2020 年初,一场突如其来的疫情打破了大家和谐平静的生活,网络随之成为人们获取信息和沟通的主要方式,网络安全因此受到了极大的威胁。在这特殊时期,网络黑灰产闻风而动,对互联网生态发起猛烈攻势,逐步衍生出新手法,呈现新态势。
本篇将从网络黑产发展趋势、类别、威胁等宏观层面让大家对网络黑产建立起体系化的认识;聚焦流量黑产,与大家一起探讨恶意流量黑产的手法和打击治理情况。
伴随网民的互联网使用率和时长的增加,越来越多的不法分子开始实施网络诈骗、网络赌博、网络色情内容传播等各类犯罪行为。其中,仅网络诈骗黑生态的发展,较疫情前以金融类、网络赌博类、网赚类、冒充公检法人员等诈骗形式,快速衍生出买卖防疫物资诈骗、机票火车票退改签诈骗、贷款诈骗、 网课缴费诈骗、网络游戏诈骗、刷单诈骗等与疫情相关的新型诈骗手法,危害了广大网民的切身利益。根据2020 年 7 月公安部新闻发布会通报:截至 2020 年上半年,全国公安机关共破获涉疫情诈骗犯罪 1.6 万起,抓获犯罪嫌疑人 7506 名。分析黑产链条发现,资金提供者、数据提供者、技术提供者、推广服务者以及通过利诱、诱骗等方式卷入大量不知情的普通网民,他们各自承担着黑产链条上的关键角色,彼此分工精细,任务明确, 互相配合,各司其职,互为利往。黑产团伙逐渐从黑产集团分裂出大量“工作室”形成“最小作战单元”,通过匿名渠道联系,彼此不掌握真实身份,若任何一个团伙被打击,其他上下游团伙都能迅速从其他渠道找到替补,呈现出紧密而松散的格局。从网络黑产供给链三要素出发,物料、流量、支付三大要件缺一不可。随着平台打击能力的提升和多维度生态治理框架的建立,通过同一平台取得三大要件已不再可行,帐号、引流、通信、支付分散在不同平台实现,使得单一平台对黑产团伙愈加难以识别和打击。此外,因国内国际数据合规法律法规的差异,国内公安机关追踪境外线索愈发困难,为逃避打击,黑产团伙使用境外服务,境内作恶的趋势明显,为案线追查带来巨大挑战。传统网络黑灰产可以划分为三类,即威胁用户安全类、威胁业务安全类和技术安全威胁类。这个分类方式有一定的主观性。事实上,这些安全问题相互交织,并没有特别严格的边界。
同时,近年来,越来越多暴露出涉及“暗网”“物联网安全”“区块链安全”等方面的底层网络安全问题,统称为“源安全威胁”。
威胁信息安全的典型黑灰产类型有:网络诈骗、网络赌博、网络色情。
在打击网络诈骗方面,2020年以来,全国公安机关共破获网络诈骗案件25.6万起,抓获犯罪嫌疑人26.3万名。拦截诈骗电话1.4亿个、诈骗短信8.7亿条,为群众直接避免经济损失达到1200亿人。
在打击网络赌博方面,2020年,全国公安机关共立各类跨境赌博案件3500余起,抓获犯罪嫌疑人7.5万余名,打掉涉赌平台2260余个、非法技术团队980余个、赌博推广平台1160余个,打掉非法支付平台和地下钱庄1960余个。
在打击网络色情方面,2020年,全国“扫黄打非”办公室督促各网络平台累计清理有害信息500万余条。各地有关部门共查处“扫黄打非”相关案件1.1万余起,其中网络案件5800余起。
威胁业务安全的典型黑产类型有:恶意注册、非法获取买卖个人信息、外挂、恶意流量等。恶意注册中关于卡商、号商,养号、盗号等在公安机关断卡行动战果的宣传报道中频频出现。在非法获取、买卖个人信息类黑产中,最大的热点在APP超范围采集个人信息,经去年315晚会曝光的案例披露出来后,引起全网关注。关于外挂,2020年最热的案例要属对“清粉外挂”的曝光和打击,头部媒体发声,微博热搜,这类黑产触达了太多的微信用户,引起热议。恶意流量黑产与阳光媒体人的活动最切实相关,其中的危害、打击治理情况、手法解析将在后文展开详细叙述。技术安全威胁类黑产类型有:DDoS攻击、 Web应用攻击、深度伪造。DDoS攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用。随着以云计算的兴起,云服务商逐渐成为DDoS攻击主要的承受者。在线教育、游戏、 直播、云服务商等领域已成为DDoS攻击的主要目标。2020年4月8日,最高检召开线上新闻发布会,发布了第十八批指导性案例。其中,“暗夜”DDoS攻击案,是全国首例全链条打击黑客跨境攻击案,也是腾讯积极推动打击、诉讼,并首次入选最高检指导性案例的刑事案件。Web应用攻击指不法分子利用Web系统的安全漏洞,实施网站篡改、数据窃取、执行指令、安装木马、传播病毒等破坏性行为,给企业安防造成了极大困难,威胁到企业自身的经济利益。对此,腾讯自建多个安全实验室,大量开展网络攻击技术的识别、分析、防御等方面的研究,不定期开展红蓝对抗演练,相关技术成果广泛应用于腾讯自研产品和服务,并主动对外赋能,始终处于互联网安全领域第一梯队。深度伪造指利用AI人工智能技术,通过人脸替换、声纹伪造实现突破互联网平台身份认证校验安全机制,将大量增加企业安全技术对抗成本。比如此前引发大量传播的关于伪造前美国总统奥巴马的演讲视频、英国恶搞女王圣诞讲话等新闻。普通网民日常通过搜索引擎访问到的网络被称之为表层网络,即“明网”。暗网是指那些存储在分布于全球各个角落的服务器中、但不能通过超链接访问而需要通过特殊技术访问的资源。暗网并不一定是直接犯罪,而是黑灰产寄生的平台。暗网中存在成百上千的交易论坛,承载了大量的非法信息,不限于诈骗、非法交易、传统犯罪等教唆、教学信息技术传播等行为。因为技术上采取多层加密、多节点跳转,所以难以追踪溯源。根据黑产实施手法的不同,可以将恶意流量划分为恶意引导流量和恶意制造流量。恶意引导流量即使用特定内容,如低俗、涉政或者其他吸引眼球的信息诱导正常用户去访问特定页面或完成特定的操作,这些特定页面就可能包含有色情、赌博、盗版文学、制假售假等可变现的下游黑产,特定的操作可能就包括转发、关注等。
△ 恶意引导流量
近两年,广州某地区聚集一批团伙,纷纷借助公众号开展恶意引流和黑灰产变现。他们的大致手法流程是:大肆工商注册公司,以公司主体开展公众号的注册和认证,并以流水线形式开展违规内容的生产、分发和跳转,相关内容以吸引人点击、转发、朋友圈为主。
他们的变现基本上都通过公众号引导到外链,比如盗版书城,把从正规版权文学平台剽窃过来的文章,改个题目或者主人公名称就堂而皇之的出现在书城里,随后公众号上先刊登一两章吸引读者兴趣,等到读者刚被挑逗起来,就被引导到外链书城网页办理充值等业务。恶意制造流量即刻意控制海量账户去人为刷取流量指标,如文章的阅读量、点赞数、投票、评论、网店交易量、视频播放量及虚假点击互联网广告等。正向的制造流量通过制造更高的阅读量、点赞数、网购销量证明了自身更大的关注度,利用互联网的“从众心理”,转化为实际的经济利益,比如购物网站的刷单刷好评。反向的制造流量则是通过制造虚假点击和访问,干扰目标的正常生产和运营活动,比如网络黑客手法里面的DDoS攻击、网店刷差评、外卖刷差评等。恶意制造流量的行为是不被平台和法律所允许的,对于微信平台的恶意制造流量,腾讯通过严控恶意注册微信号和公众号,严控流量分发,以及其他一系列技术手段,与对抗各类刷量行为。比如对于恶意制造访问量的DDoS攻击行为,无论是线上对抗还是配合公安机关线下打击,都在持续进行中。恶意流量是一个社会现象,这里面包含了很多问题,如互联网平台对虚假信息的认定问题,司法机关对罪行的认定问题等,不同角色的用户持有态度不同的问题。构建清朗网络环境,不仅需要健全不良信息的打击体系,还需要公众、互联网平台以及监管部门的多方参与,社会共治。2020 年,微信公众平台充分响应主管机关号召,先后开展了“恶意营销”“未成年人保护”“自媒体突出问题”“软色情”“有偿删帖”等专项整治行动,共计封停帐号441万余个、能力封禁帐号43万余个、删除有害文章超过730万余条。2020年,腾讯守护者计划协助公安机关打击各类网络黑灰产,共协助破案(含带破)达16120起,涉案总金额超过361亿元。1)野生动物保护专项;2)涉疫情诈骗及物资专项;3)众包型辅助注册解封微信案;4)《和平精英》“鸡腿挂”案;5)首例新型箱式群控“繁星盒子”案;6)首例云帐号恶意注册案;7)首例ICP恶意备案黑产案;8)城市消费券非法套现案;9)首例跨境非法经营网络地下钱庄案;10)微信“清粉”外挂专项。流量黑产起到的作用直接决定黑产变现的体量,在微信客户端里搜索「守护者计划」,可以了解十大案例的具体手法。恶意流量、内容安全的问题和自媒体运营者息息相关。在全民战疫仍是当前“焦点”和“热点”的今天,腾讯将继续秉持科技向善的理念,以互联网科技的力量,通过技术和产品为全球战疫提供支持,与广大运营者一起共同构建安全、清朗的网络环境。