打击网络黑产的“人民战争”

2017年1月28日，农历大年初一，某色情诈骗App一天流水高达2000多万人民币。诈骗团伙看到巨额流水依旧习以为常，甚至还有些窃喜。因为春节期间，被骗的人似乎多了不少，“生意”变得越来越好。

这个团伙自以为手法高明，规避了法律风险：

在网页上诱导用户下载，推送所谓的“情色片”给用户看，但是想看到“完整版”视频需要经过多轮付费，可是当用户层层支付数百元后，最后才会发现视频并没有“完整版”，甚至全程都只是“软色情”，这时用户才会恍然大悟——被骗了。

螳螂捕蝉，黄雀在后。他们这一切看似高明的动作都被远在深圳南山区腾讯大厦的一个团队盯在眼里，他们随时紧跟着网络上的黑产、黑客的行踪，和公检法部门做沟通，在全国打击网络黑产的行动中起到了关键作用。和“朝阳区群众”不同的是，他们靠技术吃饭，却有着不俗的“战斗力”。

这个团队有一个共同的名字——“守护者计划”，它是腾讯安全联合警方、运营商、银行等发起的反电信网络诈骗平台，2017年升级全面打击网络黑产，并取得了不俗的成果。

在打击网络黑产所取得的成绩中，除了“守护者计划”以外，还有一个不得不提的名字——腾讯安全反诈骗实验室。腾讯安全反诈骗实验室是“守护者计划”旗下基于大数据的方法，构建基于终端、管道和云端全覆盖的创新黑产分析和阻击模式的研究中心，为“守护者计划”和公安机关打击网络黑产提供技术能力、技术产品，这个实验室不断研究新技术，为打击网络黑产做出了重要贡献。

“老腾讯”：对付黑产是矛与盾的较量

农历大年初一，腾讯安全反诈骗实验室技术专家Lucifer像往常一样打开了自己的手机，工作群里同事发来了这几天的网络黑产监测数据。

Lucifer看到数据后有几分惊讶，因为一个不起眼的色情诈骗App一天流水金额就高达2000多万元。

安全团队从内部神羊系统中提取出该色情诈骗家族的相关证据，向警方寻求帮助，配合警方一起完善证据。

发现一个问题简单，要串联梳理出整个犯罪团伙并定性很难。Lucifer于是他让同事在线上对这个团伙进行了标记，并加紧向警方举报。

但他知道，这还远远不够，要想彻底解决问题，团队接下来需要配合警方寻找更多确凿的证据，这也是网络黑产犯罪的复杂性所在。

春节过后，“守护者计划”团队经过两个月的顺藤摸瓜，逐步发现全国有三个极具“影响力”的色情诈骗黑产团伙，在经过信息梳理、线索搜集以及内部反复沟通后，“守护者计划”团队把这个黑产团伙的犯罪线索提交给了公安机关。最终，这三个黑产团伙被连根拔起。

Lucifer 2010年加入腾讯，在腾讯从事安全业务已经有8个年头，这个“老腾讯人” 见证了腾讯安全业务从小到大的全过程。

如今，Lucifer在腾讯安全反诈骗实验室APK移动安全团队担任负责人。2015年以后，他明确地感知到，腾讯安全在慢慢向全社会释放安全能力。

Lucifer介绍，他所在的APK移动安全团队主要工作内容分为两个部分。

第一部分是查杀包含恶意行为的病毒木马(如恶意扣费,恶意广告骚扰,色情欺诈,仿冒公检法诈骗,用户隐私窃取等),为广大用户和以及合作伙伴保驾护航。

另外一部分则是对移动黑产进行研究，APK移动安全团队会对流行的移动端病毒黑产进行深入分析，剖析技术细节寻找打击方案，安全团队还会针对黑产背后的黑色产业链进行研究，从黑产线下打击提供弹药。

基于这类研究，腾讯安全反诈骗实验室研发了十多款面向政府和企业的安全产品，比如“态势感知”、“鹰眼”、“麒麟”、“神侦”、“神羊”、“神荼”，分别作用在电信网络诈骗的事前预警、事中拦截阻断、和事后案情分析。

在他看来，这些项目的诞生不仅是因为腾讯安全多年来安全能力逐渐积累提升，也和打击网络黑产工作中遇到的问题有关。

Lucifer坦言，过去的安全工作有时会让他感到无力。因为很难从根源解决网络黑产问题。以色情欺诈类为例，安全软件在面对这类威胁时，会给用户病毒警告，建议用户不要安装此类应用。但因为色情”刚需”，某些用户无视风险尝试安装并支付，发现被骗后，由于无法找到欺诈方，最后只能在微信支付等平台进行投诉。

和Lucifer一样感同身受，腾讯安全反诈骗实验室APK移动安全团队的的阿东近10年的工作中也发现了这个问题。

阿东也是一个“老安全人”，他曾经在金山、百度等互联网公司的安全部门工作，两年前加入腾讯从事移动安全研究工作。

以前在PC时代负责安全业务，阿东日常工作侧重于查杀病毒，处理样本。阿东回忆，当时的网络黑产犯罪分子一般是作坊式运作，攻击者自己购买木马,然后通过流量渠道进行传播,关键技术领域完全依托”技术专家”。

加入腾讯后，他发现现在的工作和以往大不相同。

他现在的工作更偏向于病毒、网络黑产产业链的打击。阿东介绍，网络黑产背后往往是一家家组织严密的企业，有开发，有运营，有商务，有的团伙甚至为了切断证据链，最大程度规避法律风险，把不同的工作内容分散在不同公司。

阿东以色情诈骗App举例说，其背后的产业链分工非常明确。

上游企业负责应用开发，甚至应用开发方会专门研究如何与杀毒软件进行对抗；中游有专门的支付公司负责开发支付接口，下游还有企业负责在广告联盟等渠道购买流量负责应用投放，投放方会在不同渠道以不同安装包的分身方式生成马甲避免被“一锅端”。

甚至，安全企业和黑产企业之间正在形成“矛和盾”的较量，双方不断在技术研究、资源投入层面展开较量。

在长期遏制网络黑产的工作中，Lucifer和阿东意识到，打击黑产很难在一个点上做到遏制，需要进行立体式防护。线上不仅需要通过安全软件封杀恶意应用安装，还需要通过安全服务产品阻止网络黑产变现支付，线下则需要联合警方把从源头上打掉犯罪团伙。这样立体防护才能有效解除网络黑产威胁。

“白帽子”：单打独斗的时代早过去了

这种观点也是很多独立“白帽子”的感受。

MX年仅22岁，这个“白帽子”今年6月前还是个大四学生，他常常潜伏于企业官网、政府官网甚至是线上博彩平台。

和很多“白帽子”一样，他并不喜欢别人知道他的真名。问到这个问题时，他总会犹豫一秒然后回答道，“你就叫我的代号吧，这是圈内习惯。”

MX经常趴在企业、政府甚至是博彩平台的网站上，寻找平台漏洞、网络黑产迹象甚至是犯罪检索，做这些事情的目的纯属“行侠仗义”。

对这个“智商过剩”的年轻人来说，把漏洞、线索提交给国内安全公司的安全应急响应中心不仅可以获得一定的奖励，更能有技术的快感。

MX喜欢研究社会工程学的理论。在他看来，绝对的技术有时并不可怕，真正令人恐惧的是，利用人性的漏洞其实是攻破安全防线最捷径的方法。

他甚至有时会尝试印证他的研究理论。一次他在某品牌手机官网上寻找到了客户的电话，以客服人员为“目标”，通过“假装”售后维权的方式，给客服发送邮件，“诱骗”客服点击植入了木马病毒的链接，最终入侵了该品牌的内网。

入侵后，他给对方留下一封邮件，告诫这家品牌要加强内部安全建设。

这样的尝试很危险，但给他的启示是，利用人的弱点，如：恐惧、轻信、健忘、胆小、贪便宜等，可以轻易地攻破技术构建的“马奇诺防线”。

MX自己清楚地认识到，他这种行为本身就是存在法律风险的。所谓的正义行为游走在边缘地带，“行侠仗义”其实在挑战企业的接受底线。一旦这种“善意”的入侵造成了意想不到的恶劣后果，他依旧要承担法律责任。

17年5月，在某家博彩网站上的潜伏经历则是给了他极大的震撼。

MX在这家网站上发现，不少赌徒在网站大量充值，参与平台上的博彩项目，但有黑客通过技术手段窃取了几个赌徒的账号密码，并且随即把资金转移进了自己的银行卡内。

更令他感到震惊的是，黑客的卡实际上来自黑市。黑客每次用卡实际上是提心吊胆，因为很可能会遭遇“黑吃黑”，卖卡方很可能就在卡里做了手脚，一旦有资金到账，卡里的资金就会被瞬间划走。

面对这个环环相扣而且“黑吃黑”的网络黑产链条，他无力再深入挖掘。

MX反思，如果自己继续追查下去，或者是用“捣乱”的方式在其中任何一个环节“搞破坏”，都可能会给自己带来麻烦，甚至会违反法律。

他只能向某家安全平台提交线索，后来平台方和警方合作关闭了这家博彩网站，其他犯罪链条警方也在追查。

这次经历让MX深刻认识到，个人单打独斗逞英雄的方式去面对网络黑产很无力。他最终也认识到，自己很多看似正义的行为存在法律风险，对网络黑产、黑客打击作用甚微。

今年6月毕业之后，原本打算继续以个人“白帽子”身份在网络江湖里厮混的MX选择“被招安”，去安全公司工作。

MX感慨，单打独斗就像“唐吉坷德骑马刺向风车”，个人面对网络黑产所能起到的作用非常有限，企业、警方、社会才是打击网络黑产的主体。

“老警察”：用公检法的智慧协助办案

不仅仅是“白帽子”，很多公检法机关的工作人员也投身于互联网企业，更换成另一种身份从事网络安全和网络黑产打击的工作。

伴随着腾讯安全旗下“守护者计划”等全产业链的安全项目接连诞生，Lucifer发现，2015年左右腾讯安全部门引入的“老警察”越来越多。

所谓“老警察”是腾讯安全部门内部的一个代号，他们实际上是一批从公检法机关、安全企业离职来到腾讯从事安全业务的专业安全人才。因为在公检法机关有多年和网络黑产团伙作斗争的一线经验，他们不仅嗅觉敏锐，而且年龄比团队内一般技术人员年龄要大，结果被技术人员们戏称为“老警察”。

日常工作中，“老警察”们要和技术部门对接，还要根据技术部门提供的数据做分析、调查，发现异常情况后利用自己的丰富经验和技术部门做进一步验证，继续挖掘线索，最终把问题提交给公检法部门，协助公检法部门一起破案。

愿意加入“守护者计划”的“老警察”，大多是一群愿意寻找改变的人。

“守护者计划”的安全专家老李正是这样的“老警察”。原定在中午11点半的交流被推迟到了12点半，他正好需要和公安部门进行一场电话会议。这样的电话会议在日常工作中常常会遇到。

警校4年、从警8年，这个“老警察”在侦查、法制工作中足足摸打滚打了12年。过去，他在执法过程中常常遇到阻碍，比如要抓捕嫌疑人的时候，团队只是掌握了嫌疑人网络虚拟身份。虚拟身份背后的真实身份却无从而知，只能通过找互联网公司协作，去确定犯罪嫌疑人信息，最终准确实施抓捕。

2016年4月“守护者计划”成立后，他在6月份放弃原有的“铁饭碗”，选择加入“守护者计划”的团队。

对老李来说，做出这个决定并不轻松。职业转型的顾虑一方面源于执法身份的转变，另一方面也来源于对技术的陌生。

但互联网公司的吸引力依旧促使他选择离开职业“舒适区”。他说，“守护者计划团队”有想法、有思路、有技术，做事方式也比较开放。”最重要的是，加入“守护者计划”后，他逐渐深入认识到科技是如何打击犯罪活动的，在他看来，这也是团队最大的魅力所在。

老李现在每天主要工作是通过“守护者计划”大数据分析的能力监测安全风险、黑产行为。比如说，通过“态势感知系统”收集攻击行为，通过“神羊情报系统”对追踪黑客定位，监测到黑客的IP、域名，及时把黑客行为提供给警方。

技术能力只是“守护者计划”协助办案的一个层面，另一个层面则是通过自身技术优势协助警方了解案件逻辑，甚至帮助司法机关寻找证据链条对案件定性。

和老李一样，阿正在2015年离开工作十余年的公安岗位，加入了“守护者计划”。对他来说，最大驱动力是，他希望在互联网安全领域提升自己的专业水平，而腾讯公司正是接触、对抗最新网络黑客技术的前沿企业，在这里每天都能接触到新事物。

阿正以“快啊答题”打码平台案件举例，这样的验证码打码平台标榜为特殊障碍人士提供破解验证码的服务，但却采用了人工智能神经网络技术，不断去训练识别破解的准确度，使其能够快速海量的识别互联网通用的验证码安全策略，而且还能不断自身完善、学习，危害性很大。

打码平台虽说似乎看起来技术中立，而且服务特殊障碍人群，但实际用户群体全是网络黑产团伙。

“快啊答题”套餐价格是1万个验证码15块钱，“晒密人员”购买服务后用来“撞库”——“晒密人员”会事先从黑市或是贴吧买来大量账号、密码等原始个人信息，再通过“撞库”软件把账号、密码进行自动匹配。

“快啊答题”在其中起到的作用是突破互联网公司的设置的验证码环节，帮助“晒密人员”更快清洗数据。账号密码最终匹配后，都会以重要程度再度分类销售给下游诈骗团伙。

阿正当时第一次接触这类案件，被深深震撼，因为这是人工智能在黑产中得到运用的典型案例，而且这类打码平台已经成为了一大趋势，甚至由于“技术中立”的特点，这种平台在犯罪链条中看似是“不粘锅”，处理起来非常棘手。因此阿正迅速将其汇报给了“守护者计划”团队。

阿正介绍，“快啊答题”这个案例的难点在于，其每个环节在整个犯罪链条中都是孤立的，窃取数据是一批团伙，洗库、撞库是一批团伙，数据商人卖给下游是一批团伙，直接实施诈骗的又是另一批团伙。

各个团伙之间的联系表面上看没有那么紧密，在调查和分析的过程中，证据链条很难关联起来的。这导致警方对证据的追踪、溯源、分析也会带来很多挑战，最后案件定性也很困难。

侦破这类全产业链案件，时间成本、人力成本和取证难度都会提高很多。

但是阿正这类“老警察”在其中起到了重要作用。他们在网络黑产犯罪前沿对抗领域有经验，也具备对抗能力。他们身后的工程师既懂技术又懂调查分析，会对数据、代码和趋势进行判断，以此展开详尽的数据分析汇总。

阿正拿到数据后进行会下一步的判断，对一线公安机关刑事打击提供证据、和建议，甚至在后续案件定性的工程中也会讲述其中的犯罪原理、结构逻辑，司法部门最后会做出综合判断，迅速对案件进行犯罪定性。

最终“快啊答题”团伙在今年8月因非法侵入计算机信息系统罪被依法逮捕。

殊途同归：打击黑产需要全社会人民战争

事实上，“老警察”和技术人员之间也经历了长期磨合。

Lucifer说，过去我们杀毒更关注如何捕获新的病毒类型，这些新病毒的发展趋势，以及如何和新病毒进行对抗，工作内容主要是从技术手段上要如何解决，这是个很专注、很技术化的领域。

但是现在更多想的是如何配合“守护者计划”安全团队进行线下打击，如何让“老警察”理解网络黑产团伙的技术手段，如何让公检法更快理解网络黑产团伙的危害，如何配合公检法为办案流程提供信息线索、证据链条。

这是两个不同的需求，也有完全不同解决思路。

技术人员在得到数据时需要有敏感度。数据都是死的，但是人却能从数据中可以看出异常行为。

阿东提到，技术人员看到一个数据后，可以从数据异常行为上来判定它的主要功能，如下载url一般直接是国外IP地址,通过短信进行传播,并且相对其它短信传播木马感染用户明显偏少，很大概率可能是仿冒公检法的犯罪团伙,发现可疑后通过下载应用的其它行为进行辅助就可以明确其功能了如软件中包含政府机关的关健词，包含窃取短信等功能。

但在案件证据搜集过程中，往往并不像说的这么简单，还需要面临很多难点。技术人员不仅要提供技术方面的线索、犯罪团伙的规划，还要把受害人与黑产团伙之间的串联关系等信息梳理出来。

一开始“老警察”和技术人员之间的对接存在一些“障碍”，但在几次配合打击黑产团伙后，双方变得越来越默契。

在Lucifer看来，网络黑产团伙利用社交工具、支付工具所做的事情跟公司业务存在关联性，打击色情、诈骗团伙，实际上净化了社交体系违法违规的产业。这不仅对自身业务发展有好处，而且也是腾讯公司作为全球第四大互联网公司应尽的责任。

在“守护者计划”的两年工作中。“老警察”老李意识到，网络黑产犯罪，靠企业或个人没办法根治，必须要联合社会各方力量，让互联网公司、公安部门、工商部门、商业银行、三大运营商等社会力量整合起来，才能达到综合治理的效果。

2017年8月，“守护者计划”开展了“守护家人，做反诈骗行动派”公益行动，对电信网络诈骗进行了宣传教育，呼吁社会公众积极参与反电信网络诈骗行动，顺丰、滴滴、去哪儿、京东等近50家企业，李晨、陈乔恩、何穗等近30位明星，5500万公众加入到了这场反诈骗行动中。

以“开放共享，社会共治”为主题的2018守护者计划大会将在1月14日召开，这次大会将分享这一年来打击网络犯罪的经典案例。此外，这次大会邀请到了公安部、最高人民检察院、最高人民法院等国家机关的到来。

这意味着，“守护者计划”得到了国家层面的认可，打击黑产的“人民战争”策略正在生效。

网络黑产四大新趋势

趋势一：网络基建日趋发展，犯案模式更简单粗暴

工信部发布的《2016年9月通信业主要指标完成情况》中的数据表明，截至今年9月，国内互联网宽带接入用户总数超过3.37亿户；移动互联网用户总数超过12.34亿户；移动通信基站总数超过600万个……这些数据表明，我国互联网基建规模迅速扩大。海量用户、大带宽一方面对推进社会的智慧建设起到关键促进作用，但也令黑产分子的胆子变得更“粗”。从2017年“守护者计划”安全团队协助公安机关破获的网络黑产案件来看，黑产人员的作案模式已从偷偷摸摸的潜伏偷窃数据或诈骗，升级到更简单粗暴的公然犯案。

在2017年以前，勒索赎金一直是黑客对以企业为目标的施害手法。今年，随着CIA所用病毒被公开，年轻的黑产分子有了样本可循，就仿效相关PC病毒的制作方法，利用现有的病毒制作工具，制作出新的勒索病毒，公然向用户个人索要赎金。今年6月，“守护者计划”安全团队发现，一种新型手机勒索病毒冒充时下热门手游的辅助工具诱导用户下载，且与PC版“永恒之蓝”病毒的界面和勒索手法几乎一致，病毒运行后会对手机中的照片、云盘等目录下的文件进行加密，向用户索要赎金。

在病毒开始蔓延后，“守护者计划”旗下的产品神羊情报分析平台和腾讯手机管家在24小时内完成了“样本分析、变种跟踪、病毒查杀和犯罪溯源”的全过程，并将黑产线索提供给河南安阳警方。专案组在“守护者计划”安全团队的协助下，很快在芜湖和安阳两地将勒索病毒制作者陈某及主要传播者晋某抓获。

（图为病毒制造者被警方抓获）

同时，由于国内网络带宽、服务器群规模和终端的不断升级，让昔日需要整个黑客团体协同作战的DDoS攻击，变得越来越容易，往往一两个犯罪分子也能进行简单粗暴的DDoS攻击。除了向用户个人索取赎金之外，DDoS攻击已经从传统的攻击企业，发展到攻击特定个人。今年4月，重庆警方在“守护者计划”安全团队的协助下，查获一起致使某区2万多宽带用户断网接近1小时的DDoS攻击案件，发现作案者是20岁出头的小伙，作案原因竟然是为了攻击某直播平台的主播。这种个人泄愤式的DDos攻击在此前十分少见。

据“守护者计划”安全团队介绍，今年以来，团队已经陆续协助全国多地警方，破获多起DDoS攻击案件，抓获DDoS攻击黑产人员100余人。综合已侦破的案件情况来看，随着黑产的分工精细化和商业化，DDos攻击已经从专业黑客实施全部攻击过程的传统模式，发展成由发单人、攻击实施人、肉鸡商、流量出量人、黑客软件作者、资金担保人等多个犯罪个体共同参与实施的产业化犯罪行为。DDoS攻击链条的产业化不仅增加了打击难度，还降低了攻击的实施门槛。

对应这种新趋势，腾讯云联合腾讯电脑管家已率先布署云端防御，构建“云+端”的立体化防御体系。此外，腾讯云还联合多家企业共同成立DDoS防护联盟，在DDoS大数据及态势感知、协同防护、黑产打击方面进行深度合作。

趋势二：犯罪团伙披上合法外衣，绵里藏针诱导更可怕

在去年，如果有人声称网络色情诱导诈骗会发展成一种年收入过亿的“生意”，公众大多会对这种说法存疑。但是，今年以来，色情诱导诈骗已经从当初不入流的网站或者论坛广告小生意，不断拓展，发展成为规模化、组织化、产业链完善的流水性作业程序，有些黑产团伙甚至披着科技公司的外壳，表面上做着正经业务，暗地里却引诱用户连环充值。因此，这种新型威胁源“收入过亿”的规模，已经不只是空想。

2017年4月，“守护者计划”安全团队先后协助武汉、大连、广东警方，打掉了3个大型公司化运营色情诱导诈骗团伙及其黑色产业链，共计抓获犯罪嫌疑人120余人，初步查明涉案金额达6亿元。在侦破过程中发现，如今的网络色情诱导诈骗，比起传统的赤裸裸色情诈骗更为绵里藏针，其展示出来的内容都是经过精心剪辑的边角料，游走于法律界定的“淫秽物品”的边缘。据了解，当前的色情诱导诈骗黑色产业链的每一个环节，都是经过精心设计、有规模、系统化运作的。

以被查获的武汉雷胜科技公司为例，他们所制作的色情诱导诈骗App或网站，主界面会有各种勾人心弦的画面，诱导用户点击观看。但是，显示为2小时时长的影片，往往只能看20秒。接下来，就是提示付费充值的对话框。根据提示的步骤充值成功后，用户会发现，也仅仅能再多看20秒的画面。要继续观看，还得充值。

（图为色情诱导网站界面）

在内容剪辑方面，他们的网站和App在上架应用市场时，为了能通过审核，其展示出来的内容都是经过精心剪辑的，很难直接用“淫秽物品”来界定。在支付环节，也有成熟的运作流程与渠道，通过“三证”黑市弄到企业资格，再以欺诈手段获取多个第三方支付接口，或开发短时间切换接口的平台逃避风控打击。

（图为色情诱导诈骗黑色产业链）

尽管色情诱导诈骗团伙的每一个环节都是精心设计的，但仍处于法律的规制之中：色诱诈骗团伙通过虚构商户身份获取支付接口，利用非法渠道进行推广，同时虚假宣传以牟取巨额非法利益的行为，构成刑法第264条的诈骗罪；为色诱诈骗提供网页制作等技术支持的不法分子可能构成《刑法》第287条之一“非法利用信息网络罪”；为恶意推广编写木马程序的不法分子可能构成《刑法》第285条第3款“提供侵入、非法控制计算机信息系统的程序、工具罪”等等。

此外，从技术分析层面来看，不论犯罪分子的作案手法多么隐蔽，都始终难逃警方与互联网公司安全产品的强大分析与追踪能力。

趋势三：从2C延伸到2B，刷粉、抢票、褥羊毛无所不入

线上应用高度融入各大线下商业场景，线下社交模式换个方法转化为线上社交方式……这一切都让2017年的互联网变得格外精彩。这一年来，大家不仅习惯线上抢红包、在网上为自己的小孩和歌星票选活动投票，也习惯了通过手机的实名认证办理各种公共服务和商业应用。然而，这一切线上场景应用所开辟出来的全新市场，也同时面临着闻风而至的黑产威胁。与过去不同的是，今年的线上新场景威胁源，开始把黑手向企业全面伸去。

其中，企业对用户信息把关的第一道关卡“实名认证”，是目前黑产最为感兴趣的突破口——越来越多的黑产分子通过提供假的实名认证信息来觅得市场，应用于寄送快递、移动支付、网络直播、网络贷款、交通购票等场景。

因此，在今年的黑产市场中，跟实名认证相关的资源相当抢手：PS一张包括正反面信息的身份证相片，只需花50-100元；如果想注册企业账号，花上800-1000元能弄到一整套的企业五证……很多企业此前以为有了动态认证视频就能阻止这些虚假实名认证的蔓延，但是，在“守护者计划”安全团队协助湖北武穴警方捣毁的一起贩卖公民身份证团伙的过程中却发现，黑产分子只需要获得一张与账号注册者身份一致的大头照，就能够PS出一整套手持身份证的高清照，并且制作出抬头、低头、眨眨眼睛、读文字等一系列动作的动态认证录像。

（图为伪造动态认证录像的制作过程之一）

如果说互联网行业面对全新的虚假实名认证挑战已经困难重重的话，那么互联网企业还将面对汹涌而来的“刷票党”、“羊毛党”、 “刷粉党”等各种挑战，对抗压力更大。以“刷票党”为例，黑产分子通过使用“秒拨”客户端软件，进行简单配置，就可以实现自动变换IP地址，以规避投票平台的IP安全策略，实现对某一选项的海量投票，严重危害网络诚信。“秒拨”动态IP非法服务还提供：“自动切换”、“秒级切换”、“断线重拨”、清理COOKIES缓存、虚拟网卡（MAC）信息、多地域IP资源调换等功能，挑战互联网企业的IP策略。刷票只是“秒拨”动态IP非法服务的冰山一角，黑产分子还能够实现对电商平台刷单和自媒体平台刷阅读量等违反规则、破坏诚信的操作。

“刷票党”还会演变成为“羊毛党”——当商家在电商平台上做拉新促销活动时，“羊毛党”利用“秒拨”动态IP服务绕过安全规则，用非法批量注册的帐号获取优惠券。2017年，“守护者计划”安全团队协助警方打掉以陈某、曹某为首的非法提供“秒拨”动态IP服务的黑产团伙，发现该团伙可“秒拨”动态IP技术，可调用全国25个省、上百个地市的ADSL宽带动态IP资源，IP池极其庞大，严重危害网络生态安全。

而且，众多电商平台所采用的验证码策略，也在黑产分子今年所采用的人工智能化破解验证码的方法面前变得弱化。今年第二季度，“守护者计划”安全团队协助浙江绍兴警方打掉了国内最大打码平台“快啊答题”，发现该平台提运用人工智能神经网络的深度学习技术训练机器，识别破解验证码的精准度超过80%，极大提升了单位时间内识别破解验证码的数量，2017年一季度打码量高达259亿次。

（图为撞库-晒密-打码过程的整个黑色产业链）

如果说“刷票党”和“羊毛党”还只是靠IP来作恶的话，那么 “刷粉党”的作案工具就更惊心怵目了——黑产人员通过把用户的手机变成被病毒木马控制的 “肉鸡”来“刷粉”。今年7月底，“守护者计划”安全团队协助江苏邳州警方破获一起非法控制他人手机的 “刷粉案”，就发现超过94万台手机在用户不知情的情况下通过远程指令下载安装木马，变成了 “肉鸡”，替自媒体平台刷流量，从自媒体平台那里获取流量分成。

（图为警方抓获“刷粉案”的犯罪嫌疑人）

趋势四：入侵政企服务器，损害社会信用

随着我国进一步构建信用社会的形势发展，黑产也在今年将魔爪伸到信用建设相关领域，各类买卖公民个人信息和篡改学历的案件陆续出现。

今年11月，“守护者计划”安全团队协助江苏常州警方破获的一起案件中，就发现犯罪分子招募黑客，侵入gov、edu、org等政府及教育部门的网站，通过漏洞扫描、上传木马程序等手段获得后台管理权限，篡改关于学历方面的信息内容，方便伪造的教师资格证书等国家机关证件能够通过“验证”，并组织代理商进行买卖。在这个案例中，黑产所用的手法，比此前做假证等传统做法要更为恶劣。

（图为嫌疑人在网上公开出售“可验证”的假证）

买卖公民个人信息，盗取他人信用，也是今年黑产的专攻的方向之一。当前，黑产团伙主要通过“撞库拖库”等手法，侵入政企服务器，窃取公民个人信息，并从事网络赌博、网络诈骗等不法活动。

今年年初，“守护者计划”安全团队发挥技术优势，协助公安部及安徽、北京、辽宁、河南等地公安机关侦破了“9.27”特大窃取贩卖公民个人信息案，物流、医疗、社交、银行等各类被盗公民个人信息50亿条。被抓获的96名犯罪嫌疑人，各自负责不同的环节，有人入侵政企服务器，有人出售窃取的信息，有人从事盗刷银行卡等违法犯罪活动。在利益驱使下，黑产形成了无缝连接的合作链条，国内信用安全及信息保护问题愈发严峻。

（图为“9.27”特大窃取贩卖公民个人信息案犯罪嫌疑人被审讯）

魔高一尺，道高一丈。随着网络黑产犯罪趋势的不断变化，“守护者计划”也在不断完善升级。2017年，在安全技术方面，“守护者计划”旗下的反诈骗实验室，在此前的“麒麟伪基站定位系统”和“鹰眼智能反电话诈骗系统”的基础上，又开发出事前感知的“安全态势感知”系统、事中分析拦截的“神荼网址反诈骗系统”、事后情报分析的“神羊情报分析平台”，为打击网络黑产、协助公安、工商部门破获各类网络安全案件立下汗马功劳；在生态建设方面，腾讯建立起全新的警企民联合运作模式，于8月举办了“2017守护者计划”反诈骗公益行动，包括顺丰、滴滴出行、去哪儿、京东等近50家知名企业积极参与，李晨、陈乔恩、何穗等30余位明星也加入到了这场反电信网络诈骗的公益行动中；从合作模式方面，腾讯联手上海市反电信网络诈骗中心正式成立“腾讯上海反电信网络诈骗联合实验室”，警企联合打造AI全链条反诈体系。

（图为腾讯上海反电信网络诈骗联合实验室揭牌仪式）

这是一场针锋相对的网络斗争，这也是一场高科技之间的直接较量。大数据、人工智能、移动网络应用等等新兴技术，都是双方争分夺秒的攻防手段。2017年，纵使网络黑产的作案手法不断翻新，威胁源态势日益凶猛，“守护者计划”在依然不断致力于构建更完善的安全生态体系，联手政府、行业、民众共同对抗，协助公安机关取得了一个又一个战役的胜利。同时，他们也在部署着来年的新战役。