信息來(lái)源：FreeBuf

2017年，隨著國(guó)內(nèi)互聯(lián)網(wǎng)金融、人工智能和大數(shù)據(jù)等產(chǎn)業(yè)繼續(xù)深化發(fā)展，互聯(lián)網(wǎng)為實(shí)體產(chǎn)業(yè)轉(zhuǎn)型升級(jí)所提供的幫助越來(lái)越明顯。但在另一面，潛伏在網(wǎng)絡(luò)暗處的黑產(chǎn)勢(shì)力也不斷升級(jí)作案手法，從傳統(tǒng)的病毒木馬和電話詐騙等模式，向更為先進(jìn)的撞庫(kù)拖庫(kù)、精準(zhǔn)詐騙等模式發(fā)展，黑產(chǎn)上游的危害顯得愈發(fā)嚴(yán)重。此外，黑產(chǎn)生態(tài)中的內(nèi)部分工也進(jìn)一步細(xì)化，出現(xiàn)了更為商業(yè)化運(yùn)作的崗位。對(duì)此，騰訊推出的反網(wǎng)絡(luò)黑產(chǎn)公益平臺(tái)“守護(hù)者計(jì)劃”也與時(shí)俱進(jìn)，今年在對(duì)抗黑產(chǎn)網(wǎng)絡(luò)方面全面升級(jí)，致力于打擊網(wǎng)絡(luò)黑產(chǎn)威脅源，從源頭遏制網(wǎng)絡(luò)犯罪。據(jù)相關(guān)負(fù)責(zé)人介紹，從今年“守護(hù)者計(jì)劃”團(tuán)隊(duì)協(xié)助警方破獲的網(wǎng)絡(luò)黑產(chǎn)典型案件來(lái)看，2017年的網(wǎng)絡(luò)黑產(chǎn)呈現(xiàn)四種新趨勢(shì)。

趨勢(shì)一：網(wǎng)絡(luò)基建日趨發(fā)展，犯案模式更簡(jiǎn)單粗暴

工信部發(fā)布的《2016年9月通信業(yè)主要指標(biāo)完成情況》中的數(shù)據(jù)表明，截至今年9月，國(guó)內(nèi)互聯(lián)網(wǎng)寬帶接入用戶總數(shù)超過3.37億戶；移動(dòng)互聯(lián)網(wǎng)用戶總數(shù)超過12.34億戶；移動(dòng)通信基站總數(shù)超過600萬(wàn)個(gè)……這些數(shù)據(jù)表明，我國(guó)互聯(lián)網(wǎng)基建規(guī)模迅速擴(kuò)大。海量用戶、大帶寬一方面對(duì)推進(jìn)社會(huì)的智慧建設(shè)起到關(guān)鍵促進(jìn)作用，但也令黑產(chǎn)分子的膽子變得更“粗”。從2017年“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)協(xié)助公安機(jī)關(guān)破獲的網(wǎng)絡(luò)黑產(chǎn)案件來(lái)看，黑產(chǎn)人員的作案模式已從偷偷摸摸的潛伏偷竊數(shù)據(jù)或詐騙，升級(jí)到更簡(jiǎn)單粗暴的公然犯案。

在2017年以前，勒索贖金一直是黑客對(duì)以企業(yè)為目標(biāo)的施害手法。今年，隨著CIA所用病毒被公開，年輕的黑產(chǎn)分子有了樣本可循，就仿效相關(guān)PC病毒的制作方法，利用現(xiàn)有的病毒制作工具，制作出新的勒索病毒，公然向用戶個(gè)人索要贖金。今年6月，“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)發(fā)現(xiàn)，一種新型手機(jī)勒索病毒冒充時(shí)下熱門手游的輔助工具誘導(dǎo)用戶下載，且與PC版“永恒之藍(lán)”病毒的界面和勒索手法幾乎一致，病毒運(yùn)行后會(huì)對(duì)手機(jī)中的照片、云盤等目錄下的文件進(jìn)行加密，向用戶索要贖金。

在病毒開始蔓延后，“守護(hù)者計(jì)劃”旗下的產(chǎn)品神羊情報(bào)分析平臺(tái)和騰訊手機(jī)管家在24小時(shí)內(nèi)完成了“樣本分析、變種跟蹤、病毒查殺和犯罪溯源”的全過程，并將黑產(chǎn)線索提供給河南安陽(yáng)警方。專案組在“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)的協(xié)助下，很快在蕪湖和安陽(yáng)兩地將勒索病毒制作者陳某及主要傳播者晉某抓獲。

（圖：病毒制造者被警方抓獲）

同時(shí)，由于國(guó)內(nèi)網(wǎng)絡(luò)帶寬、服務(wù)器群規(guī)模和終端的不斷升級(jí)，讓昔日需要整個(gè)黑客團(tuán)體協(xié)同作戰(zhàn)的DDoS攻擊，變得越來(lái)越容易，往往一兩個(gè)犯罪分子也能進(jìn)行簡(jiǎn)單粗暴的DDoS攻擊。除了向用戶個(gè)人索取贖金之外，DDoS攻擊已經(jīng)從傳統(tǒng)的攻擊企業(yè)，發(fā)展到攻擊特定個(gè)人。今年4月，重慶警方在“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)的協(xié)助下，查獲一起致使某區(qū)2萬(wàn)多寬帶用戶斷網(wǎng)接近1小時(shí)的DDoS攻擊案件，發(fā)現(xiàn)作案者是20歲出頭的小伙，作案原因竟然是為了攻擊某直播平臺(tái)的主播。這種個(gè)人泄憤式的DDos攻擊在此前十分少見。

據(jù)“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)介紹，今年以來(lái)，團(tuán)隊(duì)已經(jīng)陸續(xù)協(xié)助全國(guó)多地警方，破獲多起DDoS攻擊案件，抓獲DDoS攻擊黑產(chǎn)人員100余人。綜合已偵破的案件情況來(lái)看，隨著黑產(chǎn)的分工精細(xì)化和商業(yè)化，DDos攻擊已經(jīng)從專業(yè)黑客實(shí)施全部攻擊過程的傳統(tǒng)模式，發(fā)展成由發(fā)單人、攻擊實(shí)施人、肉雞商、流量出量人、黑客軟件作者、資金擔(dān)保人等多個(gè)犯罪個(gè)體共同參與實(shí)施的產(chǎn)業(yè)化犯罪行為。DDoS攻擊鏈條的產(chǎn)業(yè)化不僅增加了打擊難度，還降低了攻擊的實(shí)施門檻。

對(duì)應(yīng)這種新趨勢(shì)，騰訊云聯(lián)合騰訊電腦管家已率先布署云端防御，構(gòu)建“云+端”的立體化防御體系。此外，騰訊云還聯(lián)合多家企業(yè)共同成立DDoS防護(hù)聯(lián)盟，在DDoS大數(shù)據(jù)及態(tài)勢(shì)感知、協(xié)同防護(hù)、黑產(chǎn)打擊方面進(jìn)行深度合作。

趨勢(shì)二：犯罪團(tuán)伙披上合法外衣，綿里藏針誘導(dǎo)更可怕

在去年，如果有人聲稱網(wǎng)絡(luò)色情誘導(dǎo)詐騙會(huì)發(fā)展成一種年收入過億的“生意”，公眾大多會(huì)對(duì)這種說法存疑。但是，今年以來(lái)，色情誘導(dǎo)詐騙已經(jīng)從當(dāng)初不入流的網(wǎng)站或者論壇廣告小生意，不斷拓展，發(fā)展成為規(guī)?；?、組織化、產(chǎn)業(yè)鏈完善的流水性作業(yè)程序，有些黑產(chǎn)團(tuán)伙甚至披著科技公司的外殼，表面上做著正經(jīng)業(yè)務(wù)，暗地里卻引誘用戶連環(huán)充值。因此，這種新型威脅源“收入過億”的規(guī)模，已經(jīng)不只是空想。

2017年4月，“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)先后協(xié)助武漢、大連、廣東警方，打掉了3個(gè)大型公司化運(yùn)營(yíng)色情誘導(dǎo)詐騙團(tuán)伙及其黑色產(chǎn)業(yè)鏈，共計(jì)抓獲犯罪嫌疑人120余人，初步查明涉案金額達(dá)6億元。在偵破過程中發(fā)現(xiàn)，如今的網(wǎng)絡(luò)色情誘導(dǎo)詐騙，比起傳統(tǒng)的赤裸裸色情詐騙更為綿里藏針，其展示出來(lái)的內(nèi)容都是經(jīng)過精心剪輯的邊角料，游走于法律界定的“淫穢物品”的邊緣。據(jù)了解，當(dāng)前的色情誘導(dǎo)詐騙黑色產(chǎn)業(yè)鏈的每一個(gè)環(huán)節(jié)，都是經(jīng)過精心設(shè)計(jì)、有規(guī)模、系統(tǒng)化運(yùn)作的。

以被查獲的武漢雷**科技公司為例，他們所制作的色情誘導(dǎo)詐騙App或網(wǎng)站，主界面會(huì)有各種勾人心弦的畫面，誘導(dǎo)用戶點(diǎn)擊觀看。但是，顯示為2小時(shí)時(shí)長(zhǎng)的影片，往往只能看20秒。接下來(lái)，就是提示付費(fèi)充值的對(duì)話框。根據(jù)提示的步驟充值成功后，用戶會(huì)發(fā)現(xiàn)，也僅僅能再多看20秒的畫面。要繼續(xù)觀看，還得充值。

（圖：色情誘導(dǎo)網(wǎng)站界面）

在內(nèi)容剪輯方面，他們的網(wǎng)站和App在上架應(yīng)用市場(chǎng)時(shí)，為了能通過審核，其展示出來(lái)的內(nèi)容都是經(jīng)過精心剪輯的，很難直接用“淫穢物品”來(lái)界定。在支付環(huán)節(jié)，也有成熟的運(yùn)作流程與渠道，通過“三證”黑市弄到企業(yè)資格，再以欺詐手段獲取多個(gè)第三方支付接口，或開發(fā)短時(shí)間切換接口的平臺(tái)逃避風(fēng)控打擊。

（圖：色情誘導(dǎo)詐騙黑色產(chǎn)業(yè)鏈）

盡管色情誘導(dǎo)詐騙團(tuán)伙的每一個(gè)環(huán)節(jié)都是精心設(shè)計(jì)的，但仍處于法律的規(guī)制之中：色誘詐騙團(tuán)伙通過虛構(gòu)商戶身份獲取支付接口，利用非法渠道進(jìn)行推廣，同時(shí)虛假宣傳以牟取巨額非法利益的行為，構(gòu)成刑法第264條的詐騙罪；為色誘詐騙提供網(wǎng)頁(yè)制作等技術(shù)支持的不法分子可能構(gòu)成《刑法》第287條之一“非法利用信息網(wǎng)絡(luò)罪”；為惡意推廣編寫木馬程序的不法分子可能構(gòu)成《刑法》第285條第3款“提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具罪”等等。

此外，從技術(shù)分析層面來(lái)看，不論犯罪分子的作案手法多么隱蔽，都始終難逃警方與互聯(lián)網(wǎng)公司安全產(chǎn)品的強(qiáng)大分析與追蹤能力。

趨勢(shì)三：從2C延伸到2B，刷粉、搶票、褥羊毛無(wú)所不入

線上應(yīng)用高度融入各大線下商業(yè)場(chǎng)景，線下社交模式換個(gè)方法轉(zhuǎn)化為線上社交方式……這一切都讓2017年的互聯(lián)網(wǎng)變得格外精彩。這一年來(lái)，大家不僅習(xí)慣線上搶紅包、在網(wǎng)上為自己的小孩和歌星票選活動(dòng)投票，也習(xí)慣了通過手機(jī)的實(shí)名認(rèn)證辦理各種公共服務(wù)和商業(yè)應(yīng)用。然而，這一切線上場(chǎng)景應(yīng)用所開辟出來(lái)的全新市場(chǎng)，也同時(shí)面臨著聞風(fēng)而至的黑產(chǎn)威脅。與過去不同的是，今年的線上新場(chǎng)景威脅源，開始把黑手向企業(yè)全面伸去。

其中，企業(yè)對(duì)用戶信息把關(guān)的第一道關(guān)卡“實(shí)名認(rèn)證”，是目前黑產(chǎn)最為感興趣的突破口——越來(lái)越多的黑產(chǎn)分子通過提供假的實(shí)名認(rèn)證信息來(lái)覓得市場(chǎng)，應(yīng)用于寄送快遞、移動(dòng)支付、網(wǎng)絡(luò)直播、網(wǎng)絡(luò)貸款、交通購(gòu)票等場(chǎng)景。

因此，在今年的黑產(chǎn)市場(chǎng)中，跟實(shí)名認(rèn)證相關(guān)的資源相當(dāng)搶手：PS一張包括正反面信息的身份證相片，只需花50-100元；如果想注冊(cè)企業(yè)賬號(hào)，花上800-1000元能弄到一整套的企業(yè)五證……很多企業(yè)此前以為有了動(dòng)態(tài)認(rèn)證視頻就能阻止這些虛假實(shí)名認(rèn)證的蔓延，但是，在“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)協(xié)助湖北武穴警方搗毀的一起販賣公民身份證團(tuán)伙的過程中卻發(fā)現(xiàn)，黑產(chǎn)分子只需要獲得一張與賬號(hào)注冊(cè)者身份一致的大頭照，就能夠PS出一整套手持身份證的高清照，并且制作出抬頭、低頭、眨眨眼睛、讀文字等一系列動(dòng)作的動(dòng)態(tài)認(rèn)證錄像。

（圖為偽造動(dòng)態(tài)認(rèn)證錄像的制作過程之一）

如果說互聯(lián)網(wǎng)行業(yè)面對(duì)全新的虛假實(shí)名認(rèn)證挑戰(zhàn)已經(jīng)困難重重的話，那么互聯(lián)網(wǎng)企業(yè)還將面對(duì)洶涌而來(lái)的“刷票黨”、“羊毛黨”、 “刷粉黨”等各種挑戰(zhàn)，對(duì)抗壓力更大。以“刷票黨”為例，黑產(chǎn)分子通過使用“秒撥”客戶端軟件，進(jìn)行簡(jiǎn)單配置，就可以實(shí)現(xiàn)自動(dòng)變換IP地址，以規(guī)避投票平臺(tái)的IP安全策略，實(shí)現(xiàn)對(duì)某一選項(xiàng)的海量投票，嚴(yán)重危害網(wǎng)絡(luò)誠(chéng)信。“秒撥”動(dòng)態(tài)IP非法服務(wù)還提供：“自動(dòng)切換”、“秒級(jí)切換”、“斷線重?fù)堋?、清理COOKIES緩存、虛擬網(wǎng)卡（MAC）信息、多地域IP資源調(diào)換等功能，挑戰(zhàn)互聯(lián)網(wǎng)企業(yè)的IP策略。刷票只是“秒撥”動(dòng)態(tài)IP非法服務(wù)的冰山一角，黑產(chǎn)分子還能夠?qū)崿F(xiàn)對(duì)電商平臺(tái)刷單和自媒體平臺(tái)刷閱讀量等違反規(guī)則、破壞誠(chéng)信的操作。

“刷票黨”還會(huì)演變成為“羊毛黨”——當(dāng)商家在電商平臺(tái)上做拉新促銷活動(dòng)時(shí)，“羊毛黨”利用“秒撥”動(dòng)態(tài)IP服務(wù)繞過安全規(guī)則，用非法批量注冊(cè)的帳號(hào)獲取優(yōu)惠券。2017年，“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)協(xié)助警方打掉以陳某、曹某為首的非法提供“秒撥”動(dòng)態(tài)IP服務(wù)的黑產(chǎn)團(tuán)伙，發(fā)現(xiàn)該團(tuán)伙可“秒撥”動(dòng)態(tài)IP技術(shù)，可調(diào)用全國(guó)25個(gè)省、上百個(gè)地市的ADSL寬帶動(dòng)態(tài)IP資源，IP池極其龐大，嚴(yán)重危害網(wǎng)絡(luò)生態(tài)安全。

而且，眾多電商平臺(tái)所采用的驗(yàn)證碼策略，也在黑產(chǎn)分子今年所采用的人工智能化破解驗(yàn)證碼的方法面前變得弱化。今年第二季度，“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)協(xié)助浙江紹興警方打掉了國(guó)內(nèi)最大打碼平臺(tái)“快啊答題”，發(fā)現(xiàn)該平臺(tái)提運(yùn)用人工智能神經(jīng)網(wǎng)絡(luò)的深度學(xué)習(xí)技術(shù)訓(xùn)練機(jī)器，識(shí)別破解驗(yàn)證碼的精準(zhǔn)度超過80%，極大提升了單位時(shí)間內(nèi)識(shí)別破解驗(yàn)證碼的數(shù)量，2017年一季度打碼量高達(dá)259億次。

（圖：撞庫(kù)-曬密-打碼過程的整個(gè)黑色產(chǎn)業(yè)鏈）

如果說“刷票黨”和“羊毛黨”還只是靠IP來(lái)作惡的話，那么 “刷粉黨”的作案工具就更驚心怵目了——黑產(chǎn)人員通過把用戶的手機(jī)變成被病毒木馬控制的“肉雞”來(lái)“刷粉”。今年7月底，“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)協(xié)助江蘇邳州警方破獲一起非法控制他人手機(jī)的 “刷粉案”，就發(fā)現(xiàn)超過94萬(wàn)臺(tái)手機(jī)在用戶不知情的情況下通過遠(yuǎn)程指令下載安裝木馬，變成了 “肉雞”，替自媒體平臺(tái)刷流量，從自媒體平臺(tái)那里獲取流量分成。

（圖：警方抓獲“刷粉案”的犯罪嫌疑人）

趨勢(shì)四：入侵政企服務(wù)器，損害社會(huì)信用

隨著我國(guó)進(jìn)一步構(gòu)建信用社會(huì)的形勢(shì)發(fā)展，黑產(chǎn)也在今年將魔爪伸到信用建設(shè)相關(guān)領(lǐng)域，各類買賣公民個(gè)人信息和篡改學(xué)歷的案件陸續(xù)出現(xiàn)。

今年11月，“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)協(xié)助江蘇常州警方破獲的一起案件中，就發(fā)現(xiàn)犯罪分子招募黑客，侵入gov、edu、org等政府及教育部門的網(wǎng)站，通過漏洞掃描、上傳木馬程序等手段獲得后臺(tái)管理權(quán)限，篡改關(guān)于學(xué)歷方面的信息內(nèi)容，方便偽造的教師資格證書等國(guó)家機(jī)關(guān)證件能夠通過“驗(yàn)證”，并組織代理商進(jìn)行買賣。在這個(gè)案例中，黑產(chǎn)所用的手法，比此前做假證等傳統(tǒng)做法要更為惡劣。

（圖：嫌疑人在網(wǎng)上公開出售“可驗(yàn)證”的假證）

買賣公民個(gè)人信息，盜取他人信用，也是今年黑產(chǎn)的專攻的方向之一。當(dāng)前，黑產(chǎn)團(tuán)伙主要通過“撞庫(kù)拖庫(kù)”等手法，侵入政企服務(wù)器，竊取公民個(gè)人信息，并從事網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)詐騙等不法活動(dòng)。

今年年初，“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)發(fā)揮技術(shù)優(yōu)勢(shì)，協(xié)助公安部及安徽、北京、遼寧、河南等地公安機(jī)關(guān)偵破了“9.27”特大竊取販賣公民個(gè)人信息案，物流、醫(yī)療、社交、銀行等各類被盜公民個(gè)人信息50億條。被抓獲的96名犯罪嫌疑人，各自負(fù)責(zé)不同的環(huán)節(jié)，有人入侵政企服務(wù)器，有人出售竊取的信息，有人從事盜刷銀行卡等違法犯罪活動(dòng)。在利益驅(qū)使下，黑產(chǎn)形成了無(wú)縫連接的合作鏈條，國(guó)內(nèi)信用安全及信息保護(hù)問題愈發(fā)嚴(yán)峻。

（圖：“9.27”特大竊取販賣公民個(gè)人信息案犯罪嫌疑人被審訊）

魔高一尺，道高一丈。隨著網(wǎng)絡(luò)黑產(chǎn)犯罪趨勢(shì)的不斷變化，“守護(hù)者計(jì)劃”也在不斷完善升級(jí)。2017年，在安全技術(shù)方面，“守護(hù)者計(jì)劃”旗下的反詐騙實(shí)驗(yàn)室，在此前的“麒麟偽基站定位系統(tǒng)”和“鷹眼智能反電話詐騙系統(tǒng)”的基礎(chǔ)上，又開發(fā)出事前感知的“安全態(tài)勢(shì)感知”系統(tǒng)、事中分析攔截的“神荼網(wǎng)址反詐騙系統(tǒng)”、事后情報(bào)分析的“神羊情報(bào)分析平臺(tái)”，為打擊網(wǎng)絡(luò)黑產(chǎn)、協(xié)助公安、工商部門破獲各類網(wǎng)絡(luò)安全案件立下汗馬功勞；在生態(tài)建設(shè)方面，騰訊建立起全新的警企民聯(lián)合運(yùn)作模式，于8月舉辦了“2017守護(hù)者計(jì)劃”反詐騙公益行動(dòng)，包括順豐、滴滴出行、去哪兒、京東等近50家知名企業(yè)積極參與，李晨、陳喬恩、何穗等30余位明星也加入到了這場(chǎng)反電信網(wǎng)絡(luò)詐騙的公益行動(dòng)中；從合作模式方面，騰訊聯(lián)手上海市反電信網(wǎng)絡(luò)詐騙中心正式成立“騰訊上海反電信網(wǎng)絡(luò)詐騙聯(lián)合實(shí)驗(yàn)室”，警企聯(lián)合打造AI全鏈條反詐體系。

（圖為騰訊上海反電信網(wǎng)絡(luò)詐騙聯(lián)合實(shí)驗(yàn)室揭牌儀式）

這是一場(chǎng)針鋒相對(duì)的網(wǎng)絡(luò)斗爭(zhēng)，這也是一場(chǎng)高科技之間的直接較量。大數(shù)據(jù)、人工智能、移動(dòng)網(wǎng)絡(luò)應(yīng)用等等新興技術(shù)，都是雙方爭(zhēng)分奪秒的攻防手段。2017年，縱使網(wǎng)絡(luò)黑產(chǎn)的作案手法不斷翻新，威脅源態(tài)勢(shì)日益兇猛，“守護(hù)者計(jì)劃”在依然不斷致力于構(gòu)建更完善的安全生態(tài)體系，聯(lián)手政府、行業(yè)、民眾共同對(duì)抗，協(xié)助公安機(jī)關(guān)取得了一個(gè)又一個(gè)戰(zhàn)役的勝利。同時(shí)，他們也在部署著來(lái)年的新戰(zhàn)役。