领域专家如何看待账号安全问题的深层思考？

目录声明0x01-提升账号安全的目的0x02-问题分析1、攻击思路1.1、页面关键点拆解1.2、关于提升账号成本2、攻击行为3、黑产资源维度1：资源维度2：作弊工具0x03-矛与盾资源维度1、IP资源1.1、IP资源介绍1.2、攻击方式（1）IP池实现逻辑（2）IP池页面展示1.3、防御思路（1）位置校验（2）云主机检测（3）秒拨检测（4）代理检测2、手机号资源2.1、手机号资源介绍（1）海外卡（2）虚拟卡（3）风险卡2.2、攻击方式（1）淘宝三方卖家（2）接码平台（3）攻击成本结论2.3、防御思路（1）海外卡（2）虚拟卡（3）风险卡检测3、验证码资源3.1、验证码分代3.2、攻击方式（1）图片识别（2）自动化点击（3）打码平台（4）协议破解作弊工具4.1、作弊工具介绍（1）篡改软件（2）群控软件（3）自动化软件4.2、攻击方式（1）篡改软件（2）自动化软件4.3、防御思路（1）设备指纹（2）环境检测0x04-运维阶段1、账号分级2、黑白灰名单体系（1）白名单（2）灰名单（3）黑名单0x05-结尾 声明 原创文章。转载请标明！https://www.cnblogs.com/boycelee/p/17301594.html 本文内容仅限于研究，不涉及各安全厂商具体源码与风控策略。维护网络安全，人人有责。 0x01-提升账号安全的目的 注册账号是大多数作弊场景的第一步，例如交易场景的生单、营销场景的秒杀活动等都需要账号的参与。其次账号相对于设备、支付卡等能够给唯一标识用户的资源中具备更好的主动权，因此提升账号安全能力是有必要的。 0x02-问题分析 1、攻击思路 想要弄清楚如何提升账号成本，就需要知道创建、运营账号需要付出什么成本。说得通俗一点就是以业务蓝军的角度进行批量注册、登录。（以淘宝页面为案例，不代表本人对淘宝网进行过攻击） 1.1、页面关键点拆解 若针对该功能进行逆向需要做什么准备？ （1）资源类准备包括手机号、验证码识别（图像、行为或短信验证码）、IP等 （2）协议类准备包括业务协议、安全协议。 注：此处不考虑模拟点击类攻击方式。 以上拆解具体要解决作弊的什么问题呢？ （1）手机号：解决注册多个账户的问题； （2）验证码：解决被加强验证的问题； （3）代理IP：解决IP被唯一标识的问题； （4）业务协议分析：解决模拟业务请求逻辑与参数的问题； （5）安全协议分析：解决设备唯一标识、风控参数、行为模拟的问题。 1.2、关于提升账号成本 根据以上的关键点拆解，解决思路是： （1）提升资源成本； （2）提升技术成本。 2、攻击行为 注册攻击包括机器注册、批量注册以及小号注册，登录攻击包括机器登录、批量登录、恶意撞库以及账号盗用，短信攻击包括短信轰炸。 3、黑产资源 关于黑产资源，我把账号获利产业链分为上、中、下游三个环节。 其中上游（事前）是攻击前所需要准备的资源，中游（事中）是攻击过程中遇到的风控反制所需要准备的资源，下游（事后）为黑产攻击的目标场景。 其中具备检测的维度如下： 维度1：资源 （1）IP资源 （2）手机号资源 （3）验证码资源 维度2：作弊工具 （1）改机工具 （2）群控软件 （3）自动化工具 接下来我们会根据这四个维度进行攻击原理的分析以及其对应防御思路的梳理。 0x03-矛与盾 资源维度 1、IP资源 1.1、IP资源介绍 （1）IP类型 （2）位置信息 （3）风险类型 1.2、攻击方式 秒拨的底层思路就是利用国内家用宽带拨号上网（PPPoE）的原理，每一次断线重连就会获取一个新的IP。黑产掌握大量宽带线路资源，利用这些资源构建一个动态IP池，并利用ROS(软路由)对虚拟主机以及宽带资源做统一调配和管理，再利用虚拟化和云计算的技术整体打包成了云服务。这样就能够生产出大量的真实ip。 （1）IP池实现逻辑 （2）IP池页面展示 1.3、防御思路 （1）位置校验 校验IP位置与GPS位置是否一致。 （2）云主机检测 爬虫、机器作弊、代理等大多数情况来自于数据中心（机房）。如阿里云、腾讯云、美团云、京东云、微软云、亚马逊云等。（需要注意的是部分办公网络也会使用云ip所以在策略应用时应该结合其他维度一起判断） （3）秒拨检测 a）秒拨已经成为黑产IP层面的核心技术，也是当前业务安全的痛点之一； b）秒拨IP数量巨大且与正常用户共用IP池。 检测技术：通过IP扫描端口、协议以及报文特征等方式，识别当前主机是否是正常用户使用的主机。