
最近熱播的電視劇《親愛的,熱愛的》,讓男主角韓商言扮演者李現火得一塌,而與李現一起爆紅的,還有他在劇中所參加的比賽——CTF(白帽子攻防賽)。但大賽畢竟只是模擬,現實中,“黑白”之間的對抗,可謂魔高一尺、道高一丈。
打擊網絡黑產鏈成為當下監管部門和網絡平檯面臨相當大的治理難題。專家表示,監管部門應通過改進技術克服取證難等問題,避免網絡“黑灰產”逃避法律制裁。
無孔不入的黑產
網絡“黑產”發展越來越猖獗。中國人民銀行近日開出了第三方支付行業史上最高金額的罰單,環迅支付被罰沒合計5939萬元。這背後是市民丟失的身份證被不法分子利用,用於成立皮包公司從事犯罪,幫助地下外匯期貨交易、賭博、色情等非法活動洗錢出境,並躲避公安偵查。
“整個安全行業的產值不過500億,被黑灰產'薅'走的就超過1000億,而因此受影響的產業損失超過1萬億,160萬人在從事黑灰產。”在近日舉行的第五屆全球互聯網安全領袖峰會上(CSS 2019),騰訊公司副總裁馬斌如此感慨。
據央視新聞報導,廣東警方破獲的一處微信號商的工作室,房間裡放著幾百台正在養微信號的手機。這些手機都登錄著微信,在無人操作的情況下,這些手機可以用預先設定的程序自動掃二維碼添加好友,然後再自動發朋友圈。
而註冊微信號的手機驗證碼則來自於手機卡商,有些是代理商盜用他人身份辦理的,有些是國外號。
中國的網絡黑灰產業鏈已成氣候。去年,阿里巴巴發布的《2018網絡黑灰產治理研究報告》中披露,惡意賬號中83%是通過“黑卡”註冊生產的,這些賬號主要分佈於網絡打車、互聯網金融、網絡遊戲等平台,已經日益成為黑灰產線上線下打通犯罪的關鍵環節。
電商行業是被“薅羊毛”最嚴重的領域之一。今年一月份,有網友爆出拼多多存在重大BUG,用戶可領100元無門檻券,此後“有大批用戶開始媷羊毛,一晚上200多億都是話費充值”。
羊毛黨們所利用的優惠券,是拼多多與某電視節目合作中臨時生成的優惠券,並且,從未公開出現在任何一次促銷活動之中,也沒有開放過入口。而黑產團隊通過非正常途徑發現漏洞並生成二維碼,在公開範圍內進行了傳播。
除此之外,直播平台、短視頻……這些也都是羊毛黨“薅羊毛”的重點區域,他們掌握大量的手機黑卡,利用互聯網公司的技術漏洞瘋狂獲利,讓人防不勝防。
另外,“水軍”問題也是社會關注的重點。明星一條微博轉發量過億,被指其中73%由“水軍”操作。明星、企業等利用“水軍”、自媒體宣傳或者“互黑”也早已不是秘密。
監管、風控體系存漏洞
上文提到的黑產只是冰山一角,在互聯網的大環境下,總會有一些見不得光的陰暗死角,黑產在這裡萌芽,在這裡滋長,不斷汲取外界的養分。
電商巨頭、支付平台、直播平台、短視頻平台頻頻被黑產攻擊暴露了其風控體系的基礎漏洞。你有良計對付,怎奈黑產有過牆梯。
近幾年,黑產的技術手段越來越強,形式也日益多樣,而且絕大部分都面向雲業務和移動應用等形態,而這些雲業務和移動應用都是在雲服務器上完成的,並且很多是租用美國或者歐洲等在境外的雲服務器。服務器設在境外意味著偵查部門需要國外企業及執法部門配合,也導致雲端取證成為很大的難題。
網絡黑產層出不窮也說明目前網絡黑產還存在法律規制空白。
網絡“黑產”一般指有法律明確規制的違法犯罪行為,比如利用破壞計算機信息系統罪,出售、非法提供公民個人信息罪,電子商務法新規定的刷單、刷信譽等行為。
但是在網絡“黑灰產”產業鏈中,有些行為還處在法律邊緣,對平台和監管部門來說,都難以界定,比如註冊賬號、養號的問題。單純註冊賬號及養號,不涉及黑產的行為本身並不違法,之後如果行為人把賬號賣掉,而且這裡不涉及其他人的個人信息,這樣的行為目前是處在法律邊緣的灰產問題。
多方共治斬斷“黑產”之根本
在去年“2018網絡安全生態峰會”上,中國電子技術標準化研究院信息安全研究中心主任劉賢剛在分析我國網絡安全形勢時曾指出,基於網民數量眾多、高度網絡化數據化以及網絡黑灰產、網絡詐騙等問題突出的三大特點,我國的數據安全發展在國際上已沒有可藉鑑的對象,已經步入“無人區”,需要自主創新來尋找解決方案。
企業需要常態化地審查自己的業務是否存在漏洞,進一步規劃和加強自身的風控能力。比如,對電商平台原有的圖片驗證碼、短信驗證這些防護進行加固,防止由於“黑灰產”活動造成的損失。企業還應在爭取用戶、獲取經濟利益和未來發展的同時,將保護用戶信息放在重要位置。
當然,光靠平台自治不能根除黑產“薅羊毛”的行為,最終對網絡黑產的打擊要落到監管部門執法層面。相對於目前如此龐大的網絡“黑灰產”產業規模來說,目前我國相關部門的介入力量還遠遠不夠。互聯網企業應當和政府合作,在發現問題時主動向監管部門報告,並且要建立一套科學的信息共享機制。