破黑线黑设备“四破”行动,动态研判网络犯罪趋势,深入分析网络犯罪特征严厉打击网络赌博、网络黑客攻击、侵犯公民个人信息等活动,不断加强网络空间秩序和治理,营造安全、畅通、有序的网络环境。同年12月22日,中央网信办开展“倾浪、打击流量诈骗、黑公关、网兵”专项行动。随着互联网技术的创新升级,网络犯罪新形态层出不穷,“黑灰生产”呈现产业化趋势。目前,我国“黑灰产业”已形成年产值1000亿元、从业人员超过150万人的庞大“黑金”利益链条。从偷偷扣话费、变现广告流量、分发手机应用,到刷“木马”、敲诈病毒、控制“肉鸡”挖矿,“黑灰生产”形式多样,“扫羊毛”无处不在。其重要的盈利模式之一。.本文从实际情况出发,从常见类型“黑灰业”的角度出发,深入剖析“黑灰业”的产业链结构,从“黑灰业”的角度剖析“黑灰业”存在的问题。通信行业,提出通信行业采用数字化智能手段对“黑灰色生产”进行预警和防控的建议。“黑灰色产业”产业链结构“黑灰色产业”是指利用互联网实施电信诈骗、钓鱼网站、木马病毒、黑客勒索等违法犯罪活动。其中,“黑色产业”是指直接违反国家法律的网络犯罪活动;“灰色产业”是游走在法律边缘,为“黑色产业”提供辅助手段的争议行为。随着互联网从PC向移动端扩展,“黑灰产”也从最早的控制“PC弱鸡”,发展到现在对移动互联网各类APP的攻击。攻击场景集中在电商平台“羊毛”上。、银行金融诈骗、直播平台刷卡、广告刷卡、社交平台刷卡、流量诈骗、裂变推广、平台推广、网络诈骗等,涉及社会各行各业,具体操作动作因类型而异的攻击。给社会造成了极大的危害。一是“黑灰色产业”分工细密、分工明确。“黑灰色产业”是一个非常隐秘的地下产业。资金来源、合作模式、商业模式、变现渠道、利润分配模式不为人知。目前检测到的“黑灰产”产业链包括资源、服务、变现三个环节,如图1所示。图1“黑灰产”产业链构成第二条,“黑灰产”和灰色生产”形成了专业化的技术运作模式。目前的“群控+手动刷量”。第一阶段:虚拟机阶段,是“羊毛党”行业的初级阶段。“羊毛”的黑色生产属于有组织的产业链。有的提供手机和账号,有的提供自动化工具平台,有的负责刷量。第二阶段:群控阶段。通过购买廉价手机或二手手机组成“手机墙”,使用修改工具修改手机型号、MAC地址、IMEI码(手机序列号)、GPS定位等设备信息,从而不断锻造和产生新的设备。还有使用定制ROM,通过群控软件操控手机,模仿真人自动完成点击、下载APP、激活账号和应用等操作的方法。第三阶段:“群控+手动阶段””。这一阶段,“羊毛党”演变为“人羊毛党”和“真羊毛党”(真人众包)。主办方在真人众包软件和平台上发布项目任务,如用户点击项目获得积分、积分可兑换红包等,从而吸引真人参与活动。据统计,目前全网“黑灰业”发起的恶意注册攻击次数每天可达800万次,每天活跃的诈骗手机号码超过150万个,平均每个手机号码每天6次攻击。从目前查获的“黑灰产品”恶意手法来看,“黑灰产品”的场景主要包括恶意注册、恶意攻击、众包真人作恶等。场景一:恶意注册为核心资源随着“破卡行动”的深入,以往随意购买手机卡直接注册大量APP账号的方式已经行不通。“黑灰生产”采用“迂回运作”的形式,形成新流程:第一步,卡贩子从三大运营商、虚拟运营商、海外运营商处购卡,或者劫持用户手机号通过技术手段,通过“猫池”办卡办户;第二步,号商通过“收码平台”获取发卡商提供的手机号码和验证码,在APP上注册虚假账号;卡商交易,或通过“发卡平台”获取虚假账户,最终进行各种“黑灰产”恶意操作。恶意注册的具体流程如图2所示。图2恶意注册流程图场景二:恶意自动化技术为主要攻击手段随着互联网企业加强对APP、风险账号库、风险IP库、风险设备库的风控相继建立,与账号使用行为相关。“黑灰产”开始采用各种恶意自动化技术:从原来简单的代理IP池到动态IP;隐藏真实IP或设备所在位置,规避APP风控。在恶意自动化技术的影响下,“黑灰生产”的流程也发生了变化:第一步是通过代理IP池、二拨IP、IP魔盒、海外IP代理等进行动态IP转换;第二步,利用SaaS服务和动态IP技术,在公有云上构建“二次拨号或VPN通道”,构建手机池、手机模块池等无线设备池,形成恶意攻击设备群;第三步,利用群控或云控对APP自动化脚本(秘钥精灵或Auto.js)进行操纵攻击,或直接破解客户端与服务端的通信协议,模拟自动化脚本,伪造操作内容。自动化技术攻击的具体过程如图3所示。图3自动化技术攻击流程图场景三:通过真人众包规避风控随着众多垂直领域平台防控意识的增强,部分平台已经出台用户获客领取礼包前需实名认证的规定,防止“黑产”恶意攻击新用户福利。这种方式确实避免了“黑灰产”通过工具自动注册获利,但也导致了真实用户认证后倒卖账号的作弊或众筹。也就是说,原来使用自动化机器人,现在转为实名制实名众包谋利,其行为与个体的真实行为混杂在一起,不易被发现。目前,真人众包模式呈快速上升趋势。以上仅为部分“黑产”场景,不涉及网络诈骗、网络攻击、计算机损坏等“黑产”场景。坚决打击通信行业“黑灰色产业”。数字化智能防控“黑灰行业”与通信行业有着密不可分的关系。从恶意目的和流程分工来看,“黑灰生产”需要源源不断的低价实名手机卡、IP地址池,以及手机、PC、云主机等通信资源.为维护互联网空间清朗,保障人民群众合法权益,三大基层运营商应履行国有企业义务,承担社会责任。考虑到当前“黑灰行业”的复杂性,通信行业数字化智能防控并非一蹴而就,需要深入研究内外部根源,采取切实可行的措施杜绝一切违法行为.此外,这场运动不能由运营商单方面推动,需要国家网信办、公安局、法律等政府主管部门,以及互联网企业、金融机构、社会组织、互联网企业等的共同参与。广大市民。本文从大局出发,结合运营商实际情况,为运营商打好通信行业“黑灰产”数字化智能防控战提出以下建议。建议一:构建全方位、立体联控联防体系,以维护人民群众财产安全为抓手,积极承担社会责任,积极参与主管部门行动,构建“人防御+技防”联防联控体系。人防方面,在企业内部树立正确的企业价值观,加强对内部人员和合作伙伴的监督,杜绝一切违法风险,杜绝低质量无效发展。技防方面,在国有企业数字化转型的基础上,加强风控数字化投入和研发,破解技术盲点难点,提升技术防范能力。在联防联控方面,相较于“黑灰色产业”产业链的分工合作,主管部门将牵头构建重点行业和企业的防控体系。监控账号、手机号、IP地址、设备号、银行账号、攻击类型等关键信息,全面提升防控效率。建议二:实施数字化智能防控体系,以科技对抗科技,构建“黑灰产业”防控生态圈根据“黑灰产业”三大作恶场景,传播特征梳理出不同场景下的不同通讯工具,总结出“号码型、网络型、设备型、真人型”四大风险类型,以及集中入网、集中攻击、多方攻击等行为特征-变频IP,设备集中。手机号、APP账号、银行卡三大要素在“黑灰产”恶意攻防对抗中尤为关键。“黑灰生产”的进攻者,通过自动化技术将三大要素串联在一起;在防御端,由于行业细分、企业竞争等原因,案件发生后,往往由主管部门牵头进行人工追溯。以最快的速度见一挡一。基于以上分析,笔者建议运营商主动挑起重任,在内部率先构建“以科技抗科技”的数字化智能防控体系,打通运营域等系统平台。、业务领域、管理领域深入研究,组织专人攻关。及时引入安全防护机构预报数据进行数据整合挖掘,实行一键渗透自动防控机制,解决各系统平台无法自动对接、无法追溯等问题。运营商还可以在行业内同步搭建以隐私计算为核心的数据交换平台,或对外提供“黑灰产”防控数据服务赋能,对三大要素资源进行实时交互验证,打击类型、预警防控,梳理“黑产”产业链,构建“黑产”防控生态圈。建议三:主动作为,精准施策,加强“黑灰产”宣传教育“黑灰产”防控工作离不开人民群众的理解和支持。要落实政策,提前预防,提高防控效果。在遵守国家法律法规、保护个人隐私和安全的基础上,运营商可以在主管部门的指导和领导下,利用大数据技术对“黑灰生产”链条上的风险用户进行分析,并进行点对点。——提前对点宣传教育;加强“黑灰业”通信管控,将主管部门最新要求纳入进网协议,实时优化进网协议,将“黑灰业”通信风险纳入进网协议超前意识条款,超前普及宣传教育。
