薅羊毛党,因为他们时不时会搞一些活动,这时候就是群控出手的时候了。&/p&&p&这么说吧,“羊毛党大军”所到之处可谓是寸草不生,去年饿了么的圣诞节活动只开了不到一天,就被羊毛党撸的把活动临时停止了,口碑外卖去年夏天有个活动,也被羊毛党撸的都hold不住了。&/p&&figure&&img src=&https://pic2.zhimg.com/v2-96b0a46be3e9a4f7ae37a5_b.jpg& data-rawwidth=&724& data-rawheight=&960& class=&origin_image zh-lightbox-thumb& width=&724& data-original=&https://pic2.zhimg.com/v2-96b0a46be3e9a4f7ae37a5_r.jpg&&&/figure&&p&除此之外,诸如折800、楚楚街等创业产品为了拉用户,首次注册都要送这送那的,“薅羊毛党”们过得挺滋润。&br&&/p&&figure&&img src=&https://pic4.zhimg.com/v2-52ad01d1a4c204c297e171_b.jpg& data-rawwidth=&720& data-rawheight=&1160& class=&origin_image zh-lightbox-thumb& width=&720& data-original=&https://pic4.zhimg.com/v2-52ad01d1a4c204c297e171_r.jpg&&&/figure&&p&&strong&微商&br&&/strong&&/p&&p&作为这次微信重点打击的微商,他们是怎样用群控产品的呢?&/p&&p&我们都知道,一个微信号只能加5000个好友,所以很多微商都有几个乃至几十个微信号,我微信号3000好友都感觉心累,同时维护这么多5000个好友的微信号不得累死。所以,微商们从群控商那里买来群控系统,可以实现自动加新人、发朋友圈、培训代理商、点赞、卖货等等。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-edda7af19b4d89_b.jpg& data-rawwidth=&719& data-rawheight=&870& class=&origin_image zh-lightbox-thumb& width=&719& data-original=&https://pic1.zhimg.com/v2-edda7af19b4d89_r.jpg&&&/figure&&p&除此之外,群控软件还能实现一些微信没有的功能,比如转发语音和小视频(之前的微信版本不能转发小视频)等,可谓微商居家旅行必备利器。&/p&&p&P君告诉我,群控商们卖给微商的套装同样是8800元,这个套装包括:&/p&&blockquote&&p&一部越狱或者root好的手机用来微信多开&/p&&p&50个微信号(附带几百个微信群)&/p&&p&90万粉丝(包含微信群里粉丝的数量)&/p&&p&一个月服务器费用&/p&&p&皮X丘管理软件&/p&&/blockquote&&p&看上去,微商们在系统集成、项目管理、代理分发等方面都走在了时代的前列。&/p&&p&&strong&刷数据&/strong&&/p&&p&去年有阵子一大波知名自媒体人被曝光有刷数据之嫌,就是因为群控系统出现了问题,好不尴尬。&/p&&p&除了微信公众号,知乎、今日头条包括大众点评等平台的数据都可以刷,无论是阅读数、点赞数都可以搞得很华丽,唯独评论这种文字性的不能用群控系统刷,要做假只有人工,所以成本很高,除非是厂家或者公关公司请供应商来做水军,一般个人很少做。&/p&&p&所以,如果你看到某个自媒体大号阅读数和点赞数都很高,但却没什么赞赏、也没什么评论,评论的点赞数很少,那么十有八九是有问题的,反正,我是知道有些人是从来不敢开评论功能的。&/p&&p&群控可以做的事情还有很多,我听说湖南那边有个小村子,全村人都做这个,买回手机和软件,靠点击广告为生,居然也能过得不错。当然,主要的钱还是被上游开发商们和中游的推销商们所赚取。&/p&&figure&&img src=&https://pic4.zhimg.com/v2-e64bd174b6e84abac5e869_b.jpg& data-rawwidth=&701& data-rawheight=&284& class=&origin_image zh-lightbox-thumb& width=&701& data-original=&https://pic4.zhimg.com/v2-e64bd174b6e84abac5e869_r.jpg&&&/figure&&h2&&strong&遭受腾讯打击之后,群控黑幕会消失吗&/strong&&/h2&&p&“你见过一晚上涨价10倍吗?”C女士问我。&/p&&p&她说,最近刷数据的价格一直不稳定,老是涨价,而“微信人工业务平台”在这波涨价之前就挂掉了,原因未知。&/p&&p&腾讯重拳出击之后,各种群控的老号更是死的死伤的伤,甚至有些人的主号都未能幸免于难,一些“工作人员”都出去找工作了。&/p&&p&看上去打击的效果显著,但这对群控市场的影响只是暂时的,据我观察,去年微信也曾进行过大规模封号,这从微信团队去年的一则微博评论中可以一窥端倪。&/p&&figure&&img src=&https://pic1.zhimg.com/v2-3b3f80ee31b1fd7a7e73_b.jpg& data-rawwidth=&1440& data-rawheight=&1094& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&https://pic1.zhimg.com/v2-3b3f80ee31b1fd7a7e73_r.jpg&&&/figure&&p&而今天,同样是腾讯微信团队官微,同样是这条微博之下,出现了大量同样的叫骂声。&/p&&figure&&img src=&https://pic2.zhimg.com/v2-bb3e48cffddb5d7a49ae3444_b.jpg& data-rawwidth=&750& data-rawheight=&1253& class=&origin_image zh-lightbox-thumb& width=&750& data-original=&https://pic2.zhimg.com/v2-bb3e48cffddb5d7a49ae3444_r.jpg&&&/figure&&p&在2会期间,在“3.15”即将到来之际,腾讯对这些群控的老微信号进行一波清理,但并不能治本,相信不久之后又会像之前那样死灰复燃。&/p&&p&而且,前文提到的那种土豪级别群控商,就是掌握大量手机,每个手机只安装一个微信,这种是怎么也不会被封号的。&/p&&p&更何况,腾讯能清理的只有微信,而针对微信的群控,只是群控大军中的一个分支而已。&/p&&p&就在本文截稿之时,P君给我晒了一个图,他今天刚签了两个8800元的单,这其中群控软件“皮X丘”是花了230元购买的,多开软件是网上免费下载的,粉丝则是互换导流和“添加附近的人”等渠道来的,再加上800元的服务器费用和一部500多远的魅蓝手机,每个的成本不过1500元左右,两单下来,今天他又有差不多15000元的收入。&/p&&p&当然,我并不是说这个行业有多好收入有多高,只是想说,其实在我们的视野之外,还有很多鲜为人知的生存状态,而本文所揭开的,连冰山一角都算不上。&/p&
从昨晚开始,一个神秘的圈子开始哀鸿遍野,因为腾讯开始对一些违法违规的微信号开始大规模的封号。这背后,一个叫做“群控”的群体渐渐浮出水面。什么是群控我在玩“阴阳师”的时候,经常被对面的群控(如雪女)冻到地老天荒,但显然今天说的不是它们。到底…
&p&几个规模不大,但是很有趣的,算不上黑,更够不上产业链,绝大多数已经黄了,主要是看看聪明才智啊。&/p&&p&1 天猫赔付。&/p&&p&天猫规定,拍下付款后如果卖家缺货/在72小时内没有发货并出现有效物流信息,从卖家的保证金里赔付货款的30%的天猫积分给买家(单笔五万分-五百人民币上限),于是有伙人利用这个规则,专门寻找价格标错的的商品,一拥而上每个号拍数个1700元左右的订单,然后卖家发货则亏大,不发货则赔30%,反正有七天无条件兜底。更厉害的是死猫,就是拿一种特殊的软件搜长期不在线,疏于看管,但是却不下架商品的店家,原理相同。&/p&&p&2 垫付刷单。&/p&&p&这个骗子很多,但是有诚信的也不是没有,私下店家会开活,分为两种,卖家用储蓄卡给你支付,不怕你退款,几次后,你可以自己垫付,一般是2小时或当天18点以前返款,一单酬劳在6-10元左右,金额越大,号的质量越好,酬劳越高。&/p&&p&现在淘宝销量排前面的茶叶,减肥,壮阳,卫浴,这四个类目没有不刷单的,搜什么金骏眉铁观音,出来的全是刷出来的店。发布任务时候店家就说的清清楚楚,就是为了提高关键字排名,让刷单者从“铁观音”之类的关键词搜索,然后Ctrl+F找他们店,天猫跟C店无异,除了刷单的信誉会好点以外。&/p&&p&3 接码平台&/p&&p&有人豢养大量零租/欠费/濒临欠费的特殊套餐地方卡,例如什么湛江卡,济宁卡,全中国找,只为了符合一个条件:欠费/濒临欠费的时候不断接短信数月,或者月租极低甚至达到零租卡的地步,然后用猫池,即一种早年用于群发垃圾短信,可以将大量未开Sim卡直接连上电脑的设备,建立接码平台专门替人接验证码,一毛钱一条。&/p&&p&例如,我想注册30个大众点评网账号参加天天中奖——一个抽代金卷的活动,但是需要30个手机号,于是我就去找这类接码平台买验证码,选择你所需要注册的网站(美团大众苏宁国美,上百个可选),然后他会显示一个没注册过手机号给我,我拿这个点注册,验证码由接码平台系统接到反馈给我,然后我输入,就得到一个注册成功的大众点评账号,这样的账号存活率不高,但是短期使用足够。&/p&&p&4 团购套现&/p&&p&团购网站常常会推出一些体验性质的活动,类似于小额全免的,只要是全免就有搞头,例如美团网有一个明星请你看电影的活动,每个人最多送40张一元无限制代金卷,或者前阵子的糯米手机首单二十五元无限制劵,那就有人动脑筋了,美团送无限制劵那次,无锡当地有一个卖蛋挞的老板,他在美团上有团购,一元一个,然后他一下午领了一万多张劵,全在自己店里卖家号上消费掉,美团给他一万货款,这是极端的,你也完全可以拿着这个劵,去找当地的正好符合代金卷金额的商家,说这个吃的我不要了,你给我点钱,总之货款是团购网站给你,咱俩都不亏,一般小商家都不会拒绝。&/p&&p&5 僵尸号反复抽奖&/p&&p&这个我认为最无聊,很暴力,就是微博转发,QQ抽奖,有人成千上万个账号拿软件没日没夜的抽,大家拼机型和账号数量,然后把奖品拿到淘宝卖,最有名的就是今年春节的蒙牛有好礼码上幸福年,每个QQ每天能抽三次,一共送一万箱纯甄/焕轻/奶特,以中粮我买网提货卷的形式支付,反正淘宝上最火那家店卖出去将近两千张劵,而这个活动参与总人次我记得是一亿三千万还是一亿四千万,你们感受下僵尸号的威力。&/p&&p&6 实名支付宝/资料。&/p&&p&淘宝号用处很多,但是支付宝不实名屁用没有,于是就有人出售能够用来实名的资料以及账号,使用的时候就让你顶掉原拥有者的账号,于是有些人的账号就被莫名其妙顶了,这个原理是什么嘞?&/p&&p&为防社工库高手利用大量资料搞僵尸号,支付宝实名目前已经使用了一套安全度极高的实名验证方式,即跟公安系统联网。&/p&&p&一、检查银行卡姓名和身份证姓名是否对应&br&二、身份证号加姓名是否真实对应&br&三、银行预留手机号以及验证码和银行卡是否对应&br&或支付宝打进这个银行卡号的那笔款项是否正确。&/p&&p&这是一个非常聪明的反击,这相当于变相把账号注册的难度和银行的安保级别挂钩了,因为没办法用虚假身份办银行卡,这样对于买手机号,查身份证号的人,就傻眼了。&/p&&p&但是聪明的你一定发现了,这里有一节是断的:&br&没错,就是身份证号和银行卡号不要求对应,&br&代表什么呢?&/p&&p&假如你叫李刚,中国得有百万李刚,通过某些社工库,能搜到上千个李刚的开房记录,包括身份证号,然后,他只要掌握了一张李刚的银行卡,那么,当当,他可以用这张银行卡匹配全部李刚的身份证号,拿来做新的实名账号也可以,顶掉这些李刚已有的支付宝也可以。&/p&&p&于是,就有了一大堆资料和实名账号,于是四个月前,每个支付宝账号领一瓶友宝一分钱领饮料的时候,广州某些地铁站,大学城附近,常常有行家里手带着拉杆箱般饮料,然后拿恒大冰泉洗个澡之类的,轻松愉快。&/p&&p&&br&&/p&&p&&b&欢迎关注个人公众号梓泉(ziquanM) 获取第一手深扒皮,黑历史,腥八卦。&/b&&/p&
几个规模不大,但是很有趣的,算不上黑,更够不上产业链,绝大多数已经黄了,主要是看看聪明才智啊。1 天猫赔付。天猫规定,拍下付款后如果卖家缺货/在72小时内没有发货并出现有效物流信息,从卖家的保证金里赔付货款的30%的天猫积分给买家(单笔五万分-五…
谢邀。&br&&br&周末加班,抽空回答一下。都是用过的网站。&br&&br&&b&a.图片&/b&&br&&a href=&//link.zhihu.com/?target=http%3A//ffffound.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&FFFFOUND!&/a& 各种猎奇,激发灵感的图片,可以作参考。非高清资源&br&&br&&a href=&//link.zhihu.com/?target=http%3A//500px.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&The Premier Photography Community / 500px&/a&
摄影师社区,高清大图 (保存图片方式你懂得)&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.flickr.com/explore& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&http://www.flickr.com/&/a&
高清摄影 (被墙了)保存方法同上&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.gratisography.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Gratisography: Free, use as you please, high-resolution pictures.&/a&
每周更新,时尚大图&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.freeimages.com/home& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&The Leading Free Stock Photography Site&/a&
需要注册才能使用&br&&br&&a href=&//link.zhihu.com/?target=http%3A//pixabay.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Pixabay - Free Images&/a&
分类搜索大图&br&&br&&a href=&//link.zhihu.com/?target=http%3A//snapographic.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&free high-resolution pictures for personal and commercial use&/a&
同上&br&&br&&b&b.PS资源&/b&&br&&br&&br&&br&&b&&a href=&//link.zhihu.com/?target=http%3A//ui-cloud.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&UICloud | User Interface Design Search Engine, UI, UX, GUI, Inspiration, Resources, Elements, User Experience, Free Downloads, Freebies&/a&&br&&/b&&br&&br&&a href=&//link.zhihu.com/?target=http%3A//fbrushes.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Free Photoshop Brushes, Photoshop Patterns and Textures&/a&
笔刷 纹理下载&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.templatemonster.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Website Templates&/a& 网页模板下载&br&&br&&a href=&//link.zhihu.com/?target=http%3A//ui-cloud.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&UICloud | User Interface Design Search Engine, UI, UX, GUI, Inspiration, Resources, Elements, User Experience, Free Downloads, Freebies&/a&
UI素材&br&&br&&a href=&//link.zhihu.com/?target=http%3A//findicons.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Icon Search Engine&/a&
icon搜索&br&&br&&br&&b&c.综合类&/b&&br&&b&推荐:?&/b&&b&?&/b&&b&?&/b&&b&?&/b&&b&?&/b&&br&&b&其实很多时候看设计,看资源不用非得国外网站,国内现在也有很多优秀的平台,上面会分享很多干货。关注他们的微博,经常会发合集和资源。我也是通过它们知道很多国外资源。&/b&&br&&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.uehtml.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&UE设计平台-网页设计,设计交流,界面设计,酷站欣赏&/a&&br&&br&&b&&a href=&//link.zhihu.com/?target=http%3A//hao.uisdc.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&hao.uisdc.com/&/span&&span class=&invisible&&&/span&&/a&
神器!!!!真的是神器!!!很多资源站都可以从这里条过去!&/b&&br&&br&&a href=&//link.zhihu.com/?target=http%3A//hao.uisdc.com/shop/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&优设电商导航&/a&
电商类导航,看banner什么最方便了!&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.uisdc.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&优设-UISDC: 优秀网页设计联盟-SDC-网页设计师交流平台&/a& 综合性文章干货两手抓&br&&br&&a href=&//link.zhihu.com/?target=http%3A//color.uisdc.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&网页配色,设计配色,配色图表,配色卡,配色方案图谱生成-SDC优设网配色工具&/a& 中国配色&br&&br&好了,设计师,多看,多动,多思考。&br&&br&真的解决不到问题,再考虑问别人,不然每次伸手,会失去前面思考的重要环节。&br&&br&po张我每天上的最多的几个网站,或许觉得很低端,可是很多优秀的资源已经回被转载出来。学会利用好资源,阅读别人已经帮你筛选过的资源,不要过多的沉溺在逛一个又一个的酷炫网站里,更为重要。&br&&figure&&img src=&https://pic4.zhimg.com/f68aae4230c7_b.jpg& data-rawwidth=&393& data-rawheight=&193& class=&content_image& width=&393&&&/figure&&br&&br&&b&------------------更新---------------&/b&&br&&a href=&//link.zhihu.com/?target=http%3A//www.imcreator.com/free& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&IM Free - Free Design Resources&/a& 综合性免费素材网站&br&&br&&a href=&//link.zhihu.com/?target=http%3A//publicdomainarchive.com/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Vintage and Modern Free Public Domain Images Archive Download&/a&
偏lomo风格大图&br&&br&&a href=&//link.zhihu.com/?target=http%3A//sf.kdd.cc/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&在线书法字典网,多书法字体备选(全矢量图片)&/a&
虽然设计很渣,还很多广告,可是做毛笔字效果真的棒棒哒!&br&&br&&a href=&//link.zhihu.com/?target=http%3A//poolga.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&poolga.com/&/span&&span class=&invisible&&&/span&&/a&&b&福利站,iphone,ipad 全壁纸,设计感插画,再也不用官方壁纸了!&/b&&br&&br&&br&&a href=&//link.zhihu.com/?target=http%3A//www.deviantart.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&deviantart.com/&/span&&span class=&invisible&&&/span&&/a& 补上!!忘记这个了!&br&&br&&a href=&//lin}
我要回帖
更多关于 手机维修网上咨询 的文章
更多推荐
- ·拼多多包邮被新疆拍了怎么办新疆包邮活动有必要参加吗
- ·南京信息学院领导名单工程大学现任领导
- ·在我国的留学生外教世界各国的华人华人与华侨华裔的区别都在玩抖音快手吗!知己知彼百战百胜!相互了解中国?
- ·在新疆农业大学考研有哪些大学
- ·德国AEG公司德国费斯托官方网站站中国代理联系方式?
- ·智能手机卡槽中国铁路小件单号查询掉了怎么安装
- ·P7就这样丙纶布防水被淘汰了吗么
- ·最变态手机膜,是否贴上二张钢化膜它怎么扔也不坏,汽车压都不碎
- ·为什么王者荣耀积分兑换要兑换
- ·intel 硅脂为什么用硅脂
- ·之前的手机坏了,想要无码seed加速器安装包的安装包
- ·魏县法院房产拍卖公告哪个电脑店卖ThinkPad
- ·威力洗衣机维修电脑板线跟马达怎么连接?
- ·ps4的ps4 hdmi线线看起来两头一样,有区别吗
- ·有人知道演示机越狱了ipad越狱怎么刷回来来吗
- ·求香香的就算只是没有如果mp3下载
- ·苹果六升级11.02后苹果屏幕亮度时间老是变暗为什么
- ·有必要4k60和2k144的电脑显示器有必要上4k各买一台吗,本来
- ·王者荣耀刘备的克星射手的克星有哪些
- ·用中国移动宽带咨询手机能打10100进行咨询吗
- ·ipone7到底性能ipone8plus怎么样样
- ·安装中央空调多少钱价格大概多少
- ·格力50格力立式空调拆洗图解多少钱
- ·南宁哪里有补CPU1366针脚主板的
- ·wii和NS哪个switch wiiu 性能对比好
- ·药流后月子能吃苹果有苹果草莓香蕉桔子子等水果吗
- ·cherry性价比的键盘的键盘是代工的吗
- ·vivo屏下hp指纹识别软件是专利吗
- ·红米note收不到短信3一次性能群发多少条短信能设置
- ·求一个bethesda帐号APPLE ID帐号!
- ·苹果7plus怎么截长图有长曝光吗
- ·tst做大了身边有人做tst代理买房吗
- ·白沙晶城二手房出售这个小区物业好不好,有没有门卫
