[置顶]网络黑灰产概述及业务威胁情报简介

网络黑灰产概述

根据CNNIC发布第44次《中国互联网络发展状况统计报告》一文记载，截至2019年6月，我国网民规模达8.54亿，手机网民规模达8.47亿，网民使用手机上网的比例达99.1%。在这种大环境下，网络黑灰产因其自身入行技术门槛低，犯罪成本低，盈利模式成熟，极易规模化等客观原因而爆炸式发展，有报告指出，2019年从事网络黑灰产的人员已经超过150万人，形成千亿级别的巨大市场。

网络黑灰产实际上是包含两个概念：黑产是以网络为媒介、以网络技术为主要手段的违法犯罪活动；灰产则是游走于法律边缘，为黑产提供辅助的行为。

从时间上看，网络黑灰产是典型的先形成产业，然后随着互联网业务安全概念的提出才提出概念。目前互联网安全产业大体可以分为基础安全和业务安全两个领域。以2015年为界，之前提到互联网安全一般指三层：系统安全，网络安全与应用安全，攻防双方围绕的核心在于漏洞，防御方重点推进安全体系建设。而从2015年开始，伴随着互联网业务的爆炸式发展，网络黑灰产团伙开始从“攻击渗透系统获利”的传统套路进化到“利用业务风控缺失进行大规模牟利”的模式，并且逐渐形成规模庞大、分工明确的黑色产业链。在这类业务安全中，考量攻防双方的是业务漏洞利用能力与风控系统完善程度。

网络黑灰产特征

目前黑灰产行业具备如下特征：

1. 危害巨大，寄生正常互联网业务：根据2021年第十三届全国人民代表大会第四次会议上最高人民法院院长周强作的最高人民法院工作报告，2020年人民法院审结电信网络诈骗、网络传销、网络赌博、网络黑客、网络谣言等犯罪案件3.3万件。这些案件多通过正常的互联网业务引流，获取受害者信任。
2. 市场潜力巨大，高新技术快速实用：根据《2020网络黑灰产犯罪研究报告》，到2021年，网络黑灰产的市场效益将比肩世界第三大经济体，网络犯罪将会是未来十年全球最引入注目的风险之一，同时网络黑灰产犯罪已经进入AI时代，利用AI技术伪造人脸过活体检测，利用AI技术伪装客服等案件层出不穷。
3. 类型繁杂，组件化：网络黑灰产涉及到技术性、源头性、平台类和其他类等多种类型，不同类型的黑灰产在网络违法犯罪中的地位和作用各不相同。而发展到现在，网络黑灰产已经从明确分工的上下游链条发展到组件化，黑灰产业链拆分成若干的细分组件，犯罪分子可以根据实际需要，选取所需要的组件进行组合，继而实施特定的犯罪行为。典型如电信网络诈骗团伙通过联系接码平台、打码平台、群聊群控软件、猫池、网络账号密码等提供者，更加隐蔽、便利地实施电信网络诈骗犯罪。
4. 跨域化，隐蔽性强：网络黑灰产的跨域化包括跨地域和跨领域两个方面：一方面，上下游犯罪常常分处于不同地域甚至不同国家，犯罪分子相互并不认识，仅仅通过网络联系和交易，增加了整体打击的难度。另一方面，网络黑灰产的发展也打通了电信、网络、支付结算、社交软件、网络硬件等不同业态之间的壁垒，犯罪的危害性和影响面更大。而隐蔽性体现黑灰产的各个步骤：通过技术外包形式购买技术服务，利用小众匿名聊天工具线上联系，冒用他人身份证件实现第三方支付平台走流水等。
5. 从业人员精细化、年轻化：有调查人员发现，在网络黑灰产从业人员中，“90后”甚至“00后”人员增多，甚至成为主力军。而对其学历的调查显示，从业者普遍学历较低，但执行力较强。对于有时间而没有资本，想要快速致富，网络黑灰产自然而言成为一条捷径。

网络黑灰产形成的原因

这里简单列举下成因供参考：

1. 巨大的经济利益驱动：网络黑灰产因巨大的经济利益而存在，数百万“从业者”，过千亿“年产值”，数字惊人。纠因其背后的巨大利益，网络黑灰产上中下游中的任何一个环节都存在利润空间，以流量类网络黑灰产 “薅羊毛”为例，羊毛党为了薅羊毛，要储备大量账户，必然带动信息类黑灰产去恶意注册或窃取，目的是大量个人信息。我国巨量的网民基数带来的是无限的利润空间。
2. 违法犯罪成本低：首先是网络黑灰产门槛低，投入少。网络违法犯罪入门资源，可以轻易在网上买到。但入门教程及培训就催生出完整的黑灰产业。所以说网络违法犯罪的各种条件变得相对容易，这样吸引更多的人进入这个黑灰产界。其次是违法犯罪成本低。很多黑灰产特别是灰产，涉及金额不大，往往构不成法律上的违法犯罪，所以即使被发现抓获，也不会受到严重惩罚。
3. 网民安全意识的匮乏：我国网络普法相对滞后，再之很多网民自身缺乏网络安全意识，导致很多网民在进行网络活动时没有足够的网络安全意识。据《2017中国网民网络安全意识调研报告》显示，没有接受过任何网络安全培训的网民占到82.6%，只有4.4%的网民接受过专门培训。还有些网民有一定的网络安全意识，但是缺乏相关知识，不知道该怎么做、使用什么的安全防护软件才好。根据上述报告显示，我们仍有18.4%的网民只要免费WiFi都连接，13.6%的网民会在公共WiFi下购物和进行网银交易。由此可以看出广大网民的网络安全意识不足，这正是网络黑灰产迅猛发展而难以控制、容易得手且利润巨大的原因之一。
4. 监管难度大、打击力量薄弱：随着网络技术的发展，网络违法犯罪手段也在不断更新，新手段、新方法层出不穷。网络是个虚拟的空间，监管部门即使发现网络违法犯罪行为，在调查侦查过程中也是困难重重，电子证据特殊，难以发现和固定。因此，各国都开始重视对网络黑灰产的打击，但是防范和打击难度却不大。其原因主要有二：一是网民基础大，大量个人隐私信息存在于网站中，比如电子银行、网络购物等，这些是网络黑灰产们瞄准的目标。二是黑灰产者为了逃避打击，获取更大利益，也在不断研发新技术和犯罪工具。

黑灰产的分类和模式

网络黑灰产项目林林总总，参照公安部三所与百度联合发布的《2020网络黑灰产犯罪研究报告》，我们大致将网络黑灰产分为三类：

1、 信息类：下图包含了网络黑灰产涉及到的各类信息以及各种获取方式。

各类信息是网络黑灰产存在的基础。无论黑灰产业务形态如何变化，必然涉及到资金和身份信息，而在我国这两者都必然涉及到手机号。

信息类黑灰产围专门围绕各类高价值信息的获取与贩卖，多以“开拓客源”“网上兼职”等灰产形式走量获利，它们危害的是企业和个人的数据安全。

2、流量类：

这种黑灰产包含的模式非常多：从DDOS攻击，到羊毛党不当获利，黑SEO，短视频刷量，甚至舆情恶意攻击流量（水军）等等。因这两年网络直播行业蓬勃发展，这类黑灰产多以”直播引流“”快速刷排名“等方式存在，更偏灰产。

3、诈骗类：

诈骗类完全是网络黑产，也是三类中危害最大的，具体形式如新闻中常见的“杀猪盘”“资金盘”等。网络诈骗的黑灰产链条层级较多且分工明确：首先黑客利用非法的技术手段，盗取大量公民个人信息，并贩卖给话务组。同时技术支持团队负责制作木马程序、钓鱼网站等恶意程序，为话务组的诈骗提供后台保障。位于黑灰产顶层的策划团队则协调指使话务组，通过网络、电话、短信等方式向不特定的受害人发送诈骗信息。当话务组通知洗钱组赃款到账后，银行卡商利用虚假身份信息，开通大量银行卡，提供给洗钱组。洗钱组则通过网银将账户上的钱快速转移，由取款组在各地的 ATM 上将钱取出，汇入网络诈骗集团的账户中。

诈骗类网络黑灰产团伙是“断卡行动”打击成果展示中最常见的。

断卡行动后的网络黑灰产现状

这里我们重点介绍下断卡行动对于黑灰产的影响。不同与之前的净网行动，从2020年开始，公安部重点打击二类卡（银行卡和电话卡），直接作用于网络黑灰产的基础。

通过上一节的分析我们可以得出，网络黑灰产能够如此猖狂，建立在资金账户和信息链路的滥用和监管不严，而“断卡行动”是断得是犯罪分子的信息流和资金流。卡是指电话卡和银行卡，电话卡包括电信、移动、联通的手机卡，还有虚拟运营商的电话卡、物联网卡。银行卡则包括个人银行卡、非银行支付机构账户（微信、支付宝等第三方支付平台）等。

以流量类网络黑灰产必不可少的接码平台为例，“断卡行动”开始在2020年10月，到2021年中，超过2/3接吗平台已经删库跑路，存活且尚能运转的接码平台大概在180家左右，但业务模式转变巨大：

1. 从“注册制”变为“邀请制”，基本不新获客只维系老客户；
2. 引流方式从之前的“网络牛皮癣”变为小众匿名聊天工具群中“人传人”式宣传；
3. 接码量目前最大的xx云也只有5w条/天，甚至低于之前的中型接码平台的小时接码量；
4. 存活时间平均只有2-3个月；
5. 提供的卡号质量下降严重，4月某次活动中羊毛党攻击的业务流量中，虚卡号占了总羊毛党所用卡号的6成；从2020全年流量来看，涉黑手机号中，虚拟运营商占比66%；
6. 注册卡物联卡等大量涌入；

种种迹象都表明，“断卡行动”会长时间持续，将彻底斩断网络黑灰产的生长土壤。目前正在开展的是断卡行动2.0：在1.0的基础上，重点强化“二次实人认证”， 快速停复机协同工作机制，异常卡监测发现，清理整顿“睡眠卡”、“静默卡”、“一证多卡”、虚拟运营商存量卡等高风险号卡。应当重点关注的是“二次实人认证”，该措施解决的是互联网行业“实名不实人”的顽疾，可进一步压缩黑卡的生存空间。

 

断卡行动后的黑灰产新趋势

对于网络黑灰产行业而言，在这种国家级的高压措施下必然采取新措施：

1、双重意义上的”积极出海“：

对于网络黑灰产资源提供方，国内因“断卡行动”导致可用手机号存量严重不足，那么大量引入海外号码，包括东南亚、美国等地的电话卡；网络黑灰产所用的IP号不足，就大量使用IPv6。在今年618的复盘统计，如今IPV6的占比已经超过了10%。IP V6被黑灰产滥用的趋势正愈演愈烈；

对于诈骗类网络黑灰产，作案团伙直接转移目标到周边国家，国内黑灰产因其成熟的业务模式，对很多地区的互联网安全形成降维打击；

2、专业团队向线上真人众包转变

一般的黑灰产研究将网络黑灰产产业链分四层：

• 上游：资源供给（技术供给/账号供给/协议破解）
• 中游：操作运营（大数据筛选/批量群控/引流获取线索）
• 下游：引流走量（获取线索/操作傻瓜化/售卖工具）
• 外围：偏线下操作（跑分转账/账户出租/水房打水）

但现状是上游的资源供给跟不上，于是黑灰产团伙“扁平化”，众包成为了新的作案方式。在众包模式下，黑灰产团伙将任务下发至专业论坛，给予用户一定佣金，吸引普通人参与，因为众包参与者是拿自己正常的设备、IP和手机号作案，这对于企业业务方防控方难度很高。

3、微信小程序正成为新的战场

依托于微信，小程序在便捷性、稳定性、用户触达等方面具备天然的优势，使得小程序成为了众多传统行业将业务从线下拓展到线上的首选。与企业APP相比，小程序开发运营成本都较低。

而对于网络黑灰产而言，账号资源和设备资源是黑灰产攻击的主要成本。小程序的账号依托于微信授权登录，目前出售的价格，1个账号仅需0.1到0.5元；相比较过APP OTP日渐水涨船高的价格，自然更加划算。而且本身微信养号早已成熟，可直接作为号商充当上游，微信官网也提供了完整的微信授权登录api，这样建立起授权平台充当中游，加上选择微信小程序又以传统企业（典型如房地产/制造业等）为主，业务风控方面经验积累不足，微信小程序自然收到网络黑灰产的青睐。

目前针对微信小程序的攻击，以流量类的营销活动作弊为主，包括虚假注册、虚假邀请、黄牛抢购，薅现金红包等方式获利。思路上以协议破解为主，最终呈现形式还是扩散羊毛工具。技术上来说，还是破解app那套：逆向获取小程序源码->破解业务逻辑算法->制作羊毛工具伪造业务接口向后台服务器发动攻击。

业务威胁情报简介以及作用

参照《风控要略：互联网业务反欺诈之路》一书中对业务威胁情报的定义：黑产团伙在使用哪些资源和技术手段危害互联网业务的正常运营，包括但不限于获取“刷单”“薅羊毛”等黑产攻击事件细节、黑产新型的作弊工具及黑产使用的各类资源信息。

现有的业务风控系统多为动态防控，业务威胁情报主要作用与事中。防御方的效率取决于感知事态的速度和获取情报的详细程度。而业务威胁情报的价值就在于此：帮助防御方更快地掌握相对丰富的黑产动态和信息，更快速、更准确的决策。

业务威胁情报可分为三类：

• 数据情报：指能够丰富手机号、IP、设备及邮箱账号等风控黑名单数据的情报信息；
• 技术情报：指针对某一种欺诈技术的详细信息，包括原理、用途、危害，运作模式等；
• 事件情报：用于预警即将发生的风险事件、阻断正在发生的风险事件和事后溯源已经发生过的风险。典型如羊毛线报。

接下来论述这三类情报在实际业务安全场景中的用处。

对于业务方，常见的业务安全反欺诈场景有六类：

1. 垃圾注册：指在注册环节中，使用虚假、不稳定的身份信息（虚假号码、通信小号、临时邮箱、虚假邮箱注册），通过定制脚本、注册机进行批量注册。垃圾注册本身不直接产生危害，但却是流量类网络黑灰产的必经之路，必须先注册新账户，再养号以便参与后续各个业务环节。黑灰产注册小号一般直接使用接码平台提供的虚假号码，使用模拟器、群控设备、云手机等模拟设备环境，再通过脚本调用进行批量注册。由于是注册，业务风控可用参考并不多，但业务威胁情报可以提供数据情报，丰富手机号和ip黑名单，以及涉黑灰的设备特征，做到布防。
2. 批量登录：这种可拆解为正常用户的安全登录和灰产养号两个情形。前者实际指盗号，后者比较难处理，因为和业务方在界定上经常不一致。例如，某保险业务，业务方风控布控关注没有办理过任何业务的账户，因为保险产品本身办理的门槛就较高，从成本角度考虑黑灰产确实无利可图。但羊毛党耐得住寂寞可以一直养号，寻找针对某款保险业务产品搞活动的时机，利用活动把号变为风控信任号。这种情况对于黑灰产成本并没有业务风控方想的那么高，因为最大的成本是养号所用手机号锁死，而这类活动获利一般较大。这就要求业务方在风控布控时，围绕大型营销活动布控时间跨度非常长，需要在活动全面铺开前几个月就开始布控，加剧风控负担。针对这种情况，业务威胁情报可提供的主要以事件情报为主。因为养号的“账号商人”为减少养号失败，手中会囤干净号，不会在流动频繁的黑灰产业务中使用，自然不会被收录入数据情报中。
3. 羊毛刷量：这种使用虚假身份信息或自动化工具参与各类营销活动的行为称为“薅羊毛”。常见的营销活动包括但不限于折扣、返现、抽奖、满减等形式。这种也是日常业务方风控过程中最常遇到的，业务威胁情报可提供全部三类情报。但需要注意的是，针对羊毛刷量账号的处置上一定要延迟，羊毛刷量大量走量，如羊毛党识别出所用账号被控，会迅速换号再次尝试。此外对电商类企业，在羊毛刷量防控中，需多关注用户收货地址维度，这也是打击黄牛恶意抢购一个有效的办法。
4. 裂变拉新：活动营销上把存量用户通过社群关系触达新用户实现引流的办法称为裂变拉新。常见的如红包裂变，分享领券，互助帮砍，拼团促销等等。这其中以红包裂变最为受到网络黑灰产关注。业务威胁情报对此场景可提供全部三类情报。尤其需注意的是，这类业务场景多一个关键维度：邀请者ID。无论线报中分享方式是二维码，条形码还是其他，转译后的链接中必然都带有邀请人ID参数，利用此参数直接划定黑灰产团伙关系，然后反推其他维度，如时间频率，设备特征，访问行为等，最终圈定黑灰产团伙。
5. 活动任务：指活动营销中指通过较长时间的完成步骤人物获得奖励培养用户习惯维持提升用户活跃度的方式。资讯类业务中常见这类场景，比如看视频多久，阅读文章多久之类的。因这类活动的奖励一般都可套现且丰厚，而需要在app中持续点击即可，所以黑灰产常用手法是模拟器，群控脚本，多开等等，从风控角度看，这类活动的异常设备远高于其他。业务威胁情报针对这类场景可提供的以技术情报为主，包括群控特征，云手机平台特征，脚本写死的参数，模拟设备指纹等等。
6. 恶意退单：这种场景一般电商在大型营销活动中后期出现。对业务方，不光有经济损失，还有活动中资源被抢占等。对这种场景可考虑时候总结损失通过法律渠道追回损失。业务威胁情报针对这种场景可提供得以技术情报为主，主要还是异常设备特征这个维度。此外需关注时间线，因为这类场景中的黑灰产常统一调度，需关注退货相关业务是否出现拐点，得到事件时间点，然后再结合用户账户行为，历史购物记录等控防。