深度剖析运营商如何打好“黑灰产”数智化防控战？

2021年，公安部部署了全国公安机关深化推进净网2021专项行动，发起了断黑卡、断黑号、断黑线路、断黑设备的四断行动，动态研究网络违法犯罪趋势，深入剖析网络违法犯罪特点，严厉打击网络赌博、网络黑客、侵犯公民个人信息等活动，持续强化网络空间秩序治理，营造安全、清朗、有序的网络环境。同年12月22日，中央网信办开展清朗·打击流量造假、黑公关、网络水军专项行动。

随着互联网技术的创新升级，新型网络犯罪形式层出不穷，黑灰产呈现出了产业化的发展趋势。目前，我国黑灰产已经形成了一个年产值达千亿元级别、从业人员超过150万人的庞大黑金利益链。从暗扣话费、广告流量变现、手机应用分发,到木马刷量、勒索病毒、控制肉鸡挖矿，黑灰产形式五花八门，而薅羊毛是其重要盈利模式之一。本文从实际情况出发，从常见类型的黑灰产角度入手，深入剖析黑灰产的产业链结构，从通信行业角度分析黑灰产问题，提出通信行业采用数智化方法进行黑灰产预警和防控的建议。

黑灰产产业链结构

黑灰产指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。其中，黑产指的是直接触犯国家法律的网络犯罪；灰产则是游走在法律边缘，为黑产提供辅助手段的存在争议的行为。

随着互联网从PC端向移动端的扩展，黑灰产也从最早的控制PC弱鸡，发展到现在的攻击移动互联网上各类APP，攻击场景集中在电商平台薅羊毛、银行金融欺诈、直播平台刷量、广告刷量、社交平台刷粉、流量欺诈、裂变推广、平台拉新、网络诈骗等，涉及社会各行各业，具体的操作动作随着攻击类型而变化，对社会造成了极大的危害。

第一，黑灰产分工细致、明确且隐秘

黑灰产是一个非常隐秘的地下产业，资金来源、合作模式、商业模式、变现渠道、利益分配模式等并不为人所熟知。目前已经探知的黑灰产产业链包括资源、服务、变现3个环节，具体如图1所示。

图1 黑灰产产业链构成

第二，黑灰产已形成专业技术化运作模式

近年来黑灰产作恶技术发生了重大变化，已从虚拟机、群控式，发展到现在的群控+人工刷量。

阶段一：虚拟机阶段，也就是羊毛党产业的初级阶段。薅羊毛黑产属于有组织的产业链，有人提供手机和账号，有人提供自动化的工具平台，还有人负责刷量。

阶段二：群控阶段。通过购置廉价手机或者二手手机组成手机墙，采用改机工具修改手机型号、MAC地址、IMEI码（手机串码）、GPS定位等设备信息，从而不断伪以造生成新设备。也有采用定制化ROM、通过群控软件操纵手机、模仿真人自动完成操作等方式,完成点击、APP下载、激活账户和应用等。

阶段三：群控+人工阶段。在这一阶段，羊毛党进化到了人肉羊毛党真人羊毛党（真人众包）。组织者在真人众包软件和平台上发布项目任务，如用户点击项目可以赚取积分、积分能够兑换红包等，从而吸引真人参与活动。

据统计，目前全网由黑灰产发起的恶意注册攻击可达到每天800万次，活跃欺诈手机号每天超过150万个，平均每个手机号每日进行6次攻击。

按照目前已经探知的黑灰产作恶手法，黑灰产的场景主要包括恶意注册、恶意攻击、真人众包作恶。

场景一

以恶意注册为核心资源

随着断卡行动的深入，之前通过随意购买手机卡直接大量注册APP账号的方法不再可行。黑灰产采取迂回作战形式，形成了新的流程：第一步，由卡商从三大运营商、虚拟运营商、境外运营商处购卡，或通过技术手段挟持用户手机号，并通过猫池养卡养号；第二步，号商通过接码平台获取卡商提供的手机号码和验证码，在APP上注册虚假账号；第三步，用号方与卡商交易，或通过发卡平台获取虚假账号，最后进行各类黑灰产恶意操作。恶意注册的具体流程如图2所示。

图2 恶意注册流程图

场景二

以恶意自动化技术为主要攻击手段

随着互联网公司对APP加强风控，风险账号库、风险IP库、风险设备号库相继建立，并与账号使用行为相互关联，黑灰产开始采取各种恶意自动化技术：从原有简单的代理IP池转向动态IP；从群控设备转向云控设备；从利用ROOT设备修改设备号向定制ROM直接修改设备号转变，以隐藏真实IP或者设备位置，规避APP风控。

在恶意自动化技术影响下，黑灰产环节流程也出现了改变：第一步，通过代理IP池、秒拨IP、IP魔盒、境外IP代理等方式进行动态IP转换；第二步，采用SaaS服务和动态IP技术，在公有云上搭建秒拨机或VPN通道,构建手机池、手机模块池等无线设备池，组建恶意攻击设备群；第三步，利用群控或云控对APP自动化脚本（按键精灵或Auto.js）进行操控攻击，或者直接破解客户端和服务器通信协议，模拟自动化脚本，伪造操作内容。自动化技术攻击的具体流程如图3所示。

图3 自动化技术攻击流程图

场景三

以真人众包规避风控

随着众多垂直领域平台防控意识的增强，部分平台在获客时出台了用户领取礼包前进行实名认证的规定，以预防黑产针对新用户福利的恶意攻击。这种方式的确避免了黑灰产通过工具自动化注册实现牟利，但也引发了真实用户认证后转售账号的真人作弊或真人众包行为。即原来通过自动化机器人，现在转为真实个人实名众包牟利，其行为掺杂在个人真实行为中，不易被发现。目前真人众包模式呈现较快上升趋势。

以上仅是部分黑灰产场景，不涉及网络诈骗、网络攻击、破坏计算机等黑产场景。

坚决打好通信行业黑灰产数智化防控战役

黑灰产与通信行业有着不可分割的关系。从作恶目的和流程分工来看，黑灰产需要源源不断的低价实名手机卡、IP地址池，以及手机、PC机和云主机等通信资源。为了维护网络清朗空间，保护人民群众的合法权益，三大基础运营商应履行国企义务、担起社会责任。

考虑到目前黑灰产的复杂性，通信行业的数智化防控不是一朝一夕即可实现的，而是需要深入研究内外根源，采取切实可行的措施，杜绝一切违法行为。此外，此项战役不能仅靠运营商单方面推进，而是需要网信办、公检法等政府主管部门，以及互联网企业、金融机构、社会组织、人民群众等各司其职，共同参与。

本文从全局出发，结合运营商实际，对运营商打好通信行业黑灰产数智化防控战役提出如下建议。

建议一

构建全方位、立体式联控合防体系

以维护好人民群众财产安全为出发点，主动承担社会责任，主动参与主管部门的行动，构建人防+技防联合防控体系。

在人防方面，在企业内部建立正确的企业价值观，加强对内部人员及合作伙伴的监管，杜绝一切违法风险，杜绝低质无效的发展。

在技防方面，在国有企业数字化转型的基础上，强化对风控数字化的投入和研发，解决技术盲点和难点，提高技术防范能力。

在联合防控方面，对照黑灰产产业链分工，由主管部门牵头构建主要行业和企业的防控体系，在保障国家安全、数据安全和个人隐私安全的基础上，利用数字技术对风险账号、手机号、IP地址、设备号、银行账号和攻击类型等关键信息开展监测，全面提升防控效率。

建议二

实施数智化防控体系，以技术反制技术，构建黑灰产防控生态圈

根据黑灰产三大作恶场景，可以梳理出不同通信工具在不同场景的通信特征，归纳出号码类型、网络类型、设备类型、真人类型四大风险类型，以及集中入网、集中攻击、多频变化IP、集中设备等行为特征。

手机号、APP账号、银行卡三大要素在黑灰产恶意攻防对抗中尤其关键。黑灰产攻击方已经通过自动化技术将三大要素串联在一起；而在防守侧，由于行业区隔、企业竞争等原因，往往是在案件发生后主管部门紧急牵头进行手工溯源，只能以最快速度见一个堵一个。

综上分析，笔者建议运营商主动承担重任，在内部率先构建以技术反制技术的数智化防控体系，深层次打通运营域、业务域、管理域等系统平台，组织专人研究，适时引入安全防护机构的预测数据以进行数据整合挖掘，同时实施一键穿透的自动化防控机制，解决各系统平台无法自动对接、无法回溯的难题。

运营商还可以同步构建行业内以隐私计算为核心的数据交换平台，或者提供黑灰产防控数据服务对外赋能，对三大要素资源和攻击类型进行实时交互及核验，提前进行预警防控，梳理出黑灰产产业链，构建好黑灰产防控生态圈。

建议三

主动作为，精准施策 强化黑灰产宣传教育

黑灰产的防控离不开人民群众的理解与支持，对高风险区域和高风险用户群进行宣传教育，通过精准施策、提前预防提升防控效果十分必要。

在符合国家法律规定和保护好个人隐私安全的基础上，运营商可以在主管部门的指导和带领下，通过大数据技术分析黑灰产链条上的风险用户，提前进行点对点宣传教育；同步强化黑灰产通信管控，将主管部门的最新要求纳入入网协议，实时优化入网协议，将黑灰产通信风险提前纳入知晓条款，提前普及宣传教育。

End

作者：中国联通泉州市分公司 黄钦泓

责编/版式：范范

审核：申晴

监制：刘启诚

↑点击查看通信世界东数西算专题报道↑