黑灰产“打金工作室”在国外被命名为“Gold Farmer”,打金行为又被称为“Gold Farming”,是指一些非法组织或个人,以各种手段获取游戏虚拟货币或游戏道具,并以非法方式出售或交易为主要业务的组织。
1776年,亚当·斯密在《国富论》中首次提出了劳动分工理论,而现代打金工作室正在积极践行它,这与现代商业企业和经济体将致力于生产有限范围的产品或服务,如出一辙。
正因如此,在一众游戏黑灰产中,“打金工作室”的组织最为成熟,是一个运营如同企业般成熟的违法组织,呈现出一个不断发展的生态系统,反映了更广泛的趋势和行为。网易易盾黑灰产研究院从企业运营的角度出发,试图深入了解打金工作室的进入成本、常规技术操作,以期获得一些实用的观察结果。
“打金工作室犯罪能赚多少钱?”
“工作室最常用的工具和服务是什么?”
“这些工具或服务的成本是多少?”
最终,易盾的调查得出了几个结论:
首先,打进金工作室具备多种多样职能,其中几乎每个犯罪任务都包含多个相关但离散的技术工具和服务。这样的生态系统,往往具有组织化、专业化、分工明确等特点,且通常会采用各种手段来规避游戏平台的监管。
其次,打金工作室通常采用两种商业模式。一是,提供低成本但广泛使用的游戏定制外挂,二是,提供代练和资源出售等规模化服务。
最后,打金工作室的经营成本低廉,一般常见的小型打金工作室的常规运营只需要大约4000元人民币一个月,主要包括手机设备、电费和脚本软件费用,而收入则可能达到每月数十万人民币甚至更多,实属一本万利的“生意”。
01 打金工作室的商业模式
这些“打金工作室”通常像贸易公司那样经营,一进一出。“进货”通过白嫖网络游戏平台运,几乎没有任何成本投入。“出售”在互联网电商平台、游戏论坛等地发布销售广告,试图短时间内将不当所得转移出去。
通过对多个销售渠道的调查,易盾发现市场上的工作室正在采用多种不正当手段来获取收入,包括但不限于网络游戏代练、游戏道具交易、游戏虚拟货币交易等。
一是,代练服务:为玩家提供游戏代练服务,通过代练获取游戏虚拟货币或游戏道具。
二是,游戏虚拟游戏资源交易:通过购买、掠夺、盗号等方式获取游戏道具/货币,以高价出售给需要的玩家。
三是,买卖虚拟游戏账号,他们通常会使用恶意软件或网络钓鱼等手段盗取他人的游戏账号,然后将其出售给有需求的玩家。
四是,洗钱服务:向需要洗钱的个人或组织提供游戏虚拟货币或游戏道具交易服务,以此来掩盖非法资金来源。
打进金工作室多种多样的职能主要分为上中下游。上游负责资源的生产和采集,包括外挂、自动化脚本、辅助类工具、破解游戏等硬核技术研发。中游负责资源的加工和加值,包括具体执行作弊工作。下游负责资源的销售、推广、客服等市场交易环节。
这种非法市场产品与分工的多样化并非偶然。在这里,打金工作室成员间,分别专注于某种产品或服务,而不是试图在几个不同且高度技术专业的领域中分散精力。只有这样,才能打造成一种地下经济。这样的商业模式与分工,使得打金工作室能以极低的成本获取愈多的收益。
02 打击工作室的作案手法
2.1 自动化操作
一般而言,打金工作室用手机卡蓄养大量虚拟账号等不法手段,实现N张手机黑卡同时作业,批量操作游戏中的成千上万个账号,除了刷取游戏资源之外,练号也是其重要任务之一。
自动化操作依赖于多种工具的结合,这些“工具或服务”涵盖自动化挂机程序、“手机墙”、手机黑卡、短信和电话号码的工具、恶意软件包等,所有这些都可在黑市上轻松购买。
2.2 研发定制外挂
游戏热爱者对外挂一定不陌生。定制外挂,专门针对一个网络游戏突破,通过改变网络游戏软件的部分程序,制作而成的作弊程序。它们突破这款游戏免疫系统研发出的“病毒”,不断残害游戏,打击定制外挂的紧迫性突出。
在暗处“打金工作室”与游戏技术高强度对抗。举例而言,部分定制外挂每天更新1-2次,非常消耗游戏研发的精力。
对于游戏平台和游戏厂商来说,黑灰产“工作室”带来了多种负面影响,如破坏游戏公平性、扰乱游戏秩序等,会导致平台经济损失和用户流失等问题,最终杀死游戏。
03 工作室的技术对抗之路
打金工作室在前行的道路上并非毫无阻碍,而是面临着许多挑战。
首先,全球化趋势下,法律追责棘手。在游戏市场全球化运营的趋势下,外挂产业链也呈现出了全球化的特征。一方面,打金工作室作为外挂开发商涌现出大量的跨国公司,跨国合作也变得更加普遍;另一方面,外挂的使用者也来自于世界各地。
其次,打金工作室技术手段高超,隐蔽性高,在黑产团伙定位上困难重重。他们往往在地下或暗网上运作,难以被监测和追踪。此外,成员通常具有高超的技术水平,会利用各种漏洞和黑客工具,避免被攻击和抓获。
为了对抗黑灰产“工作室”,网易易盾推荐游戏平台和游戏厂商采取了多种技术手段,如数据监测、反外挂机制、加密技术、用户关系图谱等。另外,也可加强了对定制外挂的打击力度,研制针对性的策略,帮助游戏开发商增加违规处罚力度、加强用户信息保护等。
3.1 外挂维度
打金工作室带来的通用和定制外挂,值得游戏厂商引起注意。借助易盾SaaS后台,游戏可接入专挂专治的SDK,配齐多维度的外挂对抗策略,直击通用外挂的痛点。在20多年外挂攻防实战的积累下,手游智能反外挂策略达到上万条,供客户精准狙击多种形态、变化多端的外挂。
当定制外挂来袭,移动安全专家组基于游戏逻辑、外挂视角进行分析,及时上线独家对抗策略,进一步助力椰岛游戏化险为夷。
3.2 应用维度
应用的整体安全性不足,就等于为APP开辟了侵害的通道。因此,应该采取有效措施,加强应用的安全性,以防止可能的侵害。
游戏资源脚本保护:针对Unity3D\COCOS等游戏研发引擎,我们可以采用静态资源加密等方式,对游戏开发包进行加密混淆,从而提高游戏“黑客”静态逆向分析的难度。
游戏多种存档文件保护:游戏运行过程中还会产生进度文档、配置文档、游戏玩家信息文档等多种存档文档,易盾对上述文档进行保护,将密钥与手机设备信息和 APP 信息进行关联保护。此外,加密方式也支持自定义化配置,调用者可根据自己的需求,进行加密方式关联。
3.3 网络维度
黑灰产“工作室”往往利用网络进行犯罪活动,因此可以帮助防止他们的攻击,比如网络入侵检测、防火墙、加密技术、数字签名等。
定制网络通信协议包:游戏客户端与移动端之间的网络通信协议是移动安全薄弱点,容易受到黑客的攻击。潜在的攻击途径是黑客分析关键网络通信协议数据,接着模拟或篡改协议。借助易盾专业移动安全工程师的支持,为游戏的通讯协议增加加密算法,并定期变换密匙。
让签名获取更底层:黑客通过hook技术绕过签名校验,截取签名并修改,致使游戏厂商无法顺利校验游戏开发包被修改。在长年的猫鼠游戏中,hook技术正在变得愈发隐蔽,致使校验完整性的安全问题愈发突出。针对这类问题,易盾采用全新方式解析apk,主要是将第三方库的open操作改为通过系统syacall的方式,增加签名获取的安全性,洞察一切外挂插件的修改,揪出问题用户。
3.4 账户维度
数据挖掘和分析:对黑灰产“工作室”相关数据的挖掘和分析,有利于了解他们的运作方式、行业分布、人员组成等信息,从而更好地制定打击策略。
AI用户关系图谱:人工智能技术帮助识别和预测可能的黑灰产“工作室”活动,基于机器学习的反欺诈系统、自然语言处理技术等,及早发现高风险的账户。
凭借成熟的大数据技术,反外挂中心实时进行四大风险统计,包括通用外挂、定制外挂、恶意打金工作室、盗版破解版、账户风险度,以及由模拟器、云真机、调试器、越狱(Root)导致的应用环境风险,方便游戏开发团队高效并全面地了解过去一个月、一个季度、一年内的相关外挂、工作室等游戏风险。
总结
这些维度可以协同作用,形成一整套游戏黑产“打金工作室”方案。大部分MMOGs游戏(Massively Multiplayer Online Games)深受其害,试图通过禁止疑似淘金者的账户来控制这种行为。
网易易盾一直以来与监管机构、数百家游戏厂商精诚合作,采用技术手段和法律手段相结合的方式,建立跨部门、跨机构的合作机制,共同打击黑灰产“工作室”,期盼以更加高效的方式防范和打击他们的犯罪行为。点击了解网易易盾手游智能反外挂服务,专业防范打金工作室