freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

打码平台背后,血汗工厂下的打码工人
2020-11-13 10:00:14

验证码就像互联网世界的守卫

拦截黑产恶意攻击,守护46亿网民安危

可是有一天,城内网民骗过守卫,开了后门

黑产大军涌入城内,各路牛鬼蛇神,各种坑蒙拐骗偷

某东南亚小城内的CAPTCHA farms(打码平台)

「打码平台」已被纳入最高检指导案例

1、打码平台,遍地开花的血汗工厂

打码平台,又被称作CAPTCHA farms,指在进行验证码人机测试时,将该请求发送到打码平台,由真实的人来完成。从而通过人肉众包的形式,帮助黑产团伙绕过验证码。

作为网络黑产最常见,也是最暴利的渠道,打码平台多集中在东南亚、拉美、非洲等区域。这些地方,劳动力成本非常低廉,大批低薪打码工挤在狭小的房间。当然,更多的是支持远程在线工作,他们之中,有学生,全职太太,也有中老年人以及无业人群。

打码平台大多集中在第三世界国家

2、疫情影响下,正在萎缩的血汗工厂

鲍里斯科·梅尔尼克(Borysko Melnik)是一家打码平台的老板,就在上周,催债公司搬走了家里全新的皮革沙发。其实,Melnik早已陷入财务危机,突如其来的全球性疫情,让他近乎破产。

Melkink出身在乌克兰北部约200万人口的小镇,他在距离家乡8,800公里外的菲律宾和新加坡经营着CAPTCHA farms,那里的低廉劳动力一度让他在小镇一夜暴富。而随着疫情的扩散,各地政府加强人员外出管控。过去三五十人的团队,挤在小房间为他赚钱的好光景,已经一去不复返。

受疫情影响,失业的菲律宾人民 | 图源:arabnews

由于没有远程经营模式的经验,Melkink没办法在短短几个月的时间,组织数百人在家中远程工作。为了维护老客户的生意,他尝试在黑市购买一些便宜的自动化脚本,但是这些根本没办法绕过企业的验证码。

疫情下,新的订单不断找了过来,但是Melkink已经无法及时响应客户的需求。他现在不得不取消有线电视订阅,不然他连买伏特加的钱都拿不出来,那简直会要了他的命。

全球十大打码平台

3、全球打码工分布,印巴委稳居前三

由于受客观条件限制,拥有全球第一的劳动力输出大国的中国,打码工并未活跃在国际打码平台。而根据KoloXXbablo以及2CapXXha两大打码平台的数据,当前全球打码工人力输出大国分别是:

  1. 印度
  2. 巴基斯坦
  3. 委内瑞拉
  4. 菲律宾
  5. 印尼
  6. 越南
  7. 肯尼亚
  8. 坦桑尼亚
  9. 新加坡

KoloXXbablo上常驻打码工

根据平台日活数据,当前KoloXXbablo上,多达111位越南人加入了该平台,这一数据仅次于印尼234人和委内瑞拉401人。而2CapXXha的另一项统计数据显示,每天大约有3,000名来自全球各地的打码工,在线输入验证码。

4、打码工的12小时=30元RMB

2012年,「世界第一石油大国」委内瑞拉遭遇有史以来最严重的一次经济危机。在2016年,委内瑞拉的消费物价上涨了800%,经济则萎缩了18.6%,有近75%的委内瑞拉人因缺乏营养而体重平均下降8.7公斤。饥饿的窘迫以及求生的本能,让这个南美大国的人民,逐渐踏上打码工之路。

弗朗西斯科·埃萨(Francisco J. Esaa)是KoloXXbablo平台的全职打码工,这位19岁的委内瑞拉少年,已经在该平台工作了3年。三年的时间,Esaa一共解决了超过200万个验证码。最快的时候,他能够以每分钟20-25的速度输入验证码。

在家工作的Esaa | 图源:elpais

Esaa表示,对于大多数人来说,每天要花费8~12小时在平台上,这样虽然非常累,但是大家基本上都能赚到3-5美元的收入,这对于他们而言,已经非常足够了。因为按照当地汇率,他们在一天之内的收入,几乎等于当地人一个月的基本工资。这个位于首都加拉加斯(Caracas)西南的阿拉瓜州(Aragua),距离首都仅140公里外的小城,人均月收入竟然不足20元人民 币。

在Esaa看来,自己并没有被剥削,反而这份打码工的工作,让朋友们都非常羡慕。所以,就算Esaa不做,他背后还会有成千上万的穷人,迫切想要替代他的位置。

打码工在平台寻找雇主

5、黑产对抗仍将继续,打码工夹缝求生

从经济学的角度来看,黄牛是市场竞争环境下的产物,一定程度上可以说是市场必需品。同样,与黑产的对抗也将是一场持久的博弈,与此同时,受经济环境,国家政策等影响,打码工还将继续扮演着「开后门」的角色。但是,这并不代表,人工打码平台无懈可击,就可以肆无忌惮的窃取企业与消费者的线上资产,威胁大家的隐私数据安全。

一方面,自2017年6月,腾讯协助浙江警方,成功打掉当时国内最大的打码平台「快啊答题」以来。国家相关部门便开始加大此类专门用于犯罪的程序或技术的研究,特别在疫情影响下,企业加快线上平台建设,加大线上资金投入的当下,验证码所起到的作用,更是毋庸置疑。针对打码平台的犯罪行为,必将遭到法律的制裁;

另一方面,当下行为验证产品已相当成熟,能够很好的满足企业各类请求,通过生物行为特征以及人工智能技术,针对多大数百个不同事件进行动态分析,准确区分人机。而针对人工打码平台,同样可以通过客户端环境检测,与之对抗。

总之,天网恢恢疏而不漏,法律的重拳必将收治各类牛鬼蛇神,随着安全的不断升级,必将加固城门防线。法制与创新,共同推动互联网世界的长治久安。

# 验证码 # 打码平台 # 极验验证
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者