2011 年底,黑産年收入已經到了 900 萬時,抗擊黑産的老畢在金山網絡幹了一年,月薪從 4500 元漲到了8000元。
老畢傻了眼。
2010 年 8 月之前,老畢(畢裕)還是沈陽小村裡的“小畢”,那時月薪不到 3000 的他,夢想是在沈陽獲得一份月薪 5000 的工作。直到 8 月,在著名安全社群看雪論壇上闖出了一些名聲的小畢接到了自稱金山公司“老銘”的電話,對方邀請他到珠海工作。
那時,金山尚未遭遇勁敵 360 免費殺毒政策的無情掃蕩,在小畢心中,是現在 facebook 一樣的存在。
“呵呵,都說南方電信詐騙騙死人不償命,這個騙子還挺有意思的。”小畢差點挂了電話。
但是,将信将疑的他還是通過了金山的兩輪電話面試,背着包,弄了一個行李箱,坐了 40 多個小時的綠皮火車從沈陽到了廣州,再坐大巴到了珠海。
▲畢裕,人稱“老畢”,安全公司威脅獵人創始人
本文作者:李勤 | 微信:qinqin0511
初識黑灰産
初到金山時,小畢幹的屬于“苦累活”,分析病毒行為、系統資料庫之類。慢慢的,他接觸到了對黑灰産的資料分析。
2010 年之前,黑灰産還沒有“猛如虎”。黑灰産交易網站通過搜尋引擎優化尋找潛在受害者,比如,針對某一個關鍵詞的排名,調取目标人群。
相應的,攻防對抗的節奏沒那麼快,一個黑灰産域名的有效時長都不到一天,這種交易網站延續了以前傳統防毒軟體的機制,隻尋找首例受害人,一個交易網站整個全網覆寫的使用者不到 2 個人,但到達率是100%,也就是說,一定有人受害。
是以,防護工作比較簡單,小畢和同僚要做的是,把這種網站識别出來,列到黑名單,再實施攔截,搞定。“響應大概在10秒内,潛在受害者可能還沒填完身份證号、銀行卡号,我們就能傳回結果,直接攔截。”小畢說。
這種惬意的日子沒有維持多久。
很快,小畢發現自己多了項工作。他們的注意力從圍繞網址本身做快速鑒定與響應轉移到了背後的關聯情報,比如黑灰産域名背後注冊的郵箱、IP、DNS 的解析服務過程。
對黑灰産而言,域名便宜,被打掉一個,大不了再換一個,但其挂靠的伺服器屬于重資産,不會輕易變動。如果要一針見血地解決問題,除了對淺層伺服器表征進行分析,最好的方法莫過于研究伺服器本身的特征。就像一個擅長易容裝扮的罪犯,有時裝成耄耋老人,有時是待産孕婦,但小畢們的任務就是,發現他是他。
這一年裡,小畢尚未有機會像同僚一樣協助警方在一線将黑灰産從業者繩之以法,就遭遇了安全行業的動蕩。
2011年年初,360 宣布旗下所有基礎資訊安全産品均實行免費政策,此舉導緻中國資訊安全行業“靠收費賺錢”的方法瞬間失去效應。
整個免費戰争打完之後,老金山的營收和商業模式全被打穿,傅盛進來後,金山也宣布免費了,在沒有營收的環境下,整個金山形勢非常不好,大量員工出走。此時,360 和騰訊的“3Q”大戰正如火如荼。彼時的 QQ 醫生直接變成了 QQ 電腦管家,并成立了一個部門。小畢稱,騰訊一下子在安全人員上産生了巨大的缺口。
電腦管家的人給小畢打了兩個電話,心裡正慌張的他接下了這個 offer,跳槽到了騰訊。
掙脫賽博世界的 0 與 1
小畢花了四年時間成了“老畢”。
小畢在騰訊做的依舊是業務安全與資料分析,金山打開的洞悉黑灰産的大門沒有關閉,相反,由于騰訊業務衆多,場景豐富,小畢有了更多的積累空間,最重要的是,他花了兩年多的時間,協助一線警方抓捕黑灰産犯罪嫌疑人,像剝洋蔥一般,慢慢探尋到關于這個産業更多的真相。
警方的現場抓捕震撼了這個之前隻在賽博世界的 0 與 1 之間與對手過招的他。
“砰”的一聲,海口一棟别墅門被警察踹開後,是一個 19 歲的小孩開的黑産工作室,裡面有一個周末跑過來兼職的員工,一查竟然還是某大公司的技術骨幹,别墅裡藏了好幾把打獵的霰彈槍。小孩慌了:“别殺我,我給你錢”。再後來一看,這個黑産工作室竟還有 10 幾個不到 20 歲的年輕人,一個黑産團夥的年收入到了幾千萬。
黑灰産的成長速度讓小畢驚訝,“那時候,在技術水準上,黑灰産毫無疑問地超過了我們。”黑産從以前的小作坊、幹點髒活,發展成了可逆向一些非常有深度的協定,比如自動模拟受害者的 QQ,在 QQ 群發送檔案,自動傳播,期間不需要受害者進行任何操作。
黑産還有厲害的變現路徑,把有 Q 币的号盜走,登陸,把Q币充值給另外一個人,完成變現交易。當時,騰訊的風控政策是,如果受害者的登陸常用地在北京,突然有一天變成了在深圳登陸,而且登陸完之後馬上充值,他們将這種行為判定為異常。
沒有什麼風控政策可以讓防守方一直處于上風,安全守衛者和黑産從業者往往處于螺旋式上升的你争我奪的狀态。
不久後,黑産不再需要盜号,而是在受害者本地種上木馬,登陸 QQ,黑産直接模拟受害者一方的協定,在本地直接發起充值行為,對受害者而言,還沒明白怎麼回事,莫名其妙錢就沒了。
“從協定上看操作,就是受害者本人操作。是以這種方式對風控來講,挑戰是極大的。”小畢說。
防守者發現了新的攻擊方式,隻能馬上跟上。
這時,資料能力發揮出強大的效應。小畢說:“我們在 QQ上做了一個叫 Q 盾的東西,可以抓取端上的一些特征和行為,監控第三方進入。然後,我們就能知道端上面大概發生了什麼。我們還得分析這種木馬的技術路徑、特征,這樣在端上的程序中,才能做識别。到後面,無外乎就是把營運體系打通。因為整個騰訊在端上有全量使用者,隻要超過一兩千個使用者中毒,絕對有使用者會落到監控裡。”
他也漸漸發現,在端上做了非常強的監控,一旦出現一個新的木馬,及時發現後,防守者提取特征,及時防護,整個攻防效率非常高。小畢向老闆彙報成果時,老闆不再注重“你防護了多少使用者”,而是沒防住多少。守方的關注點從攻防數量轉移到了攻防效率上。
與此同時,安全人員也在經曆成長。一個明顯的變化是,風控的“黑盒子”在逐漸打開。
打開黑盒子前,一般公司的風控人員可能是這樣對話的:
A:今天我做了資料分析,發現有幾十萬個賬号在登陸後的立馬進行了資産查詢,奇怪的是,它們還調用了另外一個接口,我覺得這個東西不太正常啊!
B:一定是惡意的嗎?我也不确定。不過,我覺得有點意思。
A:我也覺得是,咱們就封号吧,封三天行不行?
B:行,差不多封吧,就封三天,就這樣。
可能性1客服團隊回報 :沒有誤報,挺好的
可能性2客服團隊回報:有誤報,趕緊改。
為什麼會有這種現象?業務安全的客觀現實是,大部分早期公司的業務安全團隊都是研發出身。以前隻有一個業務體系,突然之間,出現了一種風險,研發人員自然會被叫過來寫一個規則。然後,研發人員慢慢變成了一個規則營運工程師,在資料能力、分析能力、算法能力、畫像能力等方面就強了,技術底層的基礎素質非常高。
但是,已是中年的老畢回過頭來看當初,發現這樣對黑産其實是不了解的。“木馬是什麼?有哪些木馬?通過什麼管道傳播?怎麼到的這?到了之後又幹了什麼?有什麼影響?我們需要從一個完整的攻防角度考慮,逆向分析這種風險。”曆經滄桑的老畢說。
按下了暫停鍵 原來沒有白費
2013年,老畢突然不想做安全了。
他感受到了 PC 端安全正走向落寞。“我們早些年做安全時,大家會追求一些極緻的技術,比如檢錯率。但到了2012、2013年,已經沒有人關注什麼檢錯率。你說你 95%,我 96%,那個東西落地到業務上,實際産生的價值幾乎是可以忽略。大家開始在C端玩品牌、商業、管道,這些跟安全技術人員不太相關,技術承載的價值已沒有那麼大,我當時處于了一個非常恐慌,被動的狀态。”
在這種焦慮的狀态下,老畢的第一個念頭是轉型。恰逢當時騰訊内部有孵化器機制,老畢提出了一個現在看起來匪夷所思的拼車項目。
當時老畢的上司方斌眉頭皺了皺,沒說不能做,但也不支援。于是,給已是組長的老畢一個态度:你可以折騰,鑒于和電腦管家的大方向不符合,是以你的待遇也隻能維持現狀。
現在回想起來,老畢覺得,方斌其實給了自己足夠的寬容和機會試錯,沒有直接說出來:你這是在瞎搞。
老畢在這個項目上做了9個月,摔得特别重。
當時騰訊内部的孵化器每周有一個評審會,項目負責人要做個 PPT,跟産品的大佬、公司的上司去講想法、計劃、需要什麼資源。老畢回憶,自己當初寫的那個 PPT,其實根本什麼都沒講,就講了說,拼車出行是人類的未來。“特别虛,講的什麼亂七八糟的環保、節碳。就是賊虛,講了半天,上司說,老畢,你想想,你自己要是有100萬,會花錢幹這個事嗎?我義憤填膺,說我絕對幹,為什麼不幹?一定要幹。”
結局可想而知。
這個創業項目的失敗讓老畢反過頭來反思自己在商業上的無知:拼車本質上是一個線下的東西,線上承載的東西在當時處于早期。吃了挫折的他發誓,第一,自己以後絕對不會百分百認定當下的想法是正确的。以後去做其他的創業項目或新項目,一定會非常謹慎地用最好的預期思考路徑,但用最壞的打算來執行。第二,一定要非常尊重前輩的想法。特别對于to B的創業者,絕對有一個什麼東西成功機率大的邏輯在裡面。
創業是有瘾的,擅長總結經驗教訓的人一定不會輕易善罷甘休。
2014 年下半年,老畢在孵化器裡做了第二個創業項目:物聯網安全。“拼車”項目失敗後,他做了兩個調整,一是發現自己其實是把拼車行業的專家能想到的坑重新踩了一遍,他決心回到自己擅長的領域上。二是謹慎試錯。老畢不再去做什麼産品,而是先探索行業内物聯網裝置存在哪些安全問題,拿着這些問題和方案去碰使用者的需求。
上司的态度依舊是不支援和不阻攔。但事實上,操作這種項目至少要買一些裝置,需要支援。老畢心裡有數:自己做的項目與當時部門、整個騰訊的業務發展方向不符。老闆雖然沒有明說,老畢已經懂了,大家全不聽上司指揮,自己在外面搞。要再多兩三個像自己這樣的人,這個團隊還幹不幹了?
但第二次創業的老畢不甘心,覺得這事還沒搞起來不一定成不了,總要有試試的機會。于是,他選擇在 2015 年 3 月回到了金山的懷抱——獵豹。早期的獵豹重心放在了物聯網,給老畢批了預算和裝置,兩方一拍即合。
這次,依舊是一個失敗的結局。
“我很快發現,這個其實在商業上面很難落地。這個行業有很多問題,有些在某個階段沒有商業價值。我接觸到這個行業,發現這個行業是很苦逼的狀态。很多公司拿了上百萬人民币,這個産品能最終做出來,再賣那麼一兩批,已經不錯了。你跟他說加一個什麼安全,他覺得你瘋了。”這次創業又給老畢上了一課:時機和商業價值很重要。
黑産獵人 從撤退到出發
老畢不得已撤退了。
此時,獵豹在美國釋出了一個安全軟體,在體量上做得不錯了,但是在安全口碑和能力提上做得還不夠。老闆希望,老畢能想帶領一支團隊到台北把整個品牌、安全能力提升上來,沖擊美國等海外市場。
老畢發現回到了自己的老本行:黑産獵人。
美國購物網站 12 月份也有大促,這讓騙子有了可乘之機。當時,出現了很多詐騙網站,謊稱某名牌鞋鞋子 2 折,LV包 1.5 折。
再往下,老畢發現了更大的錯綜複雜的環節,而且很多國外的黑灰産居然是中國人做的。這些人以前給大品牌做代工,失去代工後,開始賣 A 貨,然後他們又發現原來海外的 VISA 沒有密碼,進而産生了直接套現的思路。比如,這個産業在福建就相當完善,從制作釣魚網站、傳播、擷取信用卡、信用卡套現,整個的産業鍊居然是代工行業的延展。在這段時間裡,老畢對海外黑灰産進行了詳盡的分析。
2016 年 5 月,老畢到 musical.ly(宅客頻道編者注:2017 年,今日頭條花了 10 億美元收購了這家短視訊公司)交流,後來又給哔哩哔哩的票務系統做安全咨詢後,忽然發現創業的視窗可能真的來了。
這些在移動網際網路時期崛起的企業在瘋狂生長,卻沒有同步打造網際網路公司早已積累的抗擊黑灰産的安全能力,一旦黑灰産如白蟻一般來襲,很可能遭遇滅頂之災。
2016 年底,老畢帶了 4 個人回到深圳,開始第三次創業,決定專心做黑産獵人。
黑灰産依舊在迅猛進化,老畢發現,自己面對的對手越來越多,因為整個黑灰産已經朝着低成本化發展。
比如,黑産會弄一批手機号。以前這些黑卡是這樣流動的:搞完一家後,把手機号賣給你。如果賣家在北京,買家在深圳,賣家要把裝置、卡都郵到深圳。為了增強資源的流動性,提升流通效率,黑産做了一個平台,給買家和賣家配置設定 SDK,直接對接到平台,一插卡,這個卡号可以上報到平台。買家可以在頁面上直接擷取号碼,打電話、接收短信。
黑産擷取 IP 的成本也在大幅降低,以前一個IP 要花 5 塊錢,現在可能 4 塊錢可以買 30 萬個 IP。通過營運商,買 1000 個帳号,弄到虛拟機上。再給黑灰産提供虛拟化啟用,黑灰産花 4 塊錢買一天的服務,就可以無限撥号。
在對手作惡的成本越來越低,這意味着攻擊随時可能發生時,老畢覺得,資料能力可能才是黑産獵人的抗擊利器。
所謂資料能力,第一,感覺對手到底是誰,用什麼方法,在什麼時間,攻擊了什麼業務,主動把控攻防節奏。第二,建立很強的風險資料标簽。比如說手機号、IP、帳号等,從監控黑灰産團隊、動向的方式構造黑産畫像,提供給對方除自己資料外的資料标簽能力。
2017 年 1 月,老畢以此為出發點建立威脅獵人公司後,在 2017 年底達到了賬面盈利、實收略虧。目前,老畢正在為敲定 Pre-A 輪融資而奔走。
2018年 3 月 2 日,他坐在宅客頻道編輯對面,回憶起了一個故事。
國中時期的老畢已經可以自己開發網頁,每個月差不多能掙 1000 塊錢,他洋洋得意,這和父親每個月掙的工資一樣多。于是,老畢覺得這樣就夠了,高中的各門功課亮起紅燈。
後來,他偶然看到一本名為《清華制造》的書,了解了五位學生如何組成團隊進行自主創業,最後成功創辦一家軟體公司的故事。這本書打碎了圍在他頭頂的泡沫,老畢突然意識到自己意識的狹隘,猶如井底之蛙,于是在高三奮起努力,考上了大學,走上了不一樣的路。
2016 年 12 月的某一天,老畢遞交了離職申請,這個曾隻想要 5000 塊工資的人放棄了獵豹的 100 萬年薪,拾起年少的夢,再次出發。