那些藏匿在深处的垃圾账号,设备指纹都知道
信息平台莫名出现“牛皮癣广告”信息,社交媒体下面出现大量广告评论,电商平台出现大量哄抢福利优惠的账号....这表明,平台上有一大批垃圾账号。
垃圾账号多为批量注册,不仅可用于发布信息、发布虚假评论,更会把注册成功的账号,按照不同平台以不同的价格进行出售,进而成为薅羊毛、刷单炒信以及网络诈骗的账号。
垃圾账号不仅影响平台的运营,也会影响普通用户的体验。同时,现在各个平台的账户均为实名验证。而注册圾账号的个人信息,多是黑灰产购买已被泄露的个人信息或者随机生成身份证号进行注册,这给我们的个人隐私带来了极大安全隐患。
各平台上垃圾账号是怎么注册的?
批量注册是垃圾账号的重要方式。批量注册账号时,黑灰产会使用猫池、注册机、秒拨IP、改机工具等工具。其中,注册机根据设定好的规则和图片库,自动生成用户名,上传账户的头像、设置昵称。秒拨IP能更换账号的IP地址,规避防控系统的拦截。改机工具能够任意修改包括手机型号、系统版本、串码、IMEI、GPS定位、MAC地址等设备信息。此外,黑灰产还会接入网上的打码平台来绕过验证码识别。
由于批量注册的原因,黑灰产注册的垃圾账号通常会有明显的特征。比如,相似的昵称、相近的注册时间、同步的行为轨迹。常规防控的基于黑名单库的帐号IP和设备ID来判断识别,以此过滤掉一部分垃圾账号。但是黑灰产使用的设备ID、IP信息是可以不断变更的,尤其随着注册机、秒拨IP、改机工具使用,这种简单的防控规则无法拦截专业化的黑灰产。
顶象设备指纹能够及时识别批量注册时的异常设备,并与只能验证码配合,及时拦截各类垃圾账号的注册登录。
设备指纹如何发现垃圾账号?
黑灰产批量注册垃圾账号,一般是在亿台设备注册或登录多个账号,一个账号短时间内在多个设备上登录,一个设备关联多个 IP(黑灰产修改设备信息伪造为多个设备)等。
无论黑灰产是用软件篡改设备信息,还是用代理伪造IP地址;或者,黑灰产使用对设备进行ROOT、刷机改机,甚至使用模拟器伪造信息,设备指纹统统都知道,并能够实时识别分辨设备的真实信息,并及时做出风险预警。
设备指纹技术通过前端采集用户上网的设备硬件、网络、运行环境等特征信息,后台利用采集的多个维度数据,通过算法为设备生成唯一的ID。就像每个人都有独一无二的指纹一样,设备指纹技术让让每一台终端设备也都拥有独特的特征。
一个信息平台利用设备指纹发现广告账号
以某平台提供行业信息、产品、服务及咨询,平台上有一个全国TOP3的互动论坛,吸引力同行大量用户。连续多日来,论坛上出现大批无关行业的广告贴,信息删不尽、账号封不完。
部署顶象设备指纹后,识别发现3700多个垃圾账号,发现风险设备120多台黑灰产设备。比如,某个拦截恶意注册的行为,一台编号为65193的手机,存在90多个账号注册、登录的情况。虽然这些账号在注册时,黑灰产通过技术手段对设备信息进行了篡改,但是设备指纹依旧可以发现。
每个设备的独特指纹信息,在设备与外界通讯的过程中都会体现出来。通过追踪设备各类通讯行为,并用先进的数据算法分析其特性,就能准确识别和关联设备,实现线上欺诈行为的识别和预警。
顶象设备指纹的三大能力
顶象设备指纹是顶象防御云的一部分,支持安卓、iOS、H5、公众号、小程序,可有效侦测模拟器、刷机改机、ROOT越狱、劫持注入等风险,具有快速对抗、高效风险识别、99%以上稳定性和100%的唯一性的特点。
第一,快速对抗能力。业务应用暴露在互联网上,黑灰产则是隐藏在背后,所以攻防必然存在一定的滞后性,这就要求设备指纹技术在面对新的攻击方式和风险特征时,有及时的风险情报感知和防控升级的能力,后台可以结合各行业的攻防经验和风险数据沉淀,通过云+端的方式,进行快速的攻防升级,在一个攻防周期内解决掉业务风险。
第二,高效风险识别能力。设备指纹需要具备对设备基础环境和运行期的安全检测能力,能精准识别模拟器、root、越狱、调试、代码注入、多开、VPN代理等风险。例如,iOS平台hook、越狱行为,安卓root、debug、内存dump、注入、多开、模拟器、漏洞攻击等风险行为,WEB平台下浏览器颜色深度、分辨率,浏览器与系统、UA的匹配性和一致性、cookie是否禁用等行为。
第三,99%以上稳定性和100%的唯一性。设备指纹自身SDK代码需要进行保护,防止采集逻辑被破解和出现数据伪造,从数据采集源头上保证真实性和准确性。不管对设备参数进行篡改伪造(篡改IMEI、MAC地址、AndroidId、SIM卡信息、机型、品牌等),或是禁用、清除缓存和cookie,设备指纹都要保持不变,稳定性至少要保持在99%以上。任意两台设备的指纹不能相同,不发生碰撞,为每一台设备生成的设备指纹ID需要全球唯一,并且不可被篡改,唯一性上要保证在100%。