2018网络黑灰产治理研究报告

近年来，网络黑灰产所带来的安全挑战愈加严峻。利用互联网技术进行偷盗、诈骗、敲诈等各类违法犯罪案件频繁发生，围绕互联网衍生的黑灰产行业正在加速蔓延。

公开数据显示，2017年我国网络安全产业规模为450多亿元，而黑灰产业比安全产业发展得更为野蛮。有业内人士认为，黑灰产业已达千亿元规模。从各国统计数据来看，通过技术等犯罪行为实施偷盗、诈骗、敲诈的案件数，也在以每年30%的增速增长。

面对日益严峻的网络黑灰产行为，国家互联网应急中心于2015年就发起了重点打击的三类黑灰产专项行动，并对“黑产”范围进行了界定。主要包括三类：一是发动涉嫌拒绝服务式攻击的黑客团伙；二是盗取个人信息和财产账号的盗号团伙；三是针对金融、政府类网站的仿冒制作团伙。

业内俗称的黑产实际更为广泛，只要是法律明文规定禁止的行为都可称为黑产。通俗而言，“灰产”即为游走在法律边缘，没有明确法律规定的灰色产业，其行为虽无明确的法律规章定性为违法犯罪，但对社会有明显大的危害。

《2018网络黑灰产治理研究报告》揭秘黑灰产链路四大类型：技术类黑灰产，包括虚假账号注册等在内的源头性黑灰产，用于进行非法交易、交流的平台类黑灰产，以及实施各类违法犯罪行为的黑灰产。

南都联合阿里发布《2018网络黑灰产治理研究报告》

公安部、工信部、网信办指导的2018网络安全生态峰会，今日在北京开幕，国内外安全领域顶级专家云集、共议黑灰产治理等议题。会上，阿里联合南都发布《2018网络黑灰产治理研究报告》，深度剖析黑灰产的新形势、治理新方法。

黑灰产技术助长网络“黄赌毒”、诈骗等多种网络犯罪滋生蔓延，给犯罪分子提供隐藏身份、隐匿犯罪证据的“马甲”和“保护伞”，并不断衍生新“病毒”新变种。不铲除黑灰产团伙、斩断隐秘犯罪链路的“七寸”，将遗患无穷。

阿里安全专家指出，打击黑灰产需要社会共同治理，像治理雾霾一样打击黑灰产，以阿里巴巴为代表的企业正在尝试用技术协助各界解决这一社会问题。2016年，阿里巴巴安全部用技术协助警方破获徐玉玉案为代表的多起电信诈骗案。2017年至今，阿里巴巴安全部配合全国各地执法机关破获各类涉黑灰产案件8022起，公安机关抓获1000黑灰产犯罪团伙共6799名犯罪嫌疑人。

技术黑灰产贯穿整个产业链

技术类黑灰产，主要为中下游技术性不强的黑灰产从业人员制作并提供各类软、硬件设备和服务，木马植入、钓鱼网站、各类恶意软件等都是常见的技术黑灰产。

《报告》发现，传统木马主要意图是控制受感染者的主机，但近年来，病毒木马意图表现出越来越明显的趋利性。2016年，全网流行的木马样本中，诱骗欺诈类占比5%，到2017年该比例上升到11%。

此外，“黑客”通过复制仿冒银行等大型网站，引诱用户提供账户密码等个人敏感信息，再利用这些信息窃取受害人资产的钓鱼网站攻击，近年来以仿冒各大银行、中国移动等居多，严重扰乱了平台秩序，使平台用户处于风险之中，也使平台声誉受到影响。

2017年下半年，阿里巴巴反钓鱼团队对已知风险进行及时防控阻断，2018上半年各钓鱼风险呈下降趋势，电商类欺诈下降94%，公检法欺诈下降48.9%。目前，阿里巴巴钓鱼网站检测系统已经服务了阿里生态的大量业务。

对于“拖库”、“撞库”等多种网络犯罪行为，《报告》指出，阿里安全对此进行了专门的日常化布防和拦截，一旦发生拖库撞库，从数据上就能感知。阿里巴巴数据显示，目前其识别出的机器行为弹出打扰率已控制在极低范围内。

DDos(分布式拒绝服务)指黑客通过控制大量计算机，通过植入代理程序，控制这些计算机对互联网等平台服务器，发起大量合法的请求占用服务器网络资源，以达到网络瘫痪的目的。

国家互联网应急中心(以下简称为CNCERT)发现，2018年2月中国境内超过1500个攻击目标遭受DDoS反射攻击。这些攻击目标按省份分布，浙江省占比最大，占21.3%；其次是江苏省、广东省和福建省。从攻击流量来看，反射放大攻击中的伪造流量绝大部分来自境外。

目前，阿里巴巴DDoS防御系统已覆盖了阿里整体生态业务。仅2017年就累积防御了2400多次攻击。阿里巴巴防御能力也一直提升，2017年实现了DDoS自动化处置，最快1秒即可完成防御动作，在攻击流量大幅增长的背景下，持续做到了被攻击时业务无影响。

2017年，CNCERT监测发现，中国境内约两万个网站被篡改，较2016年的约1.7万个增长20%，其中被篡改的政府网站有618个，较2016年的467个增长32.3%。

针对Web应用攻击的防护产品有WAF等，目前WAF已覆盖了阿里巴巴绝大多数服务器，最高每天拦截8000万次攻击尝试。从拦截攻击类型看，代码执行攻击占36%，跨站脚本攻击占34%，WEBSHELL攻击占17%，SQL注入攻击占8%。

黑账号成为危害源头

网络账号是互联网活动的基本单位，但由于机器注册和虚假认证的账号隐蔽性强、难以追踪，日益成为黑灰产线上线下打通犯罪的关键环节。

《网络安全法》明确规定，使用互联网服务必须进行账号实名认证。但网络黑灰产为达到隐藏身份、逃避打击目的，利用他人身份信息或手机号码注册大量虚假网络账号，严重破坏了网络生态及互联网经济的健康发展。

《报告》指出，网络账号被非法利用多以恶意注册、虚假认证、盗号等形式实现。

以牟利、扰乱社会管理及市场经营秩序为目的，批量创建网络服务账户的行为被视为恶意注册。恶意注册作为一种网络源头性犯罪活动，形成了一个以“网络接码平台”为中间媒介，“手机黑卡卡商”和“网络平台黑账号注册号商”为交易双方的网络黑灰产业。

《报告》发现，目前83%通过黑卡注册产生的恶意账号，主要分布于网络打车、互联网金融、垂直电商、网络游戏等，其中45.5%的恶意账号活动于网络打车中，主要用于获得打车红包；16.6%的恶意账号作恶于互联网金融中，利用恶意账号进行非法理财和借贷等；14.5%的作恶于某些著名蛋糕品牌和某些旅游品牌等垂直电商；7.1%的作恶于某些著名网络游戏平台等。恶意注册造成大量非实名注册手机卡和网络账号的出现，为网络诈骗、网络黄、赌、毒等犯罪提供了“掩护马甲”。

虚假认证，是指认证的身份信息无效，或者认证身份信息归属人与实际认证操作人不同一。通过非正常手段进行的虚假认证，通常被不法分子批量售卖、从事不法交易。目前，线下出现大量购买获取身份信息的团伙，如河南、福建等地，通过假冒活动商家送赠品方式骗取公民身份信息材料，收集的身份信息包括身份证照(正反面)，手持身份证照，手持当天当地报纸照等，收集的渠道主要为偏远地区农村及工厂或者学校。

同时，盗号也成为常见的非法使用网络账号的行为。《报告》指出，盗号产业链主要分为五个环节：数据提供、软件平台、扫号软件、盗窃环节(使用)、销赃。盗号手段多样，如窃取、骗取用户的登录验证码进行盗号，获得用户个人信息后可通过验证完成登录。目前，阿里绝大部分登录口已统一登录水位，策略体系也成熟完善，防盗号整体水位不断提升。

非法交易交流平台成运转核心

恶意平台，可谓互联网黑灰产业链的运转核心，直接服务于各类网络犯罪活动。网络黑灰产所运作的各类资源、工具以及犯罪手段、经验，都需要通过“恶意平台”来进行交流、运转、交易。

它直接连接了网络黑灰产上游负责提供资源、信息、工具、服务的技术黑灰产和下游犯罪团伙。目前，恶意平台可分为三类：恶意网站、恶意论坛和恶意群组。

《报告》指出，恶意网站包括空包交易平台、刷单平台、接码平台、验证码打码、发卡平台等，这些平台成为黑灰产软件、信息交流互通情况的主要场所，为黑灰产作案提供了便捷的工具获取渠道。

以空包交易平台为例，所谓“空包”就是空快递包裹，是卖家为提高店铺信誉，联合刷手(刷单平台)进行虚假交易时，产生大量非真实的快递订单。

《报告》发现，“接码”平台、“打码”平台和销售黑卡的发卡平台，是重要的黑灰产恶意平台。“接码”平台通常指手机黑卡平台，主要是不法分子将非法途径获取到的非实名卡、物联网卡、海外手机卡等汇集到接码平台，供羊毛党等用于注册各类网站，以获取网站的活动优惠。目前，正在运营的各类接码平台分布，以广东地区为主。

在恶意论坛中，内容发布者一般是黑灰产业链上游人员，拥有黑灰产圈子内资源，包括技术、消息等。从产业链角度来讲，恶意论坛打破了黑灰产上下游之间严格的界限，新手入门门槛大幅降低。

此外，这种恶意论坛将黑灰产技术、信息卖家与买家聚集在一起，存放着大量黑灰产更新资源的恶意论坛，成为黑灰产滋生各种犯罪行为的温床。

《报告》指出，恶意论坛主要分为两类，一类是涉及到非技术类的经验交流类论坛与网赚平台，另一类是涉及到技术类的技术交流与工具贩卖类平台。

非技术类经验交流类论坛主要是传递黑灰产圈内消息动态。从2016年起，经验交流类论坛已经提前进入了“知识付费”时代，所有的线报都会收费，有案例报道，一个论坛管理员在一个月内通过论坛发布付费教程，可以非法牟利近10万元。而黑灰产技术售卖平台，就是提供一个将技术作为可公开销售的商品平台。

据阿里安全归零实验室统计，2018年活跃的专业技术黑灰产平台多达数百个。服务专业化使得犯罪技术更加平民化，低廉价格也使得黑灰产技术犯罪的成本逐步降低。

黑灰产犯罪含多种恶意行为

基于中上游链路，黑灰产在实施环节常常表现为恶意行为、诈骗等形式，对个人、企业和社会等都造成恶劣的影响。

《报告》发现，互联网行业因黑灰产行为，衍生出以敲诈勒索、扰乱秩序为目的的恶意下单、恶意退款、恶意评价、恶意投诉等欺行霸市行为。

以苹果手机“代理退款”为例，一些不法分子瞅准“商机”，甚至做起苹果手机“代理退款”生意，他们向客户承诺能拿回所充金额，还能保留游戏中已购装备，但要求用户支付三四成手续费，有店铺月销量较大。

在这条以收取报酬进行恶意退款的灰色产业链，其中也存在极大安全隐患，有人因此隐私被泄露、银行卡被盗刷、手机被锁屏需付费解锁，不仅严重侵犯了公民个人信息安全，还扰乱了品牌经营方的正常经营秩序。

《报告》指出，常见的网络诈骗类型还包括冒充公检法、领导、客服退款、兼职刷单、二手交易平台、航空公司机票退改签诈骗等。

其中，冒充公检法诈骗是目前网络诈骗中影响最为恶劣的诈骗类型之一，犯罪分子通过假冒银行、公安、检察院等多个角色，以受害人资金、个人身份涉嫌“重大保密刑事案件”为由，对受害人实施心理轰炸，将受害人财产通过转移“安全账户”为理由实施诈骗。这一诈骗类型还有另一特点，即针对中老年人群体进行诈骗的比例非常高，诈骗分子利用中老年人心理防范意识差等弱点对其展开攻势。

因信息泄露全年经济损失超千亿

据中国互联网信息中心今年1月发布的统计报告显示，2017年中国网络安全整体保持平稳态势，但用户信息泄露、网络黑客勒索和通讯网络诈骗等问题仍频繁出现。

《报告》指出，在网络黑灰产的整条产业链中，利用各种手段扒取、窃取或者通过买卖的方式获得个人信息，从而实施诈骗等犯罪行为，成为黑灰产获利的主要方式。网络黑灰产对公民个人信息安全、财产安全、社会秩序和国家基础设施的安全稳定等造成的恶劣影响，破坏了法律政策实施、危害社会诚信体系建设，破坏网络空间秩序，成为侵蚀互联网经济正常运转的毒瘤。

公开数据显示，近十年来中国电信诈骗案每年以20%-30%速度快速增长。据中国互联网协会《中国网民权益保护调查报告2016》显示，全年国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。2017年，全国公安机关共破获电信网络诈骗案件13.1万起，查处违法犯罪人员5.3万名。

阿里安全归零实验室统计，2017年4月至12月共观测到电信诈骗数十万起，案发资损过亿元，涉及受害人员数万人，电信诈骗案件居高不下，规模化不断升级。

2017年3月公安部破获的一起盗卖公民信息的特大案件中，50亿条公民信息被泄露。警方查明，2015年以来，犯罪团伙以“黑客”翁某和某互联网公司安全部门员工郑某某为技术支撑，通过“黑客”手段入侵多家公司的网络服务器，从中盗取公民个人信息，然后韩某亮等人通过QQ群、论坛等渠道在互联网上出售。同时，犯罪嫌疑人利用从互联网窃取的各类注册信息复制银行卡，实施盗刷银行卡等违法犯罪活动。目前，该案正在进一步审理中。业内数据安全专家评价称，一个案件泄露50亿条公民个人信息，打破了发达国家两年半泄露40亿条的纪录。

公安部数据显示，2017年全国公安机关累计侦破侵犯公民个人信息案件4911起，抓获犯罪嫌疑人15463名。其中，仅2017年3月至7月，全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800起，抓获犯罪嫌疑人4800名，查获各类公民个人信息500亿条。有研究机构认为，2017年因个人信息泄露造成的经济损失已超千亿，因网络欺诈导致的损失接近5000亿元。

《报告》发现，黑灰产行为常常会引发恶性案件，不法分子对包括系统和数据安全在内的国家基础设施进行攻击，影响国家安全。

黑灰产发起DDoS攻击，首先需要控制一批单位或个人的网络设备，占用这些网络设备的带宽资源向攻击目标发起大流量攻击，造成被攻击目标的网络瘫痪，极大浪费国家运营商带宽资源和造成单位或个人的网络设备数据泄露，严重影响网络秩序和国家基础设施安全。

据国家互联网中心数据，全球每3起网络攻击就有1起发生在中国。当前网络安全形势呈现出基础设施化的趋势，核心交换机、核心路由器、DNS服务器都成了黑客攻击的对象，黑客的攻击手段和攻击对象，从以前的纯技术、纯系统的攻击，更多地转向业务层面的攻击。

出品：南都大数据研究院

南都新业态法治研究中心研究员 王琦 张雅婷