今天中午，宅宅新來(lái)的同事“宅二妹”提議來(lái)一局“大家來(lái)找茬”升級(jí)版的游戲。

本著吃完了飯沒(méi)事做的誠(chéng)實(shí)本能，我敷衍地答應(yīng)了，畢竟像宅宅的這種火眼金睛十級(jí)選手，呵呵，開(kāi)玩笑呢，來(lái)吧，盧瑟！

然后，宅二妹丟出了一張圖像，一臉神秘的微笑：

請(qǐng)找出圖中的白百何

還好之前白百何出了大新聞，看上去不是特別難。宅宅迅速地找了出來(lái)：

然后，宅二妹讓我進(jìn)入第二關(guān)：

請(qǐng)分辨出這里的楊臣剛、王大治和孫楠

你厲害，我服氣。十級(jí)選手在這道題面前也陣亡了……

宅二妹說(shuō)，你不要傷心，其實(shí)第三關(guān)更難。

什么？還有變態(tài)的第三關(guān)？

宅二妹抖抖索索地拿出了一張終極大圖：

請(qǐng)找出這里的C杯？

這……

我……

真是一個(gè)悲傷的游戲。

“曬密”和“打碼”是什么鬼？

更悲傷的是，這種奇葩的“大家來(lái)找茬”的類似版其實(shí)頻頻在一些更奇葩的驗(yàn)證碼中出現(xiàn)過(guò)，比如被全國(guó)人民在熱門時(shí)間集體遷徙時(shí)開(kāi)懟的12306。

對(duì)于“驗(yàn)證碼”，大家并不陌生。在登錄各網(wǎng)站、平臺(tái)、APP時(shí)，經(jīng)常見(jiàn)到。常見(jiàn)的“驗(yàn)證碼”有“字符式”、“字符+點(diǎn)選式”、“滑塊拼圖式”和難度逆天的“12306式”。

▲字符式

▲字符+點(diǎn)選式

▲滑塊拼圖式

▲12306式

驗(yàn)證碼（CAPTCHA），大家都在生活中或多或少地遇到過(guò)，但你可能不知道的是，它本質(zhì)上是區(qū)分計(jì)算機(jī)和人類的一種程序算法，簡(jiǎn)單解釋是一個(gè)答題的驗(yàn)證。系統(tǒng)向請(qǐng)求發(fā)起方提問(wèn)，能正確回答的即是人類，反之則為機(jī)器。

不過(guò)，允許宅宅先吐個(gè)糟，如果是宅二妹給出的那種驗(yàn)證方式+平常12306的一些詭異驗(yàn)證，我真的深深懷疑自己是個(gè)機(jī)器人。

不過(guò)，吐槽歸吐槽。

從安全角度看，CAPTCHA 經(jīng)過(guò)不斷演化，已成為目前國(guó)內(nèi)外各大互聯(lián)網(wǎng)公司用于對(duì)抗網(wǎng)絡(luò)黑產(chǎn)惡意行為（如惡意登錄）的驗(yàn)證碼安全策略，即現(xiàn)在俗稱的驗(yàn)證碼系統(tǒng)。

簡(jiǎn)而言之，驗(yàn)證碼能幫助區(qū)分訪問(wèn)者是不是人類，從而有效對(duì)抗大面積的機(jī)器訪問(wèn)。

不過(guò)，也許你要問(wèn)，這和黑產(chǎn)有什么關(guān)系？

在網(wǎng)絡(luò)黑產(chǎn)中，不法分子竊取網(wǎng)站數(shù)據(jù)庫(kù)后，需要確認(rèn)帳號(hào)對(duì)應(yīng)的密碼是否正確，將有價(jià)值的數(shù)據(jù)通過(guò)驗(yàn)證的方式篩選出來(lái)，這一過(guò)程叫“曬密”，即撞庫(kù)。

而“曬密”最核心的障礙就是互聯(lián)網(wǎng)公司設(shè)置的驗(yàn)證碼安全體系。每天面對(duì)數(shù)以億計(jì)的“曬密”需求，黑產(chǎn)分子不可能人工逐個(gè)識(shí)別，而是需要提高“曬密”效率，批量識(shí)別。

“打碼平臺(tái)”這一專業(yè)服務(wù)便應(yīng)運(yùn)而生。

不要誤會(huì)，并不是下面這種手殘的打碼。

“打碼平臺(tái)”通常會(huì)與“曬密”軟件作者合作：

1)黑產(chǎn)團(tuán)伙把盜取的帳號(hào)密碼信息導(dǎo)入到“曬密”軟件，“曬密”軟件模擬登錄協(xié)議，向互聯(lián)網(wǎng)公司服務(wù)器發(fā)送登錄請(qǐng)求。

2)服務(wù)器檢測(cè)到登錄異常時(shí)，會(huì)下發(fā)驗(yàn)證碼，進(jìn)行安全策略攔截。

3)“曬密”軟件將收到的驗(yàn)證碼圖片發(fā)送給“打碼平臺(tái)”，請(qǐng)求將圖片轉(zhuǎn)化為字符。

4)打碼平臺(tái)后臺(tái)破解驗(yàn)證碼，將字符結(jié)果返回“曬密”軟件，完成“曬密”（撞庫(kù)）流程。

5)這些“曬密”后得到的用戶信息，則可能被騙子直接用于實(shí)施詐騙犯罪。

“快啊答題”背后的產(chǎn)業(yè)鏈

最近，市面上最大打碼平臺(tái)“快啊答題”被警方一窩端掉，“快啊答題”打碼平臺(tái)所涉及的從撞庫(kù)到曬密再到打碼的整個(gè)黑色產(chǎn)業(yè)鏈被網(wǎng)絡(luò)安全專家一一解析：

▲“撞庫(kù)→曬密→打碼”產(chǎn)業(yè)鏈 示例圖

早期的打碼平臺(tái)，對(duì)驗(yàn)證碼的識(shí)別基本是通過(guò)“人工+ OCR 降維識(shí)別圖片”完成。但是，互聯(lián)網(wǎng)公司的驗(yàn)證碼安全策略升級(jí)后，包括出現(xiàn)像 12306 這樣識(shí)別難度高的驗(yàn)證碼體系，“人工+OCR”方式的識(shí)別效率降低、成本升高，一段時(shí)期內(nèi)，確實(shí)降低了黑產(chǎn)犯罪。

但是，黑產(chǎn)人員并不會(huì)因?yàn)橐粭l路被堵死，就放棄犯罪，他們又想出了更前沿的手法來(lái)應(yīng)對(duì)。

目前市面上最大的“快啊答題”打碼平臺(tái)就是典型代表，他們運(yùn)用目前最流行的人工智能 AI 技術(shù)訓(xùn)練機(jī)器，大大提高了識(shí)別驗(yàn)證碼的精準(zhǔn)度，也極大提升了犯罪嫌疑人在單位時(shí)間內(nèi)識(shí)別驗(yàn)證碼的數(shù)量。

通過(guò)“快啊答題”打碼平臺(tái)管理后臺(tái)的統(tǒng)計(jì)信息顯示，其2017年一季度破解驗(yàn)證碼259億次，總累計(jì)破解驗(yàn)證碼1200 億次。這套 AI 系統(tǒng)識(shí)別驗(yàn)證碼成功率非常高，以下圖紅框標(biāo)識(shí)處為例，當(dāng)天的整體識(shí)別率會(huì)輸出成日志文件，通過(guò)隨機(jī)調(diào)取某日的日志文件，該日整體驗(yàn)證碼識(shí)別率高達(dá) 83.4%。

“快啊答題”打碼平臺(tái)基于主流 AI 深度學(xué)習(xí) Caffe 框架，使用 vgg16 卷積核神經(jīng)網(wǎng)絡(luò)模型，可以直接輸入原始圖像（避免了對(duì)圖像的復(fù)雜前期預(yù)處理），并能通過(guò)深度的機(jī)器學(xué)習(xí)來(lái)獲得較高的驗(yàn)證碼識(shí)別率。

▲分布式 AI 驗(yàn)證碼識(shí)別系統(tǒng)簡(jiǎn)易流程介紹

由于不同方式生成的驗(yàn)證碼風(fēng)格迥異，且經(jīng)常變換，為了實(shí)現(xiàn)精準(zhǔn)識(shí)別，提高準(zhǔn)確度，“快啊答題”收集了大量不同風(fēng)格的樣本，并開(kāi)發(fā)了驗(yàn)證碼接收與分發(fā)模塊，輸入端對(duì)接打碼平臺(tái)，輸出端根據(jù)驗(yàn)證碼類型輪詢選擇并推送到相應(yīng)的驗(yàn)證碼識(shí)別模型，驗(yàn)證碼識(shí)別完成，返回驗(yàn)證碼字符串到打碼平臺(tái)，打碼平臺(tái)確認(rèn)是否識(shí)別正確，并將結(jié)果反饋至該分布式AI驗(yàn)證碼識(shí)別系統(tǒng)進(jìn)行進(jìn)一步優(yōu)化。

▲圖為識(shí)別平臺(tái)自身的管理界面

1、生成方法

打碼平臺(tái)犯罪團(tuán)伙通過(guò)以下步驟，迅速低成本地獲得海量驗(yàn)證碼訓(xùn)練數(shù)據(jù)：

（1）從互聯(lián)網(wǎng)公開(kāi)渠道獲取字體樣本，輸出數(shù)字、字母、字母+數(shù)字、中文等不同類型驗(yàn)證碼識(shí)別模型，獲得的公開(kāi)字體庫(kù)，并且搜集背景圖片，如壁紙/風(fēng)景類圖片。

（2）通過(guò)工具將不同字體的驗(yàn)證碼進(jìn)行加工處理（加干擾、變形等）后，寫入到背景圖片中，生成帶標(biāo)定的訓(xùn)練樣本。

由于目標(biāo)問(wèn)題是不定長(zhǎng)度的字符序列識(shí)別，生成的訓(xùn)練樣本的字符個(gè)數(shù)也是不定長(zhǎng)度的，可以是1-6個(gè)任意字符，最多支持6個(gè)標(biāo)簽的識(shí)別。黑產(chǎn)人員用一系列的驗(yàn)證碼生成工具，來(lái)生成不同風(fēng)格的驗(yàn)證碼圖片，如下圖：

▲作者通過(guò)工具生成的訓(xùn)練樣本示例

（3）打碼平臺(tái)犯罪團(tuán)伙基于收集到的超過(guò)10000個(gè)字體庫(kù)，通過(guò)網(wǎng)絡(luò)采集和字庫(kù)背景生成訓(xùn)練樣本，針對(duì)驗(yàn)證碼識(shí)別業(yè)務(wù)，積累超過(guò) 5000 萬(wàn)的樣本庫(kù)，覆蓋常見(jiàn)驗(yàn)證碼模型。由此訓(xùn)練得到的模型具有非常強(qiáng)的適用性，即便新型的驗(yàn)證碼變種，也可達(dá)到較高識(shí)別率。

2、多標(biāo)簽訓(xùn)練

“快啊答題”打碼平臺(tái)的AI系統(tǒng)，能將一張驗(yàn)證碼圖片作為一個(gè)整體，將單字識(shí)別轉(zhuǎn)換成單圖多標(biāo)簽、端到端的識(shí)別出驗(yàn)證碼中的所有字符。

針對(duì)網(wǎng)絡(luò)上主流驗(yàn)證碼圖片一般不超過(guò) 6 個(gè)字符的特點(diǎn)，該AI系統(tǒng)設(shè)計(jì)6個(gè)標(biāo)簽的分類，對(duì)少于 6 個(gè)字符的驗(yàn)證碼圖片，未含字符的標(biāo)簽會(huì)判定為負(fù)樣本不予輸出。因此，最終的輸出結(jié)果只包含給定字符的有效標(biāo)簽。

也就是，原本的OCR識(shí)別只能簡(jiǎn)單識(shí)別圖形上的文字，而在文字變化后識(shí)別率就大大降低。而使用Caffe框架，就可以對(duì)圖形內(nèi)的局部特征進(jìn)行分類提取。

“快啊答題”打碼平臺(tái)基于海量訓(xùn)練樣本，建立了多標(biāo)簽分類網(wǎng)絡(luò)來(lái)訓(xùn)練驗(yàn)證碼的識(shí)別網(wǎng)絡(luò)。漢字的網(wǎng)絡(luò)訓(xùn)練周期為1個(gè)月左右，而英文+數(shù)字的網(wǎng)絡(luò)訓(xùn)練周期則只需要1個(gè)星期。

另外，“快啊答題”打碼平臺(tái)還會(huì)通過(guò)搜集反饋回來(lái)的失敗樣本，以及人工打碼的標(biāo)定數(shù)據(jù)，來(lái)實(shí)時(shí)訓(xùn)練和更新識(shí)別網(wǎng)絡(luò)，不斷迭代訓(xùn)練進(jìn)行優(yōu)化，進(jìn)一步提高神經(jīng)網(wǎng)絡(luò)模型的識(shí)別能力。

然后，他們就被抓了

在以往的對(duì)抗黑產(chǎn)過(guò)程中，由于犯罪行為認(rèn)定、法律適用等問(wèn)題，即使對(duì)下游從事詐騙的團(tuán)伙開(kāi)展打擊，但在針對(duì)“打碼平臺(tái)”這一犯罪上游環(huán)節(jié)上，能真正認(rèn)定為共同犯罪，形成的實(shí)際判例非常少，無(wú)法實(shí)現(xiàn)全鏈條打擊。

下游團(tuán)伙借助“打碼平臺(tái)”死灰復(fù)燃，也是多類網(wǎng)絡(luò)黑灰產(chǎn)屢禁不止的原因之一。在市場(chǎng)上，“快啊答題”打碼平臺(tái)通過(guò)對(duì)接曬密軟件，以15元/10000驗(yàn)證碼的價(jià)格，收取下游使用曬密軟件的黑產(chǎn)犯罪團(tuán)伙費(fèi)用，而后再按比例進(jìn)行分成。

像“快啊答題”這類的打碼平臺(tái)，不僅破壞了互聯(lián)網(wǎng)公司的驗(yàn)證碼安全體系，也直接或間接的為更多網(wǎng)絡(luò)黑產(chǎn)提供了幫助。

最后，“快啊答題”平臺(tái)負(fù)責(zé)人及核心人員被公安機(jī)關(guān)以提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序工具罪批準(zhǔn)逮捕。雷鋒網(wǎng)注：騰訊守護(hù)者計(jì)劃安全團(tuán)隊(duì)協(xié)助警方打掉市面上最大打碼平臺(tái)“快啊答題”，挖掘出一條從撞庫(kù)盜號(hào)、破解驗(yàn)證碼到販賣公民信息、實(shí)施網(wǎng)絡(luò)詐騙的全鏈條黑產(chǎn)。該資料由騰訊守護(hù)者計(jì)劃安全團(tuán)隊(duì)提供給雷鋒網(wǎng)，雷鋒網(wǎng)編輯并補(bǔ)充了部分資料。

今天中午，宅宅新來(lái)的同事“宅二妹”提議來(lái)一局“大家來(lái)找茬”升級(jí)版的游戲。

本著吃完了飯沒(méi)事做的誠(chéng)實(shí)本能，我敷衍地答應(yīng)了，畢竟像宅宅的這種火眼金睛十級(jí)選手，呵呵，開(kāi)玩笑呢，來(lái)吧，盧瑟！

然后，宅二妹丟出了一張圖像，一臉神秘的微笑：

請(qǐng)找出圖中的白百何

還好之前白百何出了大新聞，看上去不是特別難。宅宅迅速地找了出來(lái)：

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。