關(guān)于運營(yíng)商打好“黑灰產(chǎn)”數智化防控戰的建議

2021年，公安部部署了全國公安機關(guān)深化推進(jìn)“凈網(wǎng)2021”專(zhuān)項行動(dòng)，發(fā)起了斷黑卡、斷黑號、斷黑線(xiàn)路、斷黑設備的“四斷”行動(dòng)，動(dòng)態(tài)研究網(wǎng)絡(luò )違法犯罪趨勢，深入剖析網(wǎng)絡(luò )違法犯罪特點(diǎn)，嚴厲打擊網(wǎng)絡(luò )賭博、網(wǎng)絡(luò )黑客、侵犯公民個(gè)人信息等活動(dòng)，持續強化網(wǎng)絡(luò )空間秩序治理，營(yíng)造安全、清朗、有序的網(wǎng)絡(luò )環(huán)境。同年12月22日，中央網(wǎng)信辦開(kāi)展“清朗·打擊流量造假、黑公關(guān)、網(wǎng)絡(luò )水軍”專(zhuān)項行動(dòng)。

隨著(zhù)互聯(lián)網(wǎng)技術(shù)的創(chuàng )新升級，新型網(wǎng)絡(luò )犯罪形式層出不窮，“黑灰產(chǎn)”呈現出了產(chǎn)業(yè)化的發(fā)展趨勢。目前，我國“黑灰產(chǎn)”已經(jīng)形成了一個(gè)年產(chǎn)值達千億元級別、從業(yè)人員超過(guò)150萬(wàn)人的龐大“黑金”利益鏈。從暗扣話(huà)費、廣告流量變現、手機應用分發(fā),到“木馬”刷量、勒索病毒、控制“肉雞”挖礦，“黑灰產(chǎn)”形式五花八門(mén)，而“薅羊毛”是其重要盈利模式之一。本文從實(shí)際情況出發(fā)，從常見(jiàn)類(lèi)型的“黑灰產(chǎn)”角度入手，深入剖析“黑灰產(chǎn)”的產(chǎn)業(yè)鏈結構，從通信行業(yè)角度分析“黑灰產(chǎn)”問(wèn)題，提出通信行業(yè)采用數智化方法進(jìn)行“黑灰產(chǎn)”預警和防控的建議。

“黑灰產(chǎn)”產(chǎn)業(yè)鏈結構

“黑灰產(chǎn)”指的是電信詐騙、釣魚(yú)網(wǎng)站、木馬病毒、黑客勒索等利用網(wǎng)絡(luò )開(kāi)展違法犯罪活動(dòng)的行為。其中，“黑產(chǎn)”指的是直接觸犯國家法律的網(wǎng)絡(luò )犯罪；“灰產(chǎn)”則是游走在法律邊緣，為“黑產(chǎn)”提供輔助手段的存在爭議的行為。

隨著(zhù)互聯(lián)網(wǎng)從PC端向移動(dòng)端的擴展，“黑灰產(chǎn)”也從最早的控制“PC弱雞”，發(fā)展到現在的攻擊移動(dòng)互聯(lián)網(wǎng)上各類(lèi)APP，攻擊場(chǎng)景集中在電商平臺“薅羊毛”、銀行金融欺詐、直播平臺刷量、廣告刷量、社交平臺刷粉、流量欺詐、裂變推廣、平臺拉新、網(wǎng)絡(luò )詐騙等，涉及社會(huì )各行各業(yè)，具體的操作動(dòng)作隨著(zhù)攻擊類(lèi)型而變化，對社會(huì )造成了極大的危害。

第一，“黑灰產(chǎn)”分工細致、明確且隱秘

“黑灰產(chǎn)”是一個(gè)非常隱秘的地下產(chǎn)業(yè)，資金來(lái)源、合作模式、商業(yè)模式、變現渠道、利益分配模式等并不為人所熟知。目前已經(jīng)探知的“黑灰產(chǎn)”產(chǎn)業(yè)鏈包括資源、服務(wù)、變現3個(gè)環(huán)節，具體如圖1所示。

圖1 “黑灰產(chǎn)”產(chǎn)業(yè)鏈構成

第二，“黑灰產(chǎn)”已形成專(zhuān)業(yè)技術(shù)化運作模式

近年來(lái)“黑灰產(chǎn)”作惡技術(shù)發(fā)生了重大變化，已從虛擬機、群控式，發(fā)展到現在的“群控 人工刷量”。

階段一：虛擬機階段，也就是“羊毛黨”產(chǎn)業(yè)的初級階段?！稗堆蛎焙诋a(chǎn)屬于有組織的產(chǎn)業(yè)鏈，有人提供手機和賬號，有人提供自動(dòng)化的工具平臺，還有人負責刷量。

階段二：群控階段。通過(guò)購置廉價(jià)手機或者二手手機組成“手機墻”，采用改機工具修改手機型號、MAC地址、IMEI碼（手機串碼）、GPS定位等設備信息，從而不斷偽以造生成新設備。也有采用定制化ROM、通過(guò)群控軟件操縱手機、模仿真人自動(dòng)完成操作等方式,完成點(diǎn)擊、APP下載、激活賬戶(hù)和應用等。

階段三：“群控 人工階段”。在這一階段，“羊毛黨”進(jìn)化到了“人肉羊毛黨”“真人羊毛黨”（真人眾包）。組織者在真人眾包軟件和平臺上發(fā)布項目任務(wù)，如用戶(hù)點(diǎn)擊項目可以賺取積分、積分能夠兌換紅包等，從而吸引真人參與活動(dòng)。

據統計，目前全網(wǎng)由“黑灰產(chǎn)”發(fā)起的惡意注冊攻擊可達到每天800萬(wàn)次，活躍欺詐手機號每天超過(guò)150萬(wàn)個(gè)，平均每個(gè)手機號每日進(jìn)行6次攻擊。

按照目前已經(jīng)探知的“黑灰產(chǎn)”作惡手法，“黑灰產(chǎn)”的場(chǎng)景主要包括惡意注冊、惡意攻擊、真人眾包作惡。

場(chǎng)景一：以惡意注冊為核心資源

隨著(zhù)“斷卡行動(dòng)”的深入，之前通過(guò)隨意購買(mǎi)手機卡直接大量注冊APP賬號的方法不再可行?！昂诨耶a(chǎn)”采取“迂回作戰”形式，形成了新的流程：第一步，由卡商從三大運營(yíng)商、虛擬運營(yíng)商、境外運營(yíng)商處購卡，或通過(guò)技術(shù)手段挾持用戶(hù)手機號，并通過(guò)“貓池”養卡養號；第二步，號商通過(guò)“接碼平臺”獲取卡商提供的手機號碼和驗證碼，在A(yíng)PP上注冊虛假賬號；第三步，用號方與卡商交易，或通過(guò)“發(fā)卡平臺”獲取虛假賬號，最后進(jìn)行各類(lèi)“黑灰產(chǎn)”惡意操作。惡意注冊的具體流程如圖2所示。

圖2 惡意注冊流程圖

場(chǎng)景二：以惡意自動(dòng)化技術(shù)為主要攻擊手段

隨著(zhù)互聯(lián)網(wǎng)公司對APP加強風(fēng)控，風(fēng)險賬號庫、風(fēng)險IP庫、風(fēng)險設備號庫相繼建立，并與賬號使用行為相互關(guān)聯(lián)，“黑灰產(chǎn)”開(kāi)始采取各種惡意自動(dòng)化技術(shù)：從原有簡(jiǎn)單的代理IP池轉向動(dòng)態(tài)IP；從群控設備轉向云控設備；從利用ROOT設備修改設備號向定制ROM直接修改設備號轉變，以隱藏真實(shí)IP或者設備位置，規避APP風(fēng)控。

在惡意自動(dòng)化技術(shù)影響下，“黑灰產(chǎn)”環(huán)節流程也出現了改變：第一步，通過(guò)代理IP池、秒撥IP、IP魔盒、境外IP代理等方式進(jìn)行動(dòng)態(tài)IP轉換；第二步，采用SaaS服務(wù)和動(dòng)態(tài)IP技術(shù)，在公有云上搭建“秒撥機或VPN通道”,構建手機池、手機模塊池等無(wú)線(xiàn)設備池，組建惡意攻擊設備群；第三步，利用群控或云控對APP自動(dòng)化腳本（按鍵精靈或Auto.js）進(jìn)行操控攻擊，或者直接破解客戶(hù)端和服務(wù)器通信協(xié)議，模擬自動(dòng)化腳本，偽造操作內容。自動(dòng)化技術(shù)攻擊的具體流程如圖3所示。

圖3 自動(dòng)化技術(shù)攻擊流程圖

場(chǎng)景三：以真人眾包規避風(fēng)控

隨著(zhù)眾多垂直領(lǐng)域平臺防控意識的增強，部分平臺在獲客時(shí)出臺了用戶(hù)領(lǐng)取禮包前進(jìn)行實(shí)名認證的規定，以預防“黑產(chǎn)”針對新用戶(hù)福利的惡意攻擊。這種方式的確避免了“黑灰產(chǎn)”通過(guò)工具自動(dòng)化注冊實(shí)現牟利，但也引發(fā)了真實(shí)用戶(hù)認證后轉售賬號的真人作弊或真人眾包行為。即原來(lái)通過(guò)自動(dòng)化機器人，現在轉為真實(shí)個(gè)人實(shí)名眾包牟利，其行為摻雜在個(gè)人真實(shí)行為中，不易被發(fā)現。目前真人眾包模式呈現較快上升趨勢。

以上僅是部分“黑灰產(chǎn)”場(chǎng)景，不涉及網(wǎng)絡(luò )詐騙、網(wǎng)絡(luò )攻擊、破壞計算機等“黑產(chǎn)”場(chǎng)景。

堅決打好通信行業(yè)的“黑灰產(chǎn)”數智化防控戰役

“黑灰產(chǎn)”與通信行業(yè)有著(zhù)不可分割的關(guān)系。從作惡目的和流程分工來(lái)看，“黑灰產(chǎn)”需要源源不斷的低價(jià)實(shí)名手機卡、IP地址池，以及手機、PC機和云主機等通信資源。為了維護網(wǎng)絡(luò )清朗空間，保護人民群眾的合法權益，三大基礎運營(yíng)商應履行國企義務(wù)、擔起社會(huì )責任。

考慮到目前“黑灰產(chǎn)”的復雜性，通信行業(yè)的數智化防控不是一朝一夕即可實(shí)現的，而是需要深入研究?jì)韧飧?，采取切?shí)可行的措施，杜絕一切違法行為。此外，此項戰役不能僅靠運營(yíng)商單方面推進(jìn)，而是需要網(wǎng)信辦、公檢法等政府主管部門(mén)，以及互聯(lián)網(wǎng)企業(yè)、金融機構、社會(huì )組織、人民群眾等各司其職，共同參與。

本文從全局出發(fā)，結合運營(yíng)商實(shí)際，對運營(yíng)商打好通信行業(yè)“黑灰產(chǎn)”數智化防控戰役提出如下建議。

建議一：構建全方位、立體式聯(lián)控合防體系

以維護好人民群眾財產(chǎn)安全為出發(fā)點(diǎn)，主動(dòng)承擔社會(huì )責任，主動(dòng)參與主管部門(mén)的行動(dòng)，構建“人防 技防”聯(lián)合防控體系。

在人防方面，在企業(yè)內部建立正確的企業(yè)價(jià)值觀(guān)，加強對內部人員及合作伙伴的監管，杜絕一切違法風(fēng)險，杜絕低質(zhì)無(wú)效的發(fā)展。

在技防方面，在國有企業(yè)數字化轉型的基礎上，強化對風(fēng)控數字化的投入和研發(fā)，解決技術(shù)盲點(diǎn)和難點(diǎn)，提高技術(shù)防范能力。

在聯(lián)合防控方面，對照“黑灰產(chǎn)”產(chǎn)業(yè)鏈分工，由主管部門(mén)牽頭構建主要行業(yè)和企業(yè)的防控體系，在保障國家安全、數據安全和個(gè)人隱私安全的基礎上，利用數字技術(shù)對風(fēng)險賬號、手機號、IP地址、設備號、銀行賬號和攻擊類(lèi)型等關(guān)鍵信息開(kāi)展監測，全面提升防控效率。

建議二：實(shí)施數智化防控體系，以技術(shù)反制技術(shù)，構建“黑灰產(chǎn)”防控生態(tài)圈

根據“黑灰產(chǎn)”三大作惡場(chǎng)景，可以梳理出不同通信工具在不同場(chǎng)景的通信特征，歸納出“號碼類(lèi)型、網(wǎng)絡(luò )類(lèi)型、設備類(lèi)型、真人類(lèi)型”四大風(fēng)險類(lèi)型，以及集中入網(wǎng)、集中攻擊、多頻變化IP、集中設備等行為特征。

手機號、APP賬號、銀行卡三大要素在“黑灰產(chǎn)”惡意攻防對抗中尤其關(guān)鍵?！昂诨耶a(chǎn)”攻擊方已經(jīng)通過(guò)自動(dòng)化技術(shù)將三大要素串聯(lián)在一起；而在防守側，由于行業(yè)區隔、企業(yè)競爭等原因，往往是在案件發(fā)生后主管部門(mén)緊急牽頭進(jìn)行手工溯源，只能以最快速度見(jiàn)一個(gè)堵一個(gè)。

綜上分析，筆者建議運營(yíng)商主動(dòng)承擔重任，在內部率先構建“以技術(shù)反制技術(shù)”的數智化防控體系，深層次打通運營(yíng)域、業(yè)務(wù)域、管理域等系統平臺，組織專(zhuān)人研究，適時(shí)引入安全防護機構的預測數據以進(jìn)行數據整合挖掘，同時(shí)實(shí)施一鍵穿透的自動(dòng)化防控機制，解決各系統平臺無(wú)法自動(dòng)對接、無(wú)法回溯的難題。

運營(yíng)商還可以同步構建行業(yè)內以隱私計算為核心的數據交換平臺，或者提供“黑灰產(chǎn)”防控數據服務(wù)對外賦能，對三大要素資源和攻擊類(lèi)型進(jìn)行實(shí)時(shí)交互及核驗，提前進(jìn)行預警防控，梳理出“黑灰產(chǎn)”產(chǎn)業(yè)鏈，構建好“黑灰產(chǎn)”防控生態(tài)圈。

建議三：主動(dòng)作為，精準施策，強化“黑灰產(chǎn)”宣傳教育

“黑灰產(chǎn)”的防控離不開(kāi)人民群眾的理解與支持，對高風(fēng)險區域和高風(fēng)險用戶(hù)群進(jìn)行宣傳教育，通過(guò)精準施策、提前預防提升防控效果十分必要。

在符合國家法律規定和保護好個(gè)人隱私安全的基礎上，運營(yíng)商可以在主管部門(mén)的指導和帶領(lǐng)下，通過(guò)大數據技術(shù)分析“黑灰產(chǎn)”鏈條上的風(fēng)險用戶(hù)，提前進(jìn)行點(diǎn)對點(diǎn)宣傳教育；同步強化“黑灰產(chǎn)”通信管控，將主管部門(mén)的最新要求納入入網(wǎng)協(xié)議，實(shí)時(shí)優(yōu)化入網(wǎng)協(xié)議，將“黑灰產(chǎn)”通信風(fēng)險提前納入知曉條款，提前普及宣傳教育。