关于账号安全的一些思考

声明

0x01-提升账号安全的目的

注册账号是大多数作弊场景的第一步，例如交易场景的生单、营销场景的秒杀活动等都需要账号的参与。其次账号相对于设备、支付卡等能够给唯一标识用户的资源中具备更好的主动权，因此提升账号安全能力是有必要的。

0x02-问题分析

1、攻击思路

以淘宝页面为案例，不代表本人对淘宝网进行过攻击）

1.1、页面关键点拆解

（1）资源类准备包括手机号、验证码识别（图像、行为或短信验证码）、IP等

注：此处不考虑模拟点击类攻击方式。

（1）手机号：解决注册多个账户的问题；

（3）代理IP：解决IP被唯一标识的问题；

（5）安全协议分析：解决设备唯一标识、风控参数、行为模拟的问题。

1.2、关于提升账号成本

（1）提升资源成本；

2、攻击行为

注册攻击包括机器注册、批量注册以及小号注册，登录攻击包括机器登录、批量登录、恶意撞库以及账号盗用，短信攻击包括短信轰炸。

3、黑产资源

关于黑产资源，我把账号获利产业链分为上、中、下游三个环节。

上游（事前）是攻击前所需要准备的资源，中游（事中）是攻击过程中遇到的风控反制所需要准备的资源，下游（事后）为黑产攻击的目标场景。

维度1：资源

（1）IP资源

（3）验证码资源

维度2：作弊工具

（2）群控软件

接下来我们会根据这四个维度进行攻击原理的分析以及其对应防御思路的梳理。

0x03-矛与盾

资源维度

1、IP资源

1.1、IP资源介绍

1.2、攻击方式

（1）IP池实现逻辑

（2）IP池页面展示

1.3、防御思路

（1）位置校验

校验IP位置与GPS位置是否一致。

（2）云主机检测

需要注意的是部分办公网络也会使用云ip所以在策略应用时应该结合其他维度一起判断）

（3）秒拨检测

b）秒拨IP数量巨大且与正常用户共用IP池。

（4）代理检测

（1）REMOTE_ADDR：web服务器就会把 REMOTE_ADDR 设为客户端的 IP 地址；

（3）针对于高匿IP这种方式就无法应对。

（1）System property中的http.proxyHost、http.proxyPort；

2、手机号资源

2.1、手机号资源介绍

（1）海外卡

（2）虚拟卡

（3）风险卡

2.2、攻击方式

手机号购买的渠道大致有三类，第一类是购买现成历史账号，第二类是通过淘宝等第三方卖家，第三类是接码平台。

（1）淘宝三方卖家

（2）接码平台

（3）攻击成本结论

​ b）成品：手机号注册号价格 > 邮箱注册号价格

​ d）资源：免费接码平台资源被拉黑概率 > 收费接码平台资源被拉黑概率

具体原因是国内安全厂商不具备识别国外风险手机号的能力）

2.3、防御思路

（1）海外卡

（2）虚拟卡

162、165、167、170、171；

（3）风险卡检测

在注册、登录场景，面临全新的手机号，必须依靠外部平台通过企业共享、打码平台以及运营商等渠道对风险手机号进行标识。

3、验证码资源

3.1、验证码分代

3.2、攻击方式

（1）图片识别

（2）自动化点击

Selenium + Headless或chrome插件进行模拟点击。

（3）打码平台

（4）协议破解

对第三代验证码进行协议破解。

作弊工具

4.1、作弊工具介绍

（1）篡改软件

（2）群控软件

（3）自动化软件

4.2、攻击方式

攻击流程一般是：篡改 + 驱动。

（1）篡改软件

（2）自动化软件

4.3、防御思路

（1）设备指纹

（2）环境检测

针对市面逆向手段、逆向工具、作弊工具原理分析。对当前应用运行环境进行针对性风险检测。

0x04-运维阶段

1、账号分级

风控体系与业务体系沟通的标准。

2、黑白灰名单体系

（1）白名单

大概率为优质用户，可以用于风控准确性判断的依据。

（2）灰名单

需要监视其行为。

（3）黑名单

历史上封禁过的用户，需要考虑封禁周期。

账号安全运维阶段所需要做的事，还没有思考透彻，后续如果有机会实践再来补充。

0x05-结尾

懂的不多，做的太少。欢迎批评、指正。

声明：本文由用户投稿上传，本站不保证内容的真实与正确性，并且不承担相关法律责任，如有侵权请提供版权资料并联系删除！

编程笔记 » 关于账号安全的一些思考