黑灰產業是什麼意思 起底網絡黑灰產「黑金」利益鏈

　　「薅上一天，夠吃一年。」這句「羊毛黨」中流行的口頭禪在日前拼多多被「薅羊毛」事件中成為現實，並揭開了國內網絡黑灰產的冰山一角。中國證券報記者調查發現，網絡黑灰產已形成年產值達千億級別的龐大「黑金」利益鏈，並通過上中下遊的嚴密分工構建起了一個密切協作的網絡，輕則讓企業遭受數千萬元損失，重則讓企業直接破產。

　　網絡安全專家在接受中國證券報記者採訪時表示，近幾年黑灰產的技術手段越來越強，形式日益多樣化，而且絕大部分面向雲業務和移動應用等形態。傳統的「老三樣」安全產品——防火牆、入侵檢測和防病毒已不能解決問題。要有效治理黑灰產，需要建立更科學、系統化的安全機制，並廣泛應用大數據分析等手段來發現和解決問題。

　　產值龐大 危害巨大

　　「事件發生時正值我們進行『年貨節』大促，期間有大批量平臺正常發放的優惠券被消耗，黑灰產團夥就是挑準了這個時機下手的。至1月20日上午9點，遭盜取優惠券和正常優惠券的總和突破平臺預設閾值，系統監控到異常並自動報警後被發現，我們在第一時間修復了相關漏洞，並報警。」拼多多風控團隊負責人李明（化名）告訴中國證券報記者。

　　這起事件，揭開了國內黑灰產「黑金」利益鏈的冰山一角。

　　2018年5月發布的《數字金融反欺詐白皮書》顯示，2017年我國黑產從業人員超過150萬人，年產值達千億級別。與之相比，我國的網絡安全市場規模還不足400億元。從暗扣話費、廣告流量變現、手機應用分發，到木馬刷量、勒索病毒、控制肉雞挖礦，網絡黑產無處不在，而「薅羊毛」正是黑灰產的重要盈利模式之一。

　　360-ADLab安全專家陳卓健向中國證券報記者介紹，「我們把這些專門在網際網路上伺機『薅羊毛』的稱作『羊毛黨』，他們一般會比較關注網際網路中快速發展起來的公司，因為這些公司為了快速發展會做一些註冊送優惠券的活動，黑產團夥發現漏洞後，會從接碼平臺中申請大量手機號進行註冊獲取優惠券，然後進行變現。」

　　「羊毛黨」不僅僅是佔小便宜那麼簡單，很多是遊走在違法犯罪的邊緣。李明介紹，「這次事件中的優惠券，是我們與江蘇衛視《非誠勿擾》節目合作時因錄製需要特殊生成的優惠券類型，僅供現場嘉賓使用，從未出現在平臺正常的線上促銷活動中，是黑產團夥通過非正常途徑生成二維碼掃碼後獲得，上海警方已經以涉嫌網絡詐騙罪立案。」

　　近年來，中招的不止拼多多，最近的一起案例是2018年12月17日，在星巴克上線的「星巴克APP註冊新人禮」營銷活動中，黑灰產利用大量手機號註冊星巴克APP的虛假帳號，並成功領取活動優惠券。隨後，星巴克緊急下線了該活動。網絡安全廠商「威脅獵人」估計，短短一天半時間，如不及時止損，按普通中杯售價估算，星巴克損失可能達1000萬元。

　　「大公司被薅走幾千萬可能不會對公司發展造成太大影響，但很多初創公司在發展初期亟須通過營銷活動增加註冊用戶量，直接被薅走一大筆營銷費用，收穫的卻是一大堆『殭屍用戶』，可能直接導致公司破產。」陳卓健坦言。

　　分工明確 密切協作

　　中國證券報記者調查發現，網絡黑產不但產值龐大、危害巨大，而且已經形成了分工明確、上中下遊緊密協作的產業鏈。

　　志翔科技產品副總裁伍海桑向中國證券報記者介紹說，「黑灰產產業鏈分為上、中、下遊，而且各個環節一環扣一環，是緊密協作的關係。上遊和源頭是基礎性技術環節，主要承擔的是網絡黑產的技術開發環節，如驗證碼識別、自動化軟體等，以及利用軟體、網站及運營商的後臺漏洞批量註冊虛假帳號、惡意帳號和養號等。」

　　在拼多多的案例中，李明指出，「通過該非正常途徑生成的二維碼，原本每個認證信息的用戶僅可領取一張無門檻100元優惠券。而非此前網絡流傳的單個ID可以『無限領取』。因此，有黑灰產團夥通過『養貓池』（用手機卡蓄養大量虛擬帳號）等不法手段，實現N張手機黑卡同時作業，批量盜取該種優惠券。」

　　「黑灰產鏈條的中遊扮演帳號提供商和交易交流平臺的角色，主要是對其活動進行組織、運營和推廣，包括通過建立大量的『羊毛黨』QQ群發展下線；產業鏈的下遊則利用這些虛假帳號和惡意木馬等進行欺詐、盜竊、釣魚、刷單等各種類型的惡意行為，最終達到變現目的。」伍海桑表示。

　　中國證券報記者加入一個1000多人的「羊毛黨」QQ群後發現，群管理員不斷在群裡刷新「薅羊毛」的線報，一位群成員告訴記者，「這只是一個散群，一個『羊頭』能同時管理十幾個像這樣的散群，盈利模式也有很多，比如他們會請黑客去『挖洞』破解平臺的活動，除了自己『薅羊毛』，還會把破解方法在群裡兜售，甚至直接免費發布在群裡。」

　　黑灰產團夥在變現和反偵察方面也有一套成熟的經驗。在拼多多的案例中，李明介紹，「盜取優惠券後，黑灰產團夥通過手機話費、Q幣等虛擬充值的方式，試圖在短時間內迅速轉移不當所得。同時，為了達成『法不責眾』的效果，迅速通過網絡和社交群將二維碼分享出去，誘導一些普通消費者跟風掃碼，並編造謠言混淆視聽，試圖逃避刑責。」

　　建立新安全機制加強防範

　　李明表示，本次事件造成的實際損失大概率能控制在1000萬元以內。為進一步加強「特殊優惠券」相關風控體系，拼多多已成立技術專組。但是，此次事件還是在業內引發了廣泛的討論與反思。

　　「近幾年黑灰產的技術手段越來越強，形式也日益多樣化，而且絕大部分都面向雲業務和移動應用等形態。傳統的『老三樣』安全產品——防火牆、入侵檢測和防病毒已不能解決問題，要有效治理黑灰產需要建立更科學、系統化的安全機制，並廣泛應用大數據分析等手段來發現和解決問題。」伍海桑表示。

　　他指出，對抗黑灰產，首先要從觀念上打破過去的簡單修牆圍堵式安全理念，在雲業務時代，讓安全變得動態，圍繞數據為中心，以身份權限為新的邊界構建自動化和智能化安全體系，同時將大數據分析和人工智慧、機器學習等新的技術運用於安全體系中，做到對安全事件的事前偵知、事中及時察知阻斷，事後快速溯源修復漏洞。

　　「從企業的角度而言，圍繞核心數據和核心業務來構建安全機制，既要防外也要防內。同時，要基於業務加強風險管控，變傳統的『人治』為『技防』，並時刻加強對員工關於安全和風險防範意識的培訓，及時升級系統來查漏補缺。另外，也需要安全企業、各個行業、運營商、服務提供商和監管執法部門等多方合作。」伍海桑表示。

　　陳卓健認為，「企業要有效防範黑灰產，關鍵是兩點：一是需要常態化的審查自己的業務是否存在漏洞，甚至是業務流程需要介入安全測試環節，主要包括安全上的漏洞和業務邏輯上的漏洞；二是需要進一步規劃和加強自身的風控能力，比如對電商平臺原有的圖片驗證碼，簡訊驗證這些防護進行加固，以防止由於黑灰產活動造成的損失。」

　　最近幾年，各大網絡安全廠商也針對黑灰產的猖獗進行了針對性的研究。以360為例，公司開發的「三六零智控」便可以對黑灰產行為識別，「目前公司內部的金融、直播等這些業務都在使用三六零智控的服務。通過三六零智控發現了不少黑灰產活動，實實在在挽回了不少經濟損失。」陳卓健表示。（記者 任明傑）

原標題：起底網絡黑灰產「黑金」利益鏈

責任編輯：曾少林