揭秘!网络诈骗催生下的秒拨IP黑产及其背后网罗的“猎物” - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

揭秘!网络诈骗催生下的秒拨IP黑产及其背后网罗的“猎物”

360反诈中心 行业 2022-05-25 17:34:48
收藏

导语:有市场,有需求,就意味着机会丛生。

有市场,有需求,就意味着机会丛生。

说到“IP”属性的应用场景,其早已渗透到我们的生活当中。比如:

  • 一个手机号码,只能在平台注册一个账号

  • 网上投票,一个ID只能投一票

这里的ID的“唯一性”就是平台或者活动方为了保证活动公平性及自身利益,做出的限制,因为在我们看不到的网络世界,诈骗、群控、挂机、“羊毛党”、刷量等黑灰产行为时刻发生着,这些行为从悄然滋生到发展为成熟的产业链,始终绕不开最底层的IP支撑。

360手机卫士在长期对黑灰产的溯源分析时,发现一些黑灰产使用的IP呈现出“境外设备偏爱使用境内固网或IDC机房IP,境内设备偏爱使用境内移动流量IP的特点”。

推测此种偏好方式,境外的黑灰产可能是为了防止其使用的社交账号、支付账号被冻结或满足一定的上网娱乐需求;境内的黑灰产可能是为了防止具体位置信息暴露、提高追溯难度。而这两种身份伪装的方式,代表了目前主流的两种IP代理手段:固网IP秒拨和移动网络IP秒拨。

固网IP秒拨原理及实现方式

由于IPV4资源的有限性,国内家用宽带主要是共享IP,即设备联网时,运营商从IP池中分配1个IP给用户,用户断网时,IP回收至IP池供给其他人使用,即重新拨号,运营商会重新分配IP。秒拨利用了这种特性,短期内不断重新拨号,此时设备的IP就产生了变化,若把多个省市地区的秒拨资源打通,就可实现混拨。

固网秒拨指的是通过自建机房或民用宽带,向外提供代理IP。2021年,某地公安机关侦破一起利用“秒拨”网络设备获取电信运营商动态IP资源,为境外不法分子提供动态IP代理、动态VPS服务非法牟利的网络黑产案件。该案件中,不法分子利用了空壳公司,在多个地区设立多个非法机房窝点,国内多起涉赌、涉诈案件线索均指向该公司提供的IP资源。

移动网络IP秒拨原理及实现方式

移动网络秒拨指的是利用移动网络提供的IP,向外提供代理IP。随着攻防对抗的升级,传统固网式的IP多已被标记识别,目前⿊产将视线转移到更为隐蔽的移动网络IP上。从已掌握的情报来看,其实现方式有4种:手机热点、USB上网卡、IP魔盒、移动IP代理软件。

手机热点、USB上网卡需要手动断网才能获得新的IP,存在不足,而IP魔盒和移动IP代理属于自动化类产物,弥补了手机热点和USB上网卡的不足,已渐渐成为主流。

USB上网卡即便携式网络热点,插入手机卡,供电后即可共享网络。此些USB上网卡使用的流量业务,主要是一些第三方公司在运营,其向运营商采买流量后,分包卖给上网卡用户。

IP魔盒为一款硬件盒⼦,支持多种类型的手机卡,接入电脑后可以使电脑拥有移动网络IP,通过其自带的脚本可实现IP自动切换。

USB上网卡、IP魔盒本质上是同一类产品,两者都可以通过断网再联网实现切换IP,只是IP魔盒增加了自动化秒拨的功能。

除了利用硬件产品实现移动网络秒拨外,目前一些代理软件也提供移动网络IP,安装此类应用后,可根据其提供的移动网络线路IP进行IP伪装。利用移动网络秒拨IP,黑产分子能实现快速变换IP或指定IP归属地,绕过时间、地域、次数的限制,同时随着5G网络的普及,在5G高带宽的背景下,黑灰产可能会以此衍生出其他的攻击手段。但从目前已知的风控手段来看,针对移动网络类秒拨IP并未迭代出良好的反制手段,IP伪装攻防对抗将是一场持久战。

image.png 

让隐身在网络背后的键盘侠无处遁形的功能来了

自4月15日起,各大平台相继宣布“公开账号IP属地”。简单来说,“IP属地”,也就是你来自什么地方。比如,如果你在江苏,你所发生的任何信息都会显示你在江苏,而不是在北京。

为什么要显示“IP属地”呢?

接地气一点的理解,就是让那些蹭热点、蹭流量、恶意造谣、非法网暴他人,这群隐匿在网络背后的人无处遁形。

从网络安全角度上来讲,公开“IP属地”也可以有效防范诈骗(例如境外犯罪分子冒充公检法机关与用户联络)、便于用户识别虚假信息,一定程度帮忙网友提升鉴别网络信息的能力,微博网络内容的真实性和透明度。

然而

哪里有旺盛的需求

哪里就有黑灰产在滋生

变换IP属地,却成为黑灰产业的“猎物”

“卖家说可以免费体验30分钟,没想到我这种技术小白在两分钟内也实现了IP属地切换。”如果你还在侥幸自己钻了平台规则的空子,那你可能还不知道,已经成为网络黑灰产业链上游的“猎物”。

你免费注册的IP同样会被IP代理商获取,这就意味着,你自己使用的IP会被代理商售卖提供给其他用户的IP列表里。

IP代理鱼龙混杂。当你使用代理IP时,真实的IP会被隐藏,过程中不法分子也可能会通过技术手段,窃取你手机里的个人信息。

5月6日,北京市公安局在其官方微博“平安北京”针对IP代理畸形产业发声,指出“很多不法分子就是利用代理动态IP,变换境内不同地区登录IP地址,用各种虚假服务器地址传播各类谣言、实施诈骗、涉黄涉赌等各种违法犯罪行为,逃避我们打击。当然,对于个人而言,使用了黑代理IP后,黑客和病毒入侵你的主机、获取你个人信息和资料比吃饭还简单”。

伴随着网络犯罪日趋链条化,对于包括IP代理在内的网络黑灰产的治理是一项复杂的系统工程,需要主管部门、企业、社会组织及社会个人各司其责,共同维护绿色的网络环境。

回复关键词【报告】查看更多内容

关注订阅.png

如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论