道高一尺魔高一丈，黑灰产业、黑客团队这些离我们其实不远！

黑灰产披上网络外衣专事敛财 群防共治铲除网络黑灰产毒瘤

如今,网络黑灰产已不再局限于半公开化的纯攻击模式,而是悄然转化为敛财工具和商业竞争的不良手段,利润之高令人咂舌,相关统计数据显示其“年产值”逾千亿元。

频频曝出的网络黑灰产事件,尤其是那些从线下转向线上的违法犯罪活动,在套上“网络的外衣”后更具隐蔽性。

近期,公安部研究部署防范打击整治跨境网络赌博活动相关工作后,有赌博网站充值点藏身知名电商平台的消息旋即曝出。不法分子通过在平台上注册“空壳店铺”套取网络收款码,再以虚假交易、分包垫资等手段,为赌客充值,向赌博网站输送资金。

在警方与一些电商平台的联手狙击之下,这类店铺的生存空间正在被无限压缩。

多位专家在接受《法制日报》记者采访时坦言,网络黑灰产已成为为害全球的毒瘤,然而受制于法律规定模糊不清、取证难、维权难等问题,这一毒瘤的去除并非易事。亟待将相关行为纳入有效的法律规制,在政府治理之外,充分发挥互联网企业、平台、行业协会、网民群体等主体的作用,形成反击网络黑灰产的群防共治系统工程。尤其要调动平台的积极性,赋予平台相关的监管职责。

网络黑灰产类型多，线上违规不易察觉

随着网络的发展,网络黑灰产的外延只增不减。

互联网上存在的黑色、灰色产业链。从大的类别上讲,网络黑灰产分为黑色产业链和灰色产业链两种,黑色产业链是已经定性为违法犯罪的产业链行为,灰色产业链则是指游走于违法犯罪与法制缺漏模糊领域的产业链行为。

电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。通常而言,黑产主要包括“黑客攻击”“盗取账号”“钓鱼网站”三类违法活动；灰产主要是指处于法律灰色地带的“恶意注册和虚假认证”。

网络黑灰产的范围很大,类型更是数不胜数。涉及个人信息的黑灰产,流量造假的黑灰产(如广告联盟中的虚假点击、僵尸粉的买卖、舆论谣言的侵权和PR公关信息的传播)以及利用互联网服务把线下的一些违法违规服务转移到线上,如线下不允许卖淫、嫖娼,到了线上通过互联网直播刷礼物加微信等一系列操作,将相关行为转移到线下,或者线下不允许烟酒类、与性有关系的产品、一些保健类食品等做广告的,到了线上做这些广告则没人管。

将电商和黑灰产有机结合在一起的网络黑灰产更具隐蔽性。近日由广东警方披露的一起案件,充分体现了这一点。

一家开在某平台的网店,从表面上看,买家下单、卖家发货、买家确认收货、卖家收款等常规交易流程一个都不少,甚至这家店的货走量还很大；但实际上,在这一切电商交易的背后,都隐藏着一个“见不得光的生意”。

这个生意就是博彩。记者了解到,其具体操作模式是这样的:不法分子通过后台操作系统,将一些跨境非法博彩App与电商平台的店铺相对接,博彩参与者即可通过微信支付、支付宝等方式充值注入赌金,参与赌博。

“在一整套看似合法的购物流通环节中,其实商家与客户并没有进行实质性的交易,其交易行为纯属虚假交易,严重破坏了市场正常的商品流通及金融秩序。”广东省和平县警方说。

据广东省和平县警方消息,被移送审查起诉的6人中,张某进作为老板指示李某为团伙提供技术支持,实现店铺批量下单、自动发货功能；冯某等4人负责寻找批量身份证信息来办理相关的银行卡。

张某等人的操作首先引起了平台方某平台的注意。此前某平台上线“可疑信息实时巡查系统”,从商户入驻上传商品开始,系统便对相关交易额、频次、时间、购买用户等进行多维度建模,协助警方对平台可疑店铺、交易进行常态化巡查,及时发现涉案线索并保存证据,深挖违法行为背后的组织者、经营者、获利者。

随后,某平台与警方通力合作,一举破获了这起以电商平台为依托开设网络店铺从事非法交易的网络黑灰产案。活跃在广东省惠州市一带的张某等15人被警方抓获,高达800多万元的资金被冻结。

“传统的犯罪类型正在蜕变,通过‘互联网+’模式催生了大量新的具有互联网特性的犯罪。”齐爱民说。

黑灰产规模近千亿，成为经济社会毒瘤

据南都大数据研究院等机构发布的《2018网络黑灰产治理研究报告》估算,2017年我国网络安全产业规模为450多亿元,而黑灰产已达近千亿元规模；全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元,并且电信诈骗案每年以20%至30%的速度增长。

网络黑灰产的危害很大,特别是其中的黑产业链,不但对互联网产业产生极大的破坏作用,也给经济社会治理带来巨大挑战。如果治理不利,将给国家和社会秩序的有效维护带来很大的麻烦。

就连刚刚成功狙击了网络黑灰产的某平台,也曾经掉入被网络黑灰产“薅羊毛”的坑。

1月20日,某平台出现了一场“薅羊毛”事件。有网友发现,利用平台漏洞可领取100元无门槛优惠券,以低至0.46元的价格购买到价值100元的商品。部分某平台用户在网上发布漏洞消息,晒出话费、Q币充值截图等“作业”后,引起大批“薅羊毛”行为。

对此,某平台平台第一时间修复漏洞,收回了用户领取且尚未使用的优惠券,对已购买的商品,建议终止物流派送。同时向公安机关报案,称将积极配合相关部门对涉事黑灰产团伙予以打击。

某平台并非第一家被“薅羊毛”的平台。此前,万豪酒店出现酒店订单bug价；去哪儿网、东航因系统失误而出现的超低价机票订单；100美元一晚的Airbnb(爱彼迎)预订,用100元人民币也可以支付的汇率bug……

值得注意的是,在这些“薅羊毛”事件中,总少不了三个群体:一是偶尔利用平台漏洞捡漏的普通用户；二是明知是漏洞却依旧多次“薅羊毛”的“羊毛党”；三是以此谋利的黑灰产团伙。其中,第三类群体的社会危害性最大,因为其往往和违法甚至犯罪联系在一起。

治理难题不容忽视，创新技术源头治理

近年来,在相关部门加大对网络黑灰产打击力度、取得积极成效的同时,有关黑灰产治理的难题与困境也暴露出来。

首先是相关法律规范存在缺失,亟待完善。由于网络黑灰产包括的范围很广,因此并没有一个专门的统一规定来规制网络黑灰产。从法律规定来看,刑法、网络安全法、治安管理处罚法等法律法规对其有当然的规制职责。从有效治理的角度看,今后可通过政府政策性文件、部门规章等形式对网络黑灰产进行系统的政府治理。“要把黑灰产的黑色、灰色产业链行为纳入有效的法律法规规制之下,解决在此方面法律法规针对性不强和有所缺漏或迷糊不清的问题。”

在网络黑灰产产业链中,有些行为逐渐纳入了法律规制的范围内,但有些还处在法律边缘,“对平台和监管部门来说,都难以界定”,比如注册账号、养号的问题。“这些行为往往是要发展下游犯罪的,在规制层面,由立法公权介入规制还是由平台进行禁止,还需要再讨论。”

其次是依法监管与打击的力度亟待强化。丛立先认为,执法部门的整体水平上还有进一步提高的空间。存在的主要问题是治理思路不够清晰,工作方式被动性大于主动性。还需解决治理部门众多而又交叉、多头管理、权责不清的问题,“应进一步明晰管理部门的监管权责”。

取证难作为执法难题尤其需要引起重视。很多网络黑灰产虽然在国内开展业务,但已经把从业人员和服务器等转移到国外,或者使用国外手机号,行为人在国内进行违法活动,这些已经是一些常规操作。现在,还有一些犯罪分子使用云服务器,这些云服务器很多是租用美国或者欧洲等在境外的云服务器,服务器设在境外意味着侦查部门需要国外企业及执法部门配合,所以云端取证也是目前公安侦查取证的一个大难题。

随着人工智能等技术的发展,取证难也随之升级。比如,通过人工智能技术识别平台中图形验证类的文字、数字来帮助犯罪分子注册大量虚假账号,或者通过模拟真实用户操作,逃避平台的甄别和监管,以此留住账号。

创新安全技术才能实现源头治理。同时,打击黑灰产是一个成本博弈问题,提高违法成本将有力震慑网络黑灰产从业者,在与黑灰产博弈的过程中,让违法者的违法成本大幅提升。

值得注意的是,在对网络黑灰产的打击中,平台是一支过去被忽视的重要力量。

除了政府治理之外,互联网企业、平台、行业协会、网民群体也要群策群力,形成反击网络黑灰产的群防共治系统工程。

“对网络黑灰产的治理,一个非常重要的具体手段是调动平台的积极性,赋予平台相关的监管职责,充分发挥平台对于平台上的产业链的主体作用。”让平台在商户、用户等平台主体的监管权责上更有自主性,让平台在网络安全、信息数据的控制和流动上担负更多的职责,监管部门对平台采取信任的态度和监督的方式,而不是过多插手平台上的具体产业链管理行为。

作为网络平台,一方面可以从数据安全保护的角度出发打击黑灰产,按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制订网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。

另一方面,平台需自主研发创新的安全保障技术,构建可信、智能、合规的云安全平台,并协同生态伙伴和企业共建安全生态。将信用引入到整个网络安全管理的体系中。比如,政府和企业之间、企业和企业之间,建立更多的信用互通,让违法分子为从事黑灰产付出应有的代价。

平台在治理黑灰产方面已展现出独特优势。

以某平台为例,据平台治理负责人介绍,在技术方面,某平台将分布式人工智能等技术应用于黑灰产治理领域；平台对入住商家的资质审核要求严格,审核时所有主体必须符合人脸识别等活体检测标准,一旦出现异常,在事后溯源时可以向执法部门提交完整资料；此外,平台还上线了实时对接支付机构的系统,这意味着一旦平台上报可疑商铺的信息,支付机构可以做到即时处理,而在以往大概需要24小时。

网络黑灰产已成为为害全球的毒瘤,然而受制于法律规定模糊不清、取证难、维权难等问题,这一毒瘤的去除并非易事。亟待将相关行为纳入有效的法律规制,在政府治理之外,充分发挥互联网企业、平台、行业协会、网民群体等主体的作用,形成反击网络黑灰产的群防共治系统工程。尤其要调动平台的积极性,赋予平台相关的监管职责。

黑客崛起之路：蓝莲花战队、BET和黑产那些事

一个黑客的年收入达到1000万不是问题。中国在很多领域都与发达国家存在巨大差距，但黑客水平却达到了世界顶尖。中国的网络安全目前已形成了“BET”的领头羊格局。

中国在很多领域都与发达国家存在巨大差距，但黑客水平却达到了世界顶尖。

近日，一支名叫蓝莲花的黑客团队刚从美国拉赌城斯维加斯凯旋而归，与他们一同回国的还有一座DEFCON CTF的亚军奖杯。

这一赛事是网络安全的世界杯，诞生于1992年，又称电脑黑客秘密大派对，每年都会在美国举行，今年是中国第5次参赛，以极其微弱的差距惜败美国PPP战队，取得世界第二的历史最佳成绩。

参赛队员年纪很小，以学生为主，基本都是90后，但每个人都称得上黑客中的顶尖高手。他们的成长历程可算是中国黑客崛起的缩影之一。

而在这一赛事的背后，中国网络安全攻防战及黑色产业链的神秘面纱也被逐渐揭开。

黑客崛起之路

杨坤，蓝莲花战队队长，1989年出生，典型的中国技术男形象，他不仅是清华大学网络与信息安全实验室的在读博士，还创办了一家网络安全技术公司。

比赛中，杨坤负责二进制漏洞的挖掘和利用，对网络安全了解的人都知道，发现漏洞是最高难的技术，举个越狱的例子就能明晰：发现从监狱逃脱途径的人最聪明，而那些为逃脱制造工具的人（类比制造病毒如木马的人）士是比不上前者的。因此，漏洞发现者也称为黑客中的黑客。

百度安全事业部负责人马杰对杨坤的印象是个人能力强，组织力强。在他的带领下，蓝莲花战队以极为微小的差距屈居美国PPP战队之后，位列世界第二名。

不过，这已是中国历史上的最好成绩，并且含金量极高。中国的黑客队员大都是在校学生，如清华大学、上海交大、复旦大学、浙江大学，他们利用课余时间研究网络安全技术，工作实践并不多。

而其他国家的队员，既有学生（卡梅隆大学）也有来自一线的在职人员，如苹果、谷歌、微软等公司，一些参加过多次比赛的核心队员不会因为工作而放弃。

获得第三名的韩国队就更有“背景”了，由政府出资在全球招募网络安全专家，给韩国学生讲课，并采用“重奖+淘汰”机制，称为“白帽黑客培养计划”。

但中国就不同了，走上工作岗位的学生往往会因为工作繁忙而放弃比赛，“中国的公司和员工都在忙着生存，现在的核心队员只有最初的一半。”杨坤解释。

但中国也有自己的办法，首先，从基本素质来说，中国学生秉承了聪明、刻苦的传统，在外部资源上，先后拉来了安全宝和百度安全中心的资金支持。此外，为了获得好成绩，上海交大的0ops战队与杨坤带领的蓝莲花战队合并到一起，增强了实力，最终夺得世界第二。

实际上，这已是中国第5次参加DEFCON CTF了，每次排名均比上一次有所提升，杨坤总结，正是国际赛事成就了他们这批中国黑客。

2012年，杨坤看到DEFCON报名的消息，抱着试试玩儿的初衷，与清华大学老师诸葛建伟商量，得到老师的赞许后，他在清华大学组建了一支队伍，并联系到成都信息工程学院的网络安全小组，双方组成战队，此时的杨坤正处于保研阶段。

“没想到当年取得10多名的成绩，差点进入决赛，这给了我极大信心。”杨坤回忆。从2013年开始，蓝莲花战队每年参赛，每次都进入了决赛，成绩一次比一次好。

除DEFCON之外，杨坤和队员还广泛参与国际国内赛事，如ICTF（国际高校黑客竞赛）、XCTF（国内知名黑客竞赛），杨坤评价，“从最初什么都不懂到现在，竞赛起了很大作用，这些比赛最大的特点是，把日常中碰到的问题积累浓缩在比赛题目中，紧跟现实，启发性很大，并且比赛环境是竞争性的，可激发潜力，进步飞速。”

反观国内高校的网络安全课程，杨坤认为，要想成为黑客是远远不够的，“传统的课堂教育大多局限于基本理论，难以跟上技术发展，安全技术更新的非常快，新技术的攻防经常变化，实践才是最重要的。”直到去年，网络安全才列为一级学科，此前一直是计算机科学下面二级学科。

在学习和比赛之余，这群黑客并没有利用技术滑向黑产，相反，他们纷纷创办了网络安全服务公司。

2014年7月，杨坤与战队的其他三个成员创立北京长亭科技有限公司，主营企业级的网络安全服务与防护产品。

技术男并非只懂技术，他们对诗歌也十分热衷，长亭二字，即取字“长亭外，古道边，芳草碧连天”。更为巧妙的是，黑客们大都具有国际眼光：长亭与美国数学家和计算机学家Chaitin的名字谐音，体现了其面向国际的理念。

据杨坤介绍，自创立以来，长亭科技的客户已达近百家企业，并且网络安全市场每年增幅很大。

网络安全“BET”浮现

蓝莲花的成功离不开背后一家公司的技术、财力支撑，2015年之前，蓝莲花的全称为安全宝蓝莲花，之后改为百度蓝莲花，而前文提到的马杰在其中扮演了核心角色。

从瑞星辞职后，马杰于2011年创立了安全宝公司，主营企业云安全，这也是李开复在创新工场中孵化的一家科技公司。

马杰回忆，2013年诸葛建伟老师找到我，说蓝莲花进入DEFCON决赛的希望很大，希望获得企业赞助，到美国打比赛，赞助刚刚谈妥的当天晚上，就传来了蓝莲花进入决赛的消息。

之所以赞助蓝莲花，马杰解释，由于缺少资金，中国人在国际赛事中常年缺席，更重要的是，做网络安全的人那边滑一点就是黑产，虽能挣很多钱，但给社会带来危害，所以，我鼓励年轻人到世界舞台表达愿望，而不是黑个网站。自此，安全宝独家把蓝莲花打国际比赛的费用全包了下来，直到2015年。

2015年4月，百度收购安全宝，将其纳入安全事业部，马杰转身该事业部负责人，继续支持蓝莲花战队，只是名称改为了百度蓝莲花。

提起百度安全事业部，因其低调的行事风格，知晓的人并不多，实际上其在国际上的知名度远高于国内。

在DEFCON竞赛期间，同时召开了“全球黑帽大会”，微软每年都会在这时用背景墙列出为微软安全做出巨大贡献的MSRC Top100黑客贡献榜，以鼓励和致谢为全球安全事业做出巨大贡献的TOP100黑客。

榜单中，百度安全事业部的X-lab（百度安全实验室）的黄正和李克萌入选TOP100黑客贡献榜，百度维持了微软漏洞挖掘能力的领先水平，获得16次致谢排名全球第三，而黄正和李克萌个人分别位列全球第8和第82位，百度安全黄正位列中国第一。

而百度安全事业部的张熠辉龙和韦韬共同入选了PEBBLE HALL OF FAME荣誉殿堂，原因是他们发现了一个能够让攻击者完全控制所有（几百万）包括Pebble智能手表在内的基于ARM Cortex-M的智能设备及物联网设备，进而窃取和控制受害者生活工作隐私数据的漏洞，同时提交了应对该漏洞的防护方案。

事实上，百度安全事业部的日常工作之一就是研究微软、苹果、谷歌、安卓、WINDOWS等平台的漏洞，并找到解决办法。

以安卓为例，韦韬将安卓系统的安全性问题，比喻为“生态的安全漏洞”、“Android系统的白血病”。

马杰解释，造成这一重症的原因主要在于谷歌开源平台，这样一来，下游厂家把源代码拿来后，会根据自己产品的需要做改动，即使谷歌知道这些漏洞的存在，如果下游厂商不改进、或没有能力改进，就会导致无法修补已公开和未公开的漏洞，从而像白血病那样，无法治愈。由于WINDOWS不开放源代码，所以问题没有安卓这么严重。

如何解决？韦韬在黑帽大会上推出了“自适应内核热修复技术”，其能够自动匹配目标安卓系统的漏洞进行在线热修复，马杰称，可以修复市场中99.4%安卓产品的内核漏洞。

由于没有盈利压力，1000多人的百度安全事业部，可以静下心来做研究，在此之余，也秉承了安全宝的商业模式，为企业提供网络安全服务。

在马杰看来，中国的网络安全目前已形成了“BET”的领头羊格局，即百度、360（E在西方国家代表3）和腾讯。

暗战黑产

山东女孩徐玉玉被骗身亡事件让网络黑产再度引起关注，类似的事情实际上每天都在上演。

8月24日，泰国大约一千台ATM机被入侵，造成1200万泰铢已经被盗，调查发现，这个黑客组织属于东欧的一个黑手党；此前，美国民主党总统候选人希拉里·克林顿竞选团队的计算机网络遭到黑客攻击，这已是黑客对美国民主党计算机网络的第三次攻击；一个更加著名的案例是黑客控制了智能汽车的操控设备，可以远程造成车毁人亡；甚至心脏起搏器也能由黑客任意操作......

在马杰看来，如果不惜代价，任何一个系统都可以被黑客攻入，包括五角大楼。而事先做出一套完美的系统是不可能的。

他举例，就像一间房屋，如果只有40平米，做防护是相对容易的，只要控制住了门窗及通风口，就差不多了，但即使这样，只要下功夫，小偷也是可以进入的；如果是一栋楼，漏洞就会比房间多很多。而安卓、微软、谷歌的系统就像是一个望京小区，攻入这个小区并不是难事。

在这样一个漏洞百出的虚拟世界和高昂回报下，黑产始终在地下蓬勃发展，杨坤告诉21世纪经济报道：“一个黑客的年收入达到1000万不是问题。”

马杰介绍，黑产是一个分工明确的产业链，上游有人负责发现漏洞，将这个漏洞卖给下家，下家会根据这一漏洞的特点编写病毒如木马，下一个环节，则有人将这些木马植入网站（挂马），尤其是那些信任度高、漏洞多的网站如政府、教育网站，接着，黑客会根据已控制的系统情况出去接生意，如有不知情者打开或下载了病毒软件，其信息、数据、各种形式的货币都可能不翼而飞。

美国曾在上世纪80年代盛行信用卡盗窃，FBI也抓获了大量黑客，中国的信用卡起步较晚，并且覆盖率低，加之中国银行很快意识到这一问题，及时建立了防护，才没有大面积爆发。

不过，中国的黑产也有自身特点，曾经盛行的包括垃圾邮件、网站瘫痪、电商数据泄露、骗取电商补贴（如滴滴补贴）、P2P网贷等。

以电商数据泄露为例，几乎每个中国人都曾遇到，马杰介绍，有些黑产公司售卖所谓“客户营销系统”，就是在某电商网站里嵌入一段代码，如果用户访问过这个网站，他的手机号、QQ邮箱等信息就泄露出去了，这是客户就可能接到推销电话。

又如DDOS攻击会导致网站瘫痪，这可能是竞争对手的有意为之，DDOS攻击通过超大流量堵住某网站的入口，造成瘫痪，真正的客户却无法登录该网站。就像雇一群人堵住店家的门面一样。

“现在只用500块钱就能让网站瘫痪，因为一般网站租用带宽只有10几兆到100兆，而500块就能发出1、2个G的攻击。”马杰说。8月9日，英国《每日邮报》报道称，只用25美元就可掌握一个安卓用户的行踪，代价之低难以想象。

马杰总结，目前中国主流的黑产形式包括DDOS攻击、窃取数据、套取补贴、P2P在线交易等。而在世界范围内，据2016年网络安全威胁TOP6分析报告，上半年全球网络安全威胁排名风别为，勒索软件、大型数据泄露、身份认证盗窃、移动安全、物联网和增强现实游戏（AR）。

不过马杰认为也不必过于担忧，魔高一尺道高一丈，世界各地的网络安全工程每天都在与黑产从业者们做斗争，未来世界并非变得更加不可控。

这时，百度安全事业部的一个员工推门而入，手里抱着一箱子冰淇淋，人人有份，“百度安全事业部有条不成文的规定，如果有人离开座位不锁屏，就会有其他同事冲过去，用他的邮件给每个人发信息说我请大家吃冰淇淋。”马杰说：“安全不光是技术问题，管理和习惯也很重要。”