2021年,公安部部署了全国公安机关深化推进“净网2021”专项行动,发起了断黑卡、断黑号、断黑线路、断黑设备的“四断”行动,动态研究网络违法犯罪趋势,深入剖析网络违法犯罪特点,严厉打击网络赌博、网络黑客、侵犯公民个人信息等活动,持续强化网络空间秩序治理,营造安全、清朗、有序的网络环境。同年12月22日,中央网信办开展“清朗·打击流量造假、黑公关、网络水军”专项行动。
随着互联网技术的创新升级,新型网络犯罪形式层出不穷,“黑灰产”呈现出了产业化的发展趋势。目前,我国“黑灰产”已经形成了一个年产值达千亿元级别、从业人员超过150万人的庞大“黑金”利益链。从暗扣话费、广告流量变现、手机应用分发,到“木马”刷量、勒索病毒、控制“肉鸡”挖矿,“黑灰产”形式五花八门,而“薅羊毛”是其重要盈利模式之一。本文从实际情况出发,从常见类型的“黑灰产”角度入手,深入剖析“黑灰产”的产业链结构,从通信行业角度分析“黑灰产”问题,提出通信行业采用数智化方法进行“黑灰产”预警和防控的建议。
“黑灰产”产业链结构
“黑灰产”指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。其中,“黑产”指的是直接触犯国家法律的网络犯罪;“灰产”则是游走在法律边缘,为“黑产”提供辅助手段的存在争议的行为。
随着互联网从PC端向移动端的扩展,“黑灰产”也从最早的控制“PC弱鸡”,发展到现在的攻击移动互联网上各类APP,攻击场景集中在电商平台“薅羊毛”、银行金融欺诈、直播平台刷量、广告刷量、社交平台刷粉、流量欺诈、裂变推广、平台拉新、网络诈骗等,涉及社会各行各业,具体的操作动作随着攻击类型而变化,对社会造成了极大的危害。
第一,“黑灰产”分工细致、明确且隐秘
“黑灰产”是一个非常隐秘的地下产业,资金来源、合作模式、商业模式、变现渠道、利益分配模式等并不为人所熟知。目前已经探知的“黑灰产”产业链包括资源、服务、变现3个环节,具体如图1所示。
图1 “黑灰产”产业链构成
第二,“黑灰产”已形成专业技术化运作模式
近年来“黑灰产”作恶技术发生了重大变化,已从虚拟机、群控式,发展到现在的“群控+人工刷量”。
阶段一:虚拟机阶段,也就是“羊毛党”产业的初级阶段。“薅羊毛”黑产属于有组织的产业链,有人提供手机和账号,有人提供自动化的工具平台,还有人负责刷量。
阶段二:群控阶段。通过购置廉价手机或者二手手机组成“手机墙”,采用改机工具修改手机型号、MAC地址、IMEI码(手机串码)、GPS定位等设备信息,从而不断伪以造生成新设备。也有采用定制化ROM、通过群控软件操纵手机、模仿真人自动完成操作等方式,完成点击、APP下载、激活账户和应用等。
阶段三:“群控+人工阶段”。在这一阶段,“羊毛党”进化到了“人肉羊毛党”“真人羊毛党”(真人众包)。组织者在真人众包软件和平台上发布项目任务,如用户点击项目可以赚取积分、积分能够兑换红包等,从而吸引真人参与活动。
据统计,目前全网由“黑灰产”发起的恶意注册攻击可达到每天800万次,活跃欺诈手机号每天超过150万个,平均每个手机号每日进行6次攻击。
按照目前已经探知的“黑灰产”作恶手法,“黑灰产”的场景主要包括恶意注册、恶意攻击、真人众包作恶。
场景一:以恶意注册为核心资源
随着“断卡行动”的深入,之前通过随意购买手机卡直接大量注册APP账号的方法不再可行。“黑灰产”采取“迂回作战”形式,形成了新的流程:第一步,由卡商从三大运营商、虚拟运营商、境外运营商处购卡,或通过技术手段挟持用户手机号,并通过“猫池”养卡养号;第二步,号商通过“接码平台”获取卡商提供的手机号码和验证码,在APP上注册虚假账号;第三步,用号方与卡商交易,或通过“发卡平台”获取虚假账号,最后进行各类“黑灰产”恶意操作。恶意注册的具体流程如图2所示。
图2 恶意注册流程图
场景二:以恶意自动化技术为主要攻击手段
随着互联网公司对APP加强风控,风险账号库、风险IP库、风险设备号库相继建立,并与账号使用行为相互关联,“黑灰产”开始采取各种恶意自动化技术:从原有简单的代理IP池转向动态IP;从群控设备转向云控设备;从利用ROOT设备修改设备号向定制ROM直接修改设备号转变,以隐藏真实IP或者设备位置,规避APP风控。
在恶意自动化技术影响下,“黑灰产”环节流程也出现了改变:第一步,通过代理IP池、秒拨IP、IP魔盒、境外IP代理等方式进行动态IP转换;第二步,采用SaaS服务和动态IP技术,在公有云上搭建“秒拨机或VPN通道”,构建手机池、手机模块池等无线设备池,组建恶意攻击设备群;第三步,利用群控或云控对APP自动化脚本(按键精灵或Auto.js)进行操控攻击,或者直接破解客户端和服务器通信协议,模拟自动化脚本,伪造操作内容。自动化技术攻击的具体流程如图3所示。
图3 自动化技术攻击流程图
场景三:以真人众包规避风控
随着众多垂直领域平台防控意识的增强,部分平台在获客时出台了用户领取礼包前进行实名认证的规定,以预防“黑产”针对新用户福利的恶意攻击。这种方式的确避免了“黑灰产”通过工具自动化注册实现牟利,但也引发了真实用户认证后转售账号的真人作弊或真人众包行为。即原来通过自动化机器人,现在转为真实个人实名众包牟利,其行为掺杂在个人真实行为中,不易被发现。目前真人众包模式呈现较快上升趋势。
以上仅是部分“黑灰产”场景,不涉及网络诈骗、网络攻击、破坏计算机等“黑产”场景。
坚决打好通信行业的“黑灰产”数智化防控战役
“黑灰产”与通信行业有着不可分割的关系。从作恶目的和流程分工来看,“黑灰产”需要源源不断的低价实名手机卡、IP地址池,以及手机、PC机和云主机等通信资源。为了维护网络清朗空间,保护人民群众的合法权益,三大基础运营商应履行国企义务、担起社会责任。
考虑到目前“黑灰产”的复杂性,通信行业的数智化防控不是一朝一夕即可实现的,而是需要深入研究内外根源,采取切实可行的措施,杜绝一切违法行为。此外,此项战役不能仅靠运营商单方面推进,而是需要网信办、公检法等政府主管部门,以及互联网企业、金融机构、社会组织、人民群众等各司其职,共同参与。
本文从全局出发,结合运营商实际,对运营商打好通信行业“黑灰产”数智化防控战役提出如下建议。
建议一:构建全方位、立体式联控合防体系
以维护好人民群众财产安全为出发点,主动承担社会责任,主动参与主管部门的行动,构建“人防+技防”联合防控体系。
在人防方面,在企业内部建立正确的企业价值观,加强对内部人员及合作伙伴的监管,杜绝一切违法风险,杜绝低质无效的发展。
在技防方面,在国有企业数字化转型的基础上,强化对风控数字化的投入和研发,解决技术盲点和难点,提高技术防范能力。
在联合防控方面,对照“黑灰产”产业链分工,由主管部门牵头构建主要行业和企业的防控体系,在保障国家安全、数据安全和个人隐私安全的基础上,利用数字技术对风险账号、手机号、IP地址、设备号、银行账号和攻击类型等关键信息开展监测,全面提升防控效率。
建议二:实施数智化防控体系,以技术反制技术,构建“黑灰产”防控生态圈
根据“黑灰产”三大作恶场景,可以梳理出不同通信工具在不同场景的通信特征,归纳出“号码类型、网络类型、设备类型、真人类型”四大风险类型,以及集中入网、集中攻击、多频变化IP、集中设备等行为特征。
手机号、APP账号、银行卡三大要素在“黑灰产”恶意攻防对抗中尤其关键。“黑灰产”攻击方已经通过自动化技术将三大要素串联在一起;而在防守侧,由于行业区隔、企业竞争等原因,往往是在案件发生后主管部门紧急牵头进行手工溯源,只能以最快速度见一个堵一个。
综上分析,笔者建议运营商主动承担重任,在内部率先构建“以技术反制技术”的数智化防控体系,深层次打通运营域、业务域、管理域等系统平台,组织专人研究,适时引入安全防护机构的预测数据以进行数据整合挖掘,同时实施一键穿透的自动化防控机制,解决各系统平台无法自动对接、无法回溯的难题。
运营商还可以同步构建行业内以隐私计算为核心的数据交换平台,或者提供“黑灰产”防控数据服务对外赋能,对三大要素资源和攻击类型进行实时交互及核验,提前进行预警防控,梳理出“黑灰产”产业链,构建好“黑灰产”防控生态圈。
建议三:主动作为,精准施策,强化“黑灰产”宣传教育
“黑灰产”的防控离不开人民群众的理解与支持,对高风险区域和高风险用户群进行宣传教育,通过精准施策、提前预防提升防控效果十分必要。
在符合国家法律规定和保护好个人隐私安全的基础上,运营商可以在主管部门的指导和带领下,通过大数据技术分析“黑灰产”链条上的风险用户,提前进行点对点宣传教育;同步强化“黑灰产”通信管控,将主管部门的最新要求纳入入网协议,实时优化入网协议,将“黑灰产”通信风险提前纳入知晓条款,提前普及宣传教育。
文章来源于互联网:关于运营商打好“黑灰产”数智化防控战的建议
相关推荐: 甲骨文(ORCL.US)云业务进军非洲 于南非建立数据中心
据媒体报道,周三,甲骨文(ORCL.US)在南非开设了一个数据中心,首次在非洲各地提供本地云服务。甲骨文加入了微软(MSFT.US)和亚马逊(AMZN.US)等公司的行列,在非洲大陆最南端的国家建立了设施。 非洲将成为甲骨文的第37个“云区域”——在该区域,客…