揭秘與深思：用户網絡帳號批量被盜後的黑產攻防戰

調研公司Forrester發佈報告稱，MySpace在2016年中有近4.3億個帳號被竊取，遙遙領先於其他被入侵的網站。今年3月，安全公司MacKeeper發表文章，揭開14億條數據泄露的真相，每天發送10億規模的垃圾郵件。國內也有類似案例，某郵箱和某開發者社區曾有用户帳號信息泄露，規模上億。

今年二季度，騰訊“守護者計劃”安全團隊協助警方打掉最大打碼平台“快啊答題”，挖掘出一條從撞庫盜號、破解驗證碼，到販賣公民信息、實施網絡詐騙的全鏈條黑產。該團伙運用AI神經網絡搭建環境，大幅提升單位時間內識別驗證碼的數量，2017年一季度打碼量達到259億次，且識別驗證碼精準度超80%。這是國內破獲的首例採用AI技術的網絡犯罪案件。

近期，騰訊“守護者計劃”安全團隊再次出擊，協助警方成功抓獲了以陳某寶、曹某為首的非法架設提供“秒撥”動態IP黑產服務的團伙26人，現場查扣電腦31台，手機29台，打掉3個非法提供“秒撥”動態IP及VPN服務的工作室。案中“秒撥”動態IP服務器集羣在全國範圍內運營，租用控制服務器線路3000餘條，租用ADSL寬帶線路5000餘條，發展下級代理商69個，註冊使用者過萬人，年獲利上千萬元。

也許你並不知道，黑產分子在做着這些事情

相比於單個用户網絡帳號和密碼信息被盜，由於平台安全策略不足或者相關工作人員倒賣導致批量用户信息泄露，更為嚴重，尤其是有黑產的介入，將會對用户造成不可想象的危害。

儘管我們不願相信，黑產上的不法分子確實在做着如下事情：

1、非法獲得大量用户賬户和密碼數據。獲取的方式可以是通過黑客手段攻擊一些網站，或者向一些非法人員購買，一般價格是每10萬條50-100元。

2、驗證賬户和密碼數據的準確性，這個過程一般被叫做“曬密”。曬密最常見的方式是“撞庫”，即通過專門的軟件/程序批量訪問郵箱、社交軟件等。經過撞庫曬密後獲得的有效數據，價格會更高，一個賬户能賣到1.2-1.5元。

3、利用賬户和密碼數據獲得更多用户信息，進行敲詐/勒索的進一步詐騙操作。經過曬密並進一步獲得的用户精準信息，價格往往更高，非法利潤是驅動黑產的主要因素。

也許你更不知道，黑產的科技手段如此強大

對於黑產分子來説，“曬密”技術難度很大，阻力在於平台的安全策略，最常見的是驗證碼和IP限制。舉例來説，驗證碼包括數字、文字、圖形，甚至需要拖拽操作等更高難度的驗證方式，用以區分人或機器行為；IP限制包括諸如同一個IP在一定時間範圍內只能登錄一次或者幾次，或者僅限指定區域用户登錄等措施。

為突破網站的安全策略，在黑產中出現了“打碼”平台和“秒撥”動態IP服務。

1、打碼

軟件黑產商售賣幾十種甚至上百種撞庫軟件，此類軟件一般都集成有“打碼”功能，通過鏈接到打碼平台實現對驗證碼的識別破解。打碼平台往往採用人工智能深度學習技術訓練機器，使其有效識別字符、圖片等驗證碼，大幅提升驗證碼的破解率。對於極其複雜、機器難以操作的情況，打碼平台還提供基於眾包的人工打碼解決方案，發展大量網賺人員，以人工方式識別驗證碼。

2、秒撥

“秒撥”動態IP黑產服務的背後，是可調用全國甚至國外的ADSL寬帶動態IP資源，面向非法分子的界面只要通過簡單配置，就可以實現IP的“自動切換”、“秒級切換”、“斷線重撥”、清理COOKIES緩存、虛擬網卡（MAC）信息、多地域IP資源調換等服務，規避網站的限制策略。

當黑產人員獲得了一批用户名和密碼信息後，通過打碼平台和秒撥服務就可以突破大部分網站的安全策略，獲取更多個人隱私信息，造成更大的安全威脅。

“秒撥”動態IP服務的“慾望”不止於此

從技術中立角度來看，動態IP服務不過是技術手段、是工具而已。但工具落到非法分子手中就會產生很多負作用。除了撞庫曬密以外，還有以下情形：

1、電商平台放出優惠券和優惠碼，或者紅包獎勵，以此進行拉新或促銷，往往限制一個IP僅能參加一次領券活動。此時有黑產人員通過機器方式突破IP限制大量參與活動，用非法批量註冊的帳號獲取優惠券，這種行為被稱為“薅羊毛”，這些人被叫做“羊毛黨”。

2、電商平台的商家為了獲得某些權益寄希望於商品刷單，自媒體人為獲得在客户眼中的所謂影響力要進行閲讀刷量，第三方刷單刷量人員都會採用到動態IP服務規避平台限制策略。

除了在互聯網領域對商家及個人造成危害以外，還會威脅國家網絡安全。市面上大部分動態IP黑產服務商，都有橋接境外多個國家的服務器、雲主機等國際網絡鏈路資源，能夠接入境外服務器，用境外IP訪問非法網站、發佈非法信息，包括訪問暗網、國際信用卡CVV盜刷、境外帳號作惡等多種場景。

因為有惡意商家競爭需求、黑產分子牟取暴利的慾望等，“秒撥”動態IP服務得以快速發展，甚至在電商平台上堂而皇之的售賣。

大平台小個體時代的幸與不幸

值得更深一步思考的是，隨着技術進步與互聯網發展，個體的力量正在變得越來越強大，體現在對於資源的調動能力，對於羣體的影響力等。在技術賦能下，一個個體完全可以操控黑產，對更多人或者組織形成較大的危害。

我們正在進入一個“平台+個體”的時代，大平台往往提供了資源和能力等基礎設施，個體在平台上，可以藉助這些進行創新，形成更大的影響力，比如商家在電商平台上成長，比如自媒體在媒體平台上創造影響力，比如創業者通過孵化崛起。善於藉助平台，個體創新能力越來越大，作惡的能力也越來越強。

而隨着人工智能、雲計算、大數據等技術的發展，小企業、小個體迎來了更多的福音，但技術是中立的，黑產也正在走進人工智能和雲計算時代。

打碼平台、秒撥動態IP服務都可以認為是小平台，或者是互聯網大平台提供的技術能力，稍有技術知識的黑產團伙就能加以運用造成危害，甚至一個個體都能產生類似的作用。而對於很多普通人來説，很難對抗這些高技術作惡手段。

網絡下大平台小個體時代，個體因為平台獲得更大力量，同時而來的還有更大的威脅。力量掌握在自己手中，而威脅，自己只能提高防範意識，更多情況下，需要平台對個人信息加以保護。

所幸，當前技術水平較高的互聯網公司都有較強的社會責任意識，通過類似騰訊“守護者計劃”等方式，輸出安全能力，配合警方研究分析和打擊網絡犯罪，提升全民防詐騙能力。

關於騰訊“守護者計劃”

騰訊“守護者計劃”（以下簡稱“守護者”）是騰訊公司級反電信網絡詐騙及網絡黑產的企業社會責任平台。“守護者”以騰訊公司安全管理部門的犯罪研判為核心，聯動包括騰訊安全雲庫、騰訊手機管家、騰訊安全聯合實驗室、QQ安全中心、微信安全中心、騰訊安全平台部等相關力量，發揮騰訊公司在大數據技術以及海量用户的優勢，聯合包括公安部、工信部在內的政府部門，與眾多銀行、運營商、互聯網企業等組織攜手對當前愈演愈烈的網絡黑產重拳出擊。