其他
黑产工具又出新利器,“上号器”横空出世
近日,在“腾讯守护者计划”安全团队的协助下,南京建邺警方在江苏、河南、安徽、湖南等地捣毁了多个非法买卖公民个人信息、非法出租游戏账号的犯罪团伙,涉案人数达40多人,其中10余人刑事拘留,涉案金额过百万。
该团伙组织架构十分清晰,老板、技术人员、客服等之间分工严密。但是这样拥有几十号人马的团队,在庞大的业务流量面前也时常显得“捉襟见肘”,甚至有人在“团建”之余仍不忘埋头于二三十部手机中废寝忘食地工作。
黑产都这么拼了,你还有什么理由不努力!
1
需求井喷,黑产只能靠加班?
“史上最严”未成年人防沉迷管控政策的出台,成年人账号突然成为了香馍馍。因为技术绕过防沉迷系统的难度较大,操作门槛较高,性价还低。直接租个成年身份,没有游戏时间限制,没有任何技术、操作难度,可以一劳永逸。
实际上,不仅是游戏账号,其它各类互联网账号租号的情况也开始出现泛滥的趋势。由于实名制和“断卡”行动的深入推进,以及互联网持续的策略打击,养号卖号黑灰产已经逐渐萎缩,取而代之的是大量非法租售个人账号的情况,如发布“高额日结佣金租借个人账号、收款二维码”等,为下流诈骗、赌博等不法活动源源不断供应账号资源。
租号,便宜还好用,已经成为各类网络黑灰产“夹缝求生”的首选,直接拉动整个账号租赁市场需求的暴涨。
2
供不应求,前期的租号工作室累成狗
前期,租号团伙都是工作室运作,小本生意,小打小闹,主要依托电商平台从事交易,充当账号主与客户之间的沟通媒介。
首先,他们会大量寻找成年游戏玩家,让玩家们提供不受防沉迷限制的正常账号并交给工作室统一管理,形成一定规模的上游号主群;
其次,他们会将这些账号信息上架到事先开设的电商平台店铺内;
最后,有需求的租客便可以直接通过电商平台进行交易,一手交钱一手交账号密码(或者是扫码登陆)。
每一笔交易都要反复沟通,了解账号情况、价格、人工计时,时间到了还要通知客户下线,要是遇到个别“不讲武德”的客户,赖着不肯下线,还得想办法将其强制踢下线,甚至有些干脆直接修改密码的,还得重新验证账户修改密码将账户“回收”回来。
这种租号工作室模式,体验感较差,管理困难,运营成本过高,即使黑产加班加成狗,依然盈利有限,难以真正实现产业化、规模化运营。
3
黑产技术是第一生产力,“上号器”助推产业升级
租号工作室难以高效运营的瓶颈,就在于租号过程中要将账号密码交给客户。客户一旦掌握了这些信息,随时可能过河拆桥翻脸不认人,租号工作室光是处理这些客户撕逼扯皮的事项就已经足够心累。
“上号器”要解决的,就是不用交出账号密码也能租号的技术难点,它能让你的租号体验就跟使用自己的账号一样“丝滑”,同时还可以集选号、下单、自动计时、到时下线等功能于一身,全程甚至可以零沟通,让黑产分子再也不用团建的时候还“加班”,以至于当场被“团灭”。
A.正常的账号登录过程
一般来说,我们登录网络账号时,在用户设备(通常为手机)的APP登录页面相应位置输入账号、密码等信息,或者选择通过微信、QQ等方式来验证,验证通过后即可顺利进入应用程序。这个验证过程的技术原理大致为,用户设备发送验证信息到APP服务器端,APP服务端验证后返回验证结果到用户设备,用户设备根据返回的验证结果决定是否允许登录。
整个过程仅有两端参与,一个是用户设备,一个是部署在APP所有的负责验证的APP服务器端。
B.“上号器”的移花接木
“上号器”将正常的账号登录过程暴力拆分成两个部分,并在过程中强行插入“上号器”云端服务器,将正常登录过程的“两端验证”修改为“三端交叉验证”。
第一步:用户设备与“上号器”云端服务器的私相授受
用户设备与“上号器”云端服务器进行交互,完成事前的选号、下单等操作,过程跟网上购物基本没有区别,挑选、下单、付款、最后发货。当然这里黑产并不会真的给发货,而是根据下单情况自动为用户设置好相应参数并引导用户登录使用账号。
第二步:“上号器”云端服务器与APP服务器端的明修栈道
APP服务端验证后,只能按正常流程给其返回验证结果,这时候“上号器”才凶相毕露,其不会将验证结果传递给APP从而在“上号器”云端服务器上登陆APP,而会将其拦截并传递至用户设备上使用。
第三步:用户设备与“上号器”云端服务器的暗度陈仓
看懂“上号器”移花接木的魔法了吗?正常的登录验证过程是,在哪台设备输入账号密码,账号就在哪台设备上登录。而“上号器”的横空出世,使得在A设备输入账号密码,却是在B设备上登录使用的情况成为可能。
这不正是租号黑产的业务“痛点”所在吗?不得不感叹,黑产界才是向科学技术要生产力的优秀代表。“上号器”的出现,推动租号黑产开始转向产业化方向运营,出现了规模较大的租号平台。
这类租号平台,多是由企业规模运营的第三方游戏账号出租服务平台,平台通常有完整的APP端、网页端,用户可直接平台下单。租号平台用户注册时要求填写符合规则的姓名和身份证信息,但缺乏核实注册用户真实身份的手段,甚至有的平台直接提供快速实名认证教程。注册成功后,用户可在租号平台上挑选心仪的游戏账号,通过租号平台内置的“上号器”一键启动登录,不需要以常规方式点击登录,也不需要再次验证用户的身份。
4
“上号器”的原罪:有时技术也不中立
①侵犯公民个人信息罪
租号平台往往掌握控制大量的游戏账号,部分账号可能为平台相关人员自己注册所有,部分可能为账号出租人自己注册后寄放于平台出租使用。但实践中往往也存在部分账号是租号平台或出租人向不法号商购买所得,甚至是通过非法手段获取公民个人信息后,利用这些公民个人信息注册而来,由于这些账号都与公民个人信息相关联,租号平台非法出租这些账号的行为,涉嫌构成侵犯公民个人信息罪。
②非法控制计算机信息系统罪
“上号器”通过抓包等手段将服务器返回登录的相关信息捕获,并中断本地的登录流程,接着将这些信息通过“上号器”传递给租号用户,绕过验证过程直接进入游戏,最终实现程序原先不具备的租号平台远端验证、用户端使用的异地验证登录功能。从本质上看,这无疑属于非法获取游戏软件的登录校验数据,破坏程序登录的较验逻辑,对计算机信息系统进行非法控制的行为。
5
未成年人防沉迷之殇
为防止未成年沉迷网络游戏,国家政策不断加码,推动防沉迷系统向纵深发展。与此同时,游戏公司的措施也不断升级,“人脸识别系统”“夜间巡航”“宵禁”“识别定位”等,亦是煞费苦心。
然而,“你有张良计,我有过墙梯”。日防夜防,防着游戏公司,防着小孩,防着家长们,还要防着不良租号商,常常是防不胜防。
技术并非万能,在技术的世界里,没有绝对安全可言,有的只是不断的对抗。就连银行的存款都有可能不翼而飞,你还会指望存在万无一失的防线吗?
在这一场“沉迷与反沉迷”的迷局中,未成年人和游戏公司无疑是“蚌鹬之争”,但也要提防租号商搅局“坐收渔利”。
更重要的是,要让我们部分家长收敛一下纵容、溺爱的心,管不住千万也不能帮着他沉迷,大批银发老者出现在王者峡谷的奇观可休矣。