騰訊科技訊 2018年1月14日，主題為“開放共享 攜手共治”的2018守護者計劃大會在北京舉行。 “守護者計劃”負責人朱勁松在大會上公布了“守護者計劃”2017年十大典型案件。這些案件均是從“守護者計劃”2017年協(xié)助警方所破獲的系列網絡黑產案件中，根據(jù)案件特點和規(guī)模等，選出了十大最有代表性的案例，其規(guī)模之大，案情之復雜，策劃之周密，足以反映當前黑產逐漸走向頭部犯罪的趨勢。究竟從這十大案件所折射出的網絡黑產特點和趨勢，有什么元素讓人感受到構建“網絡安全共同體”、網絡黑產源頭治理迫在眉睫？

　　被精選出來的這十大案例，分別是入侵多家公司服務器盜取用戶資料的“9.27特大竊取販賣公民個人信息專案”、“善心匯”特大傳銷團伙案、“暗夜攻擊小組”等DDoS攻擊系列案、通過AI技術破解驗證碼的打碼平臺非法獲取販賣公民信息案、非法提供“秒撥”動態(tài)IP服務案、黑客攻擊政府網站制售虛假職稱證書案、“月光寶盒”直播平臺傳播淫穢信息牟利案、“雷勝科技”等色情誘導詐騙系列案件、幫助解綁“騰訊游戲成長守護平臺”詐騙案，以及首例微信木馬刷公眾號流量案。

　　“黑客滲透”、“AI技術”、“DDoS”、“直播”、“刷流量”、“薅羊毛”這些近年來的熱門關鍵詞，并不足夠描繪這十大案件的最新特色。這十大案件之所以能夠成為去年網絡罪案的典型案例，是因為它們都有著以下這些共性。

　　“億”級規(guī)模：網絡黑產勢力指數(shù)級蔓延

　　以“億”這個天量級的數(shù)字單位來描述這些罪案的規(guī)模和影響，是這十大案件的一大特點。在這十大案件中，有好幾例個案所涉及的影響范圍，是數(shù)億乃至數(shù)十億級別的數(shù)據(jù)。

　　其中當數(shù)“9.27特大竊取販賣公民個人信息專案”的公民個人信息泄露規(guī)模最大，涉及互聯(lián)網、物流、醫(yī)療、社交、銀行等各類被盜公民個人信息超過50億條；“善心匯”特大傳銷團伙案的涉案金額超過百億元；“快啊答題”打碼平臺非法獲取販賣公民信息案僅在2017年一季度破解驗證碼已經達259億次，累計破解驗證碼1204億次；“雷勝科技”色情誘導系列詐騙案查明涉案金額超過6億元。

圖為十大案件視頻截圖

　　案件規(guī)模的“億”級，背后是作案人數(shù)的眾多。從“守護者計劃”協(xié)助警方所查獲的這幾個大案來看：在“9.27特大竊取販賣公民個人信息專案”中，警方抓獲犯罪分子96人；在“善心匯”特大傳銷團伙案中，警方抓獲頭目張?zhí)烀骱凸歉沙蓡T超600人；在“快啊答題”打碼平臺案中，警方抓獲犯罪嫌疑人42人；在“雷勝科技”詐騙案中，警方抓獲犯罪嫌疑人100余名。

　　這些大案還有一個特點，是犯罪嫌疑人為了逃避警方抓捕，分布在全國各地乃至海外，為警方的偵查抓捕帶來困難，如“9.27特大竊取販賣公民個人信息專案”的犯罪分子分散在安徽、北京、遼寧、河南、重慶等地，警方在公安部刑偵局的統(tǒng)一部署下，通過“守護者計劃”的提供的線索，逐一收網抓捕。而“暗夜攻擊小組”DDoS攻擊案部分犯罪嫌疑人甚至深居境外柬埔寨。由此可見，黑產團伙在提升網絡攻擊技術的同時，也愈發(fā)注重提高機動性，躲避警方的追查。

　　互聯(lián)網技術的發(fā)展一方面給人們的生活帶來了便利，另一方面也滋生了網絡罪案規(guī)模和黑產團伙的擴大，與互聯(lián)網技術的發(fā)展不無關系。數(shù)據(jù)顯示截至2017年11月，國內互聯(lián)網寬帶接入用戶總數(shù)超過3.3億戶；移動互聯(lián)網用戶總數(shù)超過12.3億戶，海量用戶和大帶寬的發(fā)展，一方面推動了智慧社會的建設，但也令黑產業(yè)分子變得更為“眼紅”，部分掌握網絡技術和漏洞的技術人士，已經不滿足電話或網絡詐騙的傳統(tǒng)做法，而是“抱團”研究把各種網絡漏洞和人性弱點結合起來，通過建立黑產團伙，來全面影響網絡生活。從反詐騙升級到反黑產，是當前警方和網絡安全業(yè)者的重要課題。

　　機關重重：網絡黑產分子在威脅源頭肆虐

　　2017年的網絡犯罪團伙從過往的詐騙，升級為詐騙、攻擊、造假、盜竊一條龍，也令黑產團伙的作業(yè)模式出現(xiàn)了變化。“守護者計劃”安全專家指出，當今黑產之復雜，已經遠離個別黑客或小組團伙單兵作戰(zhàn)的年代，黑客已經走出了自己的小圈子，與傳銷人員、假證制造者和販賣者、色情公司、APP運營商等聯(lián)手。

　　當前黑客只是隱藏在整條黑產幕后的其中一個環(huán)節(jié)，但由于黑客掌握了不少網絡核心技術，因此黑客在整條黑產業(yè)鏈中往往處于黑產作案的威脅源頭部，在作案的手法設計、機關設置等方面相當于核心“智囊”的角色，這在十大案件中表現(xiàn)得淋漓盡致。

　　在“暗夜攻擊小組”DDoS攻擊系列案件中，整個黑產團伙有著高度的專業(yè)化分工，處于源頭的“發(fā)單人”高度隱蔽，通過各種途徑發(fā)指令給下游的“攻擊實施人”、“肉雞商”和“高帶寬服務器租售者/控制者”等，每個黑客團隊都只負責其中一部分。

　　在攻擊政府網站制售虛假職稱證書案中，黑產分子與銷售和制作虛假職稱證書的犯罪團伙，以及網上非法培訓機構勾結，從而令傳統(tǒng)的售假過程變得更“現(xiàn)代化”——這些團伙已經不是單單售出一紙?zhí)摷僮C書這么簡單，而是通過前端培訓，后端造假，修改網絡信用資料等層層鋪墊，讓受害者以為真的獲得了政府的相關認證，歪曲了整個信用體系。

　　在“雷勝科技”等色情誘導詐騙系列案件中，黑客意識到赤裸裸的色情傳播會迅速引起警方的注意，于是通過專門的公司打掩護，還聘請律師審核“激情”視頻，在產業(yè)鏈下游的每個環(huán)節(jié)都游走灰色地帶，給取證和司法判定帶來難度。

　　圖為首例微信木馬刷公眾號流量案-管理控制后臺

　　在首例微信木馬刷公眾號流量案中，黑產分子同時在線上和線下的不同渠道進行推廣，將帶有木馬程序的APK推向市場，通過在商業(yè)云“又拍云”上進行發(fā)布，整個宣傳推廣過程都是“多管齊下，狡兔三窟”，在APP運營商的幌子下，不少用戶都在不知不覺之中被植入了木馬。

　　一旦網絡黑產分子與各類犯罪分子勾結，并居高臨下發(fā)號施令，他們的作案手法就變得花樣百出，對民眾的迷惑和傷害更大。

　　螳螂捕蟬：網絡黑產技術發(fā)展超乎常人想象

　　在2017年，黑產分子已經不滿足簡單粗暴的病毒木馬制造或者電話詐騙，而是利用對社會工程學的研究，不斷升級犯案技術，做到隨時因應最新的形勢發(fā)展，不斷推出針對性的黑產服務，作案動態(tài)“日日鮮”，經常能找到網絡漏洞，讓人覺得不可思議。這在十大案例中比比皆是。

　　在“快啊答題”打碼平臺非法獲取販賣公民信息案中，“守護者計劃”協(xié)助浙江紹興警方搗毀了全國首例利用人工智能進行犯罪的團伙。群眾赫然發(fā)現(xiàn)，原來人工智能技術不再只是科幻題材，也不只是只有警方才用到的技術，黑產分子也在利用人工智能技術來獲益。警方從黑產團伙所查獲的軟件工具那里發(fā)現(xiàn)，當前黑產所用的人工智能技術，用到了先進的基于神經網絡深度學習的人工智能技術，可不斷自我訓練學習以完善準確度，快速海量的破解驗證碼，因此才產生了一個季度就能破解驗證碼數(shù)百億次的問題。

　　而在非法提供“秒撥”動態(tài)IP服務案中，很多網絡服務所用的防作弊機制，在黑產分子的動態(tài)IP變換技術面前也是岌岌可危。由于電商蓬勃發(fā)展和線上認證需求日益發(fā)展，助長了“刷票黨”、“羊毛黨”和 “刷粉黨”發(fā)展，每當網絡服務商升級了防作弊技術之后，黑產分子幾乎都能很快推出新的作弊技術，從而讓各種“刷網”的行為屢禁不止。

　　在“月光寶盒”直播平臺傳播淫穢信息牟利案中，黑產分子的所為令人大呼意想不到——昔日黑幫在江湖上黑吃黑。他們利用黑客技術破解各類涉黃收費直播平臺，將截取的淫穢視頻流在自己平臺上直播。

　　在“善心匯”特大傳銷團伙案中，除了傳統(tǒng)的傳銷和非法集資手法外，涉案分子還高舉“慈善”的名義來行騙，這一經典的龐氏騙局在“網絡資金互助”的包裝下，令很多受害者信以為真。既掌握網絡支付技術、又懂得互聯(lián)網金融騙局的黑產團伙，與傳銷分子勾結后，不僅開發(fā)出看似正規(guī)的官方宣傳網站和機關重重的收款平臺網站，還利用手機端的平臺應用程序和社交軟件等網絡技術為傳銷插上翅膀，使得網絡傳銷發(fā)展速度更快、影響范圍更廣。經警方核查，該案傳銷組織在一年的時間里就發(fā)展會員超過500萬人。

　　在“雷勝科技”等色情誘導詐騙系列案件中，黑產分子把“障眼法”發(fā)揮到極致，很多看上去并不能界定為黃色的“激情小視頻”，卻聚沙成塔，騙取了用戶數(shù)以億計的資金。

　　而在幫助解綁“騰訊游戲成長守護平臺”詐騙案中，黑產分子干脆把謊言說到底——盡管“騰訊游戲成長守護平臺”并無破解之術，但黑產分子卻欺騙用戶存在破解門道，這也是國內首例專門針對未成年人實施詐騙的案件。