進(jìn)入2017年,公安部、工信部分別針對(duì)互聯(lián)網(wǎng)VPN等網(wǎng)絡(luò)資源接入亂象,進(jìn)行專項(xiàng)清理整治。在研究和線下打擊非法侵犯公民信息用于網(wǎng)絡(luò)詐騙犯罪的黑產(chǎn)鏈條中,騰訊公司守護(hù)者計(jì)劃團(tuán)隊(duì)發(fā)現(xiàn)近年來互聯(lián)網(wǎng)的線路資源、IP資源,已成為黑產(chǎn)鏈條精細(xì)化的一個(gè)環(huán)節(jié),并已形成專門提供IP資源網(wǎng)絡(luò)服務(wù)的“秒撥”動(dòng)態(tài)IP黑產(chǎn)。
IP地址是指Internet協(xié)議使用的地址。是用來唯一標(biāo)識(shí)互聯(lián)網(wǎng)上計(jì)算機(jī)的邏輯地址,每個(gè)Internet包都必須帶有IP地址,每臺(tái)連網(wǎng)計(jì)算機(jī)都依靠IP地址來標(biāo)識(shí)自己,同時(shí)根據(jù)IP地址能夠定位計(jì)算機(jī)位置。一般來講,一個(gè)實(shí)體的計(jì)算機(jī)位置對(duì)應(yīng)的IP地址是基本固定且有限的,這也是互聯(lián)網(wǎng)行業(yè)賬號(hào)體系設(shè)定IP判定安全策略的基本邏輯,即根據(jù)IP地址可以識(shí)別和限制客戶的登陸行為。
近年來,網(wǎng)絡(luò)黑產(chǎn)鏈條已發(fā)展成為產(chǎn)業(yè)化、精細(xì)化的分工合作,針對(duì)互聯(lián)網(wǎng)行業(yè)帳號(hào)體系中的注冊、登錄等操作的具體環(huán)節(jié),黑產(chǎn)使用“秒撥”動(dòng)態(tài)IP技術(shù)欺騙互聯(lián)網(wǎng)公司的IP識(shí)別判定策略,從而實(shí)施撞庫曬密、爬蟲、詐騙、刷單、刷量、薅羊毛等惡意行為。2017年,騰訊守護(hù)者計(jì)劃安全團(tuán)隊(duì)協(xié)助警方抓獲以陳某、曹某為首的非法架設(shè)提供“秒撥”動(dòng)態(tài)IP黑產(chǎn)服務(wù)的團(tuán)伙成員26人。經(jīng)查,該團(tuán)伙租用控制服務(wù)器線路3000余條,租用ADSL寬帶線路5000余條,發(fā)展下級(jí)代理商69個(gè),注冊使用者過萬人,年獲利上千萬。
互聯(lián)網(wǎng)公司IP策略的目的通常有以下三種:
例1:某社交軟件,為防止黑產(chǎn)曬密撞庫、竊取帳號(hào)密碼后冒充好友詐騙,限定社交賬號(hào)異地登錄需短信驗(yàn)證;限定同一IP在10秒內(nèi)只能請(qǐng)求一次登錄驗(yàn)密行為。
例2:某視頻平臺(tái),與海內(nèi)外簽約,引進(jìn)高質(zhì)量內(nèi)容,但版權(quán)授權(quán)僅限大陸地區(qū),為保護(hù)知識(shí)產(chǎn)權(quán),限定注冊和登錄為中國境內(nèi)IP的帳號(hào),才可訪問內(nèi)容。
例3:某電商平臺(tái),經(jīng)常會(huì)放出優(yōu)惠券和優(yōu)惠碼,以此促銷各種網(wǎng)購活動(dòng),為防止羊毛黨惡意刷券,限定同一IP僅能參加一次領(lǐng)券活動(dòng)。
利用秒撥技術(shù)洞穿互聯(lián)網(wǎng)公司IP策略主要通過以下方法:
以QQ登錄為例,當(dāng)?shù)卿汭P出現(xiàn)異常,就會(huì)命中IP策略,出現(xiàn)類似如下的提醒:
通常情況下,黑產(chǎn)人員拿到QQ信封(網(wǎng)絡(luò)黑產(chǎn)用語,指黑客通過非法手段得來的QQ號(hào)碼和密碼,以萬為單位保存的信息文本)后,會(huì)在短時(shí)間內(nèi)批量驗(yàn)證這些QQ帳號(hào)密碼及關(guān)系鏈等信息的有效性,也就是在一臺(tái)計(jì)算機(jī)上同時(shí)登錄大量QQ號(hào)。當(dāng)黑產(chǎn)人員向服務(wù)器發(fā)起批量驗(yàn)證密碼的請(qǐng)求時(shí),就會(huì)命中互聯(lián)網(wǎng)公司的IP策略和驗(yàn)證碼策略。此時(shí),利用秒撥軟件(如下圖),通過短時(shí)間內(nèi)跳變IP,達(dá)到突破IP策略的目的,從而完成驗(yàn)證帳號(hào)密碼有效性的過程。
電商平臺(tái)上搜索“秒撥”,能看到不少撥號(hào)服務(wù)器動(dòng)態(tài)換IP的商品,其功能介紹的核心內(nèi)容大致為:“多窗口獨(dú)立IP,獨(dú)立MAC,每個(gè)IP服務(wù)器后臺(tái)都會(huì)自動(dòng)生成一個(gè)獨(dú)立的MAC碼,有效防封”;“支持每次登錄游戲都自動(dòng)變換IP, IP保證都是一個(gè)城市的,不會(huì)造成異地登錄”;“單機(jī)最少支持1000個(gè)動(dòng)態(tài)IP”。
其技術(shù)原理,是以Ros軟路由、RADIUS認(rèn)證服務(wù)器搭建“秒撥”動(dòng)態(tài)IP集群,整合全國各地的ADSL動(dòng)態(tài)IP、服務(wù)器線路、云主機(jī)靜態(tài)IP和國際互聯(lián)網(wǎng)鏈路,將多種網(wǎng)絡(luò)IP資源捆綁集成,提供給下游黑產(chǎn)用戶作惡用,實(shí)現(xiàn)對(duì)黑產(chǎn)用戶原始IP的隱匿偽裝,達(dá)到IP“秒級(jí)跳變”的效果。
“秒撥”動(dòng)態(tài)IP提供的線路控制客戶端,用以破解洞穿互聯(lián)網(wǎng)行業(yè)的各類IP策略,可實(shí)現(xiàn)對(duì)其訪問服務(wù)的源IP的“自動(dòng)切換”、“秒級(jí)切換”、“斷線重?fù)堋?、清理COOKIES緩存、虛擬網(wǎng)卡(MAC)信息、多地域IP資源調(diào)換。
“秒撥”動(dòng)態(tài)IP技術(shù),可被用于黑產(chǎn)作惡的多種場景,直接繞開了政府監(jiān)管方及互聯(lián)網(wǎng)行業(yè)通用的IP識(shí)別判定策略,其帶來的危害是巨大的:
第一,通過“秒撥”動(dòng)態(tài)IP技術(shù),對(duì)國內(nèi)動(dòng)態(tài)IP實(shí)時(shí)調(diào)用和跳變,可調(diào)用全國25個(gè)省、上百個(gè)地市的ADSL寬帶動(dòng)態(tài)IP資源,IP池極其龐大。通過IP的跨地域定向跳變,欺騙帳號(hào)安全體系的IP判定策略,偽造帳號(hào)登錄地,用于批量注冊、養(yǎng)號(hào)、曬密、網(wǎng)絡(luò)詐騙,規(guī)避線上策略打擊。由于IP策略是基于帳號(hào)的登陸地和常用地來判定,這種通過網(wǎng)絡(luò)線路源頭實(shí)施的IP定向跳變,給線上對(duì)抗帶來極大難度。
第二,對(duì)于國家網(wǎng)絡(luò)安全而言,市面上大部分動(dòng)態(tài)IP黑產(chǎn)服務(wù)商,都有橋接境外多個(gè)國家的服務(wù)器、云主機(jī)等國際網(wǎng)絡(luò)鏈路資源,能夠接入境外服務(wù)器,用境外IP訪問非法網(wǎng)站、發(fā)布非法信息,包括訪問暗網(wǎng)、國際信用卡CVV盜刷、境外帳號(hào)作惡等多種場景。帶來無法追查溯源、無法有效封堵的問題,給國家網(wǎng)絡(luò)空間安全穩(wěn)定造成危害。