160万人薅羊毛，一年薅走1000亿，那些你不知道的网络“黑灰产”

最近热播的电视剧《亲爱的，热爱的》，让男主角韩商言扮演者李现火得一塌，而与李现一起爆红的,还有他在剧中所参加的比赛——CTF（白帽子攻防赛）。但大赛毕竟只是模拟，现实中，“黑白”之间的对抗，可谓魔高一尺、道高一丈。

打击网络黑产链成为当下监管部门和网络平台面临相当大的治理难题。专家表示，监管部门应通过改进技术克服取证难等问题，避免网络“黑灰产”逃避法律制裁。

无孔不入的黑产

网络“黑产”发展越来越猖獗。中国人民银行近日开出了第三方支付行业史上最高金额的罚单，环迅支付被罚没合计5939万元。这背后是市民丢失的身份证被不法分子利用，用于成立皮包公司从事犯罪，帮助地下外汇期货交易、赌博、色情等非法活动洗钱出境，并躲避公安侦查。

“整个安全行业的产值不过500亿，被黑灰产‘薅’走的就超过1000亿，而因此受影响的产业损失超过1万亿，160万人在从事黑灰产。”在近日举行的第五届全球互联网安全领袖峰会上（CSS 2019），腾讯公司副总裁马斌如此感慨。

据央视新闻报道，广东警方破获的一处微信号商的工作室，房间里放着几百台正在养微信号的手机。这些手机都登录着微信，在无人操作的情况下，这些手机可以用预先设定的程序自动扫二维码添加好友，然后再自动发朋友圈。

而注册微信号的手机验证码则来自于手机卡商，有些是代理商盗用他人身份办理的，有些是国外号。

中国的网络黑灰产业链已成气候。去年，阿里巴巴发布的《2018网络黑灰产治理研究报告》中披露，恶意账号中83%是通过“黑卡”注册生产的，这些账号主要分布于网络打车、互联网金融、网络游戏等平台，已经日益成为黑灰产线上线下打通犯罪的关键环节。

电商行业是被“薅羊毛”最严重的领域之一。今年一月份，有网友爆出拼多多存在重大BUG，用户可领100元无门槛券，此后“有大批用户开始媷羊毛，一晚上200多亿都是话费充值”。

羊毛党们所利用的优惠券，是拼多多与某电视节目合作中临时生成的优惠券，并且，从未公开出现在任何一次促销活动之中，也没有开放过入口。而黑产团队通过非正常途径发现漏洞并生成二维码，在公开范围内进行了传播。

除此之外，直播平台、短视频……这些也都是羊毛党“薅羊毛”的重点区域，他们掌握大量的手机黑卡，利用互联网公司的技术漏洞疯狂获利，让人防不胜防。

另外，“水军”问题也是社会关注的重点。明星一条微博转发量过亿，被指其中73%由“水军”操作。明星、企业等利用“水军”、自媒体宣传或者“互黑”也早已不是秘密。

监管、风控体系存漏洞

上文提到的黑产只是冰山一角，在互联网的大环境下，总会有一些见不得光的阴暗死角，黑产在这里萌芽，在这里滋长，不断汲取外界的养分。

电商巨头、支付平台、直播平台、短视频平台频频被黑产攻击暴露了其风控体系的基础漏洞。你有良计对付，怎奈黑产有过墙梯。

近几年，黑产的技术手段越来越强，形式也日益多样，而且绝大部分都面向云业务和移动应用等形态，而这些云业务和移动应用都是在云服务器上完成的，并且很多是租用美国或者欧洲等在境外的云服务器。服务器设在境外意味着侦查部门需要国外企业及执法部门配合，也导致云端取证成为很大的难题。

网络黑产层出不穷也说明目前网络黑产还存在法律规制空白。

网络“黑产”一般指有法律明确规制的违法犯罪行为，比如利用破坏计算机信息系统罪，出售、非法提供公民个人信息罪，电子商务法新规定的刷单、刷信誉等行为。

但是在网络“黑灰产”产业链中，有些行为还处在法律边缘，对平台和监管部门来说，都难以界定，比如注册账号、养号的问题。单纯注册账号及养号，不涉及黑产的行为本身并不违法，之后如果行为人把账号卖掉，而且这里不涉及其他人的个人信息，这样的行为目前是处在法律边缘的灰产问题。

多方共治斩断“黑产”之根本

在去年“2018网络安全生态峰会”上，中国电子技术标准化研究院信息安全研究中心主任刘贤刚在分析我国网络安全形势时曾指出，基于网民数量众多、高度网络化数据化以及网络黑灰产、网络诈骗等问题突出的三大特点，我国的数据安全发展在国际上已没有可借鉴的对象，已经步入“无人区”，需要自主创新来寻找解决方案。

企业需要常态化地审查自己的业务是否存在漏洞，进一步规划和加强自身的风控能力。比如，对电商平台原有的图片验证码、短信验证这些防护进行加固，防止由于“黑灰产”活动造成的损失。企业还应在争取用户、获取经济利益和未来发展的同时，将保护用户信息放在重要位置。

当然，光靠平台自治不能根除黑产“薅羊毛”的行为，最终对网络黑产的打击要落到监管部门执法层面。相对于目前如此庞大的网络“黑灰产”产业规模来说，目前我国相关部门的介入力量还远远不够。互联网企业应当和政府合作，在发现问题时主动向监管部门报告，并且要建立一套科学的信息共享机制。