专访全球黑客大赛冠军邓欣：跟互联网的“阴暗面”斗争 16 年，想解决黑灰产问题

作为一名行业老兵，邓欣从事网络安全行业已有十几年。他自称“过去十多年，一方面见证了中国互联网的飞速发展，另一方面一直跟互联网的‘阴暗面’作斗争”。

最开始，病毒木马流行，尤其是盗号木马泛滥成灾，邓欣的工作是查杀病毒木马；后来，漏洞的威胁逐渐增大，他又投身漏洞攻防技术的研究。再后来，黑灰产发展越来越成熟，日益猖獗，邓欣于 2018 年加入永安在线。据悉，永安在线是一家专注于黑灰产对抗的安全企业，基于对黑灰产的布控能力，提供一站式反欺诈解决方案。在这个更大的舞台，他从事着黑灰产的研究和打击工作。

黑灰产的现状

对很多人来说，黑灰产的代名词就是“薅羊毛”。比如在去年，有一起“薅羊毛”事件引起众多网友关注。2019 年初，黑灰产团伙利用规则漏洞薅走拼多多总价值数千万的优惠券。实际上，除了薅羊毛，每个行业都存在一些典型的黑灰产欺诈场景。

黑灰产的欺诈场景

• 在社交行业，黑灰产会利用大量虚假账号批量向平台用户发送信息，引流到微信或 QQ 上，然后进行诈骗。

• 在电商行业，黑灰产的表现是刷单，制造虚假的交易量。

• 在直播、短视频等平台，最典型的是刷量，黑灰产通过刷播放、关注、点赞、评论等方式进行广告引流，甚至实施网络诈骗。

• 在出行平台，黑灰产的典型活动是抢单和代打。

• …

随着国内移动互联网的蓬勃发展，依附于之上的黑灰产也得到极大发展，已渗透到我们生活中的方方面面。

以逐利为最大特点，黑灰产的背后是一条成熟的产业链

黑灰产之所以能有现在的发展，关键是其形成了一个分工明确、协助紧密的成熟产业链。据了解，整个黑灰产的产业链大致可以分为上游、中游和下游三个环节，其中，上游提供资源和技术，下游进行作恶和变现，而中游则连接上游和下游。

整个产业链中，“比较关键的部分包括上游是否能持续稳定的提供可靠的资源和技术，下游是否能有稳定的变现途径或渠道，中游是否能高效的连接上游和下游，保持稳定的供需关系。如果这几点不出问题，整个产业链的运作就会很顺畅。”邓欣说。

在他看来，黑灰产的最大特点就是逐利。“只要是能产生利益的地方几乎逃不开黑灰产的觊觎。即使表面看上去获利很低，但黑灰产依然会想办法通过批量操作来规模获利“。

以新人红包为例，邀请一个小号可能只有几毛钱的红包，去掉成本后，单个账号的收益可能不到 1 毛钱，但是如果不做限制，黑灰产可以在极短时间内注册几十万甚至上百万的账号，最后还是能赚得盆满钵满。

全面剖析黑灰产的攻击

据邓欣介绍，黑灰产的攻击方式主要有机器作弊和真人作弊两种。

机器作弊：

通过自动化的机器程序来伪造真实的用户行为，它又分为协议攻击和脚本攻击两种。

• 协议攻击指的是通过破解业务前端和服务器的通信协议，直接伪造并发起注册登录等业务请求；

• 脚本攻击指的是通过编写按键精灵、autojs 等脚本，操控前端应用或网页的界面元素，比如输入框自动填入账号密码、自动点击登录按钮。

值得注意的是，前者不需要有设备安装业务应用，攻击成本更低，更容易规模化，危害也更大。

真人作弊：

与机器作弊不同，真人作弊背后是一个个真实的人，黑灰产往往通过发布赏金任务，吸引真人协助其完成作恶。

不过，随着近年来甲方业务风控的不断加强，机器作弊很多时候会被识别出来，而真人作弊识别难度非常大，因此真人作弊越来越多，模式和形态越发多元和丰富。

此外，与以前相比，黑灰产的攻击方式或手段有了很大变化，主要体现在以下三方面：

• 从早期单一的兼职刷单，到如今的多行业、多场景、多任务的广泛渗透

• 从早期的只在 PC 端进行单一手法的兼职，到如今以移动端为主

• 从早期的线上群组媒介（QQ 群、YY 语音等），到如今的平台化和裂变化

从成本和收益来看，黑灰产的攻击成本主要来源于其发起攻击时所需要的各种资源，主要有：

• 账号资源：在目标业务上注册的虚假账号

• IP 资源：为绕过目标的 IP 风控，购买代理或秒拨 IP

• 设备：在设备上安装目标应用

• 自动化工具：批量操控多台设备的群控工具，修改设备信息，从而伪造新设备的改机工具等

黑灰产的收益则是甲方业务营销费用的损失。邓欣说，“有一些收益比较直接，比如现金红包，可以直接提现；还有一些收益需要变现，例如优惠券。不过，黑灰产有发卡平台、回收平台等成熟的变现渠道，所以变现也不成问题。”

近年来，以云计算、大数据和人工智能等代表的新技术的出现或应用，在某种程度上也加速了黑灰产的发展。

我们来看一个典型的例子。云计算的发展让个人搭建和维护一个网络平台的成本大大降低，其中包括黑灰产产业链中的一些平台，像提供虚假注册手机号的接码平台、提供海量 IP 地址的代理和秒拨平台、提供图像和滑动等验证码绕过服务的打码平台、提供交易和变现渠道的发卡平台等，很多搭建在国内或海外的云服务器上。

这些平台的大量出现，打通了黑灰产的上下游供给，不仅降低了攻击成本，而且还提供了 API 接口等方式便于自动化，进一步提升了攻击效率，让黑灰产可以更容易地实施大规模的批量攻击，收益也更大。

企业该如何打击黑灰产？

一旦黑灰产成为业务安全的威胁，企业就需要采取应对举措，进行打击，否则后患无穷。

在邓欣看来，对企业而言，首先，需要重视黑灰产，在业务发展的每个阶段都要投入相匹配的人力进行业务安全建设，从而保障业务健康增长。其次，对黑灰产要有足够的认识，了解黑灰产对自身业务会产生哪些危害，这样才能“对症下药”。

打击黑灰产活动的核心是提高其作恶的成本和门槛。从成本和收益看，一旦投入高于其收益，黑灰产就会离开，而前提是对黑灰产的成本和收益有一个比较准确的评估。另外，”法务打击对黑灰产也能形成较强的威慑力，在适当的时候也可以使用。黑灰产往往游走于法律边缘的灰色地带，打擦边球，‘牢狱之灾’对黑灰产来说也是很大的一个门槛。“他说。

用技术手段打击黑灰产

对企业来说，打击黑灰产大致有两种方式：一种是技术手段，另一种是运营手段。

在技术手段上，企业首先需要搭建一个业务风控系统，这需要用到一些实时计算的技术对业务数据进行处理。在此之上，企业可以使用黑白名单，或通过规则引擎设定一些风控规则。比如，单台设备登录的账号不能超过 xx 个，单个 IP 地址访问某个业务接口的频率不能超过 xx 次 / 小时。当业务数据积累到一定规模，可以使用一些有监督的机器学习算法进行样本分类，或运用一些无监督的算法进行聚类。

邓欣说：“人工智能在图像、声音、语义识别等领域的技术应用越来越成熟，目前也在打击黑灰产发布违规内容方面得到广泛的应用。”

AI 在打击黑灰产上的作用和难点

在黑灰产行为识别上，人工智能也取得一定的进展，例如基于生物特征的验证码，通过无监督学习等方式对黑灰产团队进行聚类。

不过，他也坦承，“人工智能想要在打击黑灰产上发挥更大的作用，仍然存在很大的困难，需要整个行业一起努力突破。”其中，第一个难点是如何更加有效的发现未知或新型的黑灰产攻击，由于黑灰产是动态变化的，很难做到全面完整的提前预测；第二个难点在于如何有效地控制误报。因为有经验的黑灰产在行为上往往伪造的非常逼真，IP 地址等资源也存在黑灰产和正常人混用的情况，这些因素都会导致部分正常用户被误判为黑灰产。

邓欣还指出：图片验证码、滑动验证码等技术，虽然黑灰产有成熟方案可以绕过它们，但它们在一定程度上能提高黑灰产的攻击成本和门槛，这对防御黑灰产也能起到一定的作用。

此外，为及时发现未知风险或新型风险，还可以通过蜜獾、投毒、伪装等技术打入黑灰产链条中，进行情报收集。而对于不同来源、不同维度的情报数据，则可以通过知识图谱等技术进行关联分析。

使用运营手段打击黑灰产

除了技术手段，企业还可以使用运营手段，比较有效的运营手段是“查杀分离”。举个例子，当企业识别出某个账号是黑灰产注册的账号时，并不立即对其进行封禁，而是进行标记。等到这些黑灰产账号在业务上实施恶意行为或获利行为时，再对其进行限制，比如抽奖活动中，这些黑灰产账号的中奖概率为 0。

这样做的好处有两方面：一是拉长了攻防对抗的时间周期，提高了黑灰产作恶的时间成本；二是从发起到限制，这中间往往会经历多个业务行为，黑灰产很难直接判断出哪个环节出了问题，因此无法针对性的进行对抗。

一起典型的黑灰产对抗事件

众所周知，黑灰产注册虚假账号离不开手机号，它可以说是黑灰产伪造身份的底层基础资源。提供黑手机号资源的“供应商”，利用审核不严、物联网卡、虚商等方式批量开卡，然后将手机卡插在一种叫做“猫池”的设备上收发短信，包括接收注册账号时需要的短信验证码。“这是一种比较常规的方式，我们称其为‘猫池卡’“。邓欣说。

随着对黑卡产业链的深入挖掘，他们发现另一种更恶劣的方式：通过硬件后门或软件 App 在正常用户手机设备上植入木马，拦截接收到的短信内容，利用其进行恶意注册，他们称其为“拦截卡”。对一个规模较大的“拦截卡”团队，他们进行了进一步的溯源。这是一个公司运营的团队，专为一些杂牌手机厂商提供终端系统方案，在尚未出厂的手机操作系统底层植入木马黑客程序，一旦用户买了手机，插入手机卡，手机就会在用户不知情的情况下被黑客程序控制。

同时，该团伙还搭建了多个接收手机验证码的平台，结合事先植入手机操作系统底层的木马黑客程序，把接收到的手机号码和短信验证码用于为下游黑灰产团队提供各类网络账号注册服务，每次接码服务费在 0.4 元至 2.5 元不等。这些网络账号又被提供给下游网络诈骗、网络水军、“薅羊毛”等黑灰产犯罪团队使用。

最终，永安在线协助广东省公安厅，对该犯罪团伙的手机系统开发商、手机硬件厂商、接码平台、下游黑产业团队进行了全链条打击。

对黑灰产的思考

从长期来看，黑灰产主要围绕跟业务风控的攻防对抗来完成一轮又一轮的进化。以设备层面的攻防对抗为例，以前黑灰产主要使用一些公开的通用技术，比如 Xposed 框架来篡改设备信息，由于会留下一些比较明显的痕迹，容易被识别；一段时间后，识别能力也针对性的进行升级，这些篡改技术侵入到业务应用的进程中，因此可以通过检测注入、检测 Hook 等方式进行识别。现在，黑灰产已经采用一些更底层的技术，而应用层完全感知不到篡改行为，也无法读取到真实的设备信息，比如通过硬件改装、定制 ROM 等方式直接从系统底层修改 IMEI、MAC 地址等信息。这给基于设备的攻防带来了巨大挑战。

“黑灰产是互联网发展到一定阶段的必然产物，我们不太可能完全消灭黑灰产。”邓欣说。一方面，要有效的控制黑灰产，不让其泛滥成为“洪水猛兽”；另一方面，也不能用力过猛，影响用户体验，甚至对业务造成伤害。

关于邓欣：

邓欣：全球黑客大赛冠军，前腾讯安全技术专家。2007 年南开大学硕士毕业，2018 年正式加入永安在线，专注于研究当前最前沿的网络安全攻防技术，包括漏洞挖掘和利用、APT 攻击挖掘、复杂病毒木马打击、黑灰产攻防对抗等。拥有大规模黑客攻击和重大安全突发事件应急处置能力和经验。

附：黑灰产行话 / 黑话

（摘自永安在线（原威胁猎人）2018 年上半年短视频黑灰产业报告）