起底網(wǎng)路黑灰産“黑金”利益鏈
“薅上一天,夠吃一年?!边@句“羊毛黨”中流行的口頭禪在日前拼多多被“薅羊毛”事件中成為現(xiàn)實(shí),並揭開了國內(nèi)網(wǎng)路黑灰産的冰山一角。中國證券報(bào)記者調(diào)查發(fā)現(xiàn),網(wǎng)路黑灰産已形成年産值達(dá)千億級別的龐大“黑金”利益鏈,並通過上中下游的嚴(yán)密分工構(gòu)建起了一個密切協(xié)作的網(wǎng)路,輕則讓企業(yè)遭受數(shù)千萬元損失,重則讓企業(yè)直接破産。
網(wǎng)路安全專家在接受中國證券報(bào)記者採訪時(shí)表示,近幾年黑灰産的技術(shù)手段越來越強(qiáng),形式日益多樣化,而且絕大部分面向雲(yún)業(yè)務(wù)和移動應(yīng)用等形態(tài)。傳統(tǒng)的“老三樣”安全産品——防火牆、入侵檢測和防病毒已不能解決問題。要有效治理黑灰産,需要建立更科學(xué)、系統(tǒng)化的安全機(jī)制,並廣泛應(yīng)用大數(shù)據(jù)分析等手段來發(fā)現(xiàn)和解決問題。
産值龐大 危害巨大
“事件發(fā)生時(shí)正值我們進(jìn)行‘年貨節(jié)’大促,期間有大批量平臺正常發(fā)放的優(yōu)惠券被消耗,黑灰産團(tuán)夥就是挑準(zhǔn)了這個時(shí)機(jī)下手的。至1月20日上午9點(diǎn),遭盜取優(yōu)惠券和正常優(yōu)惠券的總和突破平臺預(yù)設(shè)閾值,系統(tǒng)監(jiān)控到異常並自動報(bào)警後被發(fā)現(xiàn),我們在第一時(shí)間修復(fù)了相關(guān)漏洞,並報(bào)警?!逼炊喽囡L(fēng)控團(tuán)隊(duì)負(fù)責(zé)人李明(化名)告訴中國證券報(bào)記者。
這起事件,揭開了國內(nèi)黑灰産“黑金”利益鏈的冰山一角。
2018年5月發(fā)佈的《數(shù)字金融反欺詐白皮書》顯示,2017年我國黑産從業(yè)人員超過150萬人,年産值達(dá)千億級別。與之相比,我國的網(wǎng)路安全市場規(guī)模還不足400億元。從暗扣話費(fèi)、廣告流量變現(xiàn)、手機(jī)應(yīng)用分發(fā),到木馬刷量、勒索病毒、控制肉雞挖礦,網(wǎng)路黑産無處不在,而“薅羊毛”正是黑灰産的重要盈利模式之一。
360-ADLab安全專家陳卓健向中國證券報(bào)記者介紹,“我們把這些專門在網(wǎng)際網(wǎng)路上伺機(jī)‘薅羊毛’的稱作‘羊毛黨’,他們一般會比較關(guān)注網(wǎng)際網(wǎng)路中快速發(fā)展起來的公司,因?yàn)檫@些公司為了快速發(fā)展會做一些註冊送優(yōu)惠券的活動,黑産團(tuán)夥發(fā)現(xiàn)漏洞後,會從接碼平臺中申請大量手機(jī)號進(jìn)行註冊獲取優(yōu)惠券,然後進(jìn)行變現(xiàn)。”
“羊毛黨”不僅僅是佔(zhàn)小便宜那麼簡單,很多是遊走在違法犯罪的邊緣。李明介紹,“這次事件中的優(yōu)惠券,是我們與江蘇衛(wèi)視《非誠勿擾》節(jié)目合作時(shí)因錄製需要特殊生成的優(yōu)惠券類型,僅供現(xiàn)場嘉賓使用,從未出現(xiàn)在平臺正常的線上促銷活動中,是黑産團(tuán)夥通過非正常途徑生成二維碼掃碼後獲得,上海警方已經(jīng)以涉嫌網(wǎng)路詐騙罪立案?!?/p>
近年來,中招的不止拼多多,最近的一起案例是2018年12月17日,在星巴克上線的“星巴克APP註冊新人禮”行銷活動中,黑灰産利用大量手機(jī)號註冊星巴克APP的虛假賬號,並成功領(lǐng)取活動優(yōu)惠券。隨後,星巴克緊急下線了該活動。網(wǎng)路安全廠商“威脅獵人”估計(jì),短短一天半時(shí)間,如不及時(shí)止損,按普通中杯售價(jià)估算,星巴克損失可能達(dá)1000萬元。
“大公司被薅走幾千萬可能不會對公司發(fā)展造成太大影響,但很多初創(chuàng)公司在發(fā)展初期亟須通過行銷活動增加註冊用戶量,直接被薅走一大筆行銷費(fèi)用,收穫的卻是一大堆‘僵屍用戶’,可能直接導(dǎo)致公司破産?!标愖拷√寡?。
分工明確 密切協(xié)作
中國證券報(bào)記者調(diào)查發(fā)現(xiàn),網(wǎng)路黑産不但産值龐大、危害巨大,而且已經(jīng)形成了分工明確、上中下游緊密協(xié)作的産業(yè)鏈。
志翔科技産品副總裁伍海桑向中國證券報(bào)記者介紹説,“黑灰産産業(yè)鏈分為上、中、下游,而且各個環(huán)節(jié)一環(huán)扣一環(huán),是緊密協(xié)作的關(guān)係。上游和源頭是基礎(chǔ)性技術(shù)環(huán)節(jié),主要承擔(dān)的是網(wǎng)路黑産的技術(shù)開發(fā)環(huán)節(jié),如驗(yàn)證碼識別、自動化軟體等,以及利用軟體、網(wǎng)站及運(yùn)營商的後臺漏洞批量註冊虛假賬號、惡意賬號和養(yǎng)號等?!?/p>
在拼多多的案例中,李明指出,“通過該非正常途徑生成的二維碼,原本每個認(rèn)證資訊的用戶僅可領(lǐng)取一張無門檻100元優(yōu)惠券。而非此前網(wǎng)路流傳的單個ID可以‘無限領(lǐng)取’。因此,有黑灰産團(tuán)夥通過‘養(yǎng)貓池’(用手機(jī)卡蓄養(yǎng)大量虛擬賬號)等不法手段,實(shí)現(xiàn)N張手機(jī)黑卡同時(shí)作業(yè),批量盜取該種優(yōu)惠券?!?/p>
“黑灰産鏈條的中游扮演賬號提供商和交易交流平臺的角色,主要是對其活動進(jìn)行組織、運(yùn)營和推廣,包括通過建立大量的‘羊毛黨’QQ群發(fā)展下線;産業(yè)鏈的下游則利用這些虛假賬號和惡意木馬等進(jìn)行欺詐、盜竊、釣魚、刷單等各種類型的惡意行為,最終達(dá)到變現(xiàn)目的?!蔽楹I1硎?。
中國證券報(bào)記者加入一個1000多人的“羊毛黨”QQ群後發(fā)現(xiàn),群管理員不斷在群裏刷新“薅羊毛”的線報(bào),一位群成員告訴記者,“這只是一個散群,一個‘羊頭’能同時(shí)管理十幾個像這樣的散群,盈利模式也有很多,比如他們會請駭客去‘挖洞’破解平臺的活動,除了自己‘薅羊毛’,還會把破解方法在群裏兜售,甚至直接免費(fèi)發(fā)佈在群裏?!?/p>
黑灰産團(tuán)夥在變現(xiàn)和反偵察方面也有一套成熟的經(jīng)驗(yàn)。在拼多多的案例中,李明介紹,“盜取優(yōu)惠券後,黑灰産團(tuán)夥通過手機(jī)話費(fèi)、Q幣等虛擬充值的方式,試圖在短時(shí)間內(nèi)迅速轉(zhuǎn)移不當(dāng)所得。同時(shí),為了達(dá)成‘法不責(zé)眾’的效果,迅速通過網(wǎng)路和社交群將二維碼分享出去,誘導(dǎo)一些普通消費(fèi)者跟風(fēng)掃碼,並編造謠言混淆視聽,試圖逃避刑責(zé)?!?/p>
建立新安全機(jī)制加強(qiáng)防範(fàn)
李明表示,本次事件造成的實(shí)際損失大概率能控制在1000萬元以內(nèi)。為進(jìn)一步加強(qiáng)“特殊優(yōu)惠券”相關(guān)風(fēng)控體系,拼多多已成立技術(shù)專組。但是,此次事件還是在業(yè)內(nèi)引發(fā)了廣泛的討論與反思。
“近幾年黑灰産的技術(shù)手段越來越強(qiáng),形式也日益多樣化,而且絕大部分都面向雲(yún)業(yè)務(wù)和移動應(yīng)用等形態(tài)。傳統(tǒng)的‘老三樣’安全産品——防火牆、入侵檢測和防病毒已不能解決問題,要有效治理黑灰産需要建立更科學(xué)、系統(tǒng)化的安全機(jī)制,並廣泛應(yīng)用大數(shù)據(jù)分析等手段來發(fā)現(xiàn)和解決問題?!蔽楹I1硎?。
他指出,對抗黑灰産,首先要從觀念上打破過去的簡單修墻圍堵式安全理念,在雲(yún)業(yè)務(wù)時(shí)代,讓安全變得動態(tài),圍繞數(shù)據(jù)為中心,以身份許可權(quán)為新的邊界構(gòu)建自動化和智慧化安全體系,同時(shí)將大數(shù)據(jù)分析和人工智慧、機(jī)器學(xué)習(xí)等新的技術(shù)運(yùn)用於安全體系中,做到對安全事件的事前偵知、事中及時(shí)察知阻斷,事後快速溯源修復(fù)漏洞。
“從企業(yè)的角度而言,圍繞核心數(shù)據(jù)和核心業(yè)務(wù)來構(gòu)建安全機(jī)制,既要防外也要防內(nèi)。同時(shí),要基於業(yè)務(wù)加強(qiáng)風(fēng)險(xiǎn)管控,變傳統(tǒng)的‘人治’為‘技防’,並時(shí)刻加強(qiáng)對員工關(guān)於安全和風(fēng)險(xiǎn)防範(fàn)意識的培訓(xùn),及時(shí)升級系統(tǒng)來查漏補(bǔ)缺。另外,也需要安全企業(yè)、各個行業(yè)、運(yùn)營商、服務(wù)提供商和監(jiān)管執(zhí)法部門等多方合作?!蔽楹I1硎?。
陳卓健認(rèn)為,“企業(yè)要有效防範(fàn)黑灰産,關(guān)鍵是兩點(diǎn):一是需要常態(tài)化的審查自己的業(yè)務(wù)是否存在漏洞,甚至是業(yè)務(wù)流程需要介入安全測試環(huán)節(jié),主要包括安全上的漏洞和業(yè)務(wù)邏輯上的漏洞;二是需要進(jìn)一步規(guī)劃和加強(qiáng)自身的風(fēng)控能力,比如對電商平臺原有的圖片驗(yàn)證碼,短信驗(yàn)證這些防護(hù)進(jìn)行加固,以防止由於黑灰産活動造成的損失?!?/p>
最近幾年,各大網(wǎng)路安全廠商也針對黑灰産的猖獗進(jìn)行了針對性的研究。以360為例,公司開發(fā)的“三六零智控”便可以對黑灰産行為識別,“目前公司內(nèi)部的金融、直播等這些業(yè)務(wù)都在使用三六零智控的服務(wù)。通過三六零智控發(fā)現(xiàn)了不少黑灰産活動,實(shí)實(shí)在在挽回了不少經(jīng)濟(jì)損失?!标愖拷”硎?。(記者 任明傑)