接码卡商验证码平台（接码卡商验证码平台app）

2021年，公安部部署了全国公安机关深化推进“净网2021”专项行动，发起了断黑卡、断黑号、断黑线路、断黑设备的“四断”行动，动态研究网络违法犯罪趋势，深入剖析网络违法犯罪特点，严厉打击网络赌博、网络黑客、侵犯公民个人信息等活动，持续强化网络空间秩序治理，营造安全、清朗、有序的网络环境。同年12月22日，中央网信办开展“清朗·打击流量造假、黑公关、网络水军”专项行动。

随着互联网技术的创新升级，新型网络犯罪形式层出不穷，“黑灰产”呈现出了产业化的发展趋势。目前，我国“黑灰产”已经形成了一个年产值达千亿元级别、从业人员超过150万人的庞大“黑金”利益链。从暗扣话费、广告流量变现、手机应用分发,到“木马”刷量、勒索病毒、控制“肉鸡”挖矿，“黑灰产”形式五花八门，而“薅羊毛”是其重要盈利模式之一。本文从实际情况出发，从常见类型的“黑灰产”角度入手，深入剖析“黑灰产”的产业链结构，从通信行业角度分析“黑灰产”问题，提出通信行业采用数智化方法进行“黑灰产”预警和防控的建议。

“黑灰产”产业链结构

“黑灰产”指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。其中，“黑产”指的是直接触犯国家法律的网络犯罪；“灰产”则是游走在法律边缘，为“黑产”提供辅助手段的存在争议的行为。

随着互联网从PC端向移动端的扩展，“黑灰产”也从最早的控制“PC弱鸡”，发展到现在的攻击移动互联网上各类APP，攻击场景集中在电商平台“薅羊毛”、银行金融欺诈、直播平台刷量、广告刷量、社交平台刷粉、流量欺诈、裂变推广、平台拉新、网络诈骗等，涉及社会各行各业，具体的操作动作随着攻击类型而变化，对社会造成了极大的危害。

第一，“黑灰产”分工细致、明确且隐秘

“黑灰产”是一个非常隐秘的地下产业，资金来源、合作模式、商业模式、变现渠道、利益分配模式等并不为人所熟知。目前已经探知的“黑灰产”产业链包括资源、服务、变现3个环节，具体如图1所示。

图1 “黑灰产”产业链构成

第二，“黑灰产”已形成专业技术化运作模式

近年来“黑灰产”作恶技术发生了重大变化，已从虚拟机、群控式，发展到现在的“群控+人工刷量”。

阶段一：虚拟机阶段，也就是“羊毛党”产业的初级阶段。“薅羊毛”黑产属于有组织的产业链，有人提供手机和账号，有人提供自动化的工具平台，还有人负责刷量。

阶段二：群控阶段。通过购置廉价手机或者二手手机组成“手机墙”，采用改机工具修改手机型号、MAC地址、IMEI码（手机串码）、GPS定位等设备信息，从而不断伪以造生成新设备。也有采用定制化ROM、通过群控软件操纵手机、模仿真人自动完成操作等方式,完成点击、APP下载、激活账户和应用等。

阶段三：“群控+人工阶段”。在这一阶段，“羊毛党”进化到了“人肉羊毛党”“真人羊毛党”（真人众包）。组织者在真人众包软件和平台上发布项目任务，如用户点击项目可以赚取积分、积分能够兑换红包等，从而吸引真人参与活动。

据统计，目前全网由“黑灰产”发起的恶意注册攻击可达到每天800万次，活跃欺诈手机号每天超过150万个，平均每个手机号每日进行6次攻击。

按照目前已经探知的“黑灰产”作恶手法，“黑灰产”的场景主要包括恶意注册、恶意攻击、真人众包作恶。

场景一

以恶意注册为核心资源

随着“断卡行动”的深入，之前通过随意购买手机卡直接大量注册APP账号的方法不再可行。“黑灰产”采取“迂回作战”形式，形成了新的流程：第一步，由卡商从三大运营商、虚拟运营商、境外运营商处购卡，或通过技术手段挟持用户手机号，并通过“猫池”养卡养号；第二步，号商通过“接码平台”获取卡商提供的手机号码和验证码，在APP上注册虚假账号；第三步，用号方与卡商交易，或通过“发卡平台”获取虚假账号，最后进行各类“黑灰产”恶意操作。恶意注册的具体流程如图2所示。

图2 恶意注册流程图

场景二

以恶意自动化技术为主要攻击手段

随着互联网公司对APP加强风控，风险账号库、风险IP库、风险设备号库相继建立，并与账号使用行为相互关联，“黑灰产”开始采取各种恶意自动化技术：从原有简单的代理IP池转向动态IP；从群控设备转向云控设备；从利用ROOT设备修改设备号向定制ROM直接修改设备号转变，以隐藏真实IP或者设备位置，规避APP风控。

在恶意自动化技术影响下，“黑灰产”环节流程也出现了改变：第一步，通过代理IP池、秒拨IP、IP魔盒、境外IP代理等方式进行动态IP转换；第二步，采用SaaS服务和动态IP技术，在公有云上搭建“秒拨机或VPN通道”,构建手机池、手机模块池等无线设备池，组建恶意攻击设备群；第三步，利用群控或云控对APP自动化脚本（按键精灵或Auto.js）进行操控攻击，或者直接破解客户端和服务器通信协议，模拟自动化脚本，伪造操作内容。自动化技术攻击的具体流程如图3所示。

图3 自动化技术攻击流程图

场景三

以真人众包规避风控

随着众多垂直领域平台防控意识的增强，部分平台在获客时出台了用户领取礼包前进行实名认证的规定，以预防“黑产”针对新用户福利的恶意攻击。这种方式的确避免了“黑灰产”通过工具自动化注册实现牟利，但也引发了真实用户认证后转售账号的真人作弊或真人众包行为。即原来通过自动化机器人，现在转为真实个人实名众包牟利，其行为掺杂在个人真实行为中，不易被发现。目前真人众包模式呈现较快上升趋势。

以上仅是部分“黑灰产”场景，不涉及网络诈骗、网络攻击、破坏计算机等“黑产”场景。

坚决打好通信行业“黑灰产”数智化防控战役

“黑灰产”与通信行业有着不可分割的关系。从作恶目的和流程分工来看，“黑灰产”需要源源不断的低价实名手机卡、IP地址池，以及手机、PC机和云主机等通信资源。为了维护网络清朗空间，保护人民群众的合法权益，三大基础运营商应履行国企义务、担起社会责任。

考虑到目前“黑灰产”的复杂性，通信行业的数智化防控不是一朝一夕即可实现的，而是需要深入研究内外根源，采取切实可行的措施，杜绝一切违法行为。此外，此项战役不能仅靠运营商单方面推进，而是需要网信办、公检法等政府主管部门，以及互联网企业、金融机构、社会组织、人民群众等各司其职，共同参与。

本文从全局出发，结合运营商实际，对运营商打好通信行业“黑灰产”数智化防控战役提出如下建议。

建议一

构建全方位、立体式联控合防体系

以维护好人民群众财产安全为出发点，主动承担社会责任，主动参与主管部门的行动，构建“人防+技防”联合防控体系。

在人防方面，在企业内部建立正确的企业价值观，加强对内部人员及合作伙伴的监管，杜绝一切违法风险，杜绝低质无效的发展。

在技防方面，在国有企业数字化转型的基础上，强化对风控数字化的投入和研发，解决技术盲点和难点，提高技术防范能力。

在联合防控方面，对照“黑灰产”产业链分工，由主管部门牵头构建主要行业和企业的防控体系，在保障国家安全、数据安全和个人隐私安全的基础上，利用数字技术对风险账号、手机号、IP地址、设备号、银行账号和攻击类型等关键信息开展监测，全面提升防控效率。

建议二

实施数智化防控体系，以技术反制技术，构建“黑灰产”防控生态圈

根据“黑灰产”三大作恶场景，可以梳理出不同通信工具在不同场景的通信特征，归纳出“号码类型、网络类型、设备类型、真人类型”四大风险类型，以及集中入网、集中攻击、多频变化IP、集中设备等行为特征。

手机号、APP账号、银行卡三大要素在“黑灰产”恶意攻防对抗中尤其关键。“黑灰产”攻击方已经通过自动化技术将三大要素串联在一起；而在防守侧，由于行业区隔、企业竞争等原因，往往是在案件发生后主管部门紧急牵头进行手工溯源，只能以最快速度见一个堵一个。

综上分析，笔者建议运营商主动承担重任，在内部率先构建“以技术反制技术”的数智化防控体系，深层次打通运营域、业务域、管理域等系统平台，组织专人研究，适时引入安全防护机构的预测数据以进行数据整合挖掘，同时实施一键穿透的自动化防控机制，解决各系统平台无法自动对接、无法回溯的难题。

运营商还可以同步构建行业内以隐私计算为核心的数据交换平台，或者提供“黑灰产”防控数据服务对外赋能，对三大要素资源和攻击类型进行实时交互及核验，提前进行预警防控，梳理出“黑灰产”产业链，构建好“黑灰产”防控生态圈。

建议三

主动作为，精准施策 强化“黑灰产”宣传教育

“黑灰产”的防控离不开人民群众的理解与支持，对高风险区域和高风险用户群进行宣传教育，通过精准施策、提前预防提升防控效果十分必要。

在符合国家法律规定和保护好个人隐私安全的基础上，运营商可以在主管部门的指导和带领下，通过大数据技术分析“黑灰产”链条上的风险用户，提前进行点对点宣传教育；同步强化“黑灰产”通信管控，将主管部门的最新要求纳入入网协议，实时优化入网协议，将“黑灰产”通信风险提前纳入知晓条款，提前普及宣传教育。

End

作者：中国联通泉州市分公司 黄钦泓

责编/版式：范范

审核：申晴

监制：刘启诚

↑点击查看通信世界“东数西算”专题报道↑