刚刚，腾讯起诉今日头条系，索赔1元；抖音：朋友圈就留给微视，抖音累了；京东618开场1小时订单50亿；滴滴：新版紧急求助功能上线
▌腾讯起诉今日头条系，索赔1元并要求道歉
6月1日，腾讯官方微信表示，近期，北京字节跳动科技有限公司 、北京微播视界科技有限公司通过各种渠道诋毁腾讯公司，对腾讯公司声誉造成严重影响。对此，腾讯公司即日起于北京市海淀区人民法院正式起诉上述两家公司，索赔人民币1元，并要求两家公司在自有新闻媒体平台全量推送公开道歉。
腾讯表示，2018年5月以来，“今日头条”及“抖音”系列产品的实际运营者北京字节跳动科技有限公司 、北京微播视界科技有限公司通过其自有新闻媒体平台等渠道大量发布、传播贬损诋毁腾讯公司的言论、文章或视频。
▌抖音：朋友圈就留给微视吧，抖音累了
6月1日，抖音在官方公众号“抖音短视频”发文称，起诉可能是二十岁的腾讯，送给不到两岁抖音的儿童节礼物。抖音称，广阔的朋友圈，都是腾讯为微视打下的江山、承包的鱼塘。“同时祝福一下微视，衷心祝愿在这个没有抖音的朋友圈里，微视能改进产品，一统天下。朋友圈就留给微视吧，抖音也累了。欢迎大家继续在抖音记录美好生活。”
▌抖音正式开放蓝V认证，一次认证打通三大平台
6月1日上午，抖音官方发布通知，称“抖音企业号6月1日正式上线”，并列举出权威认证标识、营销工具、数据监测、粉丝管理等多项认证福利。同时企业认证将开启平台认证打通，即一次认证，享受今日头条APP、抖音短视频APP、火山小视频三大平台的认证标识、专属权益。
此外，6月1日前已经开通头条「企业认证」的用户也可通过帐号关联的方式快速获取抖音认证。
▌饿了么走进天猫小店，试点店订单翻3倍
5月31日，阿里巴巴零售通与饿了么，联合公布最新的经营方案，此前的首期试点中，天猫小店淼童超市等，日均销售额和日均单量都增长到原来的3倍。6月，该经营方案将会在杭州、青岛、成都、武汉、东莞5个城市落地，并逐步推向全国的天猫小店。
据介绍，该经营方案不仅有适合外卖场景的商品类目排布、满减设置，还通过零售通引入优质品牌，让利优惠，吸引客流。
▌京东推出新一代物流无人机，打造智慧物流网络
近日，京东集团在京发布了最新研发的JDY-800物流无人机，其起飞载重上限为840公斤，续航可达1000公里，预计将于2020年开始投入运营，成为“空地一体”三级智慧物流网络的重要组成部分。
截至目前，京东已出动无人机超2万架次，飞行总里程达10万公里，积累了大量数据与实际运营经验。此次新发布的JDY-800没有驾驶舱，其翼展超过10米，具有全天候全自主飞行能力，巡航高度可达3000米，巡航速度超过200公里每小时。
▌云南试点推行高速公路“无感支付”
云南省高速公路“无感支付”（试点）6月1日上线运行。昆明机场高速、丽江机场高速以及昆楚高速公路的昆明西、安宁东、楚雄西和南华收费站为支持“无感支付”的试点收费站。
高速公路“无感支付”基于车牌识别技术，用户无须安装额外设备，通过“一部手机游云南”平台将微信支付账户与车牌绑定，并申请开通微信免密支付，车辆通行支持“无感支付”的收费站时，即可通过车牌识别实现自动扣费通行。“无感支付”成为继现金、ETC、扫码支付之后又一种新的支付方式，将为用户提供新的使用体验，也将成为助推云南全域旅游的一项重要措施。
▌京东618开场1小时累计下单金额50亿元，同比增长超130%
京东大数据显示，开场仅1小时，累计下单金额已达50亿，同比增长超过130%，其中有四分之一的订单来自开场前五分钟。
从开场1小时的下单金额来看，手机、空调、平板电视、冰箱、游戏本分别占据品类排行榜前五位置。从开场1小时的全国各地区的下单金额来看，广东、北京、江苏、浙江、山东成为排名前五的地区。从搜索数据来看，6月1日0点-1点，小米8、手机、空调、大米、冰箱等成为消费者最爱搜索的关键词。
▌《复仇者联盟3：无限战争》成为中国票房最高的IMAX电影。
6月1日，IMAX CHINA宣布，《复仇者联盟3：无限战争》成为中国票房最高的IMAX电影。截至5月底，《复联3》共在中国超500家IMAX 影院斩获约2.35亿票房， 在《复联3》的强劲表现推动下，IMAX中国影院五月单月票房力收2.64亿，创造了五月单月票房新记录，并且成为IMAX中国历史上第二高的单月票房成绩。
▌京东进军家装建材领域
5月31日，京东宣布正式上线建筑材料业务，各类商家及个人消费者未来将能在京东平台购买到砂石水泥、管材管件、涂料等各类建筑材料。京东建筑材料业务的上线将打通京东家装供应链条最后一环，与其它版块共同打造出高品质家装一站式购物服务平台。
自2013年开始，京东家装建材业务GMV复合增长率超过100%。目前合作商家已近2万家，覆盖了灯具、厨卫、五金电工、全屋定制、装修主材、装修设计等多个领域。
▌全球首款固态激光雷达无人物流车发布
5月31日，阿里菜鸟与速腾聚创（RoboSense）联合发布全球首款应用固态激光雷达的无人物流车G Plus，该款物流车最大的亮点是搭载了来自速腾聚创的固态激光雷达RS-LiDAR-M1Pre。在全球无人驾驶的发展历程中，这是首次正式应用固态激光雷达的无人驾驶车辆。
阿里菜鸟无人物流车G Plus搭载了三台RS-LiDAR-M1Pre，前方两台，后方一台，保证在行驶方向上拥有更强大3D环境感知能力，让无人物流车看清楚行驶方向上的行人、小汽车、卡车等障碍物的形状、距离、方位、行驶速度、行驶方向，并指明道路可行驶区域等，从而保证无人物流车能在复杂的道路环境中顺利通行。
▌滴滴：新版紧急求助功能上线
5月31日，滴滴公告了近期的整改措施落实情况。滴滴宣布，新版紧急求助功能已正式上线；快车已上线人车不符评价机制；快车已在部分城市上线每天出车前司机人脸识别功能，将尽快做到快车、专车、豪华车全量上线；平台已研发并上线大数据识别模型，对识别出的人车不符进行核查，一经核实马上封禁。
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点怎么回事啊？ 打客服打不通【滴滴车主吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：18,360贴子：
怎么回事啊？ 打客服打不通
怎么回事啊？ 打客服打不通
滴滴车主 一秒加入滴滴顺风车,注册快捷简单;海量订单忙不停,收入丰厚!
可能服务器升级，可能黑客黑了，可能老总卷钱跑路了……
钱就被吃了？？
现在可以看见流水了，但是有几单 乘客已支付，但是我没收到钱，流水里面也没有。滴滴吃了？？？
乘客打电话过来说付不了款滴滴啊滴滴
我的少了两单
整个平台都出了问题，再仔细看看是不是连订单报备都没有了？客服电话没有人工服务了？
贴吧热议榜
使用签名档&&
保存至快速回贴&p&贴一篇我们的报告，里面有记载一些2017年的典型黑产事件，以及黑产产业链&/p&&p&&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&ThreatHunter：威胁猎人：2017年度中国互联网黑产报告&/a&&/p&&p&&br&&/p&&p&&b&概述：&/b&&/p&&p&2017年，纵观全球网络安全事件，从黑客组织Shadow Brokers泄露NSA的漏洞利用工具EternalBlue，到WannaCry勒索软件席卷全球，从国内58同城简历数据泄露，到国外信用机构Equifax被黑客入侵，黑灰产业蓬勃发展。&/p&&p&只有事件爆发后才能察觉问题，这使得企业和用户的处境十分被动。企业对于黑产的行为逻辑、行动方式、利益和目的等都十分陌生。威胁猎人将根据平台第一线的攻击数据和深入访问调查的黑灰产现状，为大家揭开黑灰产的面纱。&/p&&p&&b&目录：&/b&&/p&&p&一、黑灰产事件举例分析
&/p&&p&1、东鹏特饮薅羊毛事件
&/p&&p&2、苹果36
&/p&&p&3、滴滴虚假注册
&/p&&p&4、Uber被黑客勒索
&/p&&p&5、教材涉黄案
&/p&&p&二、产业链分析
&/p&&p&1、上游资源提供者
&/p&&p&a）黑卡
&/p&&p&b）黑IP
&/p&&p&c）账号
&/p&&p&d）账户认证
&/p&&p&2、下游变现细分产业
&/p&&p&a）流量欺诈
&/p&&p&b）数据爬取采集
&/p&&p&c）薅羊毛
&/p&&p&d）引流
&/p&&p&三、对抗升级
&/p&&p&1、主流防控措施和黑产绕过方法
&/p&&p&2、新风控角度的思考
&/p&&p&a）黑产大数据监控
&/p&&p&b）情报带来的针对性对抗
&/p&&p&结语 &/p&&p&&b&一、黑灰产事件举例分析&/b&&/p&&p&1、东鹏特饮薅羊毛事件&/p&&p&营销活动大家都不陌生，通过奖励机制吸引用户。不过同时也会吸引来一群叫做“羊毛党”的人，他们依靠注册大量账号获取优惠券、争抢红包、奖品，再通过转卖等方式变现。大促、补贴、营销活动都是他们眼中一次次“捞钱”的机会，被叫做线报。&/p&&p&缺乏业务安全意识、补贴又丰厚的活动是最容易被薅的。东鹏特饮是广东一家饮料公司，传统促销活动是瓶盖抽奖，随着互联网的普及，决定尝试新的方式——扫二维码领红包，想借力互联网省去繁琐的流转，顺便收集顾客信息，不料羊毛党却给了他们当头一棒。&/p&&p&随着活动的升温，迅速出现了大量贩卖东鹏特饮CDK（码子）的人。所谓码子就是将活动二维码转换成的链接。购买码子后用微信点击便可以领取红包。渠道商和羊毛党手中的微信账号有限，但码却很多，他们以略低于最低额度红包的价格售卖，购买者也是稳赚不赔。 &/p&&p&而购买CDK的是普通用户吗，只能说比例太少，普通用户哪有渠道知道CDK的存在，大多是手中拥有很多微信账户的其他灰产从业人。他们平时的业务是用微信号加大量好友，再通过诈骗、微商等形式变现。东鹏特饮CDK只是顺便的行为之一罢了。&/p&&p&总之在利益的促使下，迅速有人与废品回收站核心节点合作，低价大量收购瓶盖，提取二维码信息，市场上称为“废品码”，与之对应的是“必中码”，是打通关系后从生产瓶盖厂商、内部人员等处购买的，将二维码一键生成链接，转手卖给渠道商，渠道商再分发给各级下线，一套流程下来，层层都有利润，做活动的企业就成了冤大头。最终结果就是东鹏特饮发现实际兑换的奖金金额远远高于预期，而收获的只是营销效果为0的“僵尸用户”。&/p&&p&不只是东鹏特饮，这类码子在市场上非常之多，蒙牛优益C、蒙牛冰淇淋、百事可乐、红牛、七喜、小茗、京东二维码等等，数不胜数。当活动发展到一定规模，下游还会有人以“收学费带赚钱”的形式大肆传播，整个过程犹如蝗虫过境，吃光企业的活动经费。&/p&&p&羊毛党的基本行动方式就是以量取胜，用大量账号暴力争抢活动补贴、奖品，如新用户折扣券，然后转手低价卖出。事实上他们只是互联网黑色产业链的变现末端之一，有些直接称其为搬砖人，因其技术要求低，纯粹是体力活。&/p&&p&他们的账号来源、行动模式都值得我们注意。比如瓜分新用户礼券的注册手机号从何而来？答案是手机黑卡。威胁猎人收集维护了海量数据的黑卡库，在下文产业链分析中会做出详细介绍。除去手机号，羊毛党作恶需要通过平台的IP、设备等检测，这些在黑产中都有着平台化、链条化的产业，羊毛党仅仅是它们的下游之一。详细产业链分析请参考上游资源提供者模块。&/p&&p&2、苹果36&/p&&p&同样遭遇薅羊毛的还有苹果。用户在iOS上消费后，苹果公司会按照比例与app服务提供方进行分账，以季度结算。结算时，大量商户发现苹果的分成和实际销售金额相差甚远。在查看之下，发现了真实原因：被薅。&/p&&p&一些账户进行了6元和30元的小额消费后立即消失了，存在批量痕迹。原来苹果为了提升用户体验，设置了40元以下小额充值可以不验证，先派发商品的策略。对黑产来说，此举意味着每个小号36元的利润，立刻展开了行动。&/p&&p&他们会首先通过脚本批量注册大量邮箱账号。国外一些邮箱注册不需要提供手机号，这一步操作几乎是“无成本”的。完成后，会利用软件，批量生成Apple ID，再批量激活。大部分厂商会在IP短时间注册量上进行判断，对黑产来说这一步的成本就是更换IP的成本。对此威胁猎人会在下述产业链部分详细阐述黑产逃过IP检测的方法。&/p&&p&消费需要绑定银行卡，对于大量的银行卡需求，黑产的解决方案是家庭共享和注册虚拟银行卡。设置家庭共享后，每个账号可以有8个附属账号共享同一张银行卡，而这张银行卡是一张虚拟卡，当黑产持有一张银行卡后，可以线上向开卡行申请虚拟银行卡，卡号会和原卡不同，但都是属于同一个账户。&/p&&p&当苹果发现盗刷行为会对该账号封号，当多个附属账号被封后，苹果会将主账号与其绑定的银行卡列入黑名单，这时，黑产会将虚拟卡注销，重新申请，完全不影响继续使用。苹果也会对设备进行检测，这时黑产会结合改机软件，在被锁机前刷新设备指纹，轻松解决。&/p&&p&薅羊毛后，黑产就会利用低价优势，通过各种渠道销售虚拟商品进行变现。游戏和版权行业是受害的重灾区。&/p&&p&针对36技术，苹果进行了策略调整，新注册用户限制使用先派发后收款的模式。然而此举对黑产来说只是提高了一点成本，还在接受范围中。造成的影响是黑产对老号的需求大幅增加，等待着苹果的问题将是盗号、撞库、养号等等。如上述变现环节，因为充值限制，会索要用户（购买黑灰产手中虚拟商品的人）的账号和密码，这个账户就可以“回收” 投入下一轮的利用。账号相关的产业链详细阐述可参考下文账号模块。&/p&&p&3、滴滴虚假注册&/p&&p&按照相关规定，网约车平台对注册司机需要进行相关考核审查，如有一定的驾驶年龄、北京要求“京人京车”等。很多不符合规定的人想完成注册，就会利用一种“代注册”的黑产业务。&/p&&p&2017年9月，滴滴向广东省公安厅网警总队举报，发现发现几十万账户存在虚假注册、人车不符的问题。经查，发现了背后黑产大肆的牟利行为。驾龄不符、外地车不派单、车辆超龄都可以拿钱“解决”。&/p&&p&首先黑产信息源通过行业内鬼等，查到真实符合规定的人车信息。一级中间商从信息源购买车辆人员信息。然后加价转卖给二级中间商，二级再加价转卖给代注册操作员。代注册操作人再通过PS等方式“加工信息”，与购买者信息结合，将分别合规的信息整合为一整套，完成注册操作，收费300-500元不等。而即使被发现，滴滴也只能对司机进行封号处理。&/p&&p&有些操作人还会顺便薅一把滴滴的羊毛，如利用推荐机制，滴滴公司规定，每推荐成功一个司机，就能获得218元冲锋奖，和新司机前8个订单30%的流水。不难想象在各家网约车竞争期，活动不计成本，都只想着在大战中存活的时候，代注册一伙能够获得多么巨大的利润。&/p&&p&事实上，在滴滴快的大战时，虚假司机账户就是主要是用来刷单，结合外挂牟利的。当网约车合并，国家监管变严后，代注册团伙转而向不符合规定的人售卖服务，部分团伙还会以出售“注册教程”的方式获取额外利润，这种教学收费模式往往是在本身利益降低时会产生的，当利益巨大时，掌握方法的人只会默默赚钱。&/p&&p&这一系列牟利行为不只是对滴滴造成了伤害，也会对普通用户造成伤害。如滴滴外挂会通过修改定位等方式实现“挑单、抢单”。而滴滴不得不将距离最优算法，改成几公里内随机派单，而用户只能忍受明明看到身边有车，却需要在寒风中等待三公里外的一辆车。&/p&&p&更令我们警醒的是，我们的个人信息，竟然是如此容易可以获得的。事实上，黑产的社工库也确实在不断完善，数据量越来越多，精准度越来越高，被广泛的用在撞库、诈骗等处，让人胆寒。滴滴这样的认证较为复杂，被应用更普遍的图形验证码、身份证认证、面部识别认证都有着发展稳定的服务产业链，将在下文账户认证部分作出介绍。&/p&&p&4、Uber被黑客勒索&/p&&p&Uber在去年遭遇了大规模的数据泄露，包括5000万用户的姓名、邮箱、电话。和700万司机的个人信息及60万美国司机驾驶证号码。Uber称信用卡等信息数据并没有泄露。5700万数据，与雅虎、美国信用机构Enquifax泄露规模相比，本不值一提，在黑产中也不算惊天的数据。但Uber的做法引起了大家的关注——向黑客支付赎金。&/p&&p&当时的CSO和助理，以支付10万美金的方式试图隐瞒此事，避免Uber数据在黑市流通。事后两人遭到了开除，CEO迫辞职，Uber最终声明并没有证据表示此次事件的数据被黑客利用，并将为信息泄露的司机提供免费的信息保护监控服务。&/p&&p&黑客获取数据的方式令人好奇。事实上他们是从Uber工程师的私人GitHub库，获得了登录凭证，进而访问了Uber用以计算的亚马逊云服务账户，在账户中发现了用户数据，随即进行了勒索行为。我们不禁发现攻击有时只需要找到一处漏洞，而防守却需要全面严密。而除了防守还有另外一个问题需要我们面对——对已经泄露的数据该如何行动。Uber隐瞒的做法自然是不可取的。&/p&&p&而面对这种问题一个暴力而有效的对抗方式是建立比黑产更庞大的泄露数据库，若能在黑产使用这些用户信息时判定出是已泄露账号，直接触发风控逻辑，便可以进行更严格的审核，绕过黑客的防护手段，对敌人造成无法回避的打击。而建立这样的数据库除了需要有效、实时的收集补充方案，也需要各大厂商的分享和参与，收集多方资料，构建更全面的数据源。&/p&&p&5、教材涉黄案&/p&&p&2017年2月，一则“高中教材涉黄”的新闻受到了疯狂转载，人教版高中语文选修教材中的诗词网址打开后竟然是黄色网站。实际上这个网站是遭到了篡改，实施者是一家名叫“雷胜科技”的公司。表面上它是一家互联网应用服务商，而背后却隐藏着一条完整的色情诱导诈骗产业链，“教材涉黄”将它拖出了水面。&/p&&p&诈骗团伙开发色情网站和App，通过限制观看有色视频的时间，诱导用户付费获取完整视频。但事实上并没有所谓的“完整版”，盈利方式就是诈骗用户。这个产业链的每一个环节都是经过精心规划的。&/p&&p&第一环节为开发，技术门槛极低，诈骗团伙能够以极低的价格购买到源码，有经验的开发者也可以在几天之内轻松完成。由于色情内容在我国的违法性，App展示的有色内容会经过精心编辑，能完全规避“淫秽色情”的法律界定。雷胜科技设置了研发、市场、编辑、财务和客服部门。编辑部就是负责剪辑擦边球类的有色视频的，甚至雇有专业律师审核图片和视频。&/p&&p&App上架之后就进入了推广环节，团伙会通过百度联盟、木马程序、修改网站内容链接等方式进行推广。雷胜科技就是修改了教育网站的内容链接被牵引出来的。&/p&&p&之后就到了变现环节。诈骗团伙会从支付平台或者渠道商处申请获得支付接口。申请需要一套完整的公司三证信息（营业执照、税务登记证和组织机构代码证）及银行卡账户，这种在黑市上称为公司“壳”资料，有专人在收集贩卖，注册电商企业店、申请支付接口等都会向其购买。针对于设置了风控模型的第三方平台。诈骗团伙会通过准备多个支付接口，使用可以短时间切换接口的方式进行绕过。&/p&&p&有些色情引流诈骗App还会在安装时获取权限（如发送短信等），之后向特定的SP号码发送短信进行扣费的方式进行盈利。这些app也会捆绑其他恶意业务，或是窃取用户隐私信息等，对用户造成更深的损害。雷胜科技是通过PC端和移动端流量分发引流，然后通过诈骗变现，而更为常见的方式是利用各大社交、视频等平台，引流至微信后变现，在引流模块我们会给出更详细的介绍。&/p&&p&&b&二、产业链分析&/b&&/p&&p&1、上游资源提供者&/p&&p&&b&a）黑卡&/b&&/p&&p&手机黑卡，指黑灰产从业者手中的大量非正常使用的手机卡。这些黑卡会提供给各个接码平台，用于接收发送验证码，进而进行各种虚假注册、认证业务。比如饿了么新用户有十几元的首单减免，羊毛党会从接码平台获取手机号批量注册，再通过下游将这些首单优惠以一半的价格卖给需要点外卖的人。注册成本是支付一毛钱给接码平台，收益是下游接单人的几元到十几元不等的收购价。而黑卡就是接码平台手机号的源头。&/p&&p&被称为“史上最严”的手机卡实名制举措，确实在一段时间内打压了手机黑卡和接码市场，提供黑卡和接码服务的平台和个人一下子销声匿迹，但好景不长，仅仅几个月后，便出现了强劲的复苏态势，提供黑卡和接码服务的平台和个人如雨后春笋般涌现。至今，该市场已经极具规模，并且运行稳定，给甲方业务安全造成巨大压力。&/p&&p&本着尽可能全面、精准的原则，猎人君从多个途径不遗余力的收集黑卡信息，从市场现存的黑卡，到曾经有恶意行为的黑卡，再到市场新增的黑卡，构建了庞大的黑卡数据库。对每个入库的黑卡号码经行多维度地评估，标注风险等级，可以有效帮助甲方完善基于手机号的风控策略。根据威胁猎人反向追踪调查，黑卡背后的产业链大概如下图所示：&/p&&figure&&img src=&https://pic3.zhimg.com/50/v2-93d8ed3ea566ccb19103_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&808& data-rawheight=&433& class=&origin_image zh-lightbox-thumb& width=&808& data-original=&https://pic3.zhimg.com/50/v2-93d8ed3ea566ccb19103_r.jpg&&&/figure&&p&&b&卡源卡商&/b&&/p&&p&卡源卡商指通过各种渠道（如开皮包公司、与代理商打通系等）从运营商或者代理商那里办理大量手机卡，通过加价转卖下游卡商赚取利润的货源持有者。卡源主要有：&/p&&ul&&li&物联网卡：主要用于工业、交通、物流等领域的手机卡。物联网卡无须实名认证，需要以企业名义办理，提供营业执照即可，营业执照可以以千元左右的价格买到。有些运营商对营业执照检测力度很低，甚至会为灰产定制专用的物联网卡套餐。这种卡多为0月租或者1月租，根据能否接听电话，分为短信卡（也称注册卡）和语音卡。&/li&&li&实名卡：这种多为联络运营商后，用网上收集的大量身份信息批量认证得到的。&/li&&li&海外卡：实名制实施后，卡商受到一定限制。从16年下半年开始，大量缅甸、越南、印尼等东南亚卡开始进入国内手机黑卡产业，这些卡支持GSM网络，国内可以直接使用，无需实名认证，基本是0月租，收短信免费，非常切合黑产利益。 &/li&&/ul&&p&如上述东鹏特饮提到的薅羊毛事件中，我们只看到有人大量售卖账号，其实背后有个非常成熟的产业链，各级分工明确。了解了他们的经营方式后，我们再进一步分析黑卡数据可以发现运营商的比例甚至可以定位到犯罪团伙经常活动的城市。&/p&&p&&b&手机黑卡运营商对比&/b&&/p&&p&下图展示了传统运营商和虚拟运营商黑卡的数量对比。来自传统运营商的黑卡数量要远多于来自虚拟运营商的黑卡数量，毕竟传统运营商和虚拟运营商的手机卡总量不在同一个数量级上。2017年8月份的新闻数据表明，全国虚拟运营商用户占移动用户总数的3.6%，3.6%的用户占比却贡献了20.17%的黑卡数量占比。相对传统运营商而言，虚拟运营商的手机卡中黑卡占比较高。&/p&&figure&&img src=&https://pic2.zhimg.com/50/v2-d9e512f0d283ae111bcb825_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&600& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic2.zhimg.com/50/v2-d9e512f0d283ae111bcb825_r.jpg&&&/figure&&p&以下两张图展示了在非虚拟号段上和虚拟号段上三大运营商的黑卡数量对比。在非虚拟号段上，将近一半的手机黑卡来自于中国移动，约三分之一来自于中国联通，中国电信最少。在虚拟号段上，绝大多数是中国联通的手机黑卡，中国移动次之，中国电信依旧最少。&/p&&figure&&img src=&https://pic2.zhimg.com/50/v2-05474acb4c5ff50c1c2f7cbf94a524ac_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&600& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic2.zhimg.com/50/v2-05474acb4c5ff50c1c2f7cbf94a524ac_r.jpg&&&/figure&&figure&&img src=&https://pic2.zhimg.com/50/v2-17a5f04f79e05b9c24af_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&600& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic2.zhimg.com/50/v2-17a5f04f79e05b9c24af_r.jpg&&&/figure&&p&&b&手机黑卡归属地分布&/b&&/p&&p&依据归属地统计的数据，广东省十分抢眼，在黑卡归属地省份排名中遥遥领先，省内的广州、深圳、东莞和佛山也霸占了黑卡归属地城市排名中前五名中的四名。&/p&&figure&&img src=&https://pic3.zhimg.com/50/v2-966f59cfe16eda55f14d50cf874d2185_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&800& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&https://pic3.zhimg.com/50/v2-966f59cfe16eda55f14d50cf874d2185_r.jpg&&&/figure&&figure&&img src=&https://pic3.zhimg.com/50/v2-dee4f0dbb20d124ed26ea9_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&800& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&https://pic3.zhimg.com/50/v2-dee4f0dbb20d124ed26ea9_r.jpg&&&/figure&&p&&b&猫池厂家&/b&&/p&&p&猫池厂家负责生产猫池设备，并将设备卖给卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备，在正常行业也有广泛应用，如邮电局、银行、证券商、各类交易所、各类信息呼叫中心等。猫池设备可以实现对多张手机卡的管理。&/p&&figure&&img src=&https://pic1.zhimg.com/50/v2-3bbdee900ac5b03_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&535& data-rawheight=&386& class=&origin_image zh-lightbox-thumb& width=&535& data-original=&https://pic1.zhimg.com/50/v2-3bbdee900ac5b03_r.jpg&&&/figure&&p&&b&卡商&/b&&/p&&p&卡商从卡源卡商那里大量购买手机黑卡，将黑卡插入猫池设备并接入卡商平台，然后通过卡商平台接各种验证码业务，根据业务类型的不同，每条验证码可以获得0.1元-3元不等的收入。&/p&&p&黑卡数据库能够结合企业自身的后台数据，作为补充和参考，为企业筛选恶意用户提供账号维度上的支持。&/p&&p&&b&b）黑IP&/b&&/p&&p&IP地址作为互联网的紧缺资源、一直是厂商最重要的风控方案之一。面对攻击，最主流防控措施之一就是封IP，企业根据黑IP库、同IP发起请求次数、密码错误率、是否有恶意行为等决定一段时间内禁止某IP的请求。&/p&&p&而面对暴利，黑产不会轻易放弃，对待厂商的对抗，黑产积极主动寻求解决方案，甚至做到了平台化、链条化的反对抗。根据威胁猎人的长期监控，黑产主要有以下几种获取IP资源的方式：&/p&&ul&&li&扫描代理：通过全网扫描常见的代理服务端口，收集可用的代理IP地址，自行维护管理，成本高、效率低。&/li&&li&付费代理：代理商通过扫描、搭建、交换的方式，提供全球的代理服务器，有效降低自行收集的产品。代理IP平台非常之多，均可以提供API接口供黑产调用。&/li&&li&付费VPN：与代理相似，使用技术不同。&/li&&li&拨号VPS：这类VPS是一台虚拟服务器，通过ADSL拨号上网，每拨号一次换一次IP，使用者相当于拥有了整个城市的大量可用IP。更有相关供应商做到了打通全国多省市的拨号方式，俗称混拨。也就实现了在一台VPS中使用一个账号快速随机切换近百城市的ADSL线路拨入互联网。&/li&&/ul&&p&我们称这种用于网络攻击的IP为黑IP。威胁猎人通过大量渠道，在2017年采集并整理出全球范围内的黑IP，并做了详细分类。&/p&&p&黑IP类型排名&/p&&p&经统计，黑IP top 10类型比例如下。一个黑IP可能会有多个标签，整体看来，僵尸网络IP、机器人IP和代理IP的数量占据前三名。&/p&&figure&&img src=&https://pic2.zhimg.com/50/v2-549abebba945db3a58801a_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&800& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&https://pic2.zhimg.com/50/v2-549abebba945db3a58801a_r.jpg&&&/figure&&p&&b&黑IP地域分布&/b&&/p&&p&分析IP地域来源数据，全球黑IP分布图和top 20的国家如下。全球IPv4总数约为43亿，美国拥有30%以上，这一数据与图片相符，美国的黑IP数量占比36.39%，遥遥领先其他国家。发达国家的黑IP数量要多于发展中国国家，可以简单理解为，发达国家拥有更多的互联网设备，也就拥有更多的IP资源，所以黑IP的数量与互联网设备的数量成正比。&/p&&figure&&img src=&https://pic1.zhimg.com/50/v2-d480fffbf4ab26f186feb467e0233afa_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&1081& data-rawheight=&706& class=&origin_image zh-lightbox-thumb& width=&1081& data-original=&https://pic1.zhimg.com/50/v2-d480fffbf4ab26f186feb467e0233afa_r.jpg&&&/figure&&figure&&img src=&https://pic1.zhimg.com/50/v2-fceb9bc0bde6cc_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&1100& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&1100& data-original=&https://pic1.zhimg.com/50/v2-fceb9bc0bde6cc_r.jpg&&&/figure&&p&以下两张图片为全球黑IP来源城市top 20和全球黑IP所属运营商top 10。从来源城市数据看来，top榜单中大多数是美国城市，中国城市数量紧随其后，其中北京更是占据了榜首。上榜的城市都是经济较为发达的城市。从所属运营商数据看来，top 10中一半是美国的运营商。&/p&&figure&&img src=&https://pic3.zhimg.com/50/v2-44fd260f735b4a7ab151e_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&1100& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&1100& data-original=&https://pic3.zhimg.com/50/v2-44fd260f735b4a7ab151e_r.jpg&&&/figure&&figure&&img src=&https://pic4.zhimg.com/50/v2-c1c4de07fd7afc5df63151_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&1100& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&1100& data-original=&https://pic4.zhimg.com/50/v2-c1c4de07fd7afc5df63151_r.jpg&&&/figure&&p&&b&c）账号&/b&&/p&&p&批量注册和养号：&/p&&p&在互联网灰产中，无论是行迹匆匆的羊毛党，还是猥琐发育的养号者，都需要大量账号作为牟利的支撑。因此，注册环节也就成了互联网公司和灰产的最前沿战场。各公司的注册页面看似平淡，实则暗流涌动。&/p&&p&灰产的逐利本性决定他们非常强调投入产出比。灰产会雇佣开发人员开发针对注册环节的自动化攻击工具。这种注册软件大抵有两类：&/p&&ul&&li&模拟操作类：通过控件操作浏览器元素实现，真实加载注册页面，模拟用户操作。&/li&&li&协议破解类：通过HTTPS协议实现，破解注册接口协议，直接带参数调用注册接口实现注册。&/li&&/ul&&p&除了批量注册外，灰产也会根据平台特色，使用其他平台第三方登录的方式跳转成小号，批量产出，例如有一种微博账号叫做授权号，因为注册流程等原因，在微博平台受到风控限制，很难进行后续变现业务，就只用作授权其他平台账号，在其他平台上完成变现。这种授权号成本低于手机号注册，每个只需要几分钱。&/p&&p&针对这类账号，很多厂商会对新注册账号进行监控，于是产生了号商养号的行为，注册后模仿真实用户进行一些操作，将号码从监控列表剔除之后再进行业务。&/p&&p&薅羊毛的新号、刷量的小号都是通过这些方式得到的，但针对苹果风控被灰产需要的老号就需要通过盗号、养号、撞库获得了。当各个平台增加风控后，这类老号需求就会出现，如微信满月号、陌陌半年号等等属于养号，几年扫号老号等属于盗号或撞库所得。&/p&&p&&b&撞库&/b&&/p&&p&撞库，即攻击者通过收集各个网站的泄露的用户数据等方式，生成用户名和密码字典，批量去其他网站登录，尝试撞出目标网站的可用账户密码。近年来，随着频繁出现的数据库泄露事件，撞库攻击取代了木马盗号成为了主流的盗号方式。&/p&&p&&b&下图为猎人君统计的2017年撞库攻击量走势图：&/b&&/p&&figure&&img src=&https://pic2.zhimg.com/50/v2-dcb201d9adb194fbbd3c4_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&800& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&https://pic2.zhimg.com/50/v2-dcb201d9adb194fbbd3c4_r.jpg&&&/figure&&p&&b&以下是2017年撞库攻击者“钟爱”的一些攻击目标和接口：&/b&&/p&&figure&&img src=&https://pic4.zhimg.com/50/v2-8bc010d9a2cc35704cf26d_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&551& data-rawheight=&424& class=&origin_image zh-lightbox-thumb& width=&551& data-original=&https://pic4.zhimg.com/50/v2-8bc010d9a2cc35704cf26d_r.jpg&&&/figure&&p&游戏行业在地上互联网公司也是盈利最为可观的，在地下自然也聚集了大量相关从业人员，拥有众多的细分变现产业链。能否直接获得游戏账号的撞库方案自然是受黑客欢迎与关注的，因此，游戏公司向来是撞库攻击的高发地。国内外各大游戏公司在2017年都持续受到大量的撞库攻击。 &/p&&p&版权行业和社交行业也是深受其害，随着正版化的推进以及带宽的增加，许多相关资源需要付费观看，存在不愿意花高价购买会员，而愿意用低价购买一个账号使用的人，就会存在这些会员账号变现的途径，进而这些账号也就是对黑产有价值的。&/p&&p&社交行业也拥有数量众多的变现方式，主要的灰产有刷量（点赞、播放量、榜单等）、私信引流、色情社交引流、诈骗等。社交平台对抗的风控策略不断升级，社交平台的老账号也就成了某些圈内富有价值的资源，如某陌交友平台的老号价格在30元以上。老号资源意味着封杀率低、生意可持续。因此，社交账号也是黑产的重要目标。&/p&&p&&b&撞库数据来源&/b&&/p&&p&（1）信封号产业链&/p&&p&信封号，是QQ号产业链中的黑话，每一万个或者一千个被盗取的QQ号，称为一个信封。信封号产业链就是QQ号盗取、销赃的产业链。当QQ号中的Q币、游戏虚拟装备等被清洗一空、压榨干净后。就会将大量的账号密码贩卖给黑客完善社工库，或者制作密码字典。由于QQ邮箱在国内的市场占有率很高，以及很多用户习惯直接用QQ号对应的QQ邮箱和密码作为第三方平台的账号。大量QQ号被直接用来进行网站撞库。&/p&&p&（2）网站泄露数据库&/p&&p&网站泄露数据库的标志性事件是2011年CSDN 600万用户数据泄露，引领了当年一波数据泄露高峰，数十个网站的用户数据被公开，大量只在地下流通的数据被抛上台面。平时不关注此道的黑客也掌握了足够的数据源切入，某种程度上点燃了撞库攻击的热潮。而且被爆出的数据泄露其实也只是冰山一角，更多的再地下黑市中交易流通。&/p&&p&（3）地下黑市流通&/p&&p&数据窃取与交易是地下产业链隐藏最深的部分，也常有一些定制性的交易，不少黑客通过数据交易来构建庞大的社工库。黑客间的私下交易，我们无法得知，到底有多少网站数据已经被窃取也无法客观的评估。但通过半公开渠道也可管中窥豹，以下是暗网某地下数据交易市场的截图：&/p&&figure&&img src=&https://pic1.zhimg.com/50/v2-5a27a2f5f57473a1fffadec170b30f14_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&837& data-rawheight=&499& class=&origin_image zh-lightbox-thumb& width=&837& data-original=&https://pic1.zhimg.com/50/v2-5a27a2f5f57473a1fffadec170b30f14_r.jpg&&&/figure&&p&&b&攻击方法和主流防控&/b&&/p&&p&通过对海量攻击行为的监控和分析，我们发现黑客攻击方法如下：&/p&&p&（1）判断账号是否存在&/p&&ul&&li&注册接口快速验证：很多网站在填写注册信息时，会通过AJAX对账户名可用性做实时验证，这个接口就可以被黑客利用做账户存在的筛选。&/li&&li&登录接口返回信息：部分网站账号密码错误时，会返回敏感信息暴露账号存在情况，如返回“账号不存在”或“密码错误”。现越来越多的厂商返回“账号或密码错误”，可以有效避免被利用。&/li&&li&找回密码接口：部分网站，在找回密码流程中，也会有一次提示信息，也常会被黑客用来验证账户存在。&/li&&/ul&&p&（2）业务安全集中管理问题突出&/p&&p&从TH-Karma统计的数据来看，许多网站的主要入口有比较严格的审计措施，会根据登录IP、频率等触发验证码或者封锁IP。但当公司业务增多，安全管理复杂度大幅增加，不同子站各用一套自己登录验证。这些没有接入审计功能的边缘业务接口就称为了黑客攻击的温床。&/p&&p&（3）攻击效果&/p&&p&根据威胁猎人对大量撞库数据的统计，能够成功绕过风控的攻击占供攻击量的83%，撞库的成功率则在0.4%左右浮动。&/p&&p&对此威胁猎人建立维护了一个高危账号库。高危账号指的是已被黑灰产从业者恶意利用的账号，大多来自泄露的数据库。对于甲方而言，看到这些账号要多一份心眼，很有可能背后暗藏着不轨动机。威胁猎人根据在2017年高危账号，做出了一些统计。&/p&&p&（1）高危邮箱账号域名排名&/p&&p&Top 20的高危邮箱账号域名如下：&/p&&figure&&img src=&https://pic2.zhimg.com/50/v2-d5571ecb26ecd152f9c8e3_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&1100& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&1100& data-original=&https://pic2.zhimg.com/50/v2-d5571ecb26ecd152f9c8e3_r.jpg&&&/figure&&p&国内邮箱域名占据60%以上，&a href=&//link.zhihu.com/?target=http%3A//%25E5%%25E4%25B8%25AD%25E4%25BB%25A5163.com& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&其中以163.com&/a&、qq.com和game.sohu.com为主。国外主流邮箱域名（&a href=&//link.zhihu.com/?target=http%3A//%25E4%25BE%258B%25E5%25A6%2582yahoo.com& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&例如yahoo.com&/a&、&a href=&//link.zhihu.com/?target=http%3A//gmail.com%25E5%Chotmail.com& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&gmail.com和hotmail.com&/a&），以及一些俄罗斯邮箱域名（&a href=&//link.zhihu.com/?target=http%3A//%25E4%25BE%258B%25E5%25A6%2582mail.ru%25E5%Cyandex.ru& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&例如mail.ru和yandex.ru&/a&）和德国邮箱域名（&a href=&//link.zhihu.com/?target=http%3A//%25E4%25BE%258B%25E5%25A6%2582web.de& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&例如web.de&/a&）也位列top 20之内。基本可以看出，top 20的高危邮箱账号域名的至少满足以下条件之一：&/p&&ul&&li&邮箱服务用户基数大；&/li&&li&来自于黑灰产活动活跃的地区。&/li&&/ul&&p&（2）高危账号关联密码排名&/p&&p&此外，猎人君也统计了与高危账号关联的密码，数量排名top 20都是一些常见的弱密码，列表如下：&/p&&figure&&img src=&https://pic1.zhimg.com/50/v2-159b42d5ba7de_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&279& data-rawheight=&433& class=&content_image& width=&279&&&/figure&&p&&b&d）账户认证&/b&&/p&&p&账户认证产业链属于地下产业链中的服务型产业链。几乎所有的互联网企业都会要求用户手机认证，有些还要求实名认证、人脸识别验证，配合技术或人工审核。这必然给各个地下产业链都带来了障碍，账户认证产业链自然就应运而生了。&/p&&p&&b&手机接码、听码&/b&&/p&&p&短信验证是建立在手机和手机号成本上的真人验证，被广泛的应用于注册等场景。如上述黑卡产业链的介绍，黑产的对抗方案并不依赖于手机和办卡成本，而是接码平台，黑产从业者从该类平台接收一个验证码需要支付1-3毛钱。&/p&&p&接码平台是负责连接卡商和羊毛党、号商等有手机验证码需求的群体，提供软件支持、业务结算等平台服务，通过业务分成获利。一般会提供给使用者客户端、API、有些还会提供手机客户端。手机客户端用以支持各种手机业务。而API能够对接到自动化工具、脚本中，实现批量注册。&/p&&p&使用者首先要“收藏”自己要做的项目后才可以收取验证码，这样做的好处是避免手机号在相同注册场景的重复使用，同时也便于应对新形式的对抗，比如，整个注册过程可能需要接收多次验证码，并发送一次验证码。平台会将收发集成一个流程，供使用者批量化操作。&/p&&p&有些厂商选择了语音验证码，而接码平台也产生了相应收取语音验证码的服务，同时也产生了“听码”网赚。接码平台很多，活跃的有数十家，比较知名的接码平台有：爱乐赞、玉米（现菜众享）、Thewolf、星辰等，其中Thewolf和星辰可以接语音验证码。&/p&&p&2016年11月当时最大的平台爱码被警方查处，随后很多平台转入地下。如爱乐赞因为非常稳定，卡商众多，是最受黑产欢迎的接码平台之一。现已不支持在线注册，在有老客户介绍情况下，联系客服充值1000元才可以开新账户，另一种解决方式是与别人共用一个账号，且每次充值不能低于5元，否则会被封号。&/p&&p&&b&打码&/b&&/p&&p&验证码是风控最广泛的一种部署方案。普通厂商会直接接入，有后台分析的厂商会在后台审计异常时触发验证码以不影响普通用户体验。而在黑产中，撞库、注册等都需要进行大量验证码识别。所以带动了另一个服务产业链——打码平台。&/p&&p&作为一种最简单、应用最广泛的图灵测试方案，大量公司和团队不断尝试自动化破解，以至于验证码升级到了人类也需要多次才能识别的境地。国内的黑产，依靠低廉的劳动力解决了问题。他们对无法技术解决的验证码使用率暴力的方式——人工打码进行破解。这种方式广泛传播到了大量第三世界国家，导致全球有近百万人以此为生。打码工人平均每码收入1-2分钱，熟练工每分钟可以打码20个左右，每小时收入10-15元。&/p&&p&随着技术的发展，黑产也与时俱进，逐渐产生了使用AI打码的平台。如警方在17年打击的“快啊答题”平台，使用了伯克利大学的数据模型，引入大量验证码数据对识别系统训练，将机器识别验证码的能力提高了2000倍，价格降低到了每千次15-20元。为撞库等需要验证的业务提供了极大的便利。&/p&&p&&b&身份证认证及过脸&/b&&/p&&p&人脸识别技术发展逐渐成熟，“刷脸”在近两年成为新时期生物识别技术应用的主要场景。进入2017年后，在通关、金融、电信、公证等很多领域都需要对人和证件进行一致性的验证。2016年6月国家网信办发布《移动互联网应用程序信息服务管理规定》，明确要求移动互联网应用程序按照“后台实名、前台自愿”的原则，对注册用户进行基于移动电话号码等真实身份信息认证。&/p&&p&互联网厂商面对法规以及某些业务上的需求，纷纷推出账号强制实名认证，并将人脸认证环节放到App中完成。实名让互联网时代更加规范的同时，也给由于某些原因无法实名或者需要大量实名账号完成黑灰色业务的人群造成了障碍，于是“过脸产业”应运而生，为别人批量完成认证获取利益。&/p&&p&厂商认证时经常会要求用户拍摄身份证正反面照片及手持身份证照片等。黑产获取此类身份证“料”的方式有但不限于以下几种：&/p&&ul&&li&收料人偏远地区收集：他们会到偏远地区以几十元的价格大量购买拍摄一整套的照片，没有网络安全意思的民众很多为了一点的利益愿意配合。&/li&&li&有些收料人甚至会假扮社区工作人员等在社区中进行收集，相对前一种，几乎没有成本。&/li&&li&还有一种纯粹通过网络收集他人泄露出的照片。&/li&&/ul&&p&收集后会以5-10元的价格卖给下一级使用者。对于需要过人脸认证的场景，从业者会利用PS等工具处理好一张带背景的人脸图，再利用Crazy Talk生成动态视频的软件，录制“眨眼”、“摇头”、“说话”等动作，完成后将摄像头对准视频，完成认证，过脸服务收费10元到100元不等。&/p&&p&过脸产业最开始被用在网络借贷薅羊毛上，如今已经广泛使用在各种实名认证的业务上。今日头条头条号、58同城、移动“任我行”卡、腾讯大王卡等都是其盈利的途径。&/p&&p&账号认证增加难度和用户体验优化之间找到平衡点，对各个厂商来说都是不小的难点。在苹果36事件中，就是为了提升用户体验给羊毛党留下了可乘之机。苹果若能对筛选出的恶意用户提高认证成本，就可以找到平衡点。而做到这点需要对用户行为和恶意行为进行分析。用户行为厂商可以进行记录，恶意行为需要情报的配合，包括恶意用户的行动模式、流程、最终目的等。&/p&&p&&b&2、下游变现细分产业&/b&&/p&&p&&b&a）流量欺诈&/b&&/p&&p&流量欺诈已经发展成了成熟的产业链，刷量可通过人为的操作提高网页访问量、视频播放量、广告点击量、搜索引擎搜索量等等。市场充斥着大量刷量工具和服务，几元就可以买到数千IP的访问。或是使用大量代理IP刷流量，或是基于P2P互刷原理（即挂机访问别人的网站，得到点数后可以用来发布任务，为自己的网站刷量），刷量可以高度模拟真实用户的行为轨迹，使得视频网站、直播平台、广告联盟、搜索引擎、电商等甲方难以有效加以区分。猎人君通过分析在2017年捕获的流量刷量数据，得出以下流量刷量黑灰产业中目标厂商的top 10：&/p&&figure&&img src=&https://pic1.zhimg.com/50/v2-fc1731fdc2c165fd4e5af5_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&1000& data-rawheight=&450& class=&origin_image zh-lightbox-thumb& width=&1000& data-original=&https://pic1.zhimg.com/50/v2-fc1731fdc2c165fd4e5af5_r.jpg&&&/figure&&p&&b&刷量行为主要集中在以下几个场景&/b&&/p&&p&（1）刷搜索引擎关键词排名&/p&&p&搜索引擎排名对网站的流量影响巨大。市场上有提供很多提高关键词排名的服务，原理是利用大量IP在搜索引擎搜索指定关键词，然后到指定网站，点击进入，甚至进一步模仿用户浏览、点击，欺骗搜索引擎，使其认为该站与该关键词关联度很高。百度，作为国内最大的流量出入口，榜首位置实至名归。针对百度的流量刷量类型有多种，主要类型包括刷搜索流量和点击百度网盟广告。2017年底，百度推出“惊雷算法”，旨在打击以作弊的方式提升网站搜索排序的行为，究竟效果如何，2018年我们拭目以待。Top 10榜单中还出现了360搜索和中国搜索，刷搜索流量在整个流量刷量产业中的比重可见一斑。&/p&&p&（2）刷视频播放量&/p&&p&另一个流量刷量产业的大头是刷视频播放量，目标厂商包括榜单中的优酷、搜狐、龙珠视频/直播、爱奇艺、腾讯等，以及不在榜单中的触手直播、风行网等。很多视频有夸张的播放量，点赞和回复却寥寥无几。视频网站依据视频人气付给视频作者酬劳，虚假的播放量可直接导致视频网站蒙受金钱上的损失。对于用户来说，人气很高的热门视频，内容质量却名不副实，用户体验下降。&/p&&p&（3）刷广告展示量和点击量&/p&&p&通常告主会和广告联盟或站长合作，进行推广，按照CPM、CPC的方式结算广告费用给站长。一些无良的站长会使用软件或者购买服务恶意刷CPM、CPC，获取不正当利益。广告联盟存在一些广告反欺诈机制，刷量有可能面临封号，但依旧有很多人通过刷量技巧和网站数量来大规模获利。&/p&&p&（4）电商和网站访问量&/p&&p&此外，刷页面的访问量，包括刷社交站点的内容曝光量和电商商品浏览量，也是流量刷量产业中相当活跃的一个分支，比如新浪博客的访问量，以及淘宝和天猫商品的浏览量等。总而言之，当今的互联网世界中，充满了障眼法，眼见不一定为实，所谓的“人气排名”，所谓的“热门列表”，不可完全相信。&/p&&p&&b&b）数据爬取采集&/b&&/p&&p&爬虫就是收集信息，“爬虫写的好，拥有整个互联网的数据不是梦”。数据分析本身并没有善恶标签，方法和目的却可以将之定性。黑灰产如今规模庞大，分支众多，从猎人君观察到的攻击流量来看，黑灰产从业者的需求比较分散，快递、媒体、电商、账号有效性等等都是攻击者的目标。黑灰产从业者做爬虫的目的多种多样，比如：&/p&&ul&&li&用作产品化上游的数据支撑，比如某些针对电商的秒杀、抢购软件。&/li&&li&用作分析竞争对手的产品和业务策略，比如爬取竞争对手的产品信息和用户论坛。&/li&&li&爬取竞争对手的用户数据，尤其是有效的手机号或邮箱格式的用户名，之后可用于定向的推广营销。&/li&&li&爬取有效的用户名，可用于生成用户名字典，实施撞库攻击。&/li&&li&爬取个人信息，恶意利用，甚至实施诈骗。&/li&&/ul&&p&&b&以下是猎人君统计的2017年较为热门的一些爬虫攻击目标和接口：&/b&&/p&&figure&&img src=&https://pic3.zhimg.com/50/v2-9f740b98e1c9a86893df_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&888& data-rawheight=&387& class=&origin_image zh-lightbox-thumb& width=&888& data-original=&https://pic3.zhimg.com/50/v2-9f740b98e1c9a86893df_r.jpg&&&/figure&&p&&b&c）薅羊毛&/b&&/p&&p&薅羊毛，简单理解就是，以不正当的方式获取互联网上的各种福利，如新用户注册红包。这些人不以“利小而不为”，只要是看到福利，能薅则薅，使得互联网公司的推广经费中很大一笔部分都打了水漂。薅羊毛入门门槛极低，如今，薅羊毛规模之大，足以称之为一个行业。薅羊毛行业紧紧依附互联网行业，与互联网行业的以等同的速度发展。2017年，薅羊毛活动如火如荼，主要针对各类金融平台、电商平台以及O2O平台。&/p&&p&&b&威胁猎人总结了一份2017羊毛热词云图，如下所示：&/b&&/p&&figure&&img src=&https://pic2.zhimg.com/50/v2-0f84d1badb1c7adb35ed067_b.jpg& data-caption=&& data-size=&normal& data-rawwidth=&757& data-rawheight=&622& class=&origin_image zh-lightbox-thumb& width=&757& data-original=&https://pic2.zhimg.com/50/v2-0f84d1badb1c7adb35ed067_r.jpg&&&/figure&&p&词云图的中央，是大大的两个字“会员”，各类会员，包括低价会员甚至是免费会员，深得众羊毛党的喜爱。其他福利，比如优惠券、红包、商品秒杀、激活码、各类低价QQ钻等，也有较高的词频。认领福利需要账号，账号相关的关键词，比如注册、老号、白号、小号等，也是榜上有名。既然有账号，就有连带的账号实名业务，比如认证、绑定、实名等。另外，不出意外的是，“骗子”的词频相当高，黑灰产市场本来就不受法律保护，“黑吃黑”的现象也较为普遍。 &/p&&p&&b&d）引流&/b&&/p&&p&有一些不适合直接变现却坐拥巨大流量的平台，比如短视频平台、社交平台等，黑产也不会放弃，采用引流方式进行变现。一个简单的引流变现操作是这样的：操作者在头像、昵称、个人资料等任何可以被平台曝光的地方留下联系方式，比如微信号，再通过发送诱惑性的内容吸引用户前往添加好友，之后通过诈骗、微商等形式深度变现。&/p&&p&常见的社交平台引流方法，是通过软件批量关注、发送私信等方式。一些引流操作可以带来巨大的流量，个人无法消耗，会以“出粉”形式卖出，即买家根据成功添加微信的“人头”数，付给引流者报酬。&/p&&p&引流人往往会结合目标用户的心理以及引流平台的特点，进行操作，如到美拍的美妆视频下写“前100人免费送XXX化妆水”，吸引可以通过微商变现的“女粉”。在陌陌等平台上通过诱惑性图片、视频加上“想交男朋友”等话术，吸引“色粉”（“男粉”），在微信中骗取红包或是销售一些男性用品。&/p&&p&诸如此类，还有“保健粉”（可用于销售医疗用品）、“连信粉”（中年有消费力的）、“股民粉”、“宝妈粉”、“女大学生粉”等等。在业内叫做精准引流，用户群体越精准，价格越高。而购买者有两类，一种是真实微商，另一种就是我们在东鹏特饮中提到的，用微信作为变现出口的黑产，如引来色粉后撸包，即诈骗，用微信机器人伪装成女性，通过发送诱惑图片视频的方式索要红包。&/p&&p&这种方式只能骗一次，所以他们需要引流人给他们源源不断的粉，称为“火车站流量”，而微信被举报后账号就报销了，所以他们会向号商购买账号，做到最后，变现可以用量化标准来计算收益，微信号平均多久会死，谁家引来的粉平均每个人头几块钱……单从这一条往下看，引流和号商一直都有市场，会持续存在，而他们需要绕过厂商的风控，又需要一系列的服务型产业链，他们都会持续的与厂商对抗，只要利益不消失，对抗就会持续升级。&/p&&p&&b&三、对抗升级&/b&&/p&&p&1、主流防控措施和黑产绕过方法&/p&&p&面对恶意行为，除去IP等规则判断，厂商也会从行为和设备角度进行判断。如用户登录过程的行为，包括停留时间、鼠标焦点、页面访问流程、csrf-token等。再通过客户端上报机器信息，识别判定是否存在伪造设备。&/p&&p&而面对对抗，黑产也在不断升级，主要会从以下几个方面进行绕过：&/p&&ul&&li&边缘业务与新业务处寻找可利用接口：黑灰产不断寻找审计不严格的边缘业务接口，找到后便能绕过所有的防护措施，如入无人之境。而厂商在这个维度上很难有行之有效的监控，因为本来就是被疏忽的接口。这里可以从第三方视角进行监控。威胁猎人对黑产流量进行大数据分析，可以是这种伎俩暴露在阳光下，何人何时攻击了新的接口，从攻击出发分析检测，可极大增强厂商对漏洞的反应速度。&/li&&li&模仿真实用户：规避后台行为分析模型方面，黑卡提交请求时不再是仅仅填写User-Agent，而是尽可能全的完成整个流程，包括：完整的页面打卡流程代替仅仅向关键接口提交请求；携带csrf-token等完备的参数；页面停留时间采用函数随机化；HTTP header严格遵守浏览器特征；随机化所有其他不重要的参数等。&/li&&/ul&&p&2、新风控角度的思考&/p&&p&企业制定安全策略往往存在两个问题：&/p&&ul&&li&是安全策略面向所有客户，灰产可以不断尝试摸清规律，设法绕过。&/li&&li&对最新的攻击方式不了解，导致制定防御策略无法有效打击黑产，反而容易误伤正常用户。&/li&&li&面对后台数据，只知道自己拦截了多少恶意用户，不知道有多少没有拦截。&/li&&/ul&&p&因此威胁猎人从行业出发，针对电商、社交、游戏、云计算等不同行业的不同特点，逐一分析，还原真实攻击场景，以期望解决企业面临攻防信息不对等的问题，为企业精准防御灰产攻击提供数据补充、情报支撑。&/p&&p&&b&a）黑产大数据监控&/b&&/p&&p&基于黑产攻击的资源建立持续监控机制，对已经泄露和已经在使用的黑IP、黑卡、批量注册账号、盗取账号、恶意流量等进行积累和实时更新。就能结合风控系统，从多个维度判断，有效筛选出可疑用户。&/p&&p&&b&b）情报带来的针对性对抗&/b&&/p&&p&情报收集和分析工作可以有效的还原出某个针对企业的攻击方式，用于针对性打击。如通过情报和数据结合分析，得出攻击者的目的、攻击流程和行动模式后，厂商就可以多维度的打击，如A场景检测到却在B场景打击，让攻击者摸不着头脑，测试不出套路。在入口处有所遗漏时，还可以在出口处再次进行打击，如注册处或许没有全部拦截，当检测到注册后立即绑卡抢红包提现一气呵成的用户，标记高级别危险标签，提高提现门槛等。&/p&&p&&/p&
贴一篇我们的报告，里面有记载一些2017年的典型黑产事件，以及黑产产业链 概述：2017年，纵观全球网络安全事件，从黑客组织Shadow Brokers泄露NSA的漏洞利用工具EternalBlue，到WannaCry勒索软件席卷全…
要看你所说的网络运营商指定的范围。现有的匿名技术一般通过多级代理来实现。这里面包含几个角色：&br&1.访问发起者主机，主机本身由访问发起者控制。&br&2.多级代理服务器，服务器由代理服务提供者控制。&br&3.访问目的服务器，服务器由最终服务提供者控制。&br&4.连接服务器之间的网络设备，路由器、防火墙等，由诸如中国电信，沃达丰，AT&T等各国运营商控制。&br&在网络上所谓匿名，你需要隐藏的要素包含：&br&1.你的身份——你是谁？&br&2.你的目的——你要和谁通信？&br&3.你通信的内容——你们说了什么？&br&按照问题，我们只讨论第一点。第一点又包含两部分，你的社会身份（姓名，住址，身份证），你的网络身份（IP地址）。这里又只讨论网络身份。&br&那么，假设某位老大哥发现有人在网络上做了些他不想看到的事情，他想把这个人抓出来，他该怎么做？首先从源头追查，在目的服务器上的网络路由器上查到第一个源IP，从而锁定最后一跳代理服务器，通过最后一跳服务器的上的日志，可以继续向上一级锁定，直到定位到源头。这里要注意的是，代理服务器的控制权不在网络运营商的手里，要追查这些日志，老大哥们除了网络运营商，还需要对代理服务提供进行控制。&br&上述所说的，是追查的最直接和明确的方法，如果无法查询代理日志，是否可以追查？&br&答案是：当然可以！&br&除了了代理服务器，防火墙也可以监控连接信息，通过防火墙上对代理服务器的出入流量进行特征分析，也可以基本确定代理与被代理链接的对应关系。这要求网络中有防火墙设备能够对流量进行深度监控和记录，一般的路由器是不会做这样的事情的。&br&这样每一跳的查找，代价会非常大，需要调动的资源很庞大。还有更加简单的方法！&br&当你访问网络的时候，虽然你的内容被加密了，我除非逐跳破解才能解析出来，但另外一些特征，你是无法隐藏的。比如，你访问一个服务，发送了几个数据包，这些包的长度，发送时间，发送间隔，这些是加密无效的，通过了多少级代理都无法隐藏。这样理论上，只要掌握了出口与入口的流量日志，通过大数据分析，也一样能把你挖出来。但相比逐级追踪，这个证据要弱很多，而且在数据量很大的情况下，匹配会很困难，一般需要结合其他证据使用。
要看你所说的网络运营商指定的范围。现有的匿名技术一般通过多级代理来实现。这里面包含几个角色： 1.访问发起者主机，主机本身由访问发起者控制。 2.多级代理服务器，服务器由代理服务提供者控制。 3.访问目的服务器，服务器由最终服务提供者控制。 4.连接…
&p&我自己是一个将要从学校滚蛋的大四学生，从大一开始接触信息安全到现在，各种收入大概能买几千个屁股先锋了吧。我可以介绍一下作为这个行业的学生（包括研究生、实习生等）可以靠哪些方面挣外快。&br&答案内涉及到利益关系很多，我围绕『钱』这个角度来说明问题，至于一些厂商服务、管理、法律上的问题我就不牵扯了。&br&&br&&b&一、挖通用程序漏洞，挣奖金&/b&&br&通用程序漏洞，顾名思义就是被大众大量、普遍使用的应用程序，这类程序的漏洞通常危害性巨大，可能可以影响数以万计的使用者。国内、外各大平台对于此类漏洞都有奖励机制，如果你挖掘到通用程序的漏洞并提交到这些平台上后，将会被给予一定的现金奖励。&br&比如国内漏洞平台乌云，对于通用漏洞有不错的奖励，这是乌云白帽子gainover的一页漏洞截图：&br&&figure&&img src=&https://pic1.zhimg.com/50/08caf3d7c7_b.jpg& data-rawwidth=&1924& data-rawheight=&1010& class=&origin_image zh-lightbox-thumb& width=&1924& data-original=&https://pic1.zhimg.com/50/08caf3d7c7_r.jpg&&&/figure&其中标示着『$』符号的漏洞都是通用漏洞，$的数量决定了奖金的数量，一般来说有这样的规则：&br&&/p&&ul&&li&奖金100~500：一个$&/li&&li&奖金：两个$&/li&&li&奖金2500+：三个$&/li&&/ul&所以你可以算算他仅一页漏洞，就赚了多少奖金。&br&2016年，阿里巴巴公司旗下的安全情报平台『先知』也加大了对通用漏洞的奖励力度，5月份的排行榜中：&br&&figure&&img src=&https://pic3.zhimg.com/50/f71abb8a14e_b.jpg& data-rawwidth=&1160& data-rawheight=&786& class=&origin_image zh-lightbox-thumb& width=&1160& data-original=&https://pic3.zhimg.com/50/f71abb8a14e_r.jpg&&&/figure&前五名的白帽子，大部分奖金都来自通用漏洞。其中维尼熊宝贝拿到了税前146300人民币的奖金，这是很多安全从业者一年的薪水，而白帽子可能通过一个月的兼职挖洞就拿到了。&br&360公司旗下的补天平台也是国内较早提供通用漏洞奖金的平台，早期我也在该平台获得过数万元奖金，但总体来说其对通用漏洞的奖金较少。该平台最大的优势在于其对事件型漏洞有一定奖励，我后面会说到。&br&除了国内的第三方漏洞平台以外，国外的一些漏洞收集平台的奖励更为可观，不过难度也更大。&br&国外有一个专门收取通用型漏洞的计划叫Internet Bug Bounty（ &a href=&//link.zhihu.com/?target=https%3A//internetbugbounty.org/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&The Internet Bug Bounty&/a& ），在知名漏洞平台hackerone上标示着ibb的厂商就是这个计划支持的。白帽子挖掘到一些知名开源程序或库，诸如Ruby on rails、nginx、openssl等漏洞后，提交到hackerone，将可能得到数千美刀以上的奖金。注意啊，这里是美刀。&br&著名的『心胀滴血』漏洞，当初在hackerone上被给予了15000美元的奖金（ &a href=&//link.zhihu.com/?target=https%3A//hackerone.com/reports/6626& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&#6626 TLS heartbeat read overrun&/a& ），着实让人羡慕不已。&br&&figure&&img src=&https://pic3.zhimg.com/50/84f96a4ecfeae18eb554d085_b.jpg& data-rawwidth=&1922& data-rawheight=&190& class=&origin_image zh-lightbox-thumb& width=&1922& data-original=&https://pic3.zhimg.com/50/84f96a4ecfeae18eb554d085_r.jpg&&&/figure&不过白帽子将其捐给了自由基金会，也是很令人敬佩的。&br&另外，谷歌的Project Zero也会收集并奖励一些通用漏洞，特别是像Windows、Linux、Android、IOS之类的操作系统漏洞，还有Chrome、Firefox之类的浏览器漏洞等，其奖金也从数千到数万美刀不等。国内的一些天才少年、白帽子和组织（如腾讯科恩实验室），通过挖掘安卓、IOS等漏洞，相信也从谷歌换取了不少奖金。&br&相比于国内的平台，国外平台对于通用漏洞有以下特点：&br&&ul&&li&奖金单位为美刀，奖金确实高&/li&&li&难度大，奖励范围小，一般仅限于用量巨大的应用或库&/li&&li&一般在漏洞修复后会公开，不会藏着掖着&/li&&/ul&所以，如果你对阅读开源程序代码、调试逆向客户端等方向感兴趣的话，挖掘通用漏洞赚取奖金绝对是一个非常实在的选择。我个人赚取的绝大多数外快也来自于这个方面。&br&推荐指数：★★★★☆&br&&br&&b&二、挖掘互联网漏洞，挣奖金&/b&&br&互联网漏洞就是存在于互联网任何一个角落的漏洞，可能是XX大学教务系统的SQL注入，可能是XX电商0元购买商品，也可能是XX社交平台任意用户登录等。&br&挖掘互联网漏洞是一个很敏感的行为，有时候就可能从白帽子变成黑帽子。但既然你前提是『非黑产』，这条路也是行得通的。&br&之前提到过的补天平台，对互联网漏洞有一定的奖励，如果你能挖掘到一些影响数据量较大的厂商、政府机关的漏洞，在补天平台上也可以换取数百元到上千元不等的奖金。&br&比如这个这个还有这个：&br&&figure&&img src=&https://pic4.zhimg.com/50/5dddffa78f967badbd3b251f5c75e509_b.jpg& data-rawwidth=&1328& data-rawheight=&828& class=&origin_image zh-lightbox-thumb& width=&1328& data-original=&https://pic4.zhimg.com/50/5dddffa78f967badbd3b251f5c75e509_r.jpg&&&/figure&很多白帽子通过补天平台也赚取了不少奖金。除了补天以外，国内另一家漏洞平台『漏洞盒子』也对互联网漏洞进行奖励：&br&&figure&&img src=&https://pic4.zhimg.com/50/b1c37a0e637eca7a14b82_b.jpg& data-rawwidth=&1336& data-rawheight=&1072& class=&origin_image zh-lightbox-thumb& width=&1336& data-original=&https://pic4.zhimg.com/50/b1c37a0e637eca7a14b82_r.jpg&&&/figure&相对而言，漏洞盒子更加关注企业的漏洞。不过其奖励力度较小，月度排行榜上首名的奖金也不高。&br&乌云对互联网漏洞的收集范围是最广的，但普遍没有奖金，只会给予一定的积分和rank值。使用积分可以购买一些日用品、电子产品与书籍，但总量还是有限。不过乌云上有的厂商对白帽子有一定的回馈，厂商曾经寄送给我京东卡之类的礼品，我想这也算隐形的收入之一吧。&br&总体来说，挖掘互联网漏洞对于赚外快来说更累，因为大部分互联网漏洞是没有奖金的，但如果你拥有相对准确度高、效率高的扫描器的话，坐享其成也未尝不可。&br&推荐指数：★★☆☆☆&br&&br&&b&三、参与众测项目，赚取奖金&/b&&br&众测应该是普通白帽子们最佳赚钱途径了，当然也是竞争最为残酷的途径。众测通常是没有私有SRC的厂商在一些第三方平台收集自己漏洞的一种方式，白帽子通过挖掘指定厂商的漏洞，能够换取数百到数千元不等的奖金，相比于挖掘互联网漏洞，难度较大回报也较高。&br&国内最早开展众测的是乌云众测平台，累计到现在已经超过395期了。我参与过一些项目，最低的项目奖金是这样（高的可能到5k至1w）：&br&&ul&&li&高危漏洞：2000&/li&&li&中危漏洞：500&/li&&li&低危漏洞：100&/li&&/ul&通常一个项目挖到5个高危就心满意足了。有时候如果你能找到一个突破口，挖到20个高危也不是不可能，我也曾一个项目拿下4w+的奖金。&br&乌云众测参与的门槛较高，一般是要求在乌云主站提交过有一定质量的漏洞，并且通过积分换取参与门票，这就导致乌云众测中大牛比较多，所以经常会出现挖到的漏洞重复的问题。但其回报相对于付出足够高了，依稀记得今年3月的项目，有一个业余白帽子（其工作非信息安全）一个月挖掘到16w奖金：&br&&figure&&img src=&https://pic1.zhimg.com/50/65b18db35_b.jpg& data-rawwidth=&1350& data-rawheight=&948& class=&origin_image zh-lightbox-thumb& width=&1350& data-original=&https://pic1.zhimg.com/50/65b18db35_r.jpg&&&/figure&乌云众测最大的长处就是项目众多，几乎每个月有十来个项目，粗略统计了一下6月份乌云众测有19个项目，这甚至比一些初创的众测平台所有的项目还多。所以，虽然乌云众测竞争激烈，但其饼子的数量也足够让一些有技术的白帽子赚到不少外快。&br&之前提到的先知安全情报平台也有一定的众测项目，但因为其创立时间不长，项目数量有些少，在写这个答案的时候进驻先知的厂商只有9个。但其奖励力度也不小，通常一个高危漏洞可以有3000以上的奖金。&br&感谢 &a data-hash=&99c5f3a58a3ef0d8b6e64f& href=&//www.zhihu.com/people/99c5f3a58a3ef0d8b6e64f& class=&member_mention& data-hovercard=&p$b$99c5f3a58a3ef0d8b6e64f&&@笑然777&/a& 的纠正，先知平台有些项目测完后就不在列表里展示了，所以并不是只有9家。按照阿里云在国内云安全方面的地位与输出能力，之后的项目应该会更多。&br&先知平台最大的特点就是其打款速度惊人，其依托支付宝可以做到『今天确认，明天打款』。但其对漏洞审核较为严格，也导致很多界限模糊的漏洞得不到承认。&br&另外一点，先知平台对每笔奖金收取20%的税，这个是业内税收最高的。当然税收是国家政策也无可厚非，就是不知道其他平台是怎么规避的。相比于之前说到的乌云平台，先知的税高打款快，乌云的税低打款慢，如果急需用钱的话先知是个好选择。&br&360公司的补天平台推出了私有SRC模式，其实也就是众测的一种。补天的私有SRC项目相对比较简单，很多传统企业甚至12306进驻补天，但奖金也较低：&br&&figure&&img src=&https://pic2.zhimg.com/50/fef5f97f17c7e4c526c87e212a909855_b.jpg& data-rawwidth=&1092& data-rawheight=&1048& class=&origin_image zh-lightbox-thumb& width=&1092& data-original=&https://pic2.zhimg.com/50/fef5f97f17c7e4c526c87e212a909855_r.jpg&&&/figure&上图是百年人寿的漏洞提交记录，可见高危漏洞从不等。但更多厂商的高危漏洞仅有1000元奖金。但因为这些厂商漏洞好找，所以数量上也弥补了金额上的不足。&br&漏洞盒子也是一个老牌众测平台，现在平均每月能有1~2个项目，很多大牛也通过漏洞盒子赚到了不少奖金。&br&漏洞银行是国内新出现的一个第三方众测平台，入驻（有不少厂商虽然入驻但不接受漏洞）厂商有近千个，其多数只接受高危漏洞，且奖励不高。暂无现金奖励，白帽子只能使用该平台的积分换取京东卡等物质奖励。&br&国内还有sobug、威客众测之类的第三方众测平台，但其项目有限，我也没参与过，就不做评价了。&br&总体来说，国内各大众测平台有如下特点（一般是这样，也不是没有特例）：&br&&ul&&li&乌云众测：奖金高，项目多（机会多），打款慢，门槛高&/li&&li&补天：奖金中，项目数量少，打款快，门槛低，难度低&/li&&li&先知：奖金高，项目数量少，打款极快，门槛高，难度高&/li&&li&漏洞盒子：项目数量中，奖金中，打款速度一般，门槛低，难度中&/li&&li&漏洞银行：厂商数量大，奖金低（无现金），门槛低，难度低&/li&&li&sobug：项目少&/li&&li&威客众测：项目少&/li&&/ul&对渗透感兴趣、日站能力比较强的话，你可以选择性地参与这些众测项目，并通过众测项目赚取外块。&br&推荐指数：★★★★★&br&&br&&b&四、挖掘大厂商漏洞，在SRC换取奖金&/b&&br&互联网漏洞的另一个去处就是私有SRC。随着国内公司对安全逐渐重视，很多都成立了自己的应急响应中心，其中代表性的有腾讯公司的TSRC、阿里巴巴的ASRC和360公司的360SRC等，上述几个SRC对于自家公司网站、产品的漏洞奖励不菲，甚至对于一些威胁情报也有很高的奖金。&br&我个人混SRC不多，但身边很多朋友都或多或少在各大SRC提交过漏洞。TSRC是国内最老牌也是比较体贴的SRC，我曾经提交过一个腾讯公司的高危漏洞，很快奖励了相应的积分。TSRC的积分可以直接换取现金（无税），这是很多SRC没有的福利，并且在随后的一年里（哪怕这一年我再也没有提交其他漏洞），过节均会寄送礼物，像情人节的巧克力、端午节的粽子、中秋节的月饼等等，并且年底每人都会收到至少500元京东卡。&br&TSRC的奖励一般是一个严重（比如能够注入出用户数据的SQL注入漏洞）能拿到等于5k+RMB的积分，高危（比如QQ空间的存储型XSS等）能拿到等于1.8k+RMB的积分，并且如果漏洞优质能够领到额外现金奖励或每个月的即时现金奖励，比如TSRC著名白帽子rasca1，在今年3月和5月均获得了额外总共8w的现金奖励：&br&&figure&&img src=&https://pic4.zhimg.com/50/5ece344d383c8e44ba7c1cd_b.jpg& data-rawwidth=&2022& data-rawheight=&1020& class=&origin_image zh-lightbox-thumb& width=&2022& data-original=&https://pic4.zhimg.com/50/5ece344d383c8e44ba7c1cd_r.jpg&&&/figure&其他实物奖励我就不多说了。除了腾讯自身的漏洞，TSRC前段时间开始收集威胁情报。让我印象最深的一次是，一个白帽子在玩腾讯某款游戏的过程中，发现有人在游戏里出售游戏币，并且比官方价格低很多，他向TSRC反映了这一情报。官方人员很快根据他的情报发现了一处刷金币的漏洞，及时弥补了被黑产窃取的金币。&br&后来TSRC给予了这个白帽子三万元现金奖励，这让我有种玩游戏玩着玩着就成土豪的感觉，实在很让人羡慕：&br&&figure&&img src=&https://pic1.zhimg.com/50/8dfeae51ce9a_b.jpg& data-rawwidth=&1456& data-rawheight=&872& class=&origin_image zh-lightbox-thumb& width=&1456& data-original=&https://pic1.zhimg.com/50/8dfeae51ce9a_r.jpg&&&/figure&&br&类似的SRC还有阿里的ASRC，其奖金力度稍高于TSRC，但人文关怀不如后者，额外奖励（隐形奖金）也稍低。&br&国内还有诸多企业自建了SRC，奖励一定会比在第三方平台提交互联网漏洞要高，但有两个问题还是影响白帽子们提交漏洞的积极性：&br&&ul&&li&许多SRC的积分不能换取现金，只能兑换等值奖品，可能和税务有关&/li&&li&部分SRC还是在以白菜价收购漏洞，一个getshell漏洞可能只能换两百元的红包，中低危漏洞可能只有公仔&/li&&/ul&总体来说，挖掘诸如腾讯、阿里、360等自建SRC的厂商漏洞较难（也不是无技巧可寻），但其金钱上的回报也绝对够份。&br&推荐指数：★★★★☆&br&&br&&b&五、参与培训，担当讲师&/b&&br&当你有一定的技术后，就可以开始尝试去做一个知识的传授者。安全界有几种授课方式：&br&&ul&&li&私人培训，个人做一些视频教程，通过售卖视频教程获利，如某月的教程&/li&&li&在一些团队（论坛）担当版主或讲师&/li&&li&在一些在线教育平台授课，如爱春秋等&/li&&/ul&前两种多半会给人以『很坑』的印象，实际上确实是鱼龙混杂，但如果你真的爱好传授知识，去做一套视频教程不光是一个可以获取收益的行为，也是一个传递火炬的善举。&br&这是某安全团队做的一个培训的介绍截图，其价格在培训中属于偏低的，但如果其宣传手段得力，视频质量过关的话，薄利多销也是能够获得很多收益的：&br&&figure&&img src=&https://pic1.zhimg.com/50/e81eaa7cfac1bdddc826edc_b.jpg& data-rawwidth=&1702& data-rawheight=&762& class=&origin_image zh-lightbox-thumb& width=&1702& data-original=&https://pic1.zhimg.com/50/e81eaa7cfac1bdddc826edc_r.jpg&&&/figure&&br&本人也做过一些授业的视频，个人收益通常少则可能50~100一节课（10~20分钟），多则可以到300~1000一节课。如果有一定能力的人，能够参与一些实地脱产培训的话，数千元乃至上万元报酬一天也是不少的。&br&这样的话，通常一套课程（可能30+节课）做下来，能赚数千元到数万元。&br&近几年新创的平台爱春秋也是信息安全在线教育的一个龙头，我曾有意向申请爱春秋的讲师但最后还是因为时间关系放弃了。此类新兴的在线教育平台可能（我不知道爱春秋什么情况，但我和其他一些平台有谈过此类问题）会以『收看量』、『购买量』来给予讲师报酬，其实和一些直播间类似了，收看你的教程的人数越多你的收益就越多。&br&这样对于一般的讲师来说有点吃亏，因为收看量（购买量）除了和讲师的水平有关系外，其实和平台的推广、用户体验、防盗版手段也有很大的关系，而这些原因是讲师无法控制的，所以我觉得如果你要在这些平台做培训的话，最好让平台能一次性买断，这样收益可能更大。不过如果你自信你的视频能够靠量来盈利，甚至能给平台带来额外的访问量，和平台合作也不失为一个好方法。&br&做讲师是一个需要口才的兼职，如果你感觉自己表达能力强可以尝试。并且做讲师通常没有太高的风险，而挖掘漏洞是有一定风险的——假如一段时间你什么漏洞都没挖到，那么可能这段时间一分钱收益都没有，而做讲师只需踏踏实实将自己的知识说出来，就有稳定的收入。&br&推荐指数：★★★☆☆&br&&br&&b&六、为一些扫描平台开发插件&/b&&br&这是一个新兴的职业，我将其称之为——扫描器插件开发工程师。随着国内各大厂商推出『可扩展』的『社区形式』的扫描器产品后，这个兼职也随之产生，白帽子可以通过为一些商业扫描器开发插件来赚取收益。&br&Tangscan是乌云平台依托其强大的漏洞库孕育的一个社区化的商业扫描器，白帽子可以为其有偿编写插件并获取积分。Tangscan在商业运营中，如果某个白帽子编写的插件扫描到安全漏洞，将会给予该白帽子一定的分成；即使其编写的插件没有命中目标，Tangscan每个月也有一定的分红：&br&&figure&&img src=&https://pic3.zhimg.com/50/d33a43fca76d_b.jpg& data-rawwidth=&1326& data-rawheight=&486& class=&origin_image zh-lightbox-thumb& width=&1326& data-original=&https://pic3.zhimg.com/50/d33a43fca76d_r.jpg&&&/figure&这是Tangscan今年一月份的一次分红，可以看到排名第一的白帽子分到了2400块收益，但相比于挖掘漏洞来说确实还是太少了。我想的话，命中目标的奖金可能会比分红要高吧，不过我写的几个插件没有命中过目标，暂时不清楚情况。&br&Seebug是知道创宇公司运营的一个漏洞库平台，其实也是为其扫描器收集插件。创宇当时号称用百万元悬赏插件，实际上其奖励确实不低，我曾在该平台提交过数个漏洞详情与漏洞POC，通常一个漏洞+POC能换取总共100~300元不等的奖励。&br&这是Seebug第一期打款的截图，可见其奖励的力度确实比Tangscan要高一些：&br&&figure&&img src=&https://pic3.zhimg.com/50/aaaa781ab3d1eacdec00_b.jpg& data-rawwidth=&369& data-rawheight=&600& class=&content_image& width=&369&&&/figure&&br&对编程能力突出的同学而言，编写POC是一个很好的工作，而且收益相对来说较高，一样稳定。只要有耐心慢慢写，稳赚不赔。&br&推荐指数：★★★☆☆&br&&br&&b&七、打CTF赚取奖金&/b&&br&对于学生来说，打CTF比赛无疑是提升能力的最好途径之一，当然其丰厚的奖金也是外快的好来源。&br&我有时会混迹于CTF比赛中，但多数CTF比赛的奖金不高，有的可能只有礼品，所以很多人并不将其作为金钱来源，而是学知识认识朋友的好地方。高奖金的CTF比赛也不是没有，Alictf是阿里巴巴公司举办数年的CTF比赛，其第二届比赛的奖金创造了国内CTF比赛之最：&br&&figure&&img src=&https://pic4.zhimg.com/50/bcedafa4dbf578_b.jpg& data-rawwidth=&690& data-rawheight=&460& class=&origin_image zh-lightbox-thumb& width=&690& data-original=&https://pic4.zhimg.com/50/bcedafa4dbf578_r.jpg&&&/figure&10万元人民币奖金+美国拉斯维加斯BlackHat之旅，被香港中文大学的香米小组获得。我还记得当年第一届阿里CTF预赛，每个打进前30名的队伍的所有队员都获得了一部手机等等不记得的各种奖品。几乎是只要你打了比赛，做了几题就能获得礼物，对学生来说是一个非常大的激励。&br&这几年国内的CTF比赛如雨后春笋，有一些长期参与各种比赛的同学（熟称赛棍）凭借自己打CTF的经验，积累了不少奖金。不过毕业后能参与的CTF会逐渐减少，打CTF的时间、精力、小伙伴也逐渐减少。最后能一直坚持下来的同学可能更喜欢的是竞赛的感觉而非金钱上的回报。&br&不过现在CTF比赛在奖金上也有一些乱象，总结一下大概有：&br&&ul&&li&很多比赛因为税务的原因，将奖金折合成礼品发给获奖者，甚至比赛完后才告诉参赛人员这个事情，很没品&/li&&li&发礼品就算了，有的比赛奖金10000所以发一台Mac，可是CTF队伍通常有三人，于是队员还需自行处理礼品分配问题，导致奖励贬值&/li&&li&有的比赛受到赞助商影响，在路费、住宿费归属、报销问题上存在麻烦&/li&&li&有的比赛为了防止参赛者在互联网上讨论题目，甚至不允许参赛者上网，偏离了实战环境，导致做题做的很憋屈。有种因噎废食的感觉。（不过这一条和钱无关了）&/li&&/ul&不过这一年，CTF比赛相对于前几年收紧、少了很多，奖金也降了一些（特别是阿里CTF，今年的奖金不足去年的一半）。可能也是受到金融低迷的影响，也可能是各大公司招人招的差不多了。&br&推荐指数：★★★☆☆&br&&br&&b&八、写文章，赚稿费&/b&&br&10年前大家写了文章通常发布在安全论坛中，当时的黑客论坛讨论活跃、文章众多，后来因为国家的政策，包括安全行业形式的变化，论坛逐渐冷却，多数已不复存在。&br&现在的安全研究人员多数将文章发表在自己的博客，或者投稿给一些安全媒体赚取稿费。乌云平台的博客乌云drops对安全类文章的稿酬是比较高的，通常一篇文章有500元人民币的稿酬，而精华文章的稿酬将翻倍。除了稿酬以外，drops还会奖励给文章作者乌云的通用积分（大概价值200元），作者可以自行去兑换奖品。&br&我平时的文章也会分享到乌云drops，一是能够换取一些稿酬作为生活费，二是能够积攒自己的『简历』。后者属于另一个范畴，与钱无关，不多说。&br&另外，如果你英文好的话，去翻译一些国外的好文章也可以获得同样的稿酬，也就是说可能你的技术还达不到能够自己写出出彩文章的程度，但你去收罗一些国外的文章进行翻译也可以赚不少生活费。&br&楼上有个匿名作者说的其实也不错，安全圈和娱乐圈也就一墙之隔，写一写大众喜欢的文字也许比写纯技术文章更吃香。但我还是希望作者们坚持本心。&br&除了乌云drops以外，Freebuf、360安全播报、安赛等安全相关的媒体都对投稿的文章有一定稿酬奖励，不过金额和drops差一点。&br&所以，如果你技术高文笔好，或者英文好，或者能够抓住用户痛点，能够抓住实事，没事写写技术与非技术文章赚稿酬，也是外快的一部分，只不过确实没多少。&br&推荐指数：★★☆☆☆&br&&br&&b&九、给一些『安全公司』打工&/b&&br&兼职，主要是做一些渗透测试方面的工作，当然必须是合法的。&br&推荐指数：★★☆☆☆&br&&br&暂时想到这么多，之后有的再补充吧。。。睡了睡了，写了两个晚上~&br&允许转载，但切勿修改原文，避免丧失公平性！&br&&br&======&br& 补&br&有些人还质疑我，说几十万不可能。&br&除了井底之蛙，我还能说什么呢？我如果只是想装逼的话，没必要匿名。我说的所有内容都可以考证，举个例子，据我所知文中提到的维尼熊宝贝是一个大学生（曾经乌云平台上的一位通用奖励大牛），并且去年才高中毕业。他一个月的奖金就达到14w，相比起来我4年赚的根本不值一提。
我自己是一个将要从学校滚蛋的大四学生，从大一开始接触信息安全到现在，各种收入大概能买几千个屁股先锋了吧。我可以介绍一下作为这个行业的学生（包括研究生、实习生等）可以靠哪些方面挣外快。 答案内涉及到利益关系很多，我围绕『钱』这个角度来说明问…
&figure&&img src=&https://pic1.zhimg.com/9f0b722bf82e81c08b2211_b.jpg& data-rawwidth=&1024& data-rawheight=&682& class=&origin_image zh-lightbox-thumb& width=&1024& data-original=&https://pic1.zhimg.com/9f0b722bf82e81c08b2211_r.jpg&&&/figure&&ul&&li&15k-30k &br&&/li&&li&北京 &br&&/li&&li&经验3-5年 &br&&/li&&li&本科及以上 &br&&/li&&li&全职&br&&/li&&/ul&&p&&br&&/p&&p&&br&&/p&&blockquote&&b&诱惑&/b& : 和大牛一起，用技术做点好玩的事儿！&/blockquote&&p&&br&&/p&&h2&职位描述&/h2&&p&&br&1负责公司所有业务系统的应用安全,系统安全； &br&2负责例行安全检查、漏洞跟踪处理、解决方案制定； &br&3负责优化安全应急响应流程,以及突发安全事件的应急响应； &br&4负责内部安全防御系统的策略维护及更新； &br&5负责最新的安全漏洞研究,最新安全动态的跟踪与探索。 &br&&br&&/p&&h2&任职要求 &/h2&&p&1对常见的安全漏洞(web、系统)的原理、危害、利用方式及解决方案有深入的理解并有丰富的经验（有独立渗透测试经验或在各漏洞平台上报过漏洞者优先 &/p&&p&2精通Web攻击方法, sql注入、Xss攻击、命令注入、CSRF攻击、上传漏洞、解析漏洞 &/p&&p&3能够自行跟踪新出的WEB攻击方式及原理分析 &/p&&p&4熟悉常见脚本语言,能够进行WEB渗透测试,恶意代码检测和分析 &/p