老腾讯、老警察、白帽子：三个群体打击黑产的殊途同归

　　2017年1月28日，农历大年初一，某色情诈骗App一天流水高达2000多万人民币。诈骗团伙看到巨额流水依旧习以为常，甚至还有些窃喜。因为春节期间，被骗的人似乎多了不少，“生意”变得越来越好。

　　这个团伙自以为手法高明，规避了法律风险：

　　在网页上诱导用户下载，推送所谓的“情色片”给用户看，但是想看到“完整版”视频需要经过多轮付费，可是当用户层层支付数百元后，最后才会发现视频并没有“完整版”，甚至全程都只是“软色情”，这时用户才会恍然大悟——被骗了。

　　螳螂捕蝉，黄雀在后。他们这一切看似高明的动作都被远在深圳南山区腾讯大厦的一个团队盯在眼里，他们随时紧跟着网络上的黑产、黑客的行踪，和公检法部门做沟通，在全国打击网络黑产的行动中起到了关键作用。和“朝阳区群众”不同的是，他们靠技术吃饭，却有着不俗的“战斗力”。

　　这个团队有一个共同的名字——“守护者计划”，它是腾讯安全联合警方、运营商、银行等发起的反电信网络诈骗平台，2017年升级全面打击网络黑产，并取得了不俗的成果。

　　在打击网络黑产所取得的成绩中，除了“守护者计划”以外，还有一个不得不提的名字——腾讯安全反诈骗实验室。腾讯安全反诈骗实验室是“守护者计划”旗下基于大数据的方法，构建基于终端、管道和云端全覆盖的创新黑产分析和阻击模式的研究中心，为“守护者计划”和公安机关打击网络黑产提供技术能力、技术产品，这个实验室不断研究新技术，为打击网络黑产做出了重要贡献。

　　“老腾讯”：对付黑产是矛与盾的较量

　　农历大年初一，腾讯安全反诈骗实验室技术专家Lucifer像往常一样打开了自己的手机，工作群里同事发来了这几天的网络黑产监测数据。

　　Lucifer看到数据后有几分惊讶，因为一个不起眼的色情诈骗App一天流水金额就高达2000多万元。

　　安全团队从内部神羊系统中提取出该色情诈骗家族的相关证据，向警方寻求帮助，配合警方一起完善证据。

　　发现一个问题简单，要串联梳理出整个犯罪团伙并定性很难。Lucifer于是他让同事在线上对这个团伙进行了标记，并加紧向警方举报。

　　但他知道，这还远远不够，要想彻底解决问题，团队接下来需要配合警方寻找更多确凿的证据，这也是网络黑产犯罪的复杂性所在。

　　春节过后，“守护者计划”团队经过两个月的顺藤摸瓜，逐步发现全国有三个*“影响力”的色情诈骗黑产团伙，在经过信息梳理、线索搜集以及内部反复沟通后，“守护者计划”团队把这个黑产团伙的犯罪线索提交给了公安机关。最终，这三个黑产团伙被连根拔起。

　　Lucifer 2010年加入腾讯，在腾讯从事安全业务已经有8个年头，这个“老腾讯人” 见证了腾讯安全业务从小到大的全过程。

　　如今，Lucifer在腾讯安全反诈骗实验室APK移动安全团队担任负责人。2015年以后，他明确地感知到，腾讯安全在慢慢向全社会释放安全能力。

　　Lucifer介绍，他所在的APK移动安全团队主要工作内容分为两个部分。

　　*部分是查杀包含恶意行为的病毒木马(如恶意扣费,恶意广告骚扰,色情欺诈,仿冒公检法诈骗,用户隐私窃取等),为广大用户和以及合作伙伴保驾护航。

　　另外一部分则是对移动黑产进行研究，APK移动安全团队会对流行的移动端病毒黑产进行深入分析，剖析技术细节寻找打击方案，安全团队还会针对黑产背后的黑色产业链进行研究，从黑产线下打击提供弹药。

　　基于这类研究，腾讯安全反诈骗实验室研发了十多款面向政府和企业的安全产品，比如“态势感知”、“鹰眼”、“麒麟”、“神侦”、“神羊”、“神荼”，分别作用在电信网络诈骗的事前预警、事中拦截阻断、和事后案情分析。

　　在他看来，这些项目的诞生不仅是因为腾讯安全多年来安全能力逐渐积累提升，也和打击网络黑产工作中遇到的问题有关。

　　Lucifer坦言，过去的安全工作有时会让他感到无力。因为很难从根源解决网络黑产问题。以色情欺诈类为例，安全软件在面对这类威胁时，会给用户病毒警告，建议用户不要安装此类应用。但因为色情”刚需”，某些用户无视风险尝试安装并支付，发现被骗后，由于无法找到欺诈方，最后只能在微信支付等平台进行投诉。

　　和Lucifer一样感同身受，腾讯安全反诈骗实验室APK移动安全团队的的阿东近10年的工作中也发现了这个问题。

　　阿东也是一个“老安全人”，他曾经在金山、百度等互联网公司的安全部门工作，两年前加入腾讯从事移动安全研究工作。

　　以前在PC时代负责安全业务，阿东日常工作侧重于查杀病毒，处理样本。阿东回忆，当时的网络黑产犯罪分子一般是作坊式运作，攻击者自己购买木马,然后通过流量渠道进行传播,关键技术领域完全依托”技术专家”。

　　加入腾讯后，他发现现在的工作和以往大不相同。

　　他现在的工作更偏向于病毒、网络黑产产业链的打击。阿东介绍，网络黑产背后往往是一家家组织严密的企业，有开发，有运营，有商务，有的团伙甚至为了切断证据链，*程度规避法律风险，把不同的工作内容分散在不同公司。

　　阿东以色情诈骗App举例说，其背后的产业链分工非常明确。

　　上游企业负责应用开发，甚至应用开发方会专门研究如何与杀毒软件进行对抗；中游有专门的支付公司负责开发支付接口，下游还有企业负责在广告联盟等渠道购买流量负责应用投放，投放方会在不同渠道以不同安装包的分身方式生成马甲避免被“一锅端”。

　　甚至，安全企业和黑产企业之间正在形成“矛和盾”的较量，双方不断在技术研究、资源投入层面展开较量。

　　在长期遏制网络黑产的工作中，Lucifer和阿东意识到，打击黑产很难在一个点上做到遏制，需要进行立体式防护。线上不仅需要通过安全软件封杀恶意应用安装，还需要通过安全服务产品阻止网络黑产变现支付，线下则需要联合警方把从源头上打掉犯罪团伙。这样立体防护才能有效解除网络黑产威胁。

　　“白帽子”：单打独斗的时代早过去了

　　这种观点也是很多独立“白帽子”的感受。

　　MX年仅22岁，这个“白帽子”今年6月前还是个大四学生，他常常潜伏于企业官网、政府官网甚至是线上博彩平台。

　　和很多“白帽子”一样，他并不喜欢别人知道他的真名。问到这个问题时，他总会犹豫一秒然后回答道，“你就叫我的代号吧，这是圈内习惯。”

　　MX经常趴在企业、政府甚至是博彩平台的网站上，寻找平台漏洞、网络黑产迹象甚至是犯罪检索，做这些事情的目的纯属“行侠仗义”。

　　对这个“智商过剩”的年轻人来说，把漏洞、线索提交给国内安全公司的安全应急响应中心不仅可以获得一定的奖励，更能有技术的快感。

　　MX喜欢研究社会工程学的理论。在他看来，*的技术有时并不可怕，真正令人恐惧的是，利用人性的漏洞其实是攻破安全防线最捷径的方法。

　　他甚至有时会尝试印证他的研究理论。一次他在某品牌手机官网上寻找到了客户的电话，以客服人员为“目标”，通过“假装”售后维权的方式，给客服发送邮件，“诱骗”客服点击植入了木马病毒的链接，最终入侵了该品牌的内网。

　　入侵后，他给对方留下一封邮件，告诫这家品牌要加强内部安全建设。

　　这样的尝试很危险，但给他的启示是，利用人的弱点，如：恐惧、轻信、健忘、胆小、贪便宜等，可以轻易地攻破技术构建的“马奇诺防线”。

　　MX自己清楚地认识到，他这种行为本身就是存在法律风险的。所谓的正义行为游走在边缘地带，“行侠仗义”其实在挑战企业的接受底线。一旦这种“善意”的入侵造成了意想不到的恶劣后果，他依旧要承担法律责任。

　　17年5月，在某家博彩网站上的潜伏经历则是给了他极大的震撼。

　　MX在这家网站上发现，不少赌徒在网站大量充值，参与平台上的博彩项目，但有黑客通过技术手段窃取了几个赌徒的账号密码，并且随即把资金转移进了自己的银行卡内。

　　更令他感到震惊的是，黑客的卡实际上来自黑市。黑客每次用卡实际上是提心吊胆，因为很可能会遭遇“黑吃黑”，卖卡方很可能就在卡里做了手脚，一旦有资金到账，卡里的资金就会被瞬间划走。

　　面对这个环环相扣而且“黑吃黑”的网络黑产链条，他无力再深入挖掘。

　　MX反思，如果自己继续追查下去，或者是用“捣乱”的方式在其中任何一个环节“搞破坏”，都可能会给自己带来麻烦，甚至会违反法律。

　　他只能向某家安全平台提交线索，后来平台方和警方合作关闭了这家博彩网站，其他犯罪链条警方也在追查。

　　这次经历让MX深刻认识到，个人单打独斗逞英雄的方式去面对网络黑产很无力。他最终也认识到，自己很多看似正义的行为存在法律风险，对网络黑产、黑客打击作用甚微。

　　今年6月毕业之后，原本打算继续以个人“白帽子”身份在网络江湖里厮混的MX选择“被招安”，去安全公司工作。

　　MX感慨，单打独斗就像“唐吉坷德骑马刺向风车”，个人面对网络黑产所能起到的作用非常有限，企业、警方、社会才是打击网络黑产的主体。

　　“老警察”：用公检法的智慧协助办案

　　不仅仅是“白帽子”，很多公检法机关的工作人员也投身于互联网企业，更换成另一种身份从事网络安全和网络黑产打击的工作。

　　伴随着腾讯安全旗下“守护者计划”等全产业链的安全项目接连诞生，Lucifer发现，2015年左右腾讯安全部门引入的“老警察”越来越多。

　　所谓“老警察”是腾讯安全部门内部的一个代号，他们实际上是一批从公检法机关、安全企业离职来到腾讯从事安全业务的专业安全人才。因为在公检法机关有多年和网络黑产团伙作斗争的一线经验，他们不仅嗅觉敏锐，而且年龄比团队内一般技术人员年龄要大，结果被技术人员们戏称为“老警察”。

　　日常工作中，“老警察”们要和技术部门对接，还要根据技术部门提供的数据做分析、调查，发现异常情况后利用自己的丰富经验和技术部门做进一步验证，继续挖掘线索，最终把问题提交给公检法部门，协助公检法部门一起破案。

　　愿意加入“守护者计划”的“老警察”，大多是一群愿意寻找改变的人。

　　“守护者计划”的安全专家老李正是这样的“老警察”。原定在中午11点半的交流被推迟到了12点半，他正好需要和公安部门进行一场电话会议。这样的电话会议在日常工作中常常会遇到。

　　警校4年、从警8年，这个“老警察”在侦查、法制工作中足足摸打滚打了12年。过去，他在执法过程中常常遇到阻碍，比如要抓捕嫌疑人的时候，团队只是掌握了嫌疑人网络虚拟身份。虚拟身份背后的真实身份却无从而知，只能通过找互联网公司协作，去确定犯罪嫌疑人信息，最终准确实施抓捕。

　　2016年4月“守护者计划”成立后，他在6月份放弃原有的“铁饭碗”，选择加入“守护者计划”的团队。

　　对老李来说，做出这个决定并不轻松。职业转型的顾虑一方面源于执法身份的转变，另一方面也来源于对技术的陌生。

　　但互联网公司的吸引力依旧促使他选择离开职业“舒适区”。他说，“守护者计划团队”有想法、有思路、有技术，做事方式也比较开放。”最重要的是，加入“守护者计划”后，他逐渐深入认识到科技是如何打击犯罪活动的，在他看来，这也是团队*的魅力所在。

　　老李现在每天主要工作是通过“守护者计划”大数据分析的能力监测安全风险、黑产行为。比如说，通过“态势感知系统”收集攻击行为，通过“神羊情报系统”对追踪黑客定位，监测到黑客的IP、域名，及时把黑客行为提供给警方。

　　技术能力只是“守护者计划”协助办案的一个层面，另一个层面则是通过自身技术优势协助警方了解案件逻辑，甚至帮助司法机关寻找证据链条对案件定性。

　　和老李一样，阿正在2015年离开工作十余年的公安岗位，加入了“守护者计划”。对他来说，*驱动力是，他希望在互联网安全领域提升自己的专业水平，而腾讯公司正是接触、对抗最新网络黑客技术的前沿企业，在这里每天都能接触到新事物。

　　阿正以“快啊答题”打码平台案件举例，这样的验证码打码平台标榜为特殊障碍人士提供破解验证码的服务，但却采用了人工智能神经网络技术，不断去训练识别破解的准确度，使其能够快速海量的识别互联网通用的验证码安全策略，而且还能不断自身完善、学习，危害性很大。

　　打码平台虽说似乎看起来技术中立，而且服务特殊障碍人群，但实际用户群体全是网络黑产团伙。

　　“快啊答题”套餐价格是1万个验证码15块钱，“晒密人员”购买服务后用来“撞库”——“晒密人员”会事先从黑市或是贴吧买来大量账号、密码等原始个人信息，再通过“撞库”软件把账号、密码进行自动匹配。

　　“快啊答题”在其中起到的作用是突破互联网公司的设置的验证码环节，帮助“晒密人员”更快清洗数据。账号密码最终匹配后，都会以重要程度再度分类销售给下游诈骗团伙。

　　阿正当时*次接触这类案件，被深深震撼，因为这是人工智能在黑产中得到运用的典型案例，而且这类打码平台已经成为了一大趋势，甚至由于“技术中立”的特点，这种平台在犯罪链条中看似是“不粘锅”，处理起来非常棘手。因此阿正迅速将其汇报给了“守护者计划”团队。

　　阿正介绍，“快啊答题”这个案例的难点在于，其每个环节在整个犯罪链条中都是孤立的，窃取数据是一批团伙，洗库、撞库是一批团伙，数据商人卖给下游是一批团伙，直接实施诈骗的又是另一批团伙。

　　各个团伙之间的联系表面上看没有那么紧密，在调查和分析的过程中，证据链条很难关联起来的。这导致警方对证据的追踪、溯源、分析也会带来很多挑战，最后案件定性也很困难。

　　侦破这类全产业链案件，时间成本、人力成本和取证难度都会提高很多。

　　但是阿正这类“老警察”在其中起到了重要作用。他们在网络黑产犯罪前沿对抗领域有经验，也具备对抗能力。他们身后的工程师既懂技术又懂调查分析，会对数据、代码和趋势进行判断，以此展开详尽的数据分析汇总。

　　阿正拿到数据后进行会下一步的判断，对一线公安机关刑事打击提供证据、和建议，甚至在后续案件定性的工程中也会讲述其中的犯罪原理、结构逻辑，司法部门最后会做出综合判断，迅速对案件进行犯罪定性。

　　最终“快啊答题”团伙在今年8月因非法侵入计算机信息系统罪被依法逮捕。

　　殊途同归：打击黑产需要全社会人民战争

　　事实上，“老警察”和技术人员之间也经历了长期磨合。

　　Lucifer说，过去我们杀毒更关注如何捕获新的病毒类型，这些新病毒的发展趋势，以及如何和新病毒进行对抗，工作内容主要是从技术手段上要如何解决，这是个很专注、很技术化的领域。

　　但是现在更多想的是如何配合“守护者计划”安全团队进行线下打击，如何让“老警察”理解网络黑产团伙的技术手段，如何让公检法更快理解网络黑产团伙的危害，如何配合公检法为办案流程提供信息线索、证据链条。

　　这是两个不同的需求，也有完全不同解决思路。

　　技术人员在得到数据时需要有敏感度。数据都是死的，但是人却能从数据中可以看出异常行为。

　　阿东提到，技术人员看到一个数据后，可以从数据异常行为上来判定它的主要功能，如下载url一般直接是国外IP地址,通过短信进行传播,并且相对其它短信传播木马感染用户明显偏少，很大概率可能是仿冒公检法的犯罪团伙,发现可疑后通过下载应用的其它行为进行辅助就可以明确其功能了如软件中包含政府机关的关健词，包含窃取短信等功能。

　　但在案件证据搜集过程中，往往并不像说的这么简单，还需要面临很多难点。技术人员不仅要提供技术方面的线索、犯罪团伙的规划，还要把受害人与黑产团伙之间的串联关系等信息梳理出来。

　　一开始“老警察”和技术人员之间的对接存在一些“障碍”，但在几次配合打击黑产团伙后，双方变得越来越默契。

　　在Lucifer看来，网络黑产团伙利用社交工具、支付工具所做的事情跟公司业务存在关联性，打击色情、诈骗团伙，实际上净化了社交体系违法违规的产业。这不仅对自身业务发展有好处，而且也是腾讯公司作为全球第四大互联网公司应尽的责任。

　　在“守护者计划”的两年工作中。“老警察”老李意识到，网络黑产犯罪，靠企业或个人没办法根治，必须要联合社会各方力量，让互联网公司、公安部门、工商部门、商业银行、三大运营商等社会力量整合起来，才能达到综合治理的效果。

　　2017年8月，“守护者计划”开展了“守护家人，做反诈骗行动派”公益行动，对电信网络诈骗进行了宣传教育，呼吁社会公众积极参与反电信网络诈骗行动，顺丰、滴滴、去哪儿、京东等近50家企业，李晨、陈乔恩、何穗等近30位明星，5500万公众加入到了这场反诈骗行动中。

　　以“开放共享，社会共治”为主题的2018守护者计划大会将在1月14日召开，这次大会将分享这一年来打击网络犯罪的经典案例。此外，这次大会邀请到了公安部、最高人民检察院、最高人民法院等国家机关的到来。

　　这意味着，“守护者计划”得到了国家层面的认可，打击黑产的“人民战争”策略正在生效。