查看原文
其他

远征漠北——腾讯的黑产战争

史中 浅黑科技 2019-10-16


马云曾经感叹,年入几百万,你是这些钱的主人;年入几百亿,你就对这些钱负有巨大的责任。


他的老对手腾讯又何尝不是如此。


当你有一万个用户,他们是你的金矿;当你手握十亿用户的时候,他们的喜怒哀乐兴衰荣辱,都在你的手上。试问,如果是你,你当如何。


这是马化腾面前的王屋和太行。


站在“守护者计划”的演讲台上,我猜他全身都在用着力。




远征漠北——腾讯的黑产战争


文 | 史中



腾讯的同学告诉我,Pony 每有涉及腾讯安全的活动,必争取亲自站台。这大概像拿破仑冲在阵前,他看到的不是土地和金钱,而是一个不容有失的世界,是某个无法接受的终局。


此中况味,唯英雄识。



(一)腾讯的边局,中原和漠北 


“凡无必要,勿增实体。”


中国最成功的互联网公司腾讯不可能不知道这个道理。然而,由李旭阳主导的腾讯反诈骗技术团队,却早在十年前就成为了腾讯内部的一个重要部门。


可见“反黑产”这件事,对腾讯来说已经“必要”很久了。



1)黑产的“流寇”时代


李旭阳团队最早的目标只有一个,那就是把腾讯用户和非法网站隔离。(彼时是互联网的蛮荒时期,大批经验不丰富的用户,需要贴身保护。)


在这个时候,李旭阳更像北筑长城的蒙恬

为什么这样说呢?这里有一个“疆域”的概念,以 QQ 为例:


出现在 QQ 里面的恶意网址,他可以随意剐杀。例如标注风险网址、强制不允许点开,不一而足。


然而 QQ 只是整个信息传递链条的一部分。一方面,终端用户一旦被蒙蔽,跳出 QQ 访问危险网址,QQ 立刻鞭长莫及。(这也是后来腾讯管家的由来之一,此乃后话);另一方面,恶意网站本身托管在其他服务器上,腾讯并无权过问。


你可以把腾讯的产品想象成中原的王朝,而黑产就是扰边的流寇。流寇一旦回到原野,立刻遁于无形。


简而言之,一旦超出一个产品的“疆域”,攻守形势马上不同。所以我说,李旭阳和同事最初所做,更像修筑一道长城,用“守”的方式保障用户安全。


对于秦王朝来说,长城一线即是国界,烽火台外,连绵衰草,无谓西东。彼时的腾讯,守住“关中沃野”才是战和的要义。


如果腾讯一直是是当年的腾讯,自然问题不大。但十年间,它的市值已经翻了五十倍,业务已经扩展到游戏、文娱、社交等各个领域。可以说,在满足“个人的需求”的产品上,腾讯几乎一统江山。



2)黑产的“部落联合”时代


这个时候,因为疆域广大,所以黑产只要行动,势必会经过腾讯的产品领土。(某种程度上而言,由于腾讯产品的普及性,黑产极愿意“搭顺风车”。)


举例来说,


恶意推广的木马病毒,会试图绕过电脑管家的拦截;

诈骗团伙的诈骗电话,也会试图从各类手机管家眼皮底下绕过;

各类个人信息贩卖团伙,会试图在各种社交平台里寻找下家;

赌博、传销的群组,会试图利用社交软件形成联络组织。


此时的长城南北,一边是一统江山的中原王朝,一边是组织结构大幅升级的“草原部落”。这就是互联网世界的残酷。短短几年间,敌我形势已经有了深刻的进化。


而背负十亿网民,腾讯必须要面对黑产这个敌人,于公于私,半步都不能退。


这就是两年前“守护者计划”推出的底层逻辑。


在我的理解中,守护者计划最核心的部分,就是腾讯用自己的反黑产技术,武装银行、武装运营商、武装公安执法部门,一起干掉黑产。(当然在官方阐述中,这是一套有指导单位领导,各家共同参与的联盟。)


这其中,有一个转换的过程:


在2016年的语境中,守护者计划的主要矛头指向电信诈骗。守护者计划的负责人是腾讯安全管理部总经理朱劲松,而主要的产品研发仍是百战老将李旭阳。他领衔的“反诈骗实验室”推出了“鹰眼盒子”,用于放在运营商的机房中,自动识别电信诈骗电话,从而使得电信运营商可以依据“鹰眼盒子”的结果实时阻断诈骗。


2016年4月,腾讯推出可以实时阻断电信诈骗的鹰眼盒子,这是当时的一些报道。


之所以说黑产像极了草原部落,是因为他们可以以非常快的速度“调转马头”调整进攻方向。2017年,人们身边的电信诈骗势头稍缓,各种赌博、传销、黄色直播、恶意刷量、个人信息贩卖等等形式又开始爆发。


所以,腾讯调转枪头,2017年一整年,李旭阳又带领队伍研究了灵鲲、神羊、麒麟等一系列反黑产神器。(灵鲲是金融风险感知系统、神羊是大数据黑产情报分析平台、麒麟是监控伪基站的产品)


此时的李旭阳,可能更像武帝时期北击匈奴的霍去病


为什么这么说呢?


因为在“守护者计划”的加持下,队伍中终于出现了腾讯之外的力量,包括运营商、银行和公安机关。尤其是公安机关的参与,让他们作为一个整体,对黑产有了真正的围剿能力。


大军第一次杀过长城,黑产丢盔弃甲。


有几个数据:


160:2017年守护者计划协助公安办了160起案件。

3800:这些案件,一共抓捕了3800多人。

32亿:案件涉案金额总共32亿人民币。

100亿:公安机关缴获个人信息100亿条。


以前,黑产哥们撸串时相互劝慰:“别被微信封了!”

现在,黑产哥们涮锅时互相提醒:“别被警察抓了!”


武帝派兵越过长城,北击匈奴。在网络世界中,我们首次率大军直击敌巢。



(二)腾讯的几场边疆战役 


2018年1月,腾讯专门召开了一个“守护者计划大会”,会上的重头戏就是公布了2017年的“十大案件”。


分析了半天天下大势,现在具体的黑产究竟什么样子嘞?我挑几个点评一下吧。



1)最“高科技”的黑产——AI 打码平台


早在去年中旬,腾讯安全的童鞋就神秘兮兮地告诉我,他们正在和一个“高智商”黑产团伙进行对抗。不过我问到具体的内容,他们又都守口如瓶,只是留下一句:“这年头,干什么都得有知识。现在的黑产,都开始玩人工智能了!”


果不其然,他们说的就应该是这个“用 AI 破解验证码”的团伙了。


你平常在登录网站的时候,经常会被要求输入“图形码”(就是旁边有一张图,你看里面写的是什么字母然后打出来)。这个机制一般是用来验证操作的人是不是机器。

一般情况下,机器是很难自动识别出来图行里究竟是什么字母的。但人工智能(AI)技术的发展让这种识别成为可能。一般情况下, 使用人工智能需要比较强的计算机知识,黑产人员不具备。


但是,事情就这样发生了。


这个团伙不仅掌握了人工智能技术,还把识别率优化到了80%以上,“可用性”极好。简直是“流氓会武术,谁都拦不住。”


于是,这个名叫“快啊答题”的服务瞬间垄断了地下市场90%的份额,累计破解验证码1204亿次。(比1024还多。。。)


结果你知道的。出来混还是要还的。这帮“人工智能专家”还是栽到了守护者和警察叔叔手里。顺便说一句,这是全国首例用人工智能技术犯罪的案件。


在网上还可以搜到一些“答题软件”,他们一般会明码标价,但是由于技术的中立性,需要证据证明某团队所提供的技术已经被用于黑产,才可定罪。



2)最“清凉”的黑产——月光宝盒


打开月光宝盒,里面全是不爱穿衣服的小姐姐。


除了收费提供各个平台的色情直播以外,如你所见,月光宝盒还出售 Banner 广告位,每个广告位4000元左右。


这和构建一个天朗气清风轻云淡的网络世界的设想可不怎么相符。更关键的问题在于,它的传播几乎完全借助于QQ群和微信群。这就印证了我之前提到的判断——“黑产要做生意,很可能会取道腾讯的领土”。


简单来说,月光宝盒是一个聚合类平台,它通过破解的方式,把隐匿在地下的各种“黄播平台”聚合在一起,然后对会员收费观看。从2017年3月上线, 到2017年11月被打掉,短短8个月时间,已经有300万会员了。


出售会员的代理商,分为好几个层级,不同的代理商会通过自己的社交渠道“拉客”。这样的事情发生在腾讯的生态中,自然会被守护者计划“盯上”。


值得一提的是,这是全国最大的聚合类直播涉黄平台。


月光宝盒的某个代理商



3)最“魔幻”的黑产——微信刷量


还记得之前微信大号被爆出刷量吗?其中就可能有这个团伙“贡献”的力量。


这是一个专门开发木马程序的团伙,他的木马可谓“神勇”,一旦进入你的手机,就可以获得底层权限,进而“帮助”你给微信号文章点赞、刷阅读、投票,也可以“帮”你关注某个微信公众号,总之,你根本不用知道。。。


利用控制的众多手机,黑产分子就可以去接活了:“亲,你的号需要刷量吗?”


这个团伙22人,在2017年5月就被打掉了,这是首例微信木马刷公众号流量案件。


十大案例中,黑产走位都很风骚,我就不一一列举了。


某次行动的抓捕场景,警察叔叔持枪站在桌子上,还是挺厉害的。



我想重点说说我从中观察到的一些有趣的事实:


首先, 黑产分工之细密,到达了令人发指的程度。打击他们绝不像请客吃饭那么简单。


在很多案例中,从上游的技术提供,到下游的犯罪实施,基本上有四五道工序。而这四五道工序,竟然是由四五类团伙分别完成的。


例如,刚才提到的“打码平台”,就属于技术支持者。如果不是因为疏忽露出了参与黑产的马脚,他们甚至可以高呼“技术无罪”(这大概就相当于,生产菜刀的人无罪,你专门给杀人犯提供菜刀就有罪),这就给守护者寻找证据带来了巨大的困难。


说个题外话,这种分工模式,我们可以在中国东南沿海的制造业找到对应的模式。


中国的“世界工厂”的地位可不是白来的。我们的工业分工细致到什么程度呢?一段伸缩天线,其中的每一节都有独立的工厂生产。也就是说,做一根完整的天线,需要五个厂家共同完成。


我们骄傲于中国雄霸全球的工业化体系时,是不是也要骄傲于熊霸全球的黑产分工呢?


在如此细密的分工下,打掉一个黑产团伙是很不容易的。从这一点上看,确实应该向警察叔叔和腾讯致敬。


“月光宝盒”案中,被抓获的犯罪嫌疑人,他们大多来自同一个家族。


其次,黑白对抗已经进入自动化武器较量的阶段,没有金刚钻绝对揽不了瓷器活。


从黑产的角度看,什么叫“AI 打码”,哪个是“木马远控”,都已经成为产业链的标准化工具。


从腾讯的角度看,他们必须要搞出比对手更高明的技术武器。所谓鹰眼盒子、神羊系统、麒麟系统其实都是在对抗中被“逼出来”的产物。(幸好,腾讯的技术实力还远在黑产之上。)


从这一点上来看,反黑产已经成为了一个“技术密集”的营生,如果腾讯这样的顶尖公司不参与,战场形势将会发生巨大的逆转。


幸好,如我之前所证:腾讯在反黑产这件事上,于公于私,都不会选择独善其身。


(三)将军勒马,北望荒原 


朱劲松说,相比于2016年只关注网络电信诈骗,2017年的守护者计划更加摸向黑色产业链的上游,从上面“扎住口袋”,遏制下游黑产泛滥。


当然,深入敌巢比固守藩篱更振奋人心。


有汉之年,武帝却匈奴于漠北。但是在其后的将近两千年年时间,中原王朝却始终与草原部落对抗,无法彻底消灭。


我猜想,和黑产的战争,短时间内也难以看到终局。


从警方抓捕行动的照片中可以看出,那些黑产从业者都很年轻,他们的脸一如你我。如果从事黑产带来的诱惑始终存在,那么永远会有年轻人带着自己的技术铤而走险。而这种诱惑,我并没有看到短期内得以消除的可能。


所以,守护者计划也许难言有胜利的一天。但是,如若它不存在,那些所有曾被预言的恐惧,就会如沙暴一样向我们飞速袭来。


中原百姓笙歌如海,北方将军勒马回望。


正如一盘巨大的围棋,在黑白的交锋面上,那个决定生死的点位,白棋不占,自会有黑棋来占。


世界原本如此。







再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以加我微信,shizhongst。

不想走丢的话,你也可以关注我的自媒体公众号“浅黑科技”

蓝字查看更多内容


黑客故事


黑客李均歪传

痴人赵武:我还没打算和命运握手言和

草根黑客K0:梦想很贵,但值得一试

“95后”黑客单好奇:再推一把自己

黑客小灰灰:让时间来证明一切

Oscar:我对人生的期望

十年前的黑客哥们,现在可还好?

妖妖灵吗?我是个黑客,我被黑客给黑了

你有勇气和这三个未成年黑客比一比谁更XX吗?借你三个梁静茹


风云观点


Fortinet|苹果资本|双面黑客

美国大断网全纪实

周鸿祎:未来的世界属于怪咖

张溪梦:“增长黑客”的四认知

李鸣雷:我眼中的云安全

“君有漏洞在腠理 不治将恐深

 刘刚:威胁情报和反病毒

王博:认真做人脸识别

“情报薛”:我要做的威胁情报

肖力:时间会把一切还给我们


探索好奇


大数据“读心术”|二维码破解

达摩院 |破解ofo

科幻巨制《天猫双11》

“摸屁股盗刷术”

CCF-IFAA科研基金

神龙云服务器

膨胀的iPhone 8 

揭秘:两张A4纸破解人脸识别

浅黑科技,让技术被读懂


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存