揭秘2017网络黑产四大新趋势，威胁源全方位袭来

      2017年，随着国内互联网金融、人工智能和大数据等产业继续深化发展，互联网为实体产业转型升级所提供的帮助越来越明显。但在另一面，潜伏在网络暗处的黑产势力也不断升级作案手法，从传统的病毒木马和电话诈骗等模式，向更为先进的撞库拖库、精准诈骗等模式发展，黑产上游的危害显得愈发严重。此外，黑产生态中的内部分工也进一步细化，出现了更为商业化运作的岗位。对此，腾讯推出的反网络黑产公益平台“守护者计划”也与时俱进，今年在对抗黑产网络方面全面升级，致力于打击网络黑产威胁源，从源头遏制网络犯罪。据相关负责人介绍，从今年“守护者计划”团队协助警方破获的网络黑产典型案件来看，2017年的网络黑产呈现四种新趋势。

趋势一：网络基建日趋发展，犯案模式更简单粗暴

工信部发布的《2016年9月通信业主要指标完成情况》中的数据表明，截至今年9月，国内互联网宽带接入用户总数超过3.37亿户；移动互联网用户总数超过12.34亿户；移动通信基站总数超过600万个……这些数据表明，我国互联网基建规模迅速扩大。海量用户、大带宽一方面对推进社会的智慧建设起到关键促进作用，但也令黑产分子的胆子变得更“粗”。从2017年“守护者计划”安全团队协助公安机关破获的网络黑产案件来看，黑产人员的作案模式已从偷偷摸摸的潜伏偷窃数据或诈骗，升级到更简单粗暴的公然犯案。

在2017年以前，勒索赎金一直是黑客对以企业为目标的施害手法。今年，随着CIA所用病毒被公开，年轻的黑产分子有了样本可循，就仿效相关PC病毒的制作方法，利用现有的病毒制作工具，制作出新的勒索病毒，公然向用户个人索要赎金。今年6月，“守护者计划”安全团队发现，一种新型手机勒索病毒冒充时下热门手游的辅助工具诱导用户下载，且与PC版“永恒之蓝”病毒的界面和勒索手法几乎一致，病毒运行后会对手机中的照片、云盘等目录下的文件进行加密，向用户索要赎金。

在病毒开始蔓延后，“守护者计划”旗下的产品神羊情报分析平台和腾讯手机管家在24小时内完成了“样本分析、变种跟踪、病毒查杀和犯罪溯源”的全过程，并将黑产线索提供给河南安阳警方。专案组在“守护者计划”安全团队的协助下，很快在芜湖和安阳两地将勒索病毒制作者陈某及主要传播者晋某抓获。

（图：病毒制造者被警方抓获）

同时，由于国内网络带宽、服务器群规模和终端的不断升级，让昔日需要整个黑客团体协同作战的DDoS攻击，变得越来越容易，往往一两个犯罪分子也能进行简单粗暴的DDoS攻击。除了向用户个人索取赎金之外，DDoS攻击已经从传统的攻击企业，发展到攻击特定个人。今年4月，重庆警方在“守护者计划”安全团队的协助下，查获一起致使某区2万多宽带用户断网接近1小时的DDoS攻击案件，发现作案者是20岁出头的小伙，作案原因竟然是为了攻击某直播平台的主播。这种个人泄愤式的DDos攻击在此前十分少见。

据“守护者计划”安全团队介绍，今年以来，团队已经陆续协助全国多地警方，破获多起DDoS攻击案件，抓获DDoS攻击黑产人员100余人。综合已侦破的案件情况来看，随着黑产的分工精细化和商业化，DDos攻击已经从专业黑客实施全部攻击过程的传统模式，发展成由发单人、攻击实施人、肉鸡商、流量出量人、黑客软件作者、资金担保人等多个犯罪个体共同参与实施的产业化犯罪行为。DDoS攻击链条的产业化不仅增加了打击难度，还降低了攻击的实施门槛。

对应这种新趋势，腾讯云联合腾讯电脑管家已率先布署云端防御，构建“云+端”的立体化防御体系。此外，腾讯云还联合多家企业共同成立DDoS防护联盟，在DDoS大数据及态势感知、协同防护、黑产打击方面进行深度合作。

趋势二：犯罪团伙披上合法外衣，绵里藏针诱导更可怕

在去年，如果有人声称网络色情诱导诈骗会发展成一种年收入过亿的“生意”，公众大多会对这种说法存疑。但是，今年以来，色情诱导诈骗已经从当初不入流的网站或者论坛广告小生意，不断拓展，发展成为规模化、组织化、产业链完善的流水性作业程序，有些黑产团伙甚至披着科技公司的外壳，表面上做着正经业务，暗地里却引诱用户连环充值。因此，这种新型威胁源“收入过亿”的规模，已经不只是空想。

2017年4月，“守护者计划”安全团队先后协助武汉、大连、广东警方，打掉了3个大型公司化运营色情诱导诈骗团伙及其黑色产业链，共计抓获犯罪嫌疑人120余人，初步查明涉案金额达6亿元。在侦破过程中发现，如今的网络色情诱导诈骗，比起传统的赤裸裸色情诈骗更为绵里藏针，其展示出来的内容都是经过精心剪辑的边角料，游走于法律界定的“淫秽物品”的边缘。据了解，当前的色情诱导诈骗黑色产业链的每一个环节，都是经过精心设计、有规模、系统化运作的。

以被查获的武汉雷**科技公司为例，他们所制作的色情诱导诈骗App或网站，主界面会有各种勾人心弦的画面，诱导用户点击观看。但是，显示为2小时时长的影片，往往只能看20秒。接下来，就是提示付费充值的对话框。根据提示的步骤充值成功后，用户会发现，也仅仅能再多看20秒的画面。要继续观看，还得充值。

（图：色情诱导网站界面）

在内容剪辑方面，他们的网站和App在上架应用市场时，为了能通过审核，其展示出来的内容都是经过精心剪辑的，很难直接用“淫秽物品”来界定。在支付环节，也有成熟的运作流程与渠道，通过“三证”黑市弄到企业资格，再以欺诈手段获取多个第三方支付接口，或开发短时间切换接口的平台逃避风控打击。

（图：色情诱导诈骗黑色产业链）

尽管色情诱导诈骗团伙的每一个环节都是精心设计的，但仍处于法律的规制之中：色诱诈骗团伙通过虚构商户身份获取支付接口，利用非法渠道进行推广，同时虚假宣传以牟取巨额非法利益的行为，构成刑法第264条的诈骗罪；为色诱诈骗提供网页制作等技术支持的不法分子可能构成《刑法》第287条之一“非法利用信息网络罪”；为恶意推广编写木马程序的不法分子可能构成《刑法》第285条第3款“提供侵入、非法控制计算机信息系统的程序、工具罪”等等。

此外，从技术分析层面来看，不论犯罪分子的作案手法多么隐蔽，都始终难逃警方与互联网公司安全产品的强大分析与追踪能力。

趋势三：从2C延伸到2B，刷粉、抢票、褥羊毛无所不入

线上应用高度融入各大线下商业场景，线下社交模式换个方法转化为线上社交方式……这一切都让2017年的互联网变得格外精彩。这一年来，大家不仅习惯线上抢红包、在网上为自己的小孩和歌星票选活动投票，也习惯了通过手机的实名认证办理各种公共服务和商业应用。然而，这一切线上场景应用所开辟出来的全新市场，也同时面临着闻风而至的黑产威胁。与过去不同的是，今年的线上新场景威胁源，开始把黑手向企业全面伸去。

其中，企业对用户信息把关的第一道关卡“实名认证”，是目前黑产最为感兴趣的突破口——越来越多的黑产分子通过提供假的实名认证信息来觅得市场，应用于寄送快递、移动支付、网络直播、网络贷款、交通购票等场景。

因此，在今年的黑产市场中，跟实名认证相关的资源相当抢手：PS一张包括正反面信息的身份证相片，只需花50-100元；如果想注册企业账号，花上800-1000元能弄到一整套的企业五证……很多企业此前以为有了动态认证视频就能阻止这些虚假实名认证的蔓延，但是，在“守护者计划”安全团队协助湖北武穴警方捣毁的一起贩卖公民身份证团伙的过程中却发现，黑产分子只需要获得一张与账号注册者身份一致的大头照，就能够PS出一整套手持身份证的高清照，并且制作出抬头、低头、眨眨眼睛、读文字等一系列动作的动态认证录像。

（图为伪造动态认证录像的制作过程之一）

如果说互联网行业面对全新的虚假实名认证挑战已经困难重重的话，那么互联网企业还将面对汹涌而来的“刷票党”、“羊毛党”、 “刷粉党”等各种挑战，对抗压力更大。以“刷票党”为例，黑产分子通过使用“秒拨”客户端软件，进行简单配置，就可以实现自动变换IP地址，以规避投票平台的IP安全策略，实现对某一选项的海量投票，严重危害网络诚信。“秒拨”动态IP非法服务还提供：“自动切换”、“秒级切换”、“断线重拨”、清理COOKIES缓存、虚拟网卡（MAC）信息、多地域IP资源调换等功能，挑战互联网企业的IP策略。刷票只是“秒拨”动态IP非法服务的冰山一角，黑产分子还能够实现对电商平台刷单和自媒体平台刷阅读量等违反规则、破坏诚信的操作。

“刷票党”还会演变成为“羊毛党”——当商家在电商平台上做拉新促销活动时，“羊毛党”利用“秒拨”动态IP服务绕过安全规则，用非法批量注册的帐号获取优惠券。2017年，“守护者计划”安全团队协助警方打掉以陈某、曹某为首的非法提供“秒拨”动态IP服务的黑产团伙，发现该团伙可“秒拨”动态IP技术，可调用全国25个省、上百个地市的ADSL宽带动态IP资源，IP池极其庞大，严重危害网络生态安全。

而且，众多电商平台所采用的验证码策略，也在黑产分子今年所采用的人工智能化破解验证码的方法面前变得弱化。今年第二季度，“守护者计划”安全团队协助浙江绍兴警方打掉了国内最大打码平台“快啊答题”，发现该平台提运用人工智能神经网络的深度学习技术训练机器，识别破解验证码的精准度超过80%，极大提升了单位时间内识别破解验证码的数量，2017年一季度打码量高达259亿次。

（图：撞库-晒密-打码过程的整个黑色产业链）

如果说“刷票党”和“羊毛党”还只是靠IP来作恶的话，那么 “刷粉党”的作案工具就更惊心怵目了——黑产人员通过把用户的手机变成被病毒木马控制的“肉鸡”来“刷粉”。今年7月底，“守护者计划”安全团队协助江苏邳州警方破获一起非法控制他人手机的 “刷粉案”，就发现超过94万台手机在用户不知情的情况下通过远程指令下载安装木马，变成了 “肉鸡”，替自媒体平台刷流量，从自媒体平台那里获取流量分成。

（图：警方抓获“刷粉案”的犯罪嫌疑人）

趋势四：入侵政企服务器，损害社会信用

随着我国进一步构建信用社会的形势发展，黑产也在今年将魔爪伸到信用建设相关领域，各类买卖公民个人信息和篡改学历的案件陆续出现。

今年11月，“守护者计划”安全团队协助江苏常州警方破获的一起案件中，就发现犯罪分子招募黑客，侵入gov、edu、org等政府及教育部门的网站，通过漏洞扫描、上传木马程序等手段获得后台管理权限，篡改关于学历方面的信息内容，方便伪造的教师资格证书等国家机关证件能够通过“验证”，并组织代理商进行买卖。在这个案例中，黑产所用的手法，比此前做假证等传统做法要更为恶劣。

（图：嫌疑人在网上公开出售“可验证”的假证）

买卖公民个人信息，盗取他人信用，也是今年黑产的专攻的方向之一。当前，黑产团伙主要通过“撞库拖库”等手法，侵入政企服务器，窃取公民个人信息，并从事网络赌博、网络诈骗等不法活动。

今年年初，“守护者计划”安全团队发挥技术优势，协助公安部及安徽、北京、辽宁、河南等地公安机关侦破了“9.27”特大窃取贩卖公民个人信息案，物流、医疗、社交、银行等各类被盗公民个人信息50亿条。被抓获的96名犯罪嫌疑人，各自负责不同的环节，有人入侵政企服务器，有人出售窃取的信息，有人从事盗刷银行卡等违法犯罪活动。在利益驱使下，黑产形成了无缝连接的合作链条，国内信用安全及信息保护问题愈发严峻。

（图：“9.27”特大窃取贩卖公民个人信息案犯罪嫌疑人被审讯）

魔高一尺，道高一丈。随着网络黑产犯罪趋势的不断变化，“守护者计划”也在不断完善升级。2017年，在安全技术方面，“守护者计划”旗下的反诈骗实验室，在此前的“麒麟伪基站定位系统”和“鹰眼智能反电话诈骗系统”的基础上，又开发出事前感知的“安全态势感知”系统、事中分析拦截的“神荼网址反诈骗系统”、事后情报分析的“神羊情报分析平台”，为打击网络黑产、协助公安、工商部门破获各类网络安全案件立下汗马功劳；在生态建设方面，腾讯建立起全新的警企民联合运作模式，于8月举办了“2017守护者计划”反诈骗公益行动，包括顺丰、滴滴出行、去哪儿、京东等近50家知名企业积极参与，李晨、陈乔恩、何穗等30余位明星也加入到了这场反电信网络诈骗的公益行动中；从合作模式方面，腾讯联手上海市反电信网络诈骗中心正式成立“腾讯上海反电信网络诈骗联合实验室”，警企联合打造AI全链条反诈体系。

（图为腾讯上海反电信网络诈骗联合实验室揭牌仪式）

这是一场针锋相对的网络斗争，这也是一场高科技之间的直接较量。大数据、人工智能、移动网络应用等等新兴技术，都是双方争分夺秒的攻防手段。2017年，纵使网络黑产的作案手法不断翻新，威胁源态势日益凶猛，“守护者计划”在依然不断致力于构建更完善的安全生态体系，联手政府、行业、民众共同对抗，协助公安机关取得了一个又一个战役的胜利。同时，他们也在部署着来年的新战役。

*本文作者：腾讯手机管家