“薅上一天，夠吃一年�！边@句“羊毛黨”中流行的口頭禪在日前拼多多被“薅羊毛”事件中成為現(xiàn)實(shí)，并揭開(kāi)了國(guó)內(nèi)網(wǎng)絡(luò)黑灰產(chǎn)的冰山一角。中國(guó)證券報(bào)記者調(diào)查發(fā)現(xiàn)，網(wǎng)絡(luò)黑灰產(chǎn)已形成年產(chǎn)值達(dá)千億級(jí)別的龐大“黑金”利益鏈，并通過(guò)上中下游的嚴(yán)密分工構(gòu)建起了一個(gè)密切協(xié)作的網(wǎng)絡(luò)，輕則讓企業(yè)遭受數(shù)千萬(wàn)元損失，重則讓企業(yè)直接破產(chǎn)。

　　網(wǎng)絡(luò)安全專(zhuān)家在接受中國(guó)證券報(bào)記者采訪時(shí)表示，近幾年黑灰產(chǎn)的技術(shù)手段越來(lái)越強(qiáng)，形式日益多樣化，而且絕大部分面向云業(yè)務(wù)和移動(dòng)應(yīng)用等形態(tài)。傳統(tǒng)的“老三樣”安全產(chǎn)品——防火墻、入侵檢測(cè)和防病毒已不能解決問(wèn)題。要有效治理黑灰產(chǎn)，需要建立更科學(xué)、系統(tǒng)化的安全機(jī)制，并廣泛應(yīng)用大數(shù)據(jù)分析等手段來(lái)發(fā)現(xiàn)和解決問(wèn)題。

　　產(chǎn)值龐大 危害巨大

　　“事件發(fā)生時(shí)正值我們進(jìn)行‘年貨節(jié)’大促，期間有大批量平臺(tái)正常發(fā)放的優(yōu)惠券被消耗，黑灰產(chǎn)團(tuán)伙就是挑準(zhǔn)了這個(gè)時(shí)機(jī)下手的。至1月20日上午9點(diǎn)，遭盜取優(yōu)惠券和正常優(yōu)惠券的總和突破平臺(tái)預(yù)設(shè)閾值，系統(tǒng)監(jiān)控到異常并自動(dòng)報(bào)警后被發(fā)現(xiàn)，我們?cè)诘谝粫r(shí)間修復(fù)了相關(guān)漏洞，并報(bào)警�！逼炊喽囡L(fēng)控團(tuán)隊(duì)負(fù)責(zé)人李明（化名）告訴中國(guó)證券報(bào)記者。

　　這起事件，揭開(kāi)了國(guó)內(nèi)黑灰產(chǎn)“黑金”利益鏈的冰山一角。

　　2018年5月發(fā)布的《數(shù)字金融反欺詐白皮書(shū)》顯示，2017年我國(guó)黑產(chǎn)從業(yè)人員超過(guò)150萬(wàn)人，年產(chǎn)值達(dá)千億級(jí)別。與之相比，我國(guó)的網(wǎng)絡(luò)安全市場(chǎng)規(guī)模還不足400億元。從暗扣話費(fèi)、廣告流量變現(xiàn)、手機(jī)應(yīng)用分發(fā)，到木馬刷量、勒索病毒、控制肉雞挖礦，網(wǎng)絡(luò)黑產(chǎn)無(wú)處不在，而“薅羊毛”正是黑灰產(chǎn)的重要盈利模式之一。

　　360-ADLab安全專(zhuān)家陳卓健向中國(guó)證券報(bào)記者介紹，“我們把這些專(zhuān)門(mén)在互聯(lián)網(wǎng)上伺機(jī)‘薅羊毛’的稱(chēng)作‘羊毛黨’，他們一般會(huì)比較關(guān)注互聯(lián)網(wǎng)中快速發(fā)展起來(lái)的公司，因?yàn)檫@些公司為了快速發(fā)展會(huì)做一些注冊(cè)送優(yōu)惠券的活動(dòng)，黑產(chǎn)團(tuán)伙發(fā)現(xiàn)漏洞后，會(huì)從接碼平臺(tái)中申請(qǐng)大量手機(jī)號(hào)進(jìn)行注冊(cè)獲取優(yōu)惠券，然后進(jìn)行變現(xiàn)�！�

　　“羊毛黨”不僅僅是占小便宜那么簡(jiǎn)單，很多是游走在違法犯罪的邊緣。李明介紹，“這次事件中的優(yōu)惠券，是我們與江蘇衛(wèi)視《非誠(chéng)勿擾》節(jié)目合作時(shí)因錄制需要特殊生成的優(yōu)惠券類(lèi)型，僅供現(xiàn)場(chǎng)嘉賓使用，從未出現(xiàn)在平臺(tái)正常的線上促銷(xiāo)活動(dòng)中，是黑產(chǎn)團(tuán)伙通過(guò)非正常途徑生成二維碼掃碼后獲得，上海警方已經(jīng)以涉嫌網(wǎng)絡(luò)詐騙罪立案�！�

　　近年來(lái)，中招的不止拼多多，最近的一起案例是2018年12月17日，在星巴克上線的“星巴克APP注冊(cè)新人禮”營(yíng)銷(xiāo)活動(dòng)中，黑灰產(chǎn)利用大量手機(jī)號(hào)注冊(cè)星巴克APP的虛假賬號(hào)，并成功領(lǐng)取活動(dòng)優(yōu)惠券。隨后，星巴克緊急下線了該活動(dòng)。網(wǎng)絡(luò)安全廠商“威脅獵人”估計(jì)，短短一天半時(shí)間，如不及時(shí)止損，按普通中杯售價(jià)估算，星巴克損失可能達(dá)1000萬(wàn)元。

　　“大公司被薅走幾千萬(wàn)可能不會(huì)對(duì)公司發(fā)展造成太大影響，但很多初創(chuàng)公司在發(fā)展初期亟須通過(guò)營(yíng)銷(xiāo)活動(dòng)增加注冊(cè)用戶(hù)量，直接被薅走一大筆營(yíng)銷(xiāo)費(fèi)用，收獲的卻是一大堆‘僵尸用戶(hù)’，可能直接導(dǎo)致公司破產(chǎn)�！标愖拷√寡�。

　　分工明確 密切協(xié)作

　　中國(guó)證券報(bào)記者調(diào)查發(fā)現(xiàn)，網(wǎng)絡(luò)黑產(chǎn)不但產(chǎn)值龐大、危害巨大，而且已經(jīng)形成了分工明確、上中下游緊密協(xié)作的產(chǎn)業(yè)鏈。

　　志翔科技產(chǎn)品副總裁伍海桑向中國(guó)證券報(bào)記者介紹說(shuō)，“黑灰產(chǎn)產(chǎn)業(yè)鏈分為上、中、下游，而且各個(gè)環(huán)節(jié)一環(huán)扣一環(huán)，是緊密協(xié)作的關(guān)系。上游和源頭是基礎(chǔ)性技術(shù)環(huán)節(jié)，主要承擔(dān)的是網(wǎng)絡(luò)黑產(chǎn)的技術(shù)開(kāi)發(fā)環(huán)節(jié)，如驗(yàn)證碼識(shí)別、自動(dòng)化軟件等，以及利用軟件、網(wǎng)站及運(yùn)營(yíng)商的后臺(tái)漏洞批量注冊(cè)虛假賬號(hào)、惡意賬號(hào)和養(yǎng)號(hào)等�！�

　　在拼多多的案例中，李明指出，“通過(guò)該非正常途徑生成的二維碼，原本每個(gè)認(rèn)證信息的用戶(hù)僅可領(lǐng)取一張無(wú)門(mén)檻100元優(yōu)惠券。而非此前網(wǎng)絡(luò)流傳的單個(gè)ID可以‘無(wú)限領(lǐng)取’。因此，有黑灰產(chǎn)團(tuán)伙通過(guò)‘養(yǎng)貓池’（用手機(jī)卡蓄養(yǎng)大量虛擬賬號(hào)）等不法手段，實(shí)現(xiàn)N張手機(jī)黑卡同時(shí)作業(yè)，批量盜取該種優(yōu)惠券�！�

　　“黑灰產(chǎn)鏈條的中游扮演賬號(hào)提供商和交易交流平臺(tái)的角色，主要是對(duì)其活動(dòng)進(jìn)行組織、運(yùn)營(yíng)和推廣，包括通過(guò)建立大量的‘羊毛黨’QQ群發(fā)展下線；產(chǎn)業(yè)鏈的下游則利用這些虛假賬號(hào)和惡意木馬等進(jìn)行欺詐、盜竊、釣魚(yú)、刷單等各種類(lèi)型的惡意行為，最終達(dá)到變現(xiàn)目的�！蔽楹Ｉ１硎�。

　　中國(guó)證券報(bào)記者加入一個(gè)1000多人的“羊毛黨”QQ群后發(fā)現(xiàn)，群管理員不斷在群里刷新“薅羊毛”的線報(bào)，一位群成員告訴記者，“這只是一個(gè)散群，一個(gè)‘羊頭’能同時(shí)管理十幾個(gè)像這樣的散群，盈利模式也有很多，比如他們會(huì)請(qǐng)黑客去‘挖洞’破解平臺(tái)的活動(dòng)，除了自己‘薅羊毛’，還會(huì)把破解方法在群里兜售，甚至直接免費(fèi)發(fā)布在群里�！�

　　黑灰產(chǎn)團(tuán)伙在變現(xiàn)和反偵察方面也有一套成熟的經(jīng)驗(yàn)。在拼多多的案例中，李明介紹，“盜取優(yōu)惠券后，黑灰產(chǎn)團(tuán)伙通過(guò)手機(jī)話費(fèi)、Q幣等虛擬充值的方式，試圖在短時(shí)間內(nèi)迅速轉(zhuǎn)移不當(dāng)所得。同時(shí)，為了達(dá)成‘法不責(zé)眾’的效果，迅速通過(guò)網(wǎng)絡(luò)和社交群將二維碼分享出去，誘導(dǎo)一些普通消費(fèi)者跟風(fēng)掃碼，并編造謠言混淆視聽(tīng)，試圖逃避刑責(zé)。”

　　建立新安全機(jī)制加強(qiáng)防范

　　李明表示，本次事件造成的實(shí)際損失大概率能控制在1000萬(wàn)元以?xún)?nèi)。為進(jìn)一步加強(qiáng)“特殊優(yōu)惠券”相關(guān)風(fēng)控體系，拼多多已成立技術(shù)專(zhuān)組。但是，此次事件還是在業(yè)內(nèi)引發(fā)了廣泛的討論與反思。

　　“近幾年黑灰產(chǎn)的技術(shù)手段越來(lái)越強(qiáng)，形式也日益多樣化，而且絕大部分都面向云業(yè)務(wù)和移動(dòng)應(yīng)用等形態(tài)。傳統(tǒng)的‘老三樣’安全產(chǎn)品——防火墻、入侵檢測(cè)和防病毒已不能解決問(wèn)題，要有效治理黑灰產(chǎn)需要建立更科學(xué)、系統(tǒng)化的安全機(jī)制，并廣泛應(yīng)用大數(shù)據(jù)分析等手段來(lái)發(fā)現(xiàn)和解決問(wèn)題。”伍海桑表示。

　　他指出，對(duì)抗黑灰產(chǎn)，首先要從觀念上打破過(guò)去的簡(jiǎn)單修墻圍堵式安全理念，在云業(yè)務(wù)時(shí)代，讓安全變得動(dòng)態(tài)，圍繞數(shù)據(jù)為中心，以身份權(quán)限為新的邊界構(gòu)建自動(dòng)化和智能化安全體系，同時(shí)將大數(shù)據(jù)分析和人工智能、機(jī)器學(xué)習(xí)等新的技術(shù)運(yùn)用于安全體系中，做到對(duì)安全事件的事前偵知、事中及時(shí)察知阻斷，事后快速溯源修復(fù)漏洞。

　　“從企業(yè)的角度而言，圍繞核心數(shù)據(jù)和核心業(yè)務(wù)來(lái)構(gòu)建安全機(jī)制，既要防外也要防內(nèi)。同時(shí)，要基于業(yè)務(wù)加強(qiáng)風(fēng)險(xiǎn)管控，變傳統(tǒng)的‘人治’為‘技防’，并時(shí)刻加強(qiáng)對(duì)員工關(guān)于安全和風(fēng)險(xiǎn)防范意識(shí)的培訓(xùn)，及時(shí)升級(jí)系統(tǒng)來(lái)查漏補(bǔ)缺。另外，也需要安全企業(yè)、各個(gè)行業(yè)、運(yùn)營(yíng)商、服務(wù)提供商和監(jiān)管執(zhí)法部門(mén)等多方合作�！蔽楹Ｉ１硎�。

　　陳卓健認(rèn)為，“企業(yè)要有效防范黑灰產(chǎn)，關(guān)鍵是兩點(diǎn)：一是需要常態(tài)化的審查自己的業(yè)務(wù)是否存在漏洞，甚至是業(yè)務(wù)流程需要介入安全測(cè)試環(huán)節(jié)，主要包括安全上的漏洞和業(yè)務(wù)邏輯上的漏洞；二是需要進(jìn)一步規(guī)劃和加強(qiáng)自身的風(fēng)控能力，比如對(duì)電商平臺(tái)原有的圖片驗(yàn)證碼，短信驗(yàn)證這些防護(hù)進(jìn)行加固，以防止由于黑灰產(chǎn)活動(dòng)造成的損失�！�

　　最近幾年，各大網(wǎng)絡(luò)安全廠商也針對(duì)黑灰產(chǎn)的猖獗進(jìn)行了針對(duì)性的研究。以360為例，公司開(kāi)發(fā)的“三六零智控”便可以對(duì)黑灰產(chǎn)行為識(shí)別，“目前公司內(nèi)部的金融、直播等這些業(yè)務(wù)都在使用三六零智控的服務(wù)。通過(guò)三六零智控發(fā)現(xiàn)了不少黑灰產(chǎn)活動(dòng)，實(shí)實(shí)在在挽回了不少經(jīng)濟(jì)損失�！标愖拷”硎�。（記者 任明杰）