腾讯的网络黑产攻防战：推出智能反诈中枢 应对刷流量式进阶版黑产

（图片来源：壹图网）

经济观察网 实习记者 韦晓宁 “大家说扫码支付是中国新的四大发明之一，对于黑产来说也是一样。”腾讯守护者计划安全专家董蕾在接受记者采访时表示。

如今，网络黑产运作已愈发专业化、智能化和链条化，各环节精细分工、技术应用迭代升级，形成网络诈骗“新范式” 。日前，腾讯安全媒体沙龙在北京举办，7位守护者计划安全专家介绍了腾讯守护者计划2019年以来，对虚假流量、恶意SDK、非法支付资金结算等网络黑产形式的观察研究与对抗治理。

腾讯于2014年6月发布“守护者计划”，联合政府、企业等社会各界力量构筑网络安全生态体系，旨在用科技为公民信息安全提供全方位保护，协助警方打击网络黑产及其它犯罪，曾协助公安部破获“9.27”特大窃取贩卖公民个人信息案、“慈善富民”民族资产解冻诈骗案等，被公安部授予“公安部打击治理电信网络新型违法犯罪防控中心”称号。

今年8月，腾讯将正式推出“守护者智能反诈中枢”，利用其AI技术、大数据分析能力和海量用户优势来进一步打击新型网络黑产。

此前该系统已投入使用，据腾讯方面的数据，依靠守护者计划智能反诈中枢的能力，2019年上半年，腾讯守护者计划协助公安机关开展电信网络诈骗及上游黑产打击行动，协助各地公安机关共计破获案件26件，抓获人员1500余人，涉案金额近4亿元。

进阶版网络黑产

当Android/ target=_blank class=infotextkey>安卓用户还在为捆绑下载的App占取手机空间、侵犯个人隐私和利益而苦恼时，违规控制个人手机的手段，已悄然从开发恶意APP转为开发恶意SDK（软件开发包），潜藏在用户正常使用的APP里不被察觉。

“一些流量之争，就可能是有黑产控制个人手机，找免费肉鸡帮它刷量。”腾讯守护者计划安全专家黄汉川表示，近年出现了一种新型的网络黑产作恶方式，通过SDK控制用户手机，偷偷进行一些下载应用、广告刷量、APP拉活等等活动，“人工需要花很大的成本很大的费用，这里直接找人免费帮他打工，通过服务器下命令帮黑产刷量，用户完全不知情的情况下后台启动去做。”

据介绍，2018年一款SDK控制个人手机刷量被发现，涉及了三百多款APP应用，潜伏在两千多万的手机用户里面，一些被感染的知名APP用户轻易达到数百万，影响的用户量级“非常可怕”。

与可见可感知的APP不同，SDK作为一种运用在APP内的组装模块，更具安全风险隐匿化、影响范围广的特点。恶意SDK可谓是恶意APP的进阶版，能够逃开APP相对完善的安全检测机制、利用知名的APP触达更多的用户，长期潜伏在用户手机里而不被用户、APP开发者、应用市场和互联网厂商发现，轻易可寄生在百万量级用户的APP里，轻易影响上千万甚至上亿用户。

此外，网络赌博黑产也呈现新趋势和新特点。常见的网络赌博类型有棋牌类、捕鱼类、真人视讯类、私彩、体育类、小游戏类、微盘、红包赌博等。腾讯守护者计划安全专家施秀云介绍，近年网络赌博黑产呈现的新特点有三。

第一是全链条向境外转移，赌博团伙将引流、支付、技术服务、代理等环节转移到柬埔寨、越南和菲律宾等东南亚国家，规避国内的线下打击。

第二是资金流转的复杂化，不把鸡蛋都放在同一个篮子里面，采用很多种支付渠道，包括银行转账、游戏点卡的支付、话费卡、礼品卡等，第三方支付也会分散到各个平台。

第三是赌博和其它犯罪的结合，黑产界黄赌不分家，色情是最大的引流渠道，在提供色情资源的同时显示赌博网站的地址。色情网站最大的收入来源就是背后的赌博。

当赌博、色情等黑产走到关键一步——收付款时，如果使用第二方支付平台银行、第三方支付平台支付宝微信等正规渠道交易，很容易被甄别出来并进行资金拦截。这便衍生出一个新的黑产——非法资金支付结算，也即依托第二方第三方的支付接口，借名正常公司、电商等，帮助黑产建立收款的通道。

“其实它们非常专业，专业到什么程度？至少要懂三点，第一懂网络黑产，知道赌博、色情的钱怎么收；第二要懂支付，要知道微信或者支付宝还有云闪付的最新收款通道在哪里；第三要懂技术，完全自己开发网站APP实现自动化，通过非法接口接到正规的平台上。”董蕾总结。

网络黑产盲点

据透露，今年上半年腾讯配合公安落地打击了一起涉未成年人色情网络黑产犯罪，未成年受害者达500名，然而警方在走访取证过程中有30%多的家庭不愿承认事实，不愿意配合警方取证，这有可能导致在处治犯罪者时无法做到最高额、最严厉的处治。

除了传统观念带来取证困难，线上和线下的联合打击下，网络黑产依旧存在盲点。钟振坤分析，一些涉及未成年人色情黑色产业的网络圈子非常小，并隐蔽在正常的场景里，比如在某个论坛里面萝莉吧里面发一些信息，很难被发现。

黄汉川认为，面对网络黑产，政府规制、社会监督、企业履责需要多方配合，并建立相应的法律法规标准。比如针对开发恶意SDK的黑产，要制定SDK的安全标准、设计SDK的安全原则以及评估方法和手段。“需要有能力有条件的互联网公司、安全厂商来辅助社会政府发现这些恶意行为，让大家知道这个事情。”

近日，周杰伦与蔡徐坤粉丝的“超话”之争，再次引发关于网络数据与流量的话题。就在今年6月，帮助蔡徐坤制造一亿微博转发量的幕后推手“星援”APP被查封，主犯因涉嫌破坏计算机信息系统被批捕。据报道，“星援”利用粉丝给“爱豆”刷流量的需求，半年内吸金800余万元。

对明星来说，在微博等平台获取更高的流量和更好的数据，意味着赢得更多的合作机会和更大的利益；对于粉丝来说，手动“抡博”虽体现真心但效率较低，于是“星援”APP一类的流量黑产便有了牟利的空间。

“虚假流量已经进入到整个互联网世界的肌理，可以是谣言制造机，评价作弊机，甚至是舆论风向标，对整个互联网的发展和社会意识形态产生严重的威胁。”腾讯网络安全与犯罪研究基地高级研究员张宝峰说。

据腾讯方面的数据，国内各种刷量平台数量超过1000家，其中规模和数量占头部的100家每个月的流水大概在二百多万，暴利显而易见，国内刷量产业的人员规模累计达到九百多万。

“虚假流量广泛地滋生于整个互联网行业，不仅威胁着网络空间的安全，更与下游多种违法犯罪、侵犯法益的行为密切相关，对现实社会的安全与秩序也产生巨大危害。”张宝峰认为，打击治理虚假流量必须依靠多方联动机制，如公安司法机关、工信部门、工商管理部门、银行、通信运营商、互联网企业和学界，推动共同建立预警机制、信息共享机制、反馈机制等，形成合力。

然而，虚假流量治理的难点还在于，其市场疑已形成生态闭环，黑产制造流量获取利益，流量需求方凭借流量吸引资本或舆论的关注，资本、舆论依靠流量赚钱更大的利益。“虚假流量就好像‘皇帝的新衣’，大家都没有勇气戳破这个泡沫，反而都在这个产业链上各取所需。”

腾讯方案

恶意SDK、非法资金支付结算、刷假流量……网络黑产进化的同时，技术支撑越来越成为其必不可少的组成部分。

2016年联合反电信网络诈骗产业各方发布“守护者计划”后，腾讯建立了“守护者智能反诈中枢”，利用腾讯黑灰产大数据能力，通过将用户投诉、举报和异常行为信息，经过守护者计划 AI 智能筛选比对和专家研判后，使用中枢下的各反诈系统覆盖各类诈骗，协助警方打击治理，并帮助企业和个人用户从源头上封堵数据与个人信息泄露风险，最终通过腾讯的产品体系触达用户，对用户进行反诈科普、诈骗提醒的智能反诈体系。

据腾讯方面的数据，依靠守护者计划智能反诈中枢的能力，2019年上半年，腾讯守护者计划协助公安机关开展电信网络诈骗及上游黑产打击行动，协助各地公安机关共计破获案件26件，抓获人员1500余人，涉案金额近4亿元。

今年5月，马化腾在数字中国建设峰会上指出，需要“善用科技、避免滥用、杜绝恶用，科技应该努力去解决自身发展带来的社会问题”。

事实上，技术作为为人所使用的工具，往往摇摆在善恶之间。如SDK技术可以为程序员编程提高效率节省时间，也可以非法控制用户手机作恶；二维码方便了人们线上支付，也为黑产开辟了新的资金通道；大数据可以为人们带来更好的定制化服务、为决策提供依据，也带来了暴露隐私等风险。

人是技术的尺度。技术社会建构论认为，技术的发展具有“待确定性”，关键在于现实中哪种社会因素于技术的建构中占据主导地位。而技术被黑产所用，是技术最糟糕的一种发展形态。

7月24日，中央全面深化改革委员会第九次会议审议通过了《国家科技伦理委员会组建方案》，会议指出，科技伦理是科技活动必须遵守的价值准则。组建国家科技伦理委员会，目的就是加强统筹规范和指导协调，推动构建覆盖全面、导向明确、规范有序、协调一致的科技伦理治理体系。

如生活在互联网时代的技术批判理论家芬伯格所说，我们不是在设计工具，而恰恰是在设计我们的生活环境。技术带来的破坏既是人为，也可以且应该为人所改变和避免。