互聯(lián)網(wǎng)和新技術帶來電信網(wǎng)絡違法犯罪專業(yè)化升級，網(wǎng)絡黑產(chǎn)威脅源成為計算機信息系統(tǒng)安全和網(wǎng)絡空間管理秩序的重大隱患。1月14日，在騰訊公司主辦的2018年守護者計劃大會上，《騰訊2017年度網(wǎng)絡黑產(chǎn)威脅源研究報告》正式發(fā)布，這是國內(nèi)首份全面研究網(wǎng)絡黑產(chǎn)和背后威脅源發(fā)展態(tài)勢，以及打擊治理和法律適用情況的專業(yè)性報告，為全行業(yè)聯(lián)合打擊網(wǎng)絡黑產(chǎn)奠定了基礎。同時，該報告發(fā)布也標志著，騰訊“守護者計劃”將立足公益，以技術賦能的方式，攜手合作伙伴、協(xié)助執(zhí)法機關全面打擊網(wǎng)絡黑產(chǎn)，向不法分子“亮劍”。

　　所謂網(wǎng)絡黑產(chǎn)威脅源，是以互聯(lián)網(wǎng)為媒介、以網(wǎng)絡技術為主要手段，給公眾人身財產(chǎn)安全、計算機信息系統(tǒng)安全和網(wǎng)絡空間管理秩序，甚至國家安全、社會穩(wěn)定帶來直接或間接威脅的網(wǎng)絡違法犯罪活動。這其中包括了針對政府/企業(yè)網(wǎng)站的黑客滲透、DDoS攻擊和流量劫持等網(wǎng)絡黑產(chǎn)活動，以及木馬病毒、惡意網(wǎng)站等非法獲取公民信息的網(wǎng)絡黑產(chǎn)上游環(huán)節(jié)，也包括撞庫、洗號以及非法買賣公民/企業(yè)信息等為各類違法犯罪提供支持的中間鏈條。

　　據(jù)《報告》顯示，2017年，“守護者計劃”協(xié)助各地公安機關破獲新型網(wǎng)絡違法犯罪案件近160起，抓獲人員約3800人，涉案資金近32億元，其中，通過對網(wǎng)絡黑產(chǎn)威脅源的針對性打擊，有效遏制了網(wǎng)絡黑產(chǎn)的進一步發(fā)展。這也進一步顯示出，基于技術監(jiān)控、對抗與防范，以合作共治為核心特點的“騰訊模式”已經(jīng)成為高效打擊網(wǎng)絡黑產(chǎn)的產(chǎn)業(yè)模板。

　　全面剖析七大網(wǎng)絡黑產(chǎn)威脅源，技術加持成典型特征

　　非法獲取公民個人信息、木馬病毒、黑客滲透、惡意網(wǎng)站、流量劫持、DDoS攻擊以及為黑客攻擊提供技術支持這七大網(wǎng)絡黑產(chǎn)威脅源，為電信網(wǎng)絡詐騙、惡意網(wǎng)絡攻擊提供隱蔽而高效的技術支持，降低犯罪成本，增加案件破解難度，給傳統(tǒng)單點防御帶來極大挑戰(zhàn)，也讓不法分子更加猖狂。

　�。▓D為網(wǎng)絡黑色產(chǎn)業(yè)鏈的主要運作流程）

　　1、非法獲取公民個人信息。當犯罪分子掌握大量公民個人信息后，以司法機關、銀行等權威機構工作人員名義，或者冒充親友熟人進行詐騙，往往令受害者猝不及防，非法獲取公民個人信息已經(jīng)成為“精準詐騙”的核心彈藥，是頭號威脅源。

　　2、木馬病毒威脅。《報告》顯示，2016年下半年以來木馬病毒呈現(xiàn)下降趨勢，2017年累計木馬病毒感染用戶達1.88億，潛在威脅依然嚴峻。木馬病毒已經(jīng)成為獲取公民隱私信息，進行廣告騷擾、暗中扣費、刷量、誘導支付、敲詐勒索等主要技術手段。

　　3、惡意網(wǎng)站威脅。惡意網(wǎng)站數(shù)量呈現(xiàn)逐年遞增態(tài)勢，其中仿冒銀行、通信、電商、游戲和互聯(lián)網(wǎng)金融五類網(wǎng)站數(shù)量最多。受害者訪問惡意網(wǎng)址，往往隱私信息、銀行卡四大件、蘋果手機ID、社交賬號等信息會被非法竊取，面臨銀行卡盜刷、電信詐騙、敲詐勒索等違法行為威脅。

　　4、黑客滲透威脅。黑客滲透、侵入政府等權威網(wǎng)站，獲取服務器權限后增、刪、改私人信息，成為偽造資質文憑的源頭。從權威網(wǎng)站獲取的大量詳實公民個人信息，威脅更大，山東“徐玉玉案”正是因為黑客滲透入侵山東教育招生考試院的政府網(wǎng)站獲取考生信息后，最終造成悲劇。

　　5、流量劫持威脅�！秷蟾妗窋�(shù)據(jù)透露，2017年1-11月期間的流量劫持約2000萬起/天，非法獲取用戶數(shù)據(jù)，鎖定用戶主頁或強制網(wǎng)頁跳轉，向用戶推出彈窗廣告、安裝推廣APP、暗扣流量等時刻不停在進行。

　　6、DDoS攻擊威脅。DDoS攻擊一方面控制“肉雞”計算機，一方面攻擊目標網(wǎng)站，對計算機信息系統(tǒng)造成極大干擾與破壞，并且常伴隨敲詐金錢、打擊報復、同行惡意競爭等行為。2012到2017年DDoS攻擊流量峰值由百G逐漸增加至T級，2017年流量峰值達1.4T。

　　7、為黑客提供技術支持。專為黑客攻擊提供打碼、秒撥動態(tài)IP服務等技術支持的團伙，也是不可忽視的威脅源，它們讓黑客更容易突破互聯(lián)網(wǎng)賬號基礎安全策略，進而產(chǎn)生更大破壞性。

　　全面對抗網(wǎng)絡黑產(chǎn)威脅源，“守護者計劃”在行動

　　《報告》分析了每一種網(wǎng)絡黑產(chǎn)威脅源對應的司法現(xiàn)狀和法律適用情況，刑法對于控制、破壞計算機信息系統(tǒng)，提供非法程序和工具支持，以及盜竊、盜刷、詐騙等進一步犯罪行為，都有嚴格的懲戒措施，為打擊網(wǎng)絡黑產(chǎn)和威懾不法分子提供了法律基礎。

　　“守護者計劃”則在對抗網(wǎng)絡黑產(chǎn)威脅源過程中提供充分的技術支持，協(xié)助警方破獲諸多大案要案。如“9.27”特大竊取販賣公民個人信息案，以及協(xié)助打掉最大DDoS跨境黑客團伙“暗夜攻擊小組”。

　　前者查獲涉及互聯(lián)網(wǎng)、物流、醫(yī)療、社交、銀行等各類被盜公民個人信息超過50億條，從源頭上打擊了買賣公民個人信息犯罪活動。后者從17萬個攻擊源IP中篩查線索，打掉最大DDoS黑客團伙的當月，直接導致DDoS攻擊頻次環(huán)比下降86%。

　　會上，“守護者計劃”發(fā)布了2017年打擊網(wǎng)絡黑產(chǎn)十大案例，包括協(xié)助警方破獲國內(nèi)首例微信木馬刷公眾號流量案、打掉市面上最大的通過AI技術破解互聯(lián)網(wǎng)驗證碼的打碼平臺“快啊答題”、抓獲非法架設提供“秒撥”動態(tài)IP黑產(chǎn)服務團伙等。

　　洞悉網(wǎng)絡黑產(chǎn)五大特點，騰訊安全團隊全面亮劍

　　《報告》結合“守護者計劃”協(xié)助打擊的案例指出，網(wǎng)絡黑產(chǎn)在專業(yè)化發(fā)展過程中呈現(xiàn)出五大趨勢：

　　一是國際化。隨著我國對網(wǎng)絡犯罪打擊力度的不斷加大，一些大型黑產(chǎn)團伙為了逃避打擊，紛紛逃往國外設立據(jù)點，同時，跨境犯罪的類型也從最初的電信詐騙，發(fā)展為DDoS攻擊、網(wǎng)絡賭博、網(wǎng)上招嫖、制作木馬、黑客滲透等多種。如“守護者計劃”協(xié)助深圳警方破獲的“暗夜攻擊小組”DDoS攻擊案，該團伙為逃避打擊，長期盤踞境外東南亞國家。

　　二是智能化。人工智能等先進技術已在網(wǎng)絡犯罪中應用。如“守護者計劃”協(xié)助警方破獲全國首例用AI技術做黑產(chǎn)的案件，打掉全國最大驗證碼打碼平臺“快啊答題 ”。嫌疑人使用基于神經(jīng)網(wǎng)絡模型的深度學習技術，搭建分布式AI驗證碼識別系統(tǒng)，能夠快速識別當前互聯(lián)網(wǎng)上80%以上的驗證碼，識別正確率達90%以上。

　　三是平臺化。平臺化的黑產(chǎn)軟件替代人工操作，降低了犯罪成本，提高了犯罪效率。在“守護者計劃”協(xié)助公安機關破獲的諸多網(wǎng)絡黑產(chǎn)案件中，已經(jīng)出現(xiàn)了一些平臺化的黑產(chǎn)軟件，如批量識別驗證碼的“打碼平臺”，旨在繞過互聯(lián)網(wǎng)公司“IP判定策略”，自動實現(xiàn)秒級重復撥號、不斷變化IP地址的“秒撥”動態(tài)IP服務。

　　四是公司化。黑產(chǎn)團伙成立專門的公司作惡的例子增多，各環(huán)節(jié)有專門人員負責，常打著正規(guī)經(jīng)營的幌子進行大規(guī)模黑產(chǎn)犯罪。如“守護者計劃”協(xié)助警方破獲的“雷勝科技”系列色情誘導詐騙案中，犯罪團伙成立的武漢雷勝科技公司，其注冊經(jīng)營范圍為“經(jīng)營與銷售計算機和網(wǎng)絡業(yè)務”，內(nèi)設有研發(fā)部、市場部、編輯部、財務部、客服部等。

　　五是涉眾化。越來越多的線下犯罪向線上犯罪轉移，在互聯(lián)網(wǎng)場景下對人群的影響被放大，影響面更廣。如“守護者計劃”協(xié)助公安部破獲的“善心匯”特大傳銷組織中，犯罪團伙頭目及其骨干成員超過600名，該傳銷組織會員超過500萬人。

　　縱觀威脅源的成型與發(fā)展，更是網(wǎng)絡黑產(chǎn)產(chǎn)業(yè)化的體現(xiàn)。一方面，威脅源為下游犯罪提供工具、技術和數(shù)據(jù)等方面的支持，客觀上幫助了下游網(wǎng)絡犯罪的實施；另一方面，下游犯罪在威脅源的伴生式支持下，作案成本下降、效率提升，對威脅源的依賴與使用越來越多。

　　從“守護者計劃”配合公安機關打擊網(wǎng)絡黑產(chǎn)犯罪的實踐中發(fā)現(xiàn)，往往多個下游犯罪團伙均能溯源指向一個或少數(shù)幾個威脅源團伙。國內(nèi)最大的DDoS攻擊團伙“暗夜”覆滅后，因其涉及的攻擊軟件作者、肉雞控制者、攻擊發(fā)起者等無法繼續(xù)作惡，直接導致當月DDoS攻擊頻次環(huán)比下降86%�？梢�，打擊網(wǎng)絡黑產(chǎn)威脅源能夠最大程度擠壓黑產(chǎn)生存空間，從而遏制下游犯罪滋生。

　　由于網(wǎng)絡犯罪隱蔽性的特點，難以取得網(wǎng)絡黑產(chǎn)上游與下游犯罪形成共同故意的相關證據(jù)，導致在主觀認定上存在難點，很難將網(wǎng)絡黑產(chǎn)威脅源的團伙按照共犯論處。同時，由于下游犯罪查實難，實踐中認定幫助信息網(wǎng)絡犯罪活動罪的成立又多以下游犯罪成立為基礎，因此網(wǎng)絡黑產(chǎn)威脅源的打擊與司法判定工作面臨著多重挑戰(zhàn)。不過，《報告》結合現(xiàn)有已決司法判例對網(wǎng)絡黑產(chǎn)威脅源的判決情況和法律適用難點問題進行了全面梳理。總結出了司法實踐中網(wǎng)絡黑產(chǎn)威脅源被用于下游犯罪的常見類型，以及針對各種不同犯罪行為的認定罪名情況。結合具體案件，針對現(xiàn)行法律及司法解釋存在的不完善之處以及實踐認定難點問題，提出了相應的建議。對于今后處理同類案件具有一定的參考價值。

　　分析網(wǎng)絡黑色產(chǎn)業(yè)鏈結構，共享網(wǎng)絡黑產(chǎn)發(fā)展趨勢，為全行業(yè)聯(lián)合對抗黑產(chǎn)奠定了基礎。以打擊網(wǎng)絡黑產(chǎn)威脅源為抓手，能夠最大程度擠壓黑產(chǎn)生存空間，遏制下游犯罪滋生，2017年“守護者計劃”已經(jīng)正式亮劍，2018年需要社會各方聯(lián)合起來共同努力，給網(wǎng)絡黑產(chǎn)以全面性打擊。