二:网络黑产的特点
网络黑产无论是从单个黑产形式还是从总体上来看,其形成过程、参与者之间的分工配合以及利益链条的形成等方面,都表现出模块化、组织化和团队化操作的特点,网络黑产的操作过程也存在跨平台操作、多团队配合等特点。
网络黑产产生于网络空间独特的环境当中,充分利用了互联网服务、技术发展所创造的条件、提供的便利机会。没有互联网及其相关的技术及服务,有些黑产就不会产生,典型的如DDos攻击。作为全球互联网所面临的最严重的安全威胁之一[6],在互联网产生之前,DDos攻击在互联网所依托的全球数据传输技术之前和全球电脑都能互通互联之前,并不存在。大量的其他类型的黑产,则是传统黑色产业在网络环境下获得了更大的发展空间,更强的技术支持。
这些特点是网络黑产在形成过程中所表现出来的较为明显的特征,准确归纳、了解熟悉这些特征,有助于我们更准确地定义、认识网络黑产,更有助于我们有针对性地制定、完善打击黑产的规范体系,高效落实相关治理措施。
(一)模块化、组织化、团队化操作
模块化是计算机、手机等设备在依据程序员指令完成相应任务的过程中,程序员用主程序、子程序、子过程等框架把软件的主要结构和流程描述出来,并定义和调试好各个框架之间的输入、输出链接关系,使整个程序按照程序员或设计者的要求,通过终端、云端和其他设备独立完成设计者交给机器的任务。模块化使终端设备可以借助主程序、子程序和子过程等独立发挥作用,也可以共同发挥作用,成为一个高效而协同工作的整体,极大地提高了终端依照程序员、设计者指令完成各种各样的数据传输、计算和识别等方面的任务的效率。模块化也可以让使用者借助简单指令完成复杂工作,对复杂系统进行有效管理。
模块化广泛应用在各个终端,各个领域,自然也无法阻止其在网络黑产领域的使用。网络黑产规模的扩大、参与人数的增多以及监管机构在监管过程中困难重重,与网络黑产模块化有直接关系。
模块化意味着流程化与程序化,极大提升了网络黑产的技术含量、复杂程度和掩护能力的同时,也降低了网络黑产门槛,改变了早期网络黑产只能由较高技术能力的个体或团队涉足的现状,也改变了早期网络黑产对高技术专业人员的过分倚重。早期黑产参与主体是具备较高的互联网专业知识与操作技术的人,而现在任何主体都可以通过购买专业的“互联网服务”实施网络犯罪,并借助一系列专业化“服务”掩盖、隐藏其不法行为。比如经营一个中小型的赌博网站,可以直接通过购买“一体化的网络赌博解决方案”实现,将会有专业的技术人员负责架构搭建以及后期运营及维护工作。在遇到以结果为导向的刑事犯罪或其他违法活动处罚的时候,这些机构或个体之间,尤其是提供模块化服务的机构之间,很容易以不知情等理由逃避监管。
组织化是近些年黑产犯罪的重要特点,即呈现出分工明确,组织严密,协同作案的趋势。经过精心设计,把黑产犯罪过程分成许多不同的阶段或不同的板块,借助网络服务将各个不同板块或阶段的任务安排给不同的模块,使各个不同的模块既可以单独完成指令,也可以协同完成对整个黑产变现过程的管理。
英国家网络安全中心将网络犯罪工种总结为负责人、数据挖掘者、编码者、入侵专家、呼叫中心以及金融专家等,分别负责协调工作、制定法律对策、处理盗窃数据、编写与更改恶意软件、渗透目标公司、安装恶意软件以及洗钱等工作,[7]各工种之间配合密切以确保团体平稳运行。
国内黑产犯罪组织更为复杂,精细。从产业链分布来看,上游有挖掘互联网平台漏洞制作攻击工具的团队、专门的料商、卡商和养号平台;中游有针对不同交易类型搭建交易模块,提供集约化处理方案的组织;下游分布着广大的金字塔式的代理群体、推广引流人员以及维护公司声誉的公关人员。不同人员之间分工协作,共同构成了整个黑产产业链的有效运转。
随着监管力度的加强和技术的更新,黑产经营模式也在不断升级。比如早期的数据交易模式是由不同渠道的人员窃取数据后交由数据中介处理,再由中介销售给诈骗集团、金融企业等团体。这一条数据产业链的交易各方都较为分散且处于隐蔽状态。而现在数据产业链中,合法成立的新型数据公司(如前文提到的新三板上市公司“数据堂”和“瑞智华胜”)替代了信息中介,他们通过整合不同的数据渠道收集海量信息,对信息进行整合、分类、清洗,继而根据购买方需求提供定制化数据服务。升级后的数据服务较之从前数据信息更为集中,分类更为精细,这就使得数据购买方能够更精准定位目标客户,精准实现自己的非法诉求。数据公司一旦涉嫌黑产交易,也就意味着会有巨量的网民掉入网络黑产的层层陷阱中,随时随地成为网络黑产的目标对象。
由小作坊式的交易模式转向分工明确,组织严密,容易复制的模块化产业,是当前黑产的重要演变趋势。同时,网络黑产技术与互联网其他技术的同步改进、同步迭代、同态、同台操作等特征,也使得网络黑产的实施和变现过程都可以在高度专业化、隐蔽化的情况下单独或协同进行,也意味着黑产犯罪行为将愈发难以侦破和监管。
(二)迷惑性、隐蔽性强
信息技术的发展和应用使得犯罪行为更加具有迷惑性和隐蔽性。与现实空间的情况相比,传统或线下涉及黑产的违法犯罪行为,会在实施和完成的过程中,留下诸多可以寻踪的物理痕迹。案件的侦破和查处工作,包括最后涉案人员的处理等,都可以根据相关的细节跟进。而网络黑产借助互联网技术,采用专业化和团队化操作,并且借助电子证据会在某个环节突然“失踪”的特点,巧妙地将黑产变现之前的违法犯罪行为,或可以证明其实施违法行为的证据链条切断、证据灭失,在不露声色中将非法行为与无法证明的“黑产”结果之间的因果关系断开,使平台管理和政府监管,尤其是对案件的查处“突然死亡”。
这方面的例子举不胜举,突出体现在网络赌博和网络色情领域。为避开监管或不被查处,网络赌博和网络色情服务平台会采取将服务器架设在主要目标人群国的法律无法直接发挥作用、监管机构无法直接落地监管措施的第三国境内,或对这类行为较为宽容的国家境内,由专业人员进行远程操作,既容易达到网络黑产实施、变现的目的,又不用担心突然降临的查处或监管。在实施这类犯罪行为的过程中,网络诈骗分子可以通过数据平台购买“四件套”(身份证,银行卡,微信,支付宝)的方式,将真实实施黑产犯罪行为的人员的信息隐藏起来,使执法机关难以顺藤摸瓜地找到实施者。黑产操作方还可以批量购入“信封号”,欺骗账号中的亲朋好友,获取他们的转账汇款。而要打击这种犯罪,则需要不断克服技术方面的限制,不断向前溯游,尤其还需要在不同的平台、在平台和金融机构及其他机构之间“穿梭往来”。由于不同平台间、平台与金融及其他机构之间的对接通常需要大量的沟通、协调工作,也会导致查清黑产链条的工作会遇到难以想象的困难,甚至最后无法进行下去。
犯罪行为的隐蔽性还表现在犯罪行为的分散化。如近几年流行的“出租收款码”,普通用户在缴纳押金后,可以通过自己的收款码收取金额,再按照要求转出拿到一定比例的佣金。对于普通网民而言,这种赚钱方式看似毫不费力,实际是在帮助网络黑产洗钱,许多网民根本意识不到自己是在从事非法行为,而非法色情、赌博网站正是利用租用“收款码”的方式将大量非法资金通过海量私人账户分批运作,漂白。对于监管和侦察机构而言,这种网络洗钱的方式涉及大量普通账户,路径十分隐蔽分散,难以侦察。
(三)跨平台操作现象突出
跨平台犯罪现象突出体现在网络黑产的“引流”环节。流量为王,黑产运营同样需要聚集大量的人气,而人气必须建立在足够量的用户数和数据传输量的基础之上。作为见不得光的网络交易流程,与黑产相关的操作自然也不能不加处理地把自己的服务通过搜索服务、社交媒体平台、贴吧等网络平台进行推广和宣传,不能正大光明地为自己的操作打广告,不能明目张胆地将黑产相关的文案出现在各个互联网内容平台上。黑产如何推广,如何让更多的人自觉或不自觉地卷入到相关的环节或场景之中呢?黑产推广的重要手段,就是在全网各个平台,尤其是大量的社交媒体平台、比较火爆的视频类平台,以各种方式进行引流式的宣传推广。公共性、社交性功能比较强的互联网服务及应用,以及能够聚焦大量用户且传播效果好的网络直播、短视频等服务和应用,也常常成为黑产引流的入口和通道,成为黑产扩大影响并不断俘获目标受众群体的主要方式。
这类通过社交媒体和其他人气较旺的平台进行黑产引流的方式,成为互联网服务提供商比较头痛的问题,经常置较大的互联网服务平台于两难的境地。一方面,平台需要流量,需要多样化的用户和内容流量来吸引更多的人进驻,来显示平台的繁荣。另一方面,这类操作又往往容易给平台带来意想不到的危险,提升平台被监管和处罚的可能性。近年来随着国家监管机构监管力度的不断加大和相关规章制度的不断健全,比较大的社交媒体平台、公共信息发展平台,都不同程度地加大了这类黑产引流的管理工作。
平台用户越多、平台服务对用户渗透力度越大、用户对平台服务粘性越高,平台就越容易成为黑产引流、黑产推广的前站。先通过这类平台或服务,用精心设计过的文案将用户引流到色情、诈骗、赌博网站或其他黑产类服务实施的场所。比如通过在发布内容中夹杂特殊关键词(动漫、资源、精品),在评论中粘贴涉黄文字片段等,引诱用户点击个人主页或者私信,将其引流到微信等私密性较强的即时通讯服务端口,再接着实施色情内容传播、色情表演和卖淫嫖娼等犯罪活动,从中谋取非法利益。通过短视频和直播引流的情况近年来也有不断扩大泛滥之势。这类平台的引流现场感更强,用户更容易掉入黑产操作人员精心营造的场景当中而失去控制能力。另一方面,这类引流较强的流动性和私密性,无论对平台和管理者来讲还是对政府的监管部门来讲,及时发现并及时予以处理的难度,都增加了不少。
这种跨平台隐晦的推广网络色情、诈骗、赌博的行为,投入少,获得的关注显著。因此,各种类型的网络黑产几乎都会在日活量大、用户粘度高的社交媒体平台、信息聚合及发布类平台、直播平台变着法子进行引流,并通过运用人工智能、机器人操作和专门雇人刷单、刷量的方式,在这些平台上进行隐晦的黑产宣传和推广,再通过其他途径和配套的操作,实现盈利诉求。
为有效应对黑产的跨平台操作,各大互联网平台已经开始与相关方建立联席打击机制。例如,阿里巴巴在2020年年初与浙江省公安厅联合发送弹窗提醒,向全省范围内的市民发出提醒,警惕围绕疫情出现的诈骗骗局。再比如,抖音为打击平台上的售假行为,专门建立了模型快速识别假货,并针对售假的店铺进行处罚清退,同时还与品牌权利人形成联合打击机制。自2020年年初至2020年10月末,抖音已配合多地警方从刑事层面惩治了多个利用抖音进行“黑产犯罪”的团伙,抓获犯罪嫌疑人100多名。
(四)多方利益捆绑,结成利益共同体
网络黑产违法犯罪活动的实施,不仅时常有环环相扣、分工明确且相互配合、呼应的作业流水线和多平台、多团队线上线下操作的行为特征,而且呈现出多犯罪团伙在形成初步共犯合意之后为谋求共同利益而相互勾连,从而形成更大的黑产共同体、黑产利益共同体的现象。
就网络色情产业的情况来看,不仅行为方式多样、线上线下结合、数字支付和传统银行共用变现,而且由于此类黑产能够同时撬动众多想从中获利的团队,使得与色情相关的网络黑产在聚集不同团伙的能力方面,显示出超强的聚合能力,即能够让多个想谋取非法利益的团伙共同卷入其中,通过分工、配合和相互之间复杂利益分配方案的设定,既达到把色情产业蛋糕越大的目的,同时又能够有效规避执法机关打击。
具体来讲,网络色情产业可以在吸引到参与团队或产业链条的情况下,将这些人员或团队融入其中:负责网络运营的专业技术人员、引流推广人员,向色情行业出租服务器的互联网服务提供商,线下色情主播招募、培训中介和代理商,以及大量从事色情交易的个体。而一个完整的网络赌博网页的运行同样包括搭建网页、应用等平台的技术人员,负责推广、引流的人员,以及后台操控人员和专业洗钱人员。
这些错综复杂的环节并不是由单一组织或者团体来施行、维护的,而是通过多服务团队的共同努力来实施的,中间缺少了哪个环节,都可能使操作无法顺利进行下去。而在长期共同配合的过程中,这些团队间也形成分工明确、配合默契的黑产体系化操作流程。一方面各自都能以“合法”的形式或方式投入到复杂的黑产链条中,问心无愧地完成自己的任务,另一方面又通过多团队、多链条的共同操作形成规模庞大的黑产。分布在黑色产业链各处的工种之间,通过相互交叉的职能或日趋专业化的工作来完成相互之间在黑产链条中的互补性任务,发挥互补性的作用。在以看似合法的方式不断获取黑产利益的过程中,这些众多的专业团队,还在不断提升自己服务的技术含量和服务水准,持续以“中立”面目为多个网络犯罪团伙提供相似的技术、产品或者服务支持。
网络黑产的引流操作,就充分展示了这种操作流程。在引流目的实现、效果不断扩大的过程中,专业“木马”软件以及木马植入服务、“众包”给大量并不具有犯罪故意的普通人并通过租用他们的收款码变现的支付服务,都是黑产操作过程中必要的环节。这些卷入的团伙、公司不排除其提供的服务是在中立或“不可能知道”的情况下进行的,但要想坐实其具有犯罪“故意”或放任的主观意图,并不是一件容易的事情。
(五)针对青少年的网络黑产泛滥
青少年群体由于心智尚未成熟,法律意识薄弱,缺乏判断力,容易成为黑产引诱的对象。以青少年为对象的网络色情、网络赌博、网络诈骗产业,也极易对青少年的网络权益造成难以挽回的影响,损害青少年健康成长。
网络游戏、网络直播和短视频服务等,无论是否专门针对青少年,青少年都是一个容易中标的群体。更为可恶的是,大量黑产玩家,还会专门针对青少年群体的心智、需求等方面表现出来的群体性特征,收割青少年的注意力,诱导青少年成为其直接或潜在的“肉鸡”,误导、引诱青少年形成不良的行为习惯和错误的价值观、世界观。比如曾经在网上受到大量青少年喜欢的游戏,会通过设计多套漂亮服装引诱青少年直接或变相购买的方式,设法使抵抗力不强的青少年进入到其游戏当中,再通过诱导的方式,让欲罢不能的青少年玩家投入远超过其行为能力和消费能力的消费链条中。大量活跃在平台上的骗子还以充值、赠送游戏币以及女孩心仪的其他产品作为诱饵,哄骗、逼迫女孩脱衣,拍裸照,裸体视频,裸聊,甚至实施线下犯罪。这些照片、视频构成了儿童色情产业的基础资源,在儿童色情付费网站、论坛被贩卖。
青少年赌博现象同样值得关注,充斥在各种网页、平台上的弹窗广告,以“玩游戏还能赚钱”等噱头诱惑未成年人,游戏首先会提供一些金额不高的盈利机会,等到青少年尝到甜头后提高赌注,开始大量输钱,甚至由此走上偷窃抢劫的犯罪道路。
针对儿童的诈骗手法层出不穷。据腾讯《2019游戏陪练白皮书》显示,游戏陪练用户有大量的未成年人。犯罪分子利用未成年人缺乏判断力,先以小恩小惠建立信任感,随后以购买装备,竞赛晋级等理由诱导青少年转账,最后发展为骗取账号密码,以此向青少年亲友实施诈骗行为。其他如利用未成年人追星心理,诈骗“饭圈”女孩财产。与成人黑产相比,针对儿童的黑色产业更为隐蔽,尤其是儿童色情,往往集中在较小的圈子里,发现的难度更大。
为引导未成年良性上网,国家网信办于2019年组织抖音、快手等短视频平台,试点上线了“青少年”模式,在该模式下,用户每日首次打开APP时,都会接收到弹窗提示,以引导家长及青少年选择“青少年”模式。当前,抖音及西瓜视频平台中常设有“青少年”模式,在该模式下,未成年用户无法使用直播、打赏、充值、提现等功能。
三:网络黑产泛滥的原因
原生于互联网领域的网络黑产,系互联网产生之后借助互联网独特条件、技术或信息传播而生成的网络生态等而形成的非法产业或产业链条。既有互联网产生及其不断发展所催生的新形式的网络黑产,也有原来的黑产在网络环境下的新发展。
网络黑产产生和维系的空间,主要指互联网服务和技术不断发展为黑产提供的新的可能性。无论传统意义上的黑产在网络空间的存续,还是网络上新增的黑产形式,都需要借助网络技术和互联网这个独特的信息生态。如果没有互联网,就没有这类产业生成和发展的基础性条件,就不可能有这类产业的不断推陈出新和发展壮大。
(一)不良市场需求催生庞大的网络黑产交易
网络时代,流量是一切互联网公司估值的重要指标,流量的背后是对网民注意力的占有,而注意力是可以转移的,可以在引导下流入不同互联网场景中。流量意味着体量,意味着互联网社会最基础的社会资源,也意味着赤裸裸的利益变现。数据的意义同样如此,流量是数据的携带者,其内容就是数据,只有掌握了数据,才能提高流量的转换率,也就意味着提高流量的变现率。对流量和数据的疯狂追求催生了庞大的黑产交易市场。
以流量市场为例,互联网时代,流量就是资源,是变现的重要依据。巨大的市场需求养活了大批专业化、体系化、分工明确的刷流量公司。据“2019中国文娱金数据年终发布会”数据[8]显示,将近50%的用户为无效用户,这就意味着全网有一半的用户是“僵尸粉”,可见刷流量产业多么猖獗。互联网相关的各种流量,播放量、阅读量、点赞量、在线量、互动量、粉丝量都可以通过专业化的公司或专业团队造假。这些刷流量公司通过手中掌握的大量账号资源,将机器与人工结合,利用平台自动刷新流量,通过人为干预的方式影响市场的流量走向,控制广大互联网用户的注意力,并试图将广大互联网用户误导到自己的黑产相关的平台或服务上去,严重败坏网络生态,使广大互联网用户面临着大量虚拟信息、虚假繁荣的困扰。
无论是流量劫持,盗刷流量,推广引流还是个人数据交易,都是个人或者组织获得网民注意力的重要手段。也正是这种市场对流量和数据的争夺促使网络黑色产业链不断升级,不断损害、干扰正常的网络生态和网络信息秩序的形成,为网络黑产相关业务的开展,提供相应的支持,为网络黑产从业者提供了实施相关行为的前提条件,为网络黑产的不断扩展、壮大提供了坚实的基础。
(二)低成本、高收益模式驱动网络黑产扩张
网络黑产的根本目的是盈利,是通过非法渠道,通过损害个体利益以及社会公共利益来攫取高额利润。黑产扩张的前提是市场对流量的疯狂追逐,扩张的驱动则是低成本、高收益的盈利模式。
网络黑产的低成本、高收益首先体现在产业链完善,分工明确。随着黑客技术升级和黑色产业链的发展,一方面,原本较为依赖人工的操作,现在可通过产业分类,比如通过养号、改号、打码、跑分等平台的集中模块来运营相关业务;另一方面,黑产工具逐渐集中、统一,形成集约化经营,黑产操作方在此基础上将不同服务链打包销售。如此一来,分摊到整个产业中的技术和人力成本不断降低。由此,不同的黑产模块构成了组织复杂,逻辑严密的闭环,吸引大量人流涌入,为网络黑产提供了源源不断的资源。
网络黑产的低成本、高收益还体现在其强大的生命力、被打击后的快速复制能力。以黄赌毒网站为例,该类网站在专项清理活动后往往会沉寂一段时间,但是过不了多久又会再次以网页弹窗广告、强制捆绑软件、木马植入的形式充斥各互联网平台。
此类网络黑产的基础架构是一致的,在遭遇封禁后,其文字、图片等内容几乎不需要任何改动,只需要换个链接就可以继续经营。同时通过群组信息服务能够保持较为稳定的用户群体,几乎不影响其收益。与此类似,犯罪分子可以借助专用工具,以十分低廉的成本来批量制作、生成网络诈骗账号和链接,用户往往在遭遇诈骗后发现骗子和链接销声匿迹,无处可寻。黑产交易这种“打一枪换一个地方”的低成本复制模式在很大程度上增加了网络黑产打击的难度。
(三)黑产类信息监管存在大量盲区
从运作形式来看,网络黑产呈现出多场景、跨平台的特点。网络空间的公开信息的非法性往往并不显著,违法内容和操作通常是从公域进入私域,从公开场景进入私密空间,继而转向特殊交易平台或者线下交易场所。比如,儿童色情内容往往集中在小圈内,网民在看到相应引流广告后,需要添加个人微信等私密账号,花钱购买特殊的邀请码或者提交特殊的证明才能够注册或者加入。大部分以色情为诱饵的网络诈骗行为也发生在这一由公转私的过程中。
从引流内容看,网络黑产前期投放内容通常较为隐晦,以打色情、暴力擦边球为主,同时采用黑话、谐音、分散插入、变形文字、表情、图文等多种元素结合以规避各平台筛查。社交媒体是此类信息较为集中的地方。随着近年来国家监管机构打击力度的加大,平台虽在不断完善相应管理制度来打击这类与黑产有关的信息发布、传播,并不断加大平台内容审核力度,但仍然难以从根本上解决问题。比如,尽管针对色情引流设置了相关屏蔽,但是仍然无法避免黑产推广者利用平台宣传推广黑产,黑产推广者仍然有多种方式绕开一些平台设置的门槛。类似“kanpian”这种奇怪字符加上拼音、谐音以及各种图形组成的留言层出不穷,有时甚至能够批量占据最显眼的位置。因为这类内容在平台上显示的,都是图文类信息,单纯从图文内容和形式,通常难以判断其是否非法,是否需要对其进行封禁或进行其他方式的处置。如果这类内容无法被与其黑产建立关联,平台断然将这类内容进行分门别类的处置,则不仅会损害平台自身利益,还会影响用户感受,甚至引发不必要的投诉、诉讼。也就是说,在平台无法对这类内容进行精准处理的情况下,要将此类信息在平台上清除,或从信息管理的角度将此类信息斩断,几乎是不可能的。
从组织架构看,网络黑产呈现出显著的金字塔模式,产业链上游难追溯。通过对活跃在多个平台的网络黑产活动以及公安机关查办的案件的情况来看,我们发现,网络黑产近些年呈现出下游产业链庞大,上游核心产业通常难以有效打击的发展趋势。比如最为常见的刷量和引流行为,都是处于网络黑产产业链的下游,都是大量的普通人在无感的情况下参与的群众性商业活动,许多参与其中的人难以意识到其行为与黑产之间的关联,监管与平台在落实相关举措的时候,也很难将这类活动的予以有效管理。这样,一方面有大量的刷单群众,另一方面又很难对黑产信息源头予以有效控制,对黑产核心力量也难以形成斩尽杀绝的效果。为逃避侦察,黑产组织之间往往采用虚拟身份进行交流,上游人员的真实身份十分隐秘,这就导致打掉的往往是小鱼小虾,难以从根本上清除非法产业链。
四:网络黑产的源头和链条
各种各样的主体在网络空间的活动,必须以某种身份进行。网络黑产的产生,也与身份信息在网络空间容易造假有密切关系。身份造假使网络空间的行为人与行为结果,尤其是有社会危害性的危害结果的发生难以建立一一对应关系,也就是说,大量在网络空间从事黑产活动的个体或组织,可以借助能够建构虚拟身份的黑卡交易完成自己身份关系的重新建构,正是这种可以虚构的网络空间的身份,导致从事黑产的组织和个体更容易逃脱法律的制裁。
一方面,网络黑产牵涉人工与机器相结合的模块化操作,另一方面,下游存在大量不知情同时又无法让其承担责任的普通用户,两个因素相结合,使得黑产可以借助技术含量高同时门槛又极低的定制化服务、分散化担责等方式分解黑产风险,绕开法律制裁。这些都是助长网络黑产产业不断翻新、不断发展的重要原因。
(一)上游源头:黑卡与黑账号构成核心资源
黑卡和黑账号是黑色产业的基础,无论是推广引流还是网络犯罪行为的具体实施,都离不开电话号码和恶意账号,黑产的高度链条化意味着网络黑产对这些基础资源的高度依赖。随着实名制在全网范围的普遍应用,各种类型的APP账号,特别是主流社交媒体应用账号,其注册都需要与电话号码绑定,而通信号码又必须与个人身份证号码绑定,同时,个人身份证注册号码数量受到限制,这就使得电话号码与账号成为核心资源,尤其是使用时间较长,信用较好的“老号”,在黑市中售价不菲。
拥有大量黑卡和黑账号的组织构成了网络黑产的上游部分。这些组织以直接或者间接的方式从通信运营商手中批量购买卡号资源,这类手机卡不需要通过实名认证,其种类多样,根据功能可以分为短信卡,流量卡,语音卡,注册卡等。黑卡和黑账号构成了网络黑产的核心资源,核心资源的短缺催生了养号平台的出现和壮大。
对于网络犯罪分子来说,可以隐匿踪迹的各类社交媒体和其他功能性平台,比如具有支付功能的平台上的账号等,是组织黑产活动、变现黑产收益的重要工具之一,而这些账号在专业养号平台上可以轻松买到。养号平台是串联黑产犯罪产业的重要线索,平台从黑卡商手中批量获得卡号资源,继而利用手机卡大量注册各类账号,并借助软件保持账号的活跃度,再根据黑产交易需要分类出售账号。在公安部“净网2020”集群战役中,徐州警方捣毁了一个为网络诈骗、赌博等犯罪提供即时通信工具“养号”交易的特大黑产平台,抓获犯罪嫌疑人84名,串并各类网络诈骗案件1300多起,涉案金额5000多万元。[9]
(二)中游定制:人工与机器相结合的工具化模块
网络黑产之所以会对个人、社会以及国家安全造成巨大危害,很大原因在于其掌握、控制了海量的资源池与信息池。比如在个人数据侵害相关的案件中,公民隐私类信息普遍以几十亿,上百亿条计算,被端掉的“小果”养号平台中绑定的QQ号数量高达两亿个,广东侦破的“时时彩”网赌公司每月涉及赌资4000亿。要获取,操纵,清洗这些动辄数亿的信息、账号,单纯靠人工是不可能实现的,必须借助大量自动化工具和平台,而开发、制作、升级这些工具和平台就成为黑色产业链的重要一环。
以接码平台为例,目前绝大多数应用都可以通过“账号+验证码”的方式注册、登陆、设置,甚至找回密码。犯罪分子借助“猫池”设备,可以同时操控十几甚至几十张手机卡,注册各平台账号,并进行其他解绑、改密等操作。随着犯罪模式的升级,平台开发出一种看似更“合法”的信息收发方式,即“租用”普通用户手机短信功能。用户按照指示后下载码台应用,注册个人账号,再点击同意应用收发短信的权限,之后应用会自动进行接码、发码等操作。对于企业而言,这种“众包接码”的方式将接发码操作分散到普通用户的普通设备,十分隐蔽,常规风控逻辑和模式很难识别,无法将恶意操作与普通用户行为区分开来。
类似“人机结合”的平台还包括数据交易中的“清洗分发平台”,支付结算环节的“跑分平台”等,这些平台为批量犯罪提供了专业的技术支持和资源支持,降低了网络黑产交易的风险和“从业”门槛。
(三)下游推广:以引流为主的金字塔底层
黑色产业由于其违法性质,无法在网络公共空间进行大肆宣传,这就需要在其与目标受众之间建立一个通道,这就是引流产业的主要工作。简单来说,引流就是为网络黑产寻找目标人群的行为。
网络空间中最常见的引流内容是色情广告,包括尺度较大的裸露图片,含有性暗示的文字和简介,穿插色情信息的表情和图形等。这些色情广告集中出现在各平台的热搜、热门视频、直播,以及公共事件的评论中。引流人员会在个人主页或者头像中以二维码、图片等方式留下一对一或一对多的社交媒体联系方式,在网民点击进入主页后将聊天场景转移到私人平台。色情广告并不总是将潜在目标引诱到网络色情应用中,反而是网络赌博和网络诈骗吸引关注的常见手法。
引流行为的违法性在一定程度上很难界定,其原因在于引流产业的分层。根据人员工作内容不同,引流可以分为上游公司与下游客户。其中上游公司多是从事各种网络营销行为的合法公司,黑产引流是其业务的组成部分。公司负责根据客户需求提供不同的流量目标人群,但不涉及具体的网络色情、诈骗以及赌博行为。而下游客户通常是网络犯罪集团的营销人员,直接从事非法经营活动。这就导致不仅引流内容是“打擦边球”,引流行为也往往是游走在法律边缘。如果不能将引流行为与某一具体黑产犯罪联系起来,将其认定为网络犯罪的环节,则很难对引流行为定罪并加以处罚——低法律风险是许多年轻劳动力从事这一行业的原因之一。
与其他互联网服务类似,一套完整的引流服务包括“下单、接单、派单、出货”,涉及客户、指派员、聊手、目标人员等多个角色。指派员拥有多个聊手群,在接到客户需求后,将需求发送到聊手群。聊手根据自身业务能力进行接单,在获得目标人员信息,或者目标人员添加客户微信等联系方式后,一单服务结束。正如前文所言,在这个过程中,引流行为的法律性质很难界定,这就为打击非法引流行为增加了难度。
图五:流量公司交易流程
根据目标群体不同,流量可进一步细分为色情流量、股民流量、赌徒流量、微商流量,兼职流量等,引流公司给流量标以不同价格销售给网络黑产营销人员。值得关注的是,流量公司能够通过人机结合的操作精准确定目标群体,而目标人员的标签一旦确定,就会在不同流量公司之间流转,成为黑产反复捕捉的重要对象。以色情流量为例,如果一个普通网民关注、评论、点赞或者私信了在社交媒体、交友软件等平台销售色情产品的人员,那么这个网民就会被归类为“色情流量”,从而成为众多网络色情与网络诈骗团伙的目标用户之一。
网络空间充斥的大量引流行为显然不是单纯由人工(聊手)操作的。与其他黑产环节类似,引流也是人机结合的行为。流量公司从养号平台购入大量账号,通过电商批量购入“美女素材”,经过处理和剪辑后作为账号头像或者内容,再根据卖家需求定制软件脚本和方案。除此以外,流量公司也通过木马或者外挂,批量采集热门应用用户的详细资料,并在此基础上精准定位,控制大量账号的点赞、评论、私信行为。事实上,社交媒体上大量以美女为头像主动加好友、加关注的操作多是由机器发出的。由机器分发筛选后,“聊手”再与目标对象进行单独沟通,从而提高交易转化率。
为了吸引网民关注,引力行为通常充斥着大量低俗,恶俗,打色情擦边球的内容,对于平台而言,容易引发平台用户反感,内容生态受到恶劣影响,声誉受损;同时大量引流行为的根本目的是将用户导向非法交易和诈骗活动,导致众多用户利益受到严重威胁甚至损害。
非法引流行为就像是网络空间一张铺的极为广泛且严密的网,为网络黑产筛选出易受到侵害的对象,为其源源不断的输送目标资源;同时,非法引流行为也为网络黑产提供了庇护,使得黑产交易链更为隐蔽。
五:网络黑产的治理建议
网络黑产多涉及跨平台对接、团队化操作、专业化作案,且黑产行为通常交替使用信息传播技术、人工智能、算法、深度伪造技术等,使得该产业与技术同步迭代,最终形成线上与线下、虚拟与现实日趋同构的发展态势。因此,网络黑产治理既需要充分发挥各参与主体的主动性、能动性、创造性,需要政府监管机构与平台、用户等在现有法律框架下形成共同打击网络黑产的有效联动机制,又需要各互联网服务平台间克服黑产治理过程中的信息、措施等方面的隔离和各自为战的状态,在平台间建立信息、黑名单及治理措施等方面的共享和协同机制,不断提升全平台共同参与、共同打击网络黑产的效率,为互联网产业业态和内容生态的向好创造条件。
(一)构建网络黑产防治共同体
道高一尺,魔高一丈,平台为打击黑产不断创新规则和手段。黑产的技术手段同样也在不断进化,且能够有针对性的根据平台规则开发新的推广、交易方式,这就使得平台的防御在某种程度上处于被动局面。另一方面,网络黑产的专业化、分工化和链条化不断加强,模块化的组织架构提高了黑产规模化的效率,而与之相对的则是各大互联网平台由于利益纷争,出现相互限制、打压、限流的不正当竞争状况。企业必须摒弃这种分裂与垄断的心态,以开放的态度相互联合协作,打造黑产防治共同体。
为防御互联网诈骗等问题,公安部就在2019年起联合360金融、小米金融等互联网科技公司,以及银行、运营商等机构,共同组建反诈骗预警数据平台。2019年4月期间,抖音启动了为期一周的“反诈者,集合!”网络安全宣传周活动,联合公安部刑事侦查局、中央电视台社会与法频道《夜线》栏目等,共同开展抖音短视频反诈挑战赛。抖音官方数据显示,参与这次反诈赛的短视频数量超过2000条,播放量超过8.2亿,并获得了超过4000万点赞。
互联网企业可以通过组建攻防联盟,共享基础资源信息以及建立联合响应机制来实现合作。具体而言,其一,建立跨平台跨行业安全联盟,就网络黑产防治新状况、新趋势形成常态化沟通机制;其二,汇集黑产基础资源信息,共享黑名单系统,开放各自掌握的黑卡、黑号、黑IP等基础资源数据库,对于可追踪的号段,提前做好识别与布控。其三,针对已经明确的黑产实施团伙,开展联合行动。任何单一平台针对黑产的打击与治理在体量庞大的黑产面前都显得十分微不足道,只有各互联网企业相互协作,共商共治,才能真正提升行业黑产风险防控和处置的能力。
(二)完善互联网法治体系
在规范网络黑产犯罪方面,我国已经建立了较为完善的法制体系,比如《刑法》、《互联网信息服务管理办法》、《治安管理处罚条例》中关于网络犯罪的规定。2019年,最高人民法院与最高人民检察院联合发布的《关于办理非法利用信息网络、帮助信息网络犯罪节活动等刑事案件使用法律若干问题的解释》,以及国家互联网信息办公室发布的一系列规范网络信息活动的规定。这些法规为打击黑产犯罪行为提供了坚实的法律保障。但是法律带有一定的滞后性,针对黑产领域近些年出现的新情况,还需从立法、执法、守法等环节发力,不断完善网络黑产法治体系。
就立法来说,目前针对个人数据保护的《个人信息保护法》(草案)已经发布,未来随着该法案的出台与落实,网络黑产对个人数据的侵害将会在一定程度上得到遏制。同时,刑法中涉及网络黑产的相关规定,也需要在实践中不断完善和发展,需要不断针对新情况、新挑战,不断出台有针对性的修正案,始终保持对网络转产的打击力度。
就执法而言,由于网络黑产交易方式和模式更新较快,很多违法行为没有绝对可供参照的案例,在执法实践中面临多重困难。因此需进一步细化执法规则,强化执法力度。比如,针对账号买卖以及违反实名制行为的规范和处罚,出台详细规定;针对存在重大安全隐患的生物信息采集场景和规范,制定相应的细则和标准。在具体执法过程中,要加大力度打击网络黑产各个环节的重要参与者,鼓励互联网平台通过技术升级和完善风控模型提升安全防护等级。
完善法治的最后一个环节在于增强民众的法律意识和安全意识,提升其防范网络犯罪的能力。其一,要加大打击网络黑产宣传力度,发布典型案例,提高民众对网络空间犯罪行为的警惕,避免落入黑产陷阱中。在打击网络黑产的过程中,抖音联合多家部委、媒体一同传播反诈文章,制作防诈骗短视频及警示类H5页面,并在抖音平台内通过内容推荐、弹窗、海报、站内信等方式向用户普及反诈知识。除平台自身渠道外,抖音还利用抖音短视频微信服务号、订阅号、抖音短视频微博、抖音短视频头条号来发布反诈文章,教育用户识别、防范电信网络诈骗。其二,则需强化公众法律意识,使网民认识到出租(出售)“收款码”“个人信息”“设备短信功能”等是变相的违法犯罪,是在帮助黑产犯罪分子侵蚀个体、社会、国家的合法权益,严重者将会受到法律的制裁,从而减少下游从业者参与网络黑产组织。
(三)推广企业成功实践
无论是从平台自身发展,还是肩负的社会责任来看,企业都是治理黑产最重要的力量。企业是网络黑产攻击的重灾区,尤其是涉及电子商务,互联网金融,网络支付,网络游戏以及掌握民众核心数据的其他互联网平台,每时每刻都在面临网络黑产的威胁。
在这种情况下,主流互联网平台设有安全部门,以维护用户权益,保障稳定运营。除了打击平台上的网络黑产,防治网络犯罪行为以外,平台还可利用先进的互联网技术,为公安机关提供必要的协助。阿里巴巴的“风控大脑”、抖音的“啄木鸟举报平台”小程序等,都发挥过不小的作用。其中,抖音推出的“啄木鸟举报平台”小程序,能够针对抖音内发生的疑似违法违规行为、内容提供举报服务。“啄木鸟举报平台”还为用户提供作弊手法解析、安全教育等,成为保障用户合法权益的安全服务平台,与此同时还可在打击网络犯罪方面为公安机关提供重要线索和大数据支持。
1、推动技术升级,提升企业安全等级
在利益驱使下,网络黑产势必将与互联网产业共存,不可能彻底消除,且随着互联网技术的进步而进步。这就意味着打击网络黑产是互联网企业一项长期且必须不断更新的重要任务。
具体而言,互联网企业可以通过以下四点强化平台抗攻击能力,提升网络安全等级。
其一,加强风险监测。在企业与黑产对抗的过程中,仅有被动防护是远远不够的,平台必须投入大量资本,主动去监控,发现基础设施以及产品的弱点和漏洞,及时修补。例如,针对诈骗类信息,抖音平台将“转账”、支付、“分红”、“返利”等一系列敏感、高危关键词添加到词库,使用户无法再使用这些词语或头像作为账号信息,以杜绝迷惑性账号的出现。此外,抖音在APP内还上线了提醒干预,基于高危IP、黑名单及关键词,使用私信提醒框对疑似诈骗行为进行拦截提醒,平台用户可通过私信内超链接直接查看相关诈骗骗术展示,提升对骗局的警惕心理。
其二,搭建攻防体系。在企业内部或者联合相关产业建立攻防体系,针对不同的风险进行实操演练,模拟网络黑产对抗和反制的路径,以应对可能到来的威胁。
其三,利用大数据技术,建立黑产舆情系统,通过舆情监控丰富,补充网络黑产活动信息,及时完善针对黑产的数据模型,提高平台处置黑产类信息、黑产类风险和黑产产业链条预测、识别和处置的能力。抖音针对黑灰产行为开发的风控策略模型,能够基于行为特征、物理特征、内容特征等信息来主动识别与拦截黑产。在2019年的“啄木鸟2019”专项打击行动中,抖音平台在3个月内提前拦截黑产刷量注册账号请求逾9千万次,拦截黑产刷赞、刷粉类刷量请求近5.5亿次。
其四、在合规前提下部署蜜罐系统,精确定位黑产源头以及攻击实施者,联合公安系统,彻底摧毁黑产组织,给黑产组织以致命性的打击。
2、优化平台策略,加强网络黑产打击力度
网络黑产使用的作案手法变化迅速,且具有极强的组织性和可复制性,因此要求平台总是做到提前预知并设置有效的屏蔽策略并不现实,但这并不意味着平台可以以此推卸责任,相反,平台更应当快速对症下药,针对具体问题制定合理整治方案,并在此基础上做好预警,完善平台黑产打击策略。一旦类似问题再次出现,能够做到第一时间启动侦察、判断、预警机制,防止黑产内容大范围扩散,最大限度降低网络黑产带来的负面影响。
针对黑产引流现象,抖音2020年6月发布《近期网络色情、黑产行为的打击公告》显示,在形成最新版黑产内容打击模型后,抖音共封禁超过5.2万个传播色情、黑产信息的帐号。在抖音同城中以发布“色情擦边球”内容,引诱用户前往私密平台进行非法交易的现象大大减少。针对评论“色情引流”现象,微博则是调整了热门评论展示策略,规定只展示实名注册且阳光信用积分在600分以上的可信用户的评论,这样一来,虽然在一定程度上影响了流量曝光,但是评论区非法引流现象大幅减少,提升了平台整体的用户体验。
3、开展防诈教育,提升用户识别能力
不法分子实施的许多网络黑产活动,大都利用了信息不对称、网民防范心理较弱和识别黑产类信息或操作文法方面警惕性不高、防备心理不强或欠缺相应的防范手段等弱点。在这种情况下,平台利用自己防治黑产方面积累的专业经验、形成的有效模式以及开展的有针对性的活动,及时、有效、高效地与用户进行防诈骗知识的宣传、教育工作、提醒工作,有助于激活用户的防范心理,有助于提升用户识别黑产类信息的能力,有助于增加黑产类不法行为得逞成本的情况下,极大起到保护普通用户不受黑产侵权的作用。
目前,抖音平台已梳理出包括冒充诈骗、网购诈骗、交友诈骗、返利诈骗等8大类、27个细类的诈骗规避方案,并在诈骗发生的事前、事中和事后,以站内信、邮件、电话等形式推送给用户,起到针对诈骗事件的预防、阻断、教育的效果。以抖音为例,较有参考价值的做法包括以下几个方面:
首先,将防黑产,尤其是防诈骗宣传教育活动当作平台常规性的重要工作,同有监管职责的部委、媒体等进行广泛的宣传、教育,提升广大互联网用户的安全意识和媒介素养,提升用户识别黑产类信息及活动的能力,减少用户成为黑产类行为侵权对象的可能性。
其次,根据网络黑产的发展变化以及在实践中表现出来的规律性特征,抖音会通过专业的制作、宣传团队制作形式多样、互动性强的专业宣传材料,在平台上通过加热推荐、活动推荐、弹窗推荐、海报、站内信息提醒和定期公布黑产类处罚公告的方式,进行反黑产类宣传教育。例如,抖音安全中心推出的“疫情期间,这些骗术要警惕”视频合集,通过一系列短视频介绍“一元购”、“杀猪盘”等诈骗案例的特征、防范措施、举报方式等,当前该视频系列已汇集37集,累计播放量已超过570万次。
第三,针对平台上高频次出现并且在实践中表现出明显类型化特征的网络黑产在信息发布、操作方式等方面表现出来的特点,用广大互联网网民喜闻乐见的方式制作专题宣传材料,通过抖音小助手、抖音安全中心等权威性较强的官方账号,以及公安、正能量大V等类型账户,结合平台的数据模型,对容易受到侵扰、容易上当受骗的目标类人群重点推送,提升目标受众的防范意识。
4、从源头出击,清除黑产核心资源
网络黑产的目的是盈利,一旦犯罪成本大幅提高,产业就会在一定程度上发生转向甚至收缩。当前黑产的主要源头是黑卡,黑账号与黑IP,作为黑产的基础资源,大量普通账号在黑产交易中的售价十分低廉,尤其是解码平台模式的成熟,导致恶意注册账号的状况泛滥。
从源头管控黑产,可以从三方面发力,第一,严格落实互联网应用实名制,制定信用评级体系,并依据评级体系设定服务内容和权限。比如有微博就针对色情引流制定了临时策略,规定发表评论的前提是必须关注博主7天及以上。第二,提高平台账号注册难度,增加码台运营成本,以减少恶意账号产出,比如对新注册账号,增加信誉良好的老用户交叉验证这一机制,实施起来并无难度,但却可以增加恶意注册的难度。第三、联合通信运营商,扩充企业黑卡数据库,将风险号码识别前置。平台还需要在打击网络黑产的过程中,与不同的运营商、其他的互联网服务提供商,甚至是在业务上有竞争关系的服务提供商,进行有针对性合作,努力构建跨界、跨平台、跨行业打击黑产的协同体系,团结更多的力量来打击网络黑产。
中国传媒大学人类命运共同体研究院
网络安全命运共同研究中心
2020年11月27日
[1]电商安全生态联盟,2017《电子商务生态安全白皮书》,http://www.legaldaily.com.cn/locality/content/2017-07/27/content_7260775.htm?node=37232
[2] The Global Risks Report 2020,WORLD ECONOMIC FORUM,http://reports.weforum.org/global-risks-report-2020/
[3] 360互联网安全中心,2019年网络诈骗趋势研究报告,http://zt.360.cn/1101061855.php?dtid=1101062366&did=610412125
[4]公安部公布打击跨境赌博犯罪十起典型案例,http://www.gov.cn/xinwen/2020-06/23/content_5521197.htm
[5]新京报,我国破获首例利用泰达币经营第四方支付平台跨境赌博案件,https://baijiahao.baidu.com/s?id=1681212516890964901&wfr=spider&for=pc
[6] INTERNET ORGANISED CRIME THREAT ASSESSMENT (IOCTA) 2019,https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2019
[7] cybercrime-may-be-the-worlds-third-largest-economy ,https://www.darkreading.com/vulnerabilities---threats/cybercrime-may-be-the-worlds-third-largest-economy-by-2021/a/d-id/1337475
[8]北京日报,首个娱乐行业发展指数公布:粉丝虚假数据创新高,近半为假用户,https://xw.qq.com/cmsid/20190723A064GN00
[9]光明日报,净网2020:养2亿多个QQ号的特大黑产平台被端,https://www.sohu.com/a/425725181_653604
[10]凤凰网,抖音发布公告:全力打击网络色情、黑色行为,封禁账号超5万,https://finance.ifeng.com/c/7xm4z8IBXyq