天创培训:您身边的信息安全培训专家!
技术中心
简历黑产的攻防战

 简历售卖黑产,是个存在了好几年的事儿~

那些黑产技术分子,对我们网站的研究和关注,在一些方面比我们还“勤奋”还“执着”,时刻等待着我们犯错~

在经历了最早的Wap站求职信API、投递数据权限、面试邀请的几个漏洞事件之后,日常的数据安全警觉性已经刻在了案头,时刻警醒着我们。经历许些痛,也鞭策促进了我们的成长。

近两年黑产大牛们,在围攻技术漏洞不成之后,悄声匿迹了一段时间。而CSDN、网易等的账号泄漏门,让他们卷土重来,撞库、封装软件、广告帖子、淘宝售卖、线下推销,一条围绕招聘业务的,看不见的灰色产业链已经逐步形成。

这场没有硝烟的攻防战,尤以今年爆发的越为猛烈,在各位技术大牛们通宵达旦、各显神通、众志成城之下,目前整个战场已经趋于尾声,各种安全策略、技术手段让黑产分子们可腾挪的空间越来越小。借这个空档,总结梳理下这次战役中冰山一角的,与拦截机器行为相关的过程,也为以后功能推进逻辑迭代做参考。

首先,如何判断或者是发现机器行为?如果保证零误伤?

这里所说的机器行为,偏向于指封装成软件售卖,可让购买者批量下载简历,或者是机器抓取简历并密集下载的行为。简历的下载资源点数来源,不在此次讨论范围内;同时对于具体操作的详细策略、公式等先不细说。

5

之前查过几个软件售卖简历的case,从远程视频或客服截图,根据下载简历时间戳及简历数据的关键字段,定位结论,从流程上说都属于正常产品功能使用。是封装了一些撞库成功的账号来制作成可售卖软件进行获利。

于是根据客服反馈的case,及我们自己梳理盘点的流程环节及产品规则,分析可能存在被黑产利用的地方,加上策略预警日志,根据日志进一步分析汇总黑产的技术手段和行为轨迹。

初步上线的预警策略是,对下载行为比较密集或者是同IP多User的现象进行输出并分析。经过对userid的日下载行为趋势、IP地址的访问网站足迹等来分析,这其中有少部分是正常用户,一些企业大客户有公用账号、批量打开简历、下载任性(大客户不缺钱)等习惯特征。

2

之后迭代调整了预警策略,对下载行为时间粒度进一步压缩,并输出用户请求的头信息。分析结果,正常用户范围变窄,但仍有部分正常用户会命中规则,例如1s内下载1份简历以上,于是分析用户的渠道来源,发现是批量查看功能而来。

1

于是有了第三四版的预警策略,批量查看前后端加入key的校验拦截,对Header头中缺少关键内容的进行拦截,对触发微粒度下载行为次数阀值拦截,无客户端标识码的继续拦截…

这期间黑产分子也在琢磨学习我们的拦截策略,通过这几次的提高门槛,目前94%的疑似机器行为已经拦截成功,零误伤,每日拦截量在8~10w左右。

同时,每日对下载量Top企业的允许/实际下载比、日周月环比、类别地域分布趋势图的预警邮件,辅助及时发现一些异常企业用户,并分析异常企业的行为轨迹情况。

以上是近段时间所做的事情,过程中还有登录权限的加强、各个平台端的特征规范校验等,后续再根据业务场景来梳理写出。