顶象防御云业务安全情报中心监测到某咨询公司针数据报告大量泄漏事件，该机构历年的数据报告以及近期更新的针对VIP会员的付费报告均在电商等渠道可以低价获取。

顶象防御云业务安全情报中心BSL-2022-a3c28号显示黑灰产通过作弊方式获取查看、下载权限，绕过限制将报告数据大量下载，并通过某些渠道进行二次转卖获利。

分析报告数据本身就是咨询公司财产的一部分，当报告数据泄露，这部分数据资产相当于拱手让给别人，对公司的竞争力会产生威胁，且当该公司官方渠道并非获取数据报告的唯一途径时，会间接减少公司的收益，对公司的用户流失、经济利益都会产生直接影响。

因此，如何做好安全防控，保护好数据资产，对咨询公司而言是一件非常重要的事情。

咨询行业分析报告背后的黑灰产

哪里有利益，哪里就会有黑灰产。

当前，咨询机构众多，对此类数据报告有需求的群体有需求时，常规渠道只能通过付费下载高质量素材或者开通对应网站的付费会使用下载。但对于部分用户来说，数据报告并非日常所需，更多是在某些时期有需求，于是催生了低成本获取高质量数据报告以及数据报告代下服务。

常见的黑产攻击方式分为两种，一是批量注册、批量养号方式获取新用户数据报告下载权益，批量爬取网站的报告数据。二是通过注册少量高等级会员方式获取付费数据报告下载权限，并定期通过自定义下载工具大量爬取数据报告，最后通过电商等渠道进行转卖变现。

顶象防御云业务安全中心发现，多家咨询公司、证券公司行业客户，存在账号安全、数据报告被批量爬取的批量注册、批量养号以及爬虫风险。

据此，顶象防御云业务安全情报中心进一步挖掘出黑灰产通过垃圾注册、批量爬取数据以及文档去水印的实现方式。

黑灰产攻击方式

其批量获取数据报告有以下两种方式：

一是通过批量注册新账号，薅取咨询公司赋予新账号的会员权益-数据报告免费下载次数，实现通过多个账号搜索方式批量下载数据报告。通过此类方式批量爬取数据报告对咨询公司来说风险相对可控，因为大多数官网开放给新用户下载权限的报告都并非核心报告，和VIP权限的可读报告内容是不一样的。

主要有以下两种方式：

1）通过批量注册机注册大量账号。黑产事先从卡商、上游黑产等渠道手中获取大批量的黑卡手机号、代理IP资源、自动化操作工具等资源；然后通过注册机批量注册、自动化程序批量登录等方式获取用户权益。

2）使用多账号批量下载数据报告。借着网站开放给新会员的免费权益，实现免费下载批量报告。如某机构新会员可以免费下载10份数据报告，黑产通过批量注册获取大量账号，结合自动化批量下载脚本，实现通过关键词检索批量下载数据报告。

二是注册高级账号批量爬取数据报告，通过注册高级会员账号的方式，获取高等级下载权益，并通过自定义下载工具定期批量爬取最新的数据报告。

证券机构的会员一般是分等级的，不同等级的会员收费不一，等级越高价格越贵，享受权益也越多。用户权益中，主要对用户可检索报告数量、阅读报告数量、下载报告数量做了限制，等级越高，可查看报告数量、种类也越多。

黑灰产会通过注册高级会员账号的方式，获取高等级下载权益，并定期批量爬取数据报告获取大量数据报告。

通过证券官网下载的数据报告，一般都会有对应的logo水印，所以大多数黑产获取数据报告后，会对获取的数据报告进行批量去原水印，并加上自己的水印后，才会进行变现。

实现工具主要是批量去水印、加水印的工具，此类工具市面上有很多成熟的产品，可以根据不同的水印处理；然后加上自定义自动化操作脚本实现快速批量去、加水印。

黑灰产变现链路

黑灰产一般通过数据报告资源整合转卖、或者提供代下单服务，通过各大电商平台、小程序等渠道实现交易变现。

该类变现方式一般有两种，一是直接明码标价交易数据报告，下订单直接发送数据报告；

二是提供报告代下单服务，按单份数据报告收费的模式，可以根据买家需求提供代下服务，价格会根据数据库、权限有所区别，一般服务费在5元-100元之间。

顶象防控建议

针对以上批量注册、批量养号、数据爬取等风险，顶象防御云业务安全情报中心防控建议如下： 

H5混淆：

从客户端安全考虑，网页需要加H5混淆防护。顶象H5代码混淆⼯具，通过顶象的加密混淆引擎，对H5代码进⾏加密、混淆、压缩，可以⼤⼤增加H5代码的安全性，有效防⽌产品被⿊灰产复制、破解。

通过行为验证码进行人机识别：

根据黑灰产作弊手段分析，黑灰产在积分任务环节主要是以自动化程序作弊方式进行恶意攻击，对于识别机器行为，轻部署且最简单的识别工具就是行为验证码。在数据报告查看、下载场景，可结合决策引擎产品组合使用，当引擎识别为无风险请求时，业务端正常返回请求结果；当识别为中风险请求时，可调行为验证码进一步校验人机；当识别为高风险请求时，可进行验证码校验循环或者直接拦截请求。

外部数据联合防控：

1）手机号黑库：

批量注册批量养号场景黑产使用的手机号除了有虚拟号段、连号手机号特征，还有很多没有任何号段特征的黑产小号。通过手机号黑库可以提高对此类黑产手机号的风险覆盖率。

2）风险IP库：

批量爬取数据、批量下载数据场景自动化程序为了规避IP聚集风险，经常会结合IP代理池一起组合使用，实现秒拨IP，分散请求的目的。通过IP风险库可以覆盖此类IP风险。

防控产品组合建议：

1）设备指纹：

设备指纹可以针对web端风险进行识别，浏览器运行环境检测，校验运行环境是否存在风险特征，例如模拟器、调试、浏览器与UA是否一致、浏览器与当前系统是否匹配等，配合决策引擎使用，可以实时发现风险并给予处置。

2）决策引擎：

①多业务节点接入，注册、登录、报告查询、下载等业务节点全链路接入风控，各场景基础通用风控维度如识别设备聚集、IP聚集、用户高频等维度识别垃圾注册、批量养号以及爬虫风险。

②结合各个场景分别定制不同维度的风控策略，如登录场景同人养号风险，同设备多账号、同IP多账号聚集等；报告查询场景短时间请求量激增、代理IP、同设备高频访问等维度。

③建立本地名单动态运营维护机制，基于注册、登录、报告查询等，沉淀并维护对应黑白名单数据，包括用户ID、手机号、设备ID、IP地址等维度的黑名单。