垃圾注冊(cè)概述

注冊(cè)是所有應(yīng)用或網(wǎng)站的第一道大門，一般衡量一個(gè)APP或一個(gè)門戶網(wǎng)站的體量，首先就是用戶量級(jí)、活躍量級(jí)。因此，注冊(cè)用戶量成為了各個(gè)業(yè)務(wù)開(kāi)展時(shí)的重要指標(biāo)。垃圾注冊(cè)一般指的是通過(guò)腳本或自動(dòng)化工具實(shí)現(xiàn)自動(dòng)化批量注冊(cè)的注冊(cè)行為，非真實(shí)用戶本人注冊(cè)。真人注冊(cè)和垃圾注冊(cè)區(qū)別明顯，但當(dāng)黑產(chǎn)具備一定的反風(fēng)控意識(shí)時(shí)對(duì)抗難度較大。

垃圾注冊(cè)的存在占用了大量業(yè)務(wù)資源，且完全成了業(yè)務(wù)部門用戶信息庫(kù)的臟數(shù)據(jù)，從另一方面看，完完全全是一種虛假流量。那為什么還是這么大量存在，總結(jié)下來(lái)有兩方面因素：業(yè)務(wù)擴(kuò)展需要和黑產(chǎn)攻擊。

無(wú)利不起早，黑產(chǎn)或者第三方花了很大力氣做了這么多垃圾注冊(cè)，最終自然要落實(shí)到利益頭上。一切辣雞注冊(cè)的獲利手段有如下幾種：流量變現(xiàn)、人頭變現(xiàn)、羊毛價(jià)值、賺號(hào)價(jià)值。

流量變現(xiàn)：點(diǎn)擊量、瀏覽量、粉絲量、轉(zhuǎn)發(fā)評(píng)論量

人頭變現(xiàn)：新用戶獎(jiǎng)勵(lì)、渠道結(jié)算獎(jiǎng)勵(lì)

羊毛價(jià)值：獎(jiǎng)品變現(xiàn)：話費(fèi)、積分、視頻券等

賬號(hào)價(jià)值：新號(hào)出售：詐騙、博彩 養(yǎng)號(hào)出售

攻擊手段——腳本攻擊

一般垃圾注冊(cè)都要實(shí)現(xiàn)短時(shí)間大量注冊(cè)，已達(dá)到累計(jì)更多賬號(hào)的目的。攻擊者一般分為兩類：第一種為有技術(shù)能力的黑產(chǎn)，一般為較專業(yè)的團(tuán)隊(duì)，可實(shí)現(xiàn)編寫定制化腳本進(jìn)行攻擊，另一種為技術(shù)能力較差的小作坊類黑產(chǎn)，一般使用各種工具代替腳本進(jìn)行攻擊，二者各有利弊。

一般在實(shí)施腳本攻擊前需要做許多準(zhǔn)備工作，總結(jié)為如下幾個(gè)方面：攻擊頁(yè)面分析、接口參數(shù)分析、構(gòu)造請(qǐng)求。

接口參數(shù)分析：抓包或F12、參數(shù)分析、參數(shù)獲取邏輯

1、模擬注冊(cè)

2、抓包分析注冊(cè)頁(yè)接口以及請(qǐng)求參數(shù)

3、一般注冊(cè)頁(yè)會(huì)帶token和cookie或者session，需要獲取合法的信息以供后端校驗(yàn)

4、header拼接：核心參數(shù)如Token、Cookie、useragent、language、X-Requested-With等等

5、請(qǐng)求圖形驗(yàn)證碼

構(gòu)造請(qǐng)求：模擬參數(shù)、發(fā)起請(qǐng)求

構(gòu)造一次請(qǐng)求：

1、獲取手機(jī)驗(yàn)證碼url

2、獲取圖形驗(yàn)證碼

3、構(gòu)造post請(qǐng)求

4、接收返回otpp

構(gòu)造二次請(qǐng)求：

1、上送驗(yàn)證碼

2、上送圖形驗(yàn)證碼

以上即可完成一次注冊(cè)，自動(dòng)化注冊(cè)還需解決:代理IP，更高階的：瀏覽器環(huán)境信息。如上，總結(jié)下來(lái)，腳本攻擊的流程，獲取注冊(cè)頁(yè)url，獲取接口參數(shù)、獲取關(guān)鍵節(jié)點(diǎn)url，如驗(yàn)證碼獲取，otp獲取等。

攻擊手段——工具攻擊

腳本攻擊雖然成本低，但是某種程度上是比較容易被風(fēng)控識(shí)別并攔截的，其次，對(duì)黑產(chǎn)的專業(yè)水平要求較高，只有行程規(guī)模的黑產(chǎn)才會(huì)具備這種攻擊能力。因此，現(xiàn)在越來(lái)越多的攻擊都能使用擬人化的工具攻擊，雖然效率較低，但是入門簡(jiǎn)單，且風(fēng)控?cái)r截的概率相對(duì)也低。

資源類工具：接碼類APP、代理IP類APP

設(shè)備類工具：模擬器、多開(kāi)、改機(jī)軟件

自動(dòng)化類工具：錄屏軟件、按鍵模擬類軟件

識(shí)別方法

對(duì)黑產(chǎn)虛假注冊(cè)攻擊的手段進(jìn)行了詳細(xì)剖析后，防御方就可以對(duì)癥下藥了。首先，最基本的就是實(shí)現(xiàn)一些資源及軟件工具的識(shí)別，基于環(huán)境采集或者外部數(shù)據(jù)對(duì)接實(shí)現(xiàn)。

對(duì)抗方法

注冊(cè)層面進(jìn)行實(shí)時(shí)對(duì)抗的必要性不大，一般都采用風(fēng)險(xiǎn)后置的方式進(jìn)行風(fēng)險(xiǎn)處置，以提高黑產(chǎn)攻擊成本。

以上內(nèi)容選取自安全牛課堂獨(dú)家課程《業(yè)務(wù)安全》，復(fù)制https://www.aqniukt.com/goods/show/770?targetId=13737&preview=0可查看完整課程。