就像电影《欺诈游戏》里伊甸园的果实那样,因为玩家需要在游戏里互相欺骗来获得巨额奖金,人性的弱点被暴露出来。现实中,电信网络欺诈层出不穷,而且已经发展到了方法专业化、欺诈人员职业化的阶段。网络黑产也已经从过去的黑客攻击模式转化成为犯罪分子的敛财工具和商业竞争手段,呈现出明显的组织化、产业化趋势。
如同影视剧中谍战情节一样,现实中的诈骗团伙也有一套技术,并且关注商业行情。刷单、刷量、薅羊毛、软色情、金融诈骗等,都滋生出了黑色产业链条。技术一方面带给我们便利,安全风险也与生俱来。中国的反电信网络诈骗也已经从“被动防御”走向“主动抵抗”,从“单兵作战”走向“联合共治”。
看不见的硝烟:窃取数据、电话诈骗、支付病毒
目前国内的电信网络黑产主要类型有三种:一是基于网络生态破坏的非法产业,例如DDOS攻击、外挂软件、流量及SEO作弊等;二是基于用户隐私泄露的权益侵害,例如木马链接、钓鱼盗号、个人信息非法买卖等;三是线下违法犯罪行为的线上蔓延,如色情传播、网络招嫖、网络赌博、电信网络诈骗、网络传销等。但随着黑产不断蔓延,其种类已经很难用简单的类型来统一概括。
相比于单个用户电话和身份信息,网络账号和密码信息被盗,由于平台安全策略不足或者相关工作人员倒卖导致批量用户信息泄露,这种情况更为严重。尤其如果有黑产接入,将会对用户造成不可想象的危害。
这些数据你可能还不了解,但却是和你的生活息息相关。最近腾讯“守护者计划”发布的2017第三季度《反电信网络诈骗大数据报告》显示,电信网络诈骗总体损失金额下降,但是单案件平均损失大幅增长,最高损失达800万元。
每5个骚扰电话中有1个是诈骗电话,每4个短信诈骗中有3个是非法贷款。
在各项主要指标环比下降的大趋势下,手机支付病毒感染总量却大幅提升。第三季度手机病毒感染总数4180万,环比下降14%。支付类病毒感染数量,从二季度的137万提升到三季度的255万,环比上升86%,病毒感染总数比例从2.8%提升到6.1%。
这些行为你上网的时候看不到,但黑产上的不法分子确实在做着如下事情:
非法获得大量用户账户和密码数据。获取的方式可以是通过黑客手段攻击一些网站,或者向一些非法人员购买,一般价格是每10万条50-100元。
验证账户和密码数据的准确性,这个过程一般被叫做“晒密”。晒密最常见的方式是“撞库”,即通过专门的软件/程序批量访问邮箱、社交软件等。经过撞库晒密后获得的有效数据,价格会更高,一个账户能卖到1.2-1.5元。
利用账户和密码数据获得更多用户信息,进行敲诈/勒索的进一步诈骗操作。经过晒密并进一步获得的用户精准信息,价格往往更高,非法利润是驱动黑产的主要因素。
也许你更不知道,黑产的科技手段还挺强大。调研公司Forrester发布报告称,MySpace去年有近4.3亿个帐号被窃取,遥遥领先于其他被入侵的网站。今年3月,安全公司MacKeeper发表文章,揭开14亿条数据泄露的真相,每天发送10亿规模的垃圾邮件。国内也有类似案例,某邮箱和某开发者社区曾有用户帐号信息泄露,规模上亿。
对于黑产分子来说,“晒密”技术难度很大,阻力在于平台的安全策略,最常见的是验证码和IP限制。举例来说,验证码包括数字、文字、图形,甚至需要拖拽操作等更高难度的验证方式,用以区分人或机器行为;IP限制包括诸如同一个IP在一定时间范围内只能登录一次或者几次,或者仅限指定区域用户登录等措施。
为突破网站的安全策略,在黑产中出现了“打码”平台和“秒拨”动态。软件黑产商售卖几十种甚至上百种撞库软件,此类软件一般都集成有“打码”功能,通过链接到打码平台实现对验证码的识别破解。打码平台往往采用人工智能深度学习技术训练机器,使其有效识别字符、图片等验证码,大幅提升验证码的破解率。
对于极其复杂、机器难以操作的情况,打码平台还提供基于众包的人工打码解决方案,发展大量网赚人员,以人工方式识别验证码。以腾讯“守护者计划”安全团队协助公安部门打掉的“快啊答题”为例,仅2017 年一季度就破解验证码 259 亿次,累计破解验证码 1200 亿次,验证码识别率高达 83.4%。
而“秒拨”动态IP黑产服务的背后,是可调用全国甚至国外的ADSL宽带动态IP资源,面向非法分子的界面只要通过简单配置,就可以实现IP的“自动切换”、“秒级切换”、“断线重拨”、清理COOKIES缓存、虚拟网卡(MAC)信息、多地域IP资源调换等服务,规避网站的限制策略。我们相对熟知的电商平台刷单、自媒体平台刷阅读量等,就是其中冰山一角。
技术行动派:数据是基础,AI是趋势,威胁源打击是关键
黑产的泛滥就意味着反黑产行业的升级。数据、算法、系统框架和反制措施四要素缺一不可。数据是基础,除了广度和深度上的大数据覆盖,数据来源也是一个很大的问题,直接决定了用户画像和关系图谱。
现实情况是,“技术加持”已经成为网络黑产案件的基本要素,比如,今年三季度网络黑产的重点案例:跨境冒充公检法诈骗案、国内最大网络类影视作品侵犯著作权案、大规模DDoS网络攻击黑产案、全国性“专业为考生改分”诈骗案等,都是技术加持型案件。不难想象,高技术犯罪将成为未来网络黑产犯罪的主流,这就要求反黑产的技术得更胜一筹。
利用人工智能的技术去应对网络安全的场景是一种趋势。在获得数据之后,如何高效分析并隔离出其中的欺诈因子,是机器学习形成模型要解决的问题。针对不同的应用场景,反欺诈系统需要给出针对性解决方案。
越来越多的科技公司开始利用人工智能技术对抗网络黑产。例如,腾讯“守护者计划”旗下的反诈骗实验室先后推出鹰眼反电话诈骗系统、麒麟伪基站定位系统、神荼网址反欺诈系统等基于大数据分析和机器学习能力的产品。百度安全利用机器学习进行非法网页检测;阿里基于云上实时计算平台和机器学习能力,对于网站攻击进行防御。
其中,腾讯在去年联合反电信网络诈骗各方产业发布“守护者计划”,现在其使命已经由反诈骗升级到反黑产,并首次提出了网络黑产威胁源的概念。“守护者计划”旗下反诈骗实验室研发了多个反诈骗系统,比如鹰眼反电话诈骗系统,基于反诈骗模型,可检测出正在受骗的用户,并发出提醒;麒麟伪基站定位系统,基于海量数据和机器学习方法,精准发现并定位运动中的伪基站,目前已经落地全国20多个城市,促使伪基站诈骗案发率下降70%。
微信的“火眼反诈骗系统”,涵盖并识别不同诈骗类型,可实时发现并识别可疑诈骗用户,日均对用户进行几十万次安全提示,检测到欺诈可疑帐号数千。由此也能看出,只有逼近威胁源才能构筑起生态防御系统,并且从更根本的维度打击黑产。
联合共治:互联网企业+工商总局+警方+,消除信息孤岛
反黑产需要多方合力,比如互联网企业+运营商+公安部+工商部门+服务提供商等多方的力量,并且最终也要依靠全民反黑产意识的提高。
近期我们就能看到腾讯密集协同各方力量,来打击网络黑产。11月17日,腾讯与国家工商行政管理总局反垄断与反不正当竞争执法局(规范直销与打击传销办公室)正式签订《网络传销监测治理合作备忘录》。
在互联网环境下,传统传销组织纷纷“改头换面”,转型成了网络传销。旗号和掩护不断翻新,手段和方法越来越隐秘。网络传销的危害只是财产损失,其实,除了钱财损失外,网络传销还会带来很多严重的后果。
比如,网络传销具有“宰熟”性传播的特点,也就是说,受害者所发展的下限,欺骗的人通常是自己的亲朋好友,从而致使信任环境会不断恶化。而且,网络传销在非法集资背后还伴生着偷税漏税、制假售假、走私贩私等大量违法行为,这同时也会扰乱市场秩序。
如果想打击互联网环境下的网络传销,就要用网络大数据来监测、预警、追踪,而这也是工商总局选择与腾讯合作的原因。“守护者计划”安全团队发现传销平台后,考察众多维度,并统计其舆情指数,瞬间锁定网络传销组织。一旦发现异常,就会对其舆情进行监测,生成总结报告。最后通过网站、App及腾讯公司指数,追踪人员流趋势、舆情指数趋势、所在地分布并做线索挖掘。
这也是腾讯继发起“守护者计划”,基于技术与大数据,推动社会各方共同打击电信反诈骗以来,又一项以技术合作为基础,根据备忘录,双方将共同建立“网络传销监测治理基地”。基地将工商执法部门的“云上稽查系统”与腾讯公司的“网络传销态势感知系统”进行技术对接,开展线上监测、数据传输等工作。
紧接着,11月21日,腾讯公司联手上海市反电信网络诈骗中心正式成立“腾讯上海反电信网络诈骗联合实验室”。这是国内警方与腾讯“守护者计划”所成立的首个新型网络安全技术实验室。腾讯公司的大数据技术和海量用户经验,与上海市反电信网络诈骗中心打击治理新型网络违法犯罪的经验做法和工作机制结合,这在一定程度上也是警企合作模式的创新。
此前,腾讯“守护者计划”安全团队启用“态势感知”系统,配合公安部刑侦局和相关省市刑侦部门,已经破获一系列窃取贩卖公民个人信息案、仿冒《王者荣耀》辅助工具手机病毒勒索案和色情诱导诈骗系列案件等各类型案件。
虽说在移动互联网环境下,黑产与反黑产是一个数据和技术的问题,但归根结底也是社会问题。跨行业,跨政企的联防联控,目的就是打破信息孤岛。我们既要享受技术红利,也应该理解技术的制衡。