FBI重拳出击,揪出200万个“家庭内鬼”

钛度号
没开玩笑,这些内鬼可能就是智能电视、机顶盒等看似不起眼的智能设备

文 | 带电的泡芙

大家有没有遇到过这种情况:家里明明是千兆宽带,上网却总是卡卡的,打开某些网页一直弹验证码,抢票又抢不到,甚至被提示IP异常。

如果这些都有,大概是家里出了内鬼!而这些内鬼可能就是智能电视、机顶盒等看似不起眼的智能设备,它们和全球 200 多万台设备组成了一个庞大的网络黑产帝国。

好消息是,这个帝国刚刚被 FBI 一锅端了。

就在本月初,美国 FBI 联合 Google、Lumen 等机构,,查封了全球数一数二的住宅代理网络服务商 NetNut,现在打开他们的网站,就能看到传说中的 FBI Warning 告示。

借着这个事件,今天就来跟大家讲讲网络黑灰产中一块隐秘而庞大的版图:住宅代理,黄牛抢票、网络水军,甚至 AI 爬虫都离不开这块版图。

什么是住宅代理?

简单来说,住宅代理就是把网络流量,通过普通家庭用户的 IP 地址转发出去。

好好的流量为什么要代理呢?

举个例子,这就像骚扰电话。

以前企业都是用 400 这种企业号段来打,后来大家看到 400 开头的电话就不接了。所以现在很多骚扰电话都是通过 131、189 这种私人号码打过来,伪装成普通用户,大家就很容易放松戒备。

平时,企业或者黑客如果直接用服务器的 IP(比如阿里云、AWS等)去访问某个网站,网站风控一看,这是一个机房 IP。

普通消费者不会住在机房里用服务器买东西或看网页。所以,凡是机房 IP 发来的高频请求,大概是机器人在跑脚本,结果就是直接拦截、弹验证码,或者返回假价格、假数据。

但如果把流量伪装成普通家庭用户的 IP,在目标网站看来,这就像是一个普通人在家里上网,网站风控就会轻松放行。

在合法的领域,住宅代理可以用来进行广告验证、网络测试、收集公开市场数据等。住宅代理服务商也可以从普通用户那里购买带宽,再出售给合规的客户,完全合法合规。

但在非法领域,黑客、水军和黄牛等,用住宅代理掩盖自己的真实地址,进行密码爆破、舆论攻击、开挂抢票等违法行为。他们也不会老老实实去买带宽,而是去偷去抢,通过免费软件、植入代码的低价设备等手段,不知不觉中在我们身边安插了内鬼。

危险的免费软件

其实住宅代理这个产业由来已久,刚好这两年碰上 AI 技术的发展,需求激增。AI 水军、AI 营销号、AI 爬虫,甚至很多类似 OpenClaw 的 agent,都需要利用住宅代理来伪装身份。

与此同时,全世界也都在加强对相关黑灰产的打击。

今年 1 月,谷歌安全团队就联手多方打掉了当时全球最大的住宅代理网络之一:IPIDEA。

安全人员调查发现,IPIDEA 的套路主要集中在软件层面。

IPIDEA 开发了诸如 EarnSDK、PacketSDK、CastarSDK、HexSDK 等流量变现 SDK,并且适配 Android、Windows、iOS和 WebOS 等平台,诱骗一些中小开发者将这些代码嵌入到软件中,并按照下载次数给开发者支付相关费用。

这类软件通常会伪装成游戏、小工具等,并以免费为噱头吸引用户下载安装。普通用户一旦在手机或电脑上下载了这些看似无害的小软件,设备就会在后台悄悄变成 IPIDEA 的流量中转站。

好在现在 IPIDEA 已经被查封,企业和机构也在大力打击这类流氓应用和 SDK,加之全民网络安全意识的提高,这条黑路差不多要走到头了。

不过犯罪分子可没这么简单,他们总能找到新的路。

被忽略的隐秘角落

相比于每天高频使用的手机和电脑,电视、投影仪和机顶盒通常只在看节目时才会被注意到。这些设备没有摄像头(或者平时不用),不保存敏感的支付账户,更没有安装任何杀毒软件,在大家眼里是完全“无害”且容易被忽略的背景电器。

然而,正是这种低存在感,让它们成为了黑客的隐蔽温床,开头提到的 NetNut 正是利用了这一安全防范的盲区,建立了拥有超过 200 万个设备节点的庞大住宅代理网络。

NetNut 表面上是一家合规运行的以色列上市公司(Alarum Technologies)旗下的代理品牌。然而,安全研究人员证实,其所售卖的庞大住宅代理网络,底层很大一部分是靠一个叫 Popa 的僵尸网络在支撑。

在很多电商平台上,有很多主打低价的杂牌(甚至无牌)智能电视、机顶盒和投影仪,这些设备通常搭载上古 Android 版本,安全防护形同虚设,可能出厂前就被植入了代理木马。

还有那种所谓“一次购买,无需订阅看遍各大平台”的机顶盒,本身就是黑产用来招募用户的诱饵。

除了硬件预装,黑客还会通过漏洞对那些老旧、没有安全更新的设备进行批量扫描和非法控制,在大家完全不知情的情况下,偷偷安装 Popa 恶意插件,强行将设备拉入其庞大的代理网络中。

而且因为这些设备的存在感低,一般用户很难发现这些设备有问题。

用户不知道≠没问题

看到这里,有些朋友可能会想:既然我没发现有问题,就说明不影响我使用。

事情可没有那么简单,被别人借用通道,会直接影响到你和家人的切身利益。

举个例子,有人盗用我的号码打电话勒索说要三千万,不然就炸了XXX,毫无疑问,马上就有“wer~wer~wer~”的蓝白色的小汽车开到我家楼下。

放在网络环境里,因为家庭 IP 被黑客拿去发垃圾邮件、爆破他人密码,家庭的公网 IP 会被各大网站拉黑,导致大家上网时频繁遇到验证码,甚至被直接拒绝服务。

更危险的是家庭网络失守。安全研究表明,这些代理软件不单单是将流量转出去,还会向设备发送反向控制指令。

这意味着黑客可以通过这台受感染的电视作为跳板,窥探同一个家庭 Wi-Fi 下的其他设备,如电脑、存储着大量照片的 NAS、家庭摄像头等,让整个家庭网络暴露在危险之中,相当于给黑客开天窗了。

NetNut 没了,黑产的天还没塌

NetNut 的倒台,最直接的后果是让整个黑灰色代理市场流失了数百万个可用节点。

对于那些高度依赖住宅代理来进行非法爬虫、大规模撞库攻击、AI自动化舆论操控的团伙来说,这无疑是一次沉重的打击,他们的操作成本会大幅度上升,效率也会受到影响。

不过,安全研究人员也发现,住宅代理行业像水一样,流动性很强,里面的利益错综复杂,黑灰白三道都有自己的算盘。

行业里充斥着层层代理和白标转售协议,NetNut 被打掉后,很多买家可能会转而购买其他竞争对手的带宽,甚至有些网络运营商会直接转去做竞争对手的代理商。

要真正改善这一情况,安全机构和执法部门必须持续不断地对其背后的底层通信基础设施发起联合打击。

网络黑产尽在身边

在我国,类似的匿名网络黑产同样存在,比如秒拨 IP。这些黑灰色产业具有极强的本土特色,不仅技术演进迅速,其上下游案例也常常出现在我们的身边。

由于我国的家用宽带大都采用拨号(PPPoE)上网,每次断开重连,运营商都会随机分配一个全新的公网 IP。黑产团伙利用这个机制,在各地大量收购、租用普通用户的闲置带宽,接入自动化拨号系统,实现一秒换一次 IP,并打包成代理服务出售。

面对黑灰产的这一核心根基,我国监管和网安部门近年来保持了持续的高压打击姿态。 在法律层面,国家拟推动《网络犯罪防治法(征求意见稿)》等立法,明确规定任何个人和组织不得实施干扰、破坏实名制的行为,重点治理黑灰产的“物料供应”。

这边也整理了这几年的三个典型案例。

央视 315 晚会曝光的“直播水军”:黑灰产利用“群控”或“云控”系统,用一台电脑或一部手机,就能同时操控 200 到 20000 台手机。它们使用秒拨 IP 频繁更换地址,伪装成真实用户涌入直播间刷人气、点赞、甚至恶意抹黑竞争对手。

东莞“猫池”养号大案:黑产团伙非法生产、销售“猫池”(Modem Pool)设备(一种可以同时插入 16 至 128 张手机卡的硬件,能批量收发短信验证码)。他们利用物联网卡或虚拟运营商卡,批量注册各类社交媒体和电商平台账号,高价卖给境外诈骗团伙,严重破坏了网络管理秩序。

广州“易某卡”网络交易平台案:不法分子搭建非法中介交易平台,专门为各类色情、赌博、诈骗团伙提供实名网络账号和手机号交易,最终被警方一锅端。

个人防范指南

看完这些隐秘的黑产手法,大家可能会感到担忧:我们普通人既不懂深奥的网络技术,也没有专业的防护设备,怎么才能守住自己的网络?

其实,防范这些“家庭内鬼”并没有想象中那么困难。

网络安全是一场长期的博弈。黑产的基础设施一直在不停地迭代,但只要我们提高警惕,不贪图小便宜,保护好身边的每一个设备,就能避免沦为黑产敛财的“肉鸡”。

本文系作者 带电的泡芙 授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
本内容来源于钛媒体钛度号,文章内容仅供参考、交流、学习,不构成投资建议。
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

赞赏支持
发表评论
0 / 300

根据《网络安全法》实名制要求,请绑定手机号后发表评论

登录后输入评论内容

扫描下载App