黑产用“未来武器”破解验证码，打码小工都哭了

当我们正讨论如何用AI推动产业升级、改变未来生活时，不法分子也在研究AI技术，并通过各种手段非法牟利。近日，腾讯守护者计划安全团队协助警方打掉市面上最大打码平台“快啊答题”，挖掘出一条从撞库盗号、破解验证码到贩卖公民信息、实施网络诈骗的全链条黑产。而在识别验证码这一关键环节，黑产竟已用上AI人工智能技术。该团伙运用AI技术训练机器，极大提升了单位时间内识别验证码的数量，2017年一季度打码量达到259亿次，且识别验证码的精准度超过80%。借此案件，我们也深入研究AI打码平台黑产领域，对其犯罪模式进行剖析。
打码平台：对抗验证码系统而生
对于“验证码”，大家并不陌生。在登录各网站、平台、APP时，经常见到。常见的“验证码”有“字符式”、“字符+点选式”、“滑块拼图式”和难度逆天的“12306式”。
 

                                               字符式                                                                       字符+点选式

                                                 滑块拼图式                                                                 12306式
验证码（CAPTCHA ，Completely Automated Public Turing Test to Tell Computers and Humans Apart，全自动区分计算机和人类的图灵测试），是区分计算机和人类的一种程序算法，简单解释是一个答题的验证。系统向请求发起方提问，能正确回答的即是人类，反之则为机器。从安全角度讲，CAPTCHA经过不断演化，已成为目前国内外各大互联网公司用于对抗网络黑产恶意行为（如恶意登录）的验证码安全策略，即我们现在俗称的验证码系统。
在网络黑产中，不法分子窃取网站数据库后，需要确认帐号对应的密码是否正确，将有价值的数据通过验证的方式筛选出来，这一过程黑话叫“晒密”，意即撞库。而“晒密”最核心的障碍就是互联网公司设置的验证码安全体系。每天面对数以亿计的“晒密”需求，黑产分子不可能人工逐个识别，而是需要提高“晒密”效率，批量识别。“打码平台”这一专业服务便应运而生。
“打码平台”会与“晒密”软件作者合作：
1) 黑产团伙把盗取的帐号密码信息导入到“晒密”软件，“晒密”软件模拟登录协议，向互联网公司服务器发送登录请求。
2) 服务器检测到登录异常时，会下发验证码，进行安全策略拦截。
3) “晒密”软件将收到的验证码图片发送给“打码平台”，请求将图片转化为字符。
4) 打码平台后台破解验证码，将字符结果返回“晒密”软件，完成“晒密”（撞库）流程。
5) 这些“晒密”后得到的用户信息，则可能被骗子直接用于实施诈骗犯罪。
下面这张图，可以看到“快啊答题”打码平台所涉及的从撞库到晒密再到打码的整个黑色产业链：
 

早期的打码平台，对验证码的识别基本是通过“人工+OCR降维识别图片”完成。但是，互联网公司的验证码安全策略升级后，包括出现像12306这样识别难度高的验证码体系，“人工+OCR”方式的识别效率降低、成本升高，一段时期内，确实降低了黑产犯罪。
但是，黑产人员并不会因为一条路被堵死,就放弃犯罪，他们又想出了更前沿的手法来应对。目前市面上最大的 “快啊答题” 打码平台就是典型代表，他们运用目前最流行的人工智能AI技术训练机器，大大提高了识别验证码的精准度，也极大提升了犯罪嫌疑人在单位时间内识别验证码的数量。通过这个打码平台管理后台的统计信息显示，2017年1-3月，其打码量达到259亿次，平台累计打码量超过1700亿次。这套AI系统识别验证码成功率非常高，以下图红框标识处为例，当天的整体识别率会输出成日志文件，通过随机调取某日的日志文件，该日整体验证码识别率高达83.4%。
 

[1] [2]  下一页

当我们正讨论如何用AI推动产业升级、改变未来生活时，不法分子也在研究AI技术，并通过各种手段非法牟利。近日，腾讯守护者计划安全团队协助警方打掉市面上最大打码平台“快啊答题”，挖掘出一条从撞库盗号、破解验证码到贩卖公民信息、实施网络诈骗的全链条黑产。而在识别验证码这一关键环节，黑产竟已用上AI人工智能技术。该团伙运用AI技术训练机器，极大提升了单位时间内识别验证码的数量，2017年一季度打码量达到259亿次，且识别验证码的精准度超过80%。借此案件，我们也深入研究AI打码平台黑产领域，对其犯罪模式进行剖析。
打码平台：对抗验证码系统而生
对于“验证码”，大家并不陌生。在登录各网站、平台、APP时，经常见到。常见的“验证码”有“字符式”、“字符+点选式”、“滑块拼图式”和难度逆天的“12306式”。
 

                                               字符式                                                                       字符+点选式 copyright 无奈人生

                                                 滑块拼图式                                                                 12306式
验证码（CAPTCHA ，Completely Automated Public Turing Test to Tell Computers and Humans Apart，全自动区分计算机和人类的图灵测试），是区分计算机和人类的一种程序算法，简单解释是一个答题的验证。系统向请求发起方提问，能正确回答的即是人类，反之则为机器。从安全角度讲，CAPTCHA经过不断演化，已成为目前国内外各大互联网公司用于对抗网络黑产恶意行为（如恶意登录）的验证码安全策略，即我们现在俗称的验证码系统。

在网络黑产中，不法分子窃取网站数据库后，需要确认帐号对应的密码是否正确，将有价值的数据通过验证的方式筛选出来，这一过程黑话叫“晒密”，意即撞库。而“晒密”最核心的障碍就是互联网公司设置的验证码安全体系。每天面对数以亿计的“晒密”需求，黑产分子不可能人工逐个识别，而是需要提高“晒密”效率，批量识别。“打码平台”这一专业服务便应运而生。
“打码平台”会与“晒密”软件作者合作：
1) 黑产团伙把盗取的帐号密码信息导入到“晒密”软件，“晒密”软件模拟登录协议，向互联网公司服务器发送登录请求。
2) 服务器检测到登录异常时，会下发验证码，进行安全策略拦截。
3) “晒密”软件将收到的验证码图片发送给“打码平台”，请求将图片转化为字符。
4) 打码平台后台破解验证码，将字符结果返回“晒密”软件，完成“晒密”（撞库）流程。
5) 这些“晒密”后得到的用户信息，则可能被骗子直接用于实施诈骗犯罪。
下面这张图，可以看到“快啊答题”打码平台所涉及的从撞库到晒密再到打码的整个黑色产业链： 本文来自无奈人生安全网
 

早期的打码平台，对验证码的识别基本是通过“人工+OCR降维识别图片”完成。但是，互联网公司的验证码安全策略升级后，包括出现像12306这样识别难度高的验证码体系，“人工+OCR”方式的识别效率降低、成本升高，一段时期内，确实降低了黑产犯罪。
但是，黑产人员并不会因为一条路被堵死,就放弃犯罪，他们又想出了更前沿的手法来应对。目前市面上最大的 “快啊答题” 打码平台就是典型代表，他们运用目前最流行的人工智能AI技术训练机器，大大提高了识别验证码的精准度，也极大提升了犯罪嫌疑人在单位时间内识别验证码的数量。通过这个打码平台管理后台的统计信息显示，2017年1-3月，其打码量达到259亿次，平台累计打码量超过1700亿次。这套AI系统识别验证码成功率非常高，以下图红框标识处为例，当天的整体识别率会输出成日志文件，通过随机调取某日的日志文件，该日整体验证码识别率高达83.4%。
 
本文来自无奈人生安全网

[1] [2]  下一页

copyright 无奈人生

。 (责任编辑：admin)