2021年,公安部部署了全國公安機關深化推進“淨網2021”專項行動,發起了斷黑卡、斷黑号、斷黑線路、斷黑裝置的“四斷”行動,動态研究網絡違法犯罪趨勢,深入剖析網絡違法犯罪特點,嚴厲打擊網絡賭博、網絡黑客、侵犯公民個人資訊等活動,持續強化網絡空間秩序治理,營造安全、清朗、有序的網絡環境。同年12月22日,中央網信辦開展“清朗·打擊流量造假、黑公關、網絡水軍”專項行動。
随着網際網路技術的創新更新,新型網絡犯罪形式層出不窮,“黑灰産”呈現出了産業化的發展趨勢。目前,大陸“黑灰産”已經形成了一個年産值達千億元級别、從業人員超過150萬人的龐大“黑金”利益鍊。從暗扣話費、廣告流量變現、手機應用分發,到“木馬”刷量、勒索病毒、控制“殭屍電腦”挖礦,“黑灰産”形式五花八門,而“薅羊毛”是其重要盈利模式之一。本文從實際情況出發,從常見類型的“黑灰産”角度入手,深入剖析“黑灰産”的産業鍊結構,從通信行業角度分析“黑灰産”問題,提出通信行業采用數智化方法進行“黑灰産”預警和防控的建議。
“黑灰産”産業鍊結構
“黑灰産”指的是電信詐騙、釣魚網站、木馬病毒、黑客勒索等利用網絡開展違法犯罪活動的行為。其中,“黑産”指的是直接觸犯國家法律的網絡犯罪;“灰産”則是遊走在法律邊緣,為“黑産”提供輔助手段的存在争議的行為。
随着網際網路從PC端向移動端的擴充,“黑灰産”也從最早的控制“PC弱雞”,發展到現在的攻擊移動網際網路上各類APP,攻擊場景集中在電商平台“薅羊毛”、銀行金融欺詐、直播平台刷量、廣告刷量、社交平台刷粉、流量欺詐、裂變推廣、平台拉新、網絡詐騙等,涉及社會各行各業,具體的操作動作随着攻擊類型而變化,對社會造成了極大的危害。
第一,“黑灰産”分工細緻、明确且隐秘
“黑灰産”是一個非常隐秘的地下産業,資金來源、合作模式、商業模式、變現管道、利益配置設定模式等并不為人所熟知。目前已經探知的“黑灰産”産業鍊包括資源、服務、變現3個環節,具體如圖1所示。
圖1 “黑灰産”産業鍊構成
第二,“黑灰産”已形成專業技術化運作模式
近年來“黑灰産”作惡技術發生了重大變化,已從虛拟機、群控式,發展到現在的“群控+人工刷量”。
階段一:虛拟機階段,也就是“羊毛黨”産業的初級階段。“薅羊毛”黑産屬于有組織的産業鍊,有人提供手機和賬号,有人提供自動化的工具平台,還有人負責刷量。
階段二:群控階段。通過購置廉價手機或者二手手機組成“手機牆”,采用改機工具修改手機型号、MAC位址、IMEI碼(手機串碼)、GPS定位等裝置資訊,進而不斷僞以造生成新裝置。也有采用定制化ROM、通過群控軟體操縱手機、模仿真人自動完成操作等方式,完成點選、APP下載下傳、激活賬戶和應用等。
階段三:“群控+人工階段”。在這一階段,“羊毛黨”進化到了“人肉羊毛黨”“真人羊毛黨”(真人衆包)。組織者在真人衆包軟體和平台上釋出項目任務,如使用者點選項目可以賺取積分、積分能夠兌換紅包等,進而吸引真人參與活動。
據統計,目前全網由“黑灰産”發起的惡意注冊攻擊可達到每天800萬次,活躍欺詐手機号每天超過150萬個,平均每個手機号每日進行6次攻擊。
按照目前已經探知的“黑灰産”作惡手法,“黑灰産”的場景主要包括惡意注冊、惡意攻擊、真人衆包作惡。
場景一
以惡意注冊為核心資源
随着“斷卡行動”的深入,之前通過随意購買手機卡直接大量注冊APP賬号的方法不再可行。“黑灰産”采取“迂回作戰”形式,形成了新的流程:第一步,由卡商從三大營運商、虛拟營運商、境外營運商處購卡,或通過技術手段挾持使用者手機号,并通過“貓池”養卡養号;第二步,号商通過“接碼平台”擷取卡商提供的手機号碼和驗證碼,在APP上注冊虛假賬号;第三步,用号方與卡商交易,或通過“發夾平台”擷取虛假賬号,最後進行各類“黑灰産”惡意操作。惡意注冊的具體流程如圖2所示。
圖2 惡意注冊流程圖
場景二
以惡意自動化技術為主要攻擊手段
随着網際網路公司對APP加強風控,風險賬号庫、風險IP庫、風險裝置号庫相繼建立,并與賬号使用行為互相關聯,“黑灰産”開始采取各種惡意自動化技術:從原有簡單的代理IP池轉向動态IP;從群控裝置轉向雲控裝置;從利用ROOT裝置修改裝置号向定制ROM直接修改裝置号轉變,以隐藏真實IP或者裝置位置,規避APP風控。
在惡意自動化技術影響下,“黑灰産”環節流程也出現了改變:第一步,通過代理IP池、秒撥IP、IP魔盒、境外IP代理等方式進行動态IP轉換;第二步,采用SaaS服務和動态IP技術,在公有雲上搭建“秒撥機或VPN通道”,建構手機池、手機子產品池等無線裝置池,組建惡意攻擊裝置群;第三步,利用群控或雲控對APP自動化腳本(按鍵精靈或Auto.js)進行操控攻擊,或者直接破解用戶端和伺服器通信協定,模拟自動化腳本,僞造操作内容。自動化技術攻擊的具體流程如圖3所示。
圖3 自動化技術攻擊流程圖
場景三
以真人衆包規避風控
随着衆多垂直領域平台防控意識的增強,部分平台在獲客時出台了使用者領取禮包前進行實名認證的規定,以預防“黑産”針對新使用者福利的惡意攻擊。這種方式的确避免了“黑灰産”通過工具自動化注冊實作牟利,但也引發了真實使用者認證後轉售賬号的真人作弊或真人衆包行為。即原來通過自動化機器人,現在轉為真實個人實名衆包牟利,其行為摻雜在個人真實行為中,不易被發現。目前真人衆包模式呈現較快上升趨勢。
以上僅是部分“黑灰産”場景,不涉及網絡詐騙、網絡攻擊、破壞計算機等“黑産”場景。
堅決打好通信行業“黑灰産”數智化防控戰役
“黑灰産”與通信行業有着不可分割的關系。從作惡目的和流程分工來看,“黑灰産”需要源源不斷的低價實名手機卡、IP位址池,以及手機、PC機和雲主機等通信資源。為了維護網絡清朗空間,保護人民群衆的合法權益,三大基礎營運商應履行國企義務、擔起社會責任。
考慮到目前“黑灰産”的複雜性,通信行業的數智化防控不是一朝一夕即可實作的,而是需要深入研究内外根源,采取切實可行的措施,杜絕一切違法行為。此外,此項戰役不能僅靠營運商單方面推進,而是需要網信辦、公檢法等政府主管部門,以及網際網路企業、金融機構、社會組織、人民群衆等各司其職,共同參與。
本文從全局出發,結合營運商實際,對營運商打好通信行業“黑灰産”數智化防控戰役提出如下建議。
建議一
建構全方位、立體式聯控合防體系
以維護好人民群衆财産安全為出發點,主動承擔社會責任,主動參與主管部門的行動,建構“人防+技防”聯合防控體系。
在人防方面,在企業内部建立正确的企業價值觀,加強對内部人員及合作夥伴的監管,杜絕一切違法風險,杜絕低質無效的發展。
在技防方面,在國有企業數字化轉型的基礎上,強化對風控數字化的投入和研發,解決技術盲點和難點,提高技術防範能力。
在聯合防控方面,對照“黑灰産”産業鍊分工,由主管部門牽頭建構主要行業和企業的防控體系,在保障國家安全、資料安全和個人隐私安全的基礎上,利用數字技術對風險賬号、手機号、IP位址、裝置号、銀行賬号和攻擊類型等關鍵資訊開展監測,全面提升防控效率。
建議二
實施數智化防控體系,以技術反制技術,建構“黑灰産”防控生态圈
根據“黑灰産”三大作惡場景,可以梳理出不同通信工具在不同場景的通信特征,歸納出“号碼類型、網絡類型、裝置類型、真人類型”四大風險類型,以及集中入網、集中攻擊、多頻變化IP、集中裝置等行為特征。
手機号、APP賬号、銀行卡三大要素在“黑灰産”惡意攻防對抗中尤其關鍵。“黑灰産”攻擊方已經通過自動化技術将三大要素串聯在一起;而在防守側,由于行業區隔、企業競争等原因,往往是在案件發生後主管部門緊急牽頭進行手工溯源,隻能以最快速度見一個堵一個。
綜上分析,筆者建議營運商主動承擔重任,在内部率先建構“以技術反制技術”的數智化防控體系,深層次打通營運域、業務域、管理域等系統平台,組織專人研究,适時引入安全防護機構的預測資料以進行資料整合挖掘,同時實施一鍵穿透的自動化防控機制,解決各系統平台無法自動對接、無法回溯的難題。
營運商還可以同步建構行業内以隐私計算為核心的資料交換平台,或者提供“黑灰産”防控資料服務對外賦能,對三大要素資源和攻擊類型進行實時互動及核驗,提前進行預警防控,梳理出“黑灰産”産業鍊,建構好“黑灰産”防控生态圈。
建議三
主動作為,精準施策 強化“黑灰産”宣傳教育
“黑灰産”的防控離不開人民群衆的了解與支援,對高風險區域和高風險使用者群進行宣傳教育,通過精準施策、提前預防提升防控效果十分必要。
在符合國家法律規定和保護好個人隐私安全的基礎上,營運商可以在主管部門的指導和帶領下,通過大資料技術分析“黑灰産”鍊條上的風險使用者,提前進行點對點宣傳教育;同步強化“黑灰産”通信管控,将主管部門的最新要求納入入網協定,實時優化入網協定,将“黑灰産”通信風險提前納入知曉條款,提前普及宣傳教育。
End
作者:中國聯通泉州市分公司 黃欽泓
責編/版式:範範
稽核:申晴
監制:劉啟誠
我就知道你“在看”