2021年，公安部部署了全國公安機(jī)關(guān)深化推進(jìn)“凈網(wǎng)2021”專項(xiàng)行動，發(fā)起了斷黑卡、斷黑號、斷黑線路、斷黑設(shè)備的“四斷”行動，動態(tài)研究網(wǎng)絡(luò)違法犯罪趨勢，深入剖析網(wǎng)絡(luò)違法犯罪特點(diǎn)，嚴(yán)厲打擊網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)黑客、侵犯公民個(gè)人信息等活動，持續(xù)強(qiáng)化網(wǎng)絡(luò)空間秩序治理，營造安全、清朗、有序的網(wǎng)絡(luò)環(huán)境。同年12月22日，中央網(wǎng)信辦開展“清朗·打擊流量造假、黑公關(guān)、網(wǎng)絡(luò)水軍”專項(xiàng)行動。

隨著互聯(lián)網(wǎng)技術(shù)的創(chuàng)新升級，新型網(wǎng)絡(luò)犯罪形式層出不窮，“黑灰產(chǎn)”呈現(xiàn)出了產(chǎn)業(yè)化的發(fā)展趨勢。目前，我國“黑灰產(chǎn)”已經(jīng)形成了一個(gè)年產(chǎn)值達(dá)千億元級別、從業(yè)人員超過150萬人的龐大“黑金”利益鏈。從暗扣話費(fèi)、廣告流量變現(xiàn)、手機(jī)應(yīng)用分發(fā),到“木馬”刷量、勒索病毒、控制“肉雞”挖礦，“黑灰產(chǎn)”形式五花八門，而“薅羊毛”是其重要盈利模式之一。本文從實(shí)際情況出發(fā)，從常見類型的“黑灰產(chǎn)”角度入手，深入剖析“黑灰產(chǎn)”的產(chǎn)業(yè)鏈結(jié)構(gòu)，從通信行業(yè)角度分析“黑灰產(chǎn)”問題，提出通信行業(yè)采用數(shù)智化方法進(jìn)行“黑灰產(chǎn)”預(yù)警和防控的建議。

“黑灰產(chǎn)”產(chǎn)業(yè)鏈結(jié)構(gòu)

“黑灰產(chǎn)”指的是電信詐騙、釣魚網(wǎng)站、木馬病毒、黑客勒索等利用網(wǎng)絡(luò)開展違法犯罪活動的行為。其中，“黑產(chǎn)”指的是直接觸犯國家法律的網(wǎng)絡(luò)犯罪；“灰產(chǎn)”則是游走在法律邊緣，為“黑產(chǎn)”提供輔助手段的存在爭議的行為。

隨著互聯(lián)網(wǎng)從PC端向移動端的擴(kuò)展，“黑灰產(chǎn)”也從最早的控制“PC弱雞”，發(fā)展到現(xiàn)在的攻擊移動互聯(lián)網(wǎng)上各類APP，攻擊場景集中在電商平臺“薅羊毛”、銀行金融欺詐、直播平臺刷量、廣告刷量、社交平臺刷粉、流量欺詐、裂變推廣、平臺拉新、網(wǎng)絡(luò)詐騙等，涉及社會各行各業(yè)，具體的操作動作隨著攻擊類型而變化，對社會造成了極大的危害。

第一，“黑灰產(chǎn)”分工細(xì)致、明確且隱秘

“黑灰產(chǎn)”是一個(gè)非常隱秘的地下產(chǎn)業(yè)，資金來源、合作模式、商業(yè)模式、變現(xiàn)渠道、利益分配模式等并不為人所熟知。目前已經(jīng)探知的“黑灰產(chǎn)”產(chǎn)業(yè)鏈包括資源、服務(wù)、變現(xiàn)3個(gè)環(huán)節(jié)，具體如圖1所示。

圖1 “黑灰產(chǎn)”產(chǎn)業(yè)鏈構(gòu)成

第二，“黑灰產(chǎn)”已形成專業(yè)技術(shù)化運(yùn)作模式

近年來“黑灰產(chǎn)”作惡技術(shù)發(fā)生了重大變化，已從虛擬機(jī)、群控式，發(fā)展到現(xiàn)在的“群控+人工刷量”。

階段一：虛擬機(jī)階段，也就是“羊毛黨”產(chǎn)業(yè)的初級階段?！稗堆蛎焙诋a(chǎn)屬于有組織的產(chǎn)業(yè)鏈，有人提供手機(jī)和賬號，有人提供自動化的工具平臺，還有人負(fù)責(zé)刷量。

階段二：群控階段。通過購置廉價(jià)手機(jī)或者二手手機(jī)組成“手機(jī)墻”，采用改機(jī)工具修改手機(jī)型號、MAC地址、IMEI碼（手機(jī)串碼）、GPS定位等設(shè)備信息，從而不斷偽以造生成新設(shè)備。也有采用定制化ROM、通過群控軟件操縱手機(jī)、模仿真人自動完成操作等方式,完成點(diǎn)擊、APP下載、激活賬戶和應(yīng)用等。

階段三：“群控+人工階段”。在這一階段，“羊毛黨”進(jìn)化到了“人肉羊毛黨”“真人羊毛黨”（真人眾包）。組織者在真人眾包軟件和平臺上發(fā)布項(xiàng)目任務(wù)，如用戶點(diǎn)擊項(xiàng)目可以賺取積分、積分能夠兌換紅包等，從而吸引真人參與活動。

據(jù)統(tǒng)計(jì)，目前全網(wǎng)由“黑灰產(chǎn)”發(fā)起的惡意注冊攻擊可達(dá)到每天800萬次，活躍欺詐手機(jī)號每天超過150萬個(gè)，平均每個(gè)手機(jī)號每日進(jìn)行6次攻擊。

按照目前已經(jīng)探知的“黑灰產(chǎn)”作惡手法，“黑灰產(chǎn)”的場景主要包括惡意注冊、惡意攻擊、真人眾包作惡。

場景一

以惡意注冊為核心資源

隨著“斷卡行動”的深入，之前通過隨意購買手機(jī)卡直接大量注冊APP賬號的方法不再可行?！昂诨耶a(chǎn)”采取“迂回作戰(zhàn)”形式，形成了新的流程：第一步，由卡商從三大運(yùn)營商、虛擬運(yùn)營商、境外運(yùn)營商處購卡，或通過技術(shù)手段挾持用戶手機(jī)號，并通過“貓池”養(yǎng)卡養(yǎng)號；第二步，號商通過“接碼平臺”獲取卡商提供的手機(jī)號碼和驗(yàn)證碼，在APP上注冊虛假賬號；第三步，用號方與卡商交易，或通過“發(fā)卡平臺”獲取虛假賬號，最后進(jìn)行各類“黑灰產(chǎn)”惡意操作。惡意注冊的具體流程如圖2所示。

圖2 惡意注冊流程圖

場景二

以惡意自動化技術(shù)為主要攻擊手段

隨著互聯(lián)網(wǎng)公司對APP加強(qiáng)風(fēng)控，風(fēng)險(xiǎn)賬號庫、風(fēng)險(xiǎn)IP庫、風(fēng)險(xiǎn)設(shè)備號庫相繼建立，并與賬號使用行為相互關(guān)聯(lián)，“黑灰產(chǎn)”開始采取各種惡意自動化技術(shù)：從原有簡單的代理IP池轉(zhuǎn)向動態(tài)IP；從群控設(shè)備轉(zhuǎn)向云控設(shè)備；從利用ROOT設(shè)備修改設(shè)備號向定制ROM直接修改設(shè)備號轉(zhuǎn)變，以隱藏真實(shí)IP或者設(shè)備位置，規(guī)避APP風(fēng)控。

在惡意自動化技術(shù)影響下，“黑灰產(chǎn)”環(huán)節(jié)流程也出現(xiàn)了改變：第一步，通過代理IP池、秒撥IP、IP魔盒、境外IP代理等方式進(jìn)行動態(tài)IP轉(zhuǎn)換；第二步，采用SaaS服務(wù)和動態(tài)IP技術(shù)，在公有云上搭建“秒撥機(jī)或VPN通道”,構(gòu)建手機(jī)池、手機(jī)模塊池等無線設(shè)備池，組建惡意攻擊設(shè)備群；第三步，利用群控或云控對APP自動化腳本（按鍵精靈或Auto.js）進(jìn)行操控攻擊，或者直接破解客戶端和服務(wù)器通信協(xié)議，模擬自動化腳本，偽造操作內(nèi)容。自動化技術(shù)攻擊的具體流程如圖3所示。

圖3 自動化技術(shù)攻擊流程圖

場景三

以真人眾包規(guī)避風(fēng)控

隨著眾多垂直領(lǐng)域平臺防控意識的增強(qiáng)，部分平臺在獲客時(shí)出臺了用戶領(lǐng)取禮包前進(jìn)行實(shí)名認(rèn)證的規(guī)定，以預(yù)防“黑產(chǎn)”針對新用戶福利的惡意攻擊。這種方式的確避免了“黑灰產(chǎn)”通過工具自動化注冊實(shí)現(xiàn)牟利，但也引發(fā)了真實(shí)用戶認(rèn)證后轉(zhuǎn)售賬號的真人作弊或真人眾包行為。即原來通過自動化機(jī)器人，現(xiàn)在轉(zhuǎn)為真實(shí)個(gè)人實(shí)名眾包牟利，其行為摻雜在個(gè)人真實(shí)行為中，不易被發(fā)現(xiàn)。目前真人眾包模式呈現(xiàn)較快上升趨勢。

以上僅是部分“黑灰產(chǎn)”場景，不涉及網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)攻擊、破壞計(jì)算機(jī)等“黑產(chǎn)”場景。

堅(jiān)決打好通信行業(yè)“黑灰產(chǎn)”數(shù)智化防控戰(zhàn)役

“黑灰產(chǎn)”與通信行業(yè)有著不可分割的關(guān)系。從作惡目的和流程分工來看，“黑灰產(chǎn)”需要源源不斷的低價(jià)實(shí)名手機(jī)卡、IP地址池，以及手機(jī)、PC機(jī)和云主機(jī)等通信資源。為了維護(hù)網(wǎng)絡(luò)清朗空間，保護(hù)人民群眾的合法權(quán)益，三大基礎(chǔ)運(yùn)營商應(yīng)履行國企義務(wù)、擔(dān)起社會責(zé)任。

考慮到目前“黑灰產(chǎn)”的復(fù)雜性，通信行業(yè)的數(shù)智化防控不是一朝一夕即可實(shí)現(xiàn)的，而是需要深入研究內(nèi)外根源，采取切實(shí)可行的措施，杜絕一切違法行為。此外，此項(xiàng)戰(zhàn)役不能僅靠運(yùn)營商單方面推進(jìn)，而是需要網(wǎng)信辦、公檢法等政府主管部門，以及互聯(lián)網(wǎng)企業(yè)、金融機(jī)構(gòu)、社會組織、人民群眾等各司其職，共同參與。

本文從全局出發(fā)，結(jié)合運(yùn)營商實(shí)際，對運(yùn)營商打好通信行業(yè)“黑灰產(chǎn)”數(shù)智化防控戰(zhàn)役提出如下建議。

建議一

構(gòu)建全方位、立體式聯(lián)控合防體系

以維護(hù)好人民群眾財(cái)產(chǎn)安全為出發(fā)點(diǎn)，主動承擔(dān)社會責(zé)任，主動參與主管部門的行動，構(gòu)建“人防+技防”聯(lián)合防控體系。

在人防方面，在企業(yè)內(nèi)部建立正確的企業(yè)價(jià)值觀，加強(qiáng)對內(nèi)部人員及合作伙伴的監(jiān)管，杜絕一切違法風(fēng)險(xiǎn)，杜絕低質(zhì)無效的發(fā)展。

在技防方面，在國有企業(yè)數(shù)字化轉(zhuǎn)型的基礎(chǔ)上，強(qiáng)化對風(fēng)控?cái)?shù)字化的投入和研發(fā)，解決技術(shù)盲點(diǎn)和難點(diǎn)，提高技術(shù)防范能力。

在聯(lián)合防控方面，對照“黑灰產(chǎn)”產(chǎn)業(yè)鏈分工，由主管部門牽頭構(gòu)建主要行業(yè)和企業(yè)的防控體系，在保障國家安全、數(shù)據(jù)安全和個(gè)人隱私安全的基礎(chǔ)上，利用數(shù)字技術(shù)對風(fēng)險(xiǎn)賬號、手機(jī)號、IP地址、設(shè)備號、銀行賬號和攻擊類型等關(guān)鍵信息開展監(jiān)測，全面提升防控效率。

建議二

實(shí)施數(shù)智化防控體系，以技術(shù)反制技術(shù)，構(gòu)建“黑灰產(chǎn)”防控生態(tài)圈

根據(jù)“黑灰產(chǎn)”三大作惡場景，可以梳理出不同通信工具在不同場景的通信特征，歸納出“號碼類型、網(wǎng)絡(luò)類型、設(shè)備類型、真人類型”四大風(fēng)險(xiǎn)類型，以及集中入網(wǎng)、集中攻擊、多頻變化IP、集中設(shè)備等行為特征。

手機(jī)號、APP賬號、銀行卡三大要素在“黑灰產(chǎn)”惡意攻防對抗中尤其關(guān)鍵?！昂诨耶a(chǎn)”攻擊方已經(jīng)通過自動化技術(shù)將三大要素串聯(lián)在一起；而在防守側(cè)，由于行業(yè)區(qū)隔、企業(yè)競爭等原因，往往是在案件發(fā)生后主管部門緊急牽頭進(jìn)行手工溯源，只能以最快速度見一個(gè)堵一個(gè)。

綜上分析，筆者建議運(yùn)營商主動承擔(dān)重任，在內(nèi)部率先構(gòu)建“以技術(shù)反制技術(shù)”的數(shù)智化防控體系，深層次打通運(yùn)營域、業(yè)務(wù)域、管理域等系統(tǒng)平臺，組織專人研究，適時(shí)引入安全防護(hù)機(jī)構(gòu)的預(yù)測數(shù)據(jù)以進(jìn)行數(shù)據(jù)整合挖掘，同時(shí)實(shí)施一鍵穿透的自動化防控機(jī)制，解決各系統(tǒng)平臺無法自動對接、無法回溯的難題。

運(yùn)營商還可以同步構(gòu)建行業(yè)內(nèi)以隱私計(jì)算為核心的數(shù)據(jù)交換平臺，或者提供“黑灰產(chǎn)”防控?cái)?shù)據(jù)服務(wù)對外賦能，對三大要素資源和攻擊類型進(jìn)行實(shí)時(shí)交互及核驗(yàn)，提前進(jìn)行預(yù)警防控，梳理出“黑灰產(chǎn)”產(chǎn)業(yè)鏈，構(gòu)建好“黑灰產(chǎn)”防控生態(tài)圈。

建議三

主動作為，精準(zhǔn)施策 強(qiáng)化“黑灰產(chǎn)”宣傳教育

“黑灰產(chǎn)”的防控離不開人民群眾的理解與支持，對高風(fēng)險(xiǎn)區(qū)域和高風(fēng)險(xiǎn)用戶群進(jìn)行宣傳教育，通過精準(zhǔn)施策、提前預(yù)防提升防控效果十分必要。

在符合國家法律規(guī)定和保護(hù)好個(gè)人隱私安全的基礎(chǔ)上，運(yùn)營商可以在主管部門的指導(dǎo)和帶領(lǐng)下，通過大數(shù)據(jù)技術(shù)分析“黑灰產(chǎn)”鏈條上的風(fēng)險(xiǎn)用戶，提前進(jìn)行點(diǎn)對點(diǎn)宣傳教育；同步強(qiáng)化“黑灰產(chǎn)”通信管控，將主管部門的最新要求納入入網(wǎng)協(xié)議，實(shí)時(shí)優(yōu)化入網(wǎng)協(xié)議，將“黑灰產(chǎn)”通信風(fēng)險(xiǎn)提前納入知曉條款，提前普及宣傳教育。

End

作者：中國聯(lián)通泉州市分公司 黃欽泓

責(zé)編/版式：范范

審核：申晴

監(jiān)制：劉啟誠

↑點(diǎn)擊查看通信世界“東數(shù)西算”專題報(bào)道↑