雷锋网注：该文节选自《黑灰产服务型产业链报告》，由威胁猎人投稿，雷锋网略有编辑和整理。
有一家广东的饮料公司，原本都是靠传统促销手段进行营销，比如瓶盖抽奖，随着互联网的普及，决定尝试新的方式——扫二维码领红包，想借力互联网省去繁琐的流转，顺便收集顾客信息，不料羊毛党却给了他们当头一棒。
随着活动的升温，迅速出现了大量贩卖东鹏特饮 cdk（码子）的人。
所谓码子就是将活动二维码转换成的链接。购买码子后用微信点击便可以领取红包。渠道商和羊毛党手中的微信账号有限，但码却很多，他们以略低于最低额度红包的价格售卖，购买者也是稳赚不赔。
还有一家众所周知的苹果公司也遭遇过羊毛党，用户在ios上消费后，苹果公司会按照比例与app服务提供方进行分账，以季度结算。结算时，大量商户发现苹果的分成和实际销售金额相差甚远。在查看之下，发现了真实原因：被薅。
一些账户进行了 6 元和 30 元的小额消费后立即消失了，存在批量痕迹。原来苹果为了提升用户体验，设置了 40 元以下小额充值可以不验证，先派发商品的策略。对黑产来说，此举意味着每个小号 36 元的利润，立刻展开了行动。
黑灰产的服务型产业链到底怎么构成——在上游为各条其他细分黑灰色产业链提供资源支撑和各类服务的产业链有哪些？今天我们不说黑灰产，我们来说黑灰产的服务型“伙伴”。
1、上游资源提供者
a）黑卡
手机黑卡，指黑灰产从业者手中的大量非正常使用的手机卡。这些黑卡会提供给各个接码平台，用于接收发送验证码，进而进行各种虚假注册、认证业务。比如饿了么新用户有十几元的首单减免，羊毛党会从接码平台获取手机号批量注册，再通过下游将这些首单优惠以一半的价格卖给需要点外卖的人。注册成本是支付一毛钱给接码平台，收益是下游接单人的几元到十几元不等的收购价。而黑卡就是接码平台手机号的源头。
被称为“史上最严”的手机卡实名制举措，确实在一段时间内打压了手机黑卡和接码市场，提供黑卡和接码服务的平台和个人一下子销声匿迹，但好景不长，仅仅几个月后，便出现了强劲的复苏态势，提供黑卡和接码服务的平台和个人如雨后春笋般涌现。至今，该市场已经极具规模，并且运行稳定，给甲方业务安全造成巨大压力。
据威胁猎人反向追踪调查，黑卡背后的产业链大概如下图所示：
卡源卡商
卡源卡商指通过各种渠道（如开皮包公司、与代理商打通系等）从运营商或者代理商那里办理大量手机卡，通过加价转卖下游卡商赚取利润的货源持有者。卡源主要有：
物联网卡：主要用于工业、交通、物流等领域的手机卡。物联网卡无须实名认证，需要以企业名义办理，提供营业执照即可，营业执照可以以千元左右的价格买到。有些运营商对营业执照检测力度很低，甚至会为灰产定制专用的物联网卡套餐。这种卡多为 0 月租或者1月租，根据能否接听电话，分为短信卡（也称注册卡）和语音卡。实名卡：这种多为联络运营商后，用网上收集的大量身份信息批量认证得到的。海外卡：实名制实施后，卡商受到一定限制。从16年下半年开始，大量缅甸、越南、印尼等东南亚卡开始进入国内手机黑卡产业，这些卡支持gsm网络，国内可以直接使用，无需实名认证，基本是0月租，收短信免费，非常切合黑产利益。
了解了他们的经营方式后，我们再进一步分析黑卡数据可以发现运营商的比例甚至可以定位到犯罪团伙经常活动的城市。
手机黑卡运营商对比
下图展示了传统运营商和虚拟运营商黑卡的数量对比。
来自传统运营商的黑卡数量要远多于来自虚拟运营商的黑卡数量，毕竟传统运营商和虚拟运营商的手机卡总量不在同一个数量级上。
2017年8月的新闻数据表明，全国虚拟运营商用户占移动用户总数的3.6%，3.6%的用户占比却贡献了20.17%的黑卡数量占比。相对传统运营商而言，虚拟运营商的手机卡中黑卡占比较高。
以下两张图展示了在非虚拟号段上和虚拟号段上三大运营商的黑卡数量对比。在非虚拟号段上，将近一半的手机黑卡来自于中国移动，约三分之一来自于中国联通，中国电信最少。在虚拟号段上，绝大多数是中国联通的手机黑卡，中国移动次之，中国电信依旧最少。
手机黑卡归属地分布
依据归属地统计的数据，广东省十分抢眼，在黑卡归属地省份排名中遥遥领先，省内的广州、深圳、东莞和佛山也霸占了黑卡归属地城市排名中前五名中的四名。
猫池厂家
猫池厂家负责生产猫池设备，并将设备卖给卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备，在正常行业也有广泛应用，如邮电局、银行、证券商、各类交易所、各类信息呼叫中心等。猫池设备可以实现对多张手机卡的管理。
卡商
卡商从卡源卡商那里大量购买手机黑卡，将黑卡插入猫池设备并接入卡商平台，然后通过卡商平台接各种验证码业务，根据业务类型的不同，每条验证码可以获得0.1元-3元不等的收入。
黑卡数据库能够结合企业自身的后台数据，作为补充和参考，为企业筛选恶意用户提供账号维度上的支持。
b）黑ip
ip地址作为互联网的紧缺资源、一直是厂商最重要的风控方案之一。面对攻击，最主流防控措施之一就是封ip，企业根据黑ip库、同ip发起请求次数、密码错误率、是否有恶意行为等决定一段时间内禁止某ip的请求。
而面对暴利，黑产不会轻易放弃，对待厂商的对抗，黑产积极主动寻求解决方案，甚至做到了平台化、链条化的反对抗。根据威胁猎人的长期监控，黑产主要有以下几种获取ip资源的方式：
扫描代理：通过全网扫描常见的代理服务端口，收集可用的代理ip地址，自行维护管理，成本高、效率低。付费代理：代理商通过扫描、搭建、交换的方式，提供全球的代理服务器，有效降低自行收集的产品。代理ip平台非常之多，均可以提供api接口供黑产调用。付费vpn：与代理相似，使用技术不同。拨号vps：这类vps是一台虚拟服务器，通过adsl拨号上网，每拨号一次换一次ip，使用者相当于拥有了整个城市的大量可用ip。更有相关供应商做到了打通全国多省市的拨号方式，俗称混拨。也就实现了在一台vps中使用一个账号快速随机切换近百城市的adsl线路拨入互联网。
我们称这种用于网络攻击的ip为黑ip。威胁猎人通过大量渠道，在2017年采集并整理出全球范围内的黑ip，并做了详细分类。
黑 ip 类型排名
经统计，黑ip top 10类型比例如下。一个黑ip可能会有多个标签，整体看来，僵尸网络ip、机器人ip和代理ip的数量占据前三名。
黑ip地域分布
分析ip地域来源数据，全球黑ip分布图和top 20的国家如下。全球ipv4总数约为43亿，美国拥有30%以上，这一数据与图片相符，美国的黑ip数量占比36.39%，遥遥领先其他国家。发达国家的黑ip数量要多于发展中国国家，可以简单理解为，发达国家拥有更多的互联网设备，也就拥有更多的ip资源，所以黑ip的数量与互联网设备的数量成正比。
以下两张图片为全球黑ip来源城市top 20和全球黑ip所属运营商top 10。从来源城市数据看来，top榜单中大多数是美国城市，中国城市数量紧随其后，其中北京更是占据了榜首。上榜的城市都是经济较为发达的城市。从所属运营商数据看来，top 10中一半是美国的运营商。
c）账号
批量注册和养号：
在互联网灰产中，无论是行迹匆匆的羊毛党，还是猥琐发育的养号者，都需要大量账号作为牟利的支撑。因此，注册环节也就成了互联网公司和灰产的最前沿战场。各公司的注册页面看似平淡，实则暗流涌动。
灰产的逐利本性决定他们非常强调投入产出比。灰产会雇佣开发人员开发针对注册环节的自动化攻击工具。这种注册软件大抵有两类：
模拟操作类：通过控件操作浏览器元素实现，真实加载注册页面，模拟用户操作。协议破解类：通过https协议实现，破解注册接口协议，直接带参数调用注册接口实现注册。
除了批量注册外，灰产也会根据平台特色，使用其他平台第三方登录的方式跳转成小号，批量产出，例如有一种微博账号叫做授权号，因为注册流程等原因，在微博平台收到风控限制，很难进行后续变现业务，就只用作授权其他平台账号，在其他平台上完成变现。这种授权号成本低于手机号注册，每个只需要几分钱。
针对这类账号，很多厂商会对新注册账号进行监控，于是产生了号商养号的行为，注册后模仿真实用户进行一些操作，将号码从监控列表剔除之后再进行业务。
薅羊毛的新号、刷量的小号都是通过这些方式得到的，但针对苹果风控被灰产需要的老号就需要通过盗号、养号、撞库获得了。当各个平台增加风控后，这类老号需求就会出现，如微信满月号、陌陌半年号等等属于养号，几年扫号老号等属于盗号或撞库所得。
撞库
撞库，即攻击者通过收集各个网站的泄露的用户数据等方式，生成用户名和密码字典，批量去其他网站登录，尝试撞出目标网站的可用账户密码。近年来，随着频繁出现的数据库泄露事件，撞库攻击取代了木马盗号成为了主流的盗号方式。
下图为2017年撞库攻击量走势图：
以下是2017年撞库攻击者“钟爱”的一些攻击目标和接口：
游戏行业在地上互联网公司也是盈利最为可观的，在地下自然也聚集了大量相关从业人员，拥有众多的细分变现产业链。能否直接获得游戏账号的撞库方案自然是受黑客欢迎与关注的，因此，游戏公司向来是撞库攻击的高发地。国内外各大游戏公司在2017年都持续受到大量的撞库攻击。
版权行业和社交行业也是深受其害，随着正版化的推进以及带宽的增加，许多相关资源需要付费观看，存在不愿意花高价购买会员，而愿意用低价购买一个账号使用的人，就会存在这些会员账号变现的途径，进而这些账号也就是对黑产有价值的。
社交行业也拥有数量众多的变现方式，主要的灰产有刷量（点赞、播放量、榜单等）、私信引流、色情社交引流、诈骗等。社交平台对抗的风控策略不断升级，社交平台的老账号也就成了某些圈内富有价值的资源，如某陌交友平台的老号价格在30元以上。老号资源意味着封杀率低、生意可持续。因此，社交账号也是黑产的重要目标。
撞库数据来源
（1）信封号产业链
信封号，是qq号产业链中的黑话，每一万个或者一千个被盗取的qq号，称为一个信封。信封号产业链就是qq号盗取、销赃的产业链。当qq号中的q币、游戏虚拟装备等被清洗一空、压榨干净后。就会将大量的账号密码贩卖给黑客完善社工库，或者制作密码字典。由于qq邮箱在国内的市场占有率很高，以及很多用户习惯直接用qq号对应的qq邮箱和密码作为第三方平台的账号。大量qq号被直接用来进行网站撞库。
（2）网站泄露数据库
网站泄露数据库的标志性事件是2011年csdn 600万用户数据泄露，引领了当年一波数据泄露高峰，数十个网站的用户数据被公开，大量只在地下流通的数据被抛上台面。平时不关注此道的黑客也掌握了足够的数据源切入，某种程度上点燃了撞库攻击的热潮。而且被爆出的数据泄露其实也只是冰山一角，更多的再地下黑市中交易流通。
（3）地下黑市流通
数据窃取与交易是地下产业链隐藏最深的部分，也常有一些定制性的交易，不少黑客通过数据交易来构建庞大的社工库。黑客间的私下交易，我们无法得知，到底有多少网站数据已经被窃取也无法客观的评估。但通过半公开渠道也可管中窥豹，以下是暗网某地下数据交易市场的截图：
攻击方法和主流防控
通过对海量攻击行为的监控和分析，我们发现黑客攻击方法如下：
（1）判断账号是否存在
注册接口快速验证：很多网站在填写注册信息时，会通过ajax对账户名可用性做实时验证，这个接口就可以被黑客利用做账户存在的筛选。登录接口返回信息：部分网站账号密码错误时，会返回敏感信息暴露账号存在情况，如返回“账号不存在”或“密码错误”。现越来越多的厂商返回“账号或密码错误”，可以有效避免被利用。找回密码接口：部分网站，在找回密码流程中，也会有一次提示信息，也常会被黑客用来验证账户存在。
（2）业务安全集中管理问题突出
从th-karma统计的数据来看，许多网站的主要入口有比较严格的审计措施，会根据登录ip、频率等触发验证码或者封锁ip。但当公司业务增多，安全管理复杂度大幅增加，不同子站各用一套自己登录验证。这些没有接入审计功能的边缘业务接口就称为了黑客攻击的温床。
（3）攻击效果
根据对大量撞库数据的统计，能够成功绕过风控的攻击占供攻击量的83%，撞库的成功率则在0.4%左右浮动。
对此，我们建立维护了一个高危账号库。高危账号指的是已被黑灰产从业者恶意利用的账号，大多来自泄露的数据库。对于甲方而言，看到这些账号要多一份心眼，很有可能背后暗藏着不轨动机。根据 2...