网络黑产协同治理研究报告
来源:虎嗅科技网 2020-12-08 21:36
图一:网络黑产类型
互联网不断迭代和翻新的技术以及信息传播方式不断发生的革命性变化,使传统黑产获得了更广泛的受众和更强大的市场支持,为传统意义上的黑产插上了翅膀,使其获得了更广泛的受众和更强大的市场支持。同时,互联网技术、服务为色情、诈骗、赌博等传统黑色产业更深入切入到社会网络当中创造了条件。这些传统黑色产业在互联网时代获得了更多挑战现实社会管理制度的机会,甚至会对现有社会制度造成颠覆性影响。如果平台责任落实不到位,政府监管措施跟不上技术的快速发展,网络黑产不仅会给公民的生命、财产等安全带来严重的挑战,也会影响特定人群,比如未成年人的正常成长,使他们更容易暴露在对他们身心健康产生不良影响的色情产业之中。
网络黑产的从业人数和产业规模一直呈增长之势。这一现象并不难理解。网络通讯技术的不断发展和网络支付系统的不断完善,加上网络经济在整个国民经济体系当中占比的增高、互联网应用在日常生活中渗透率的不断提高,使得网络活动呈不断增加的态势,最终致使网络黑产的规模不断增大。在相应的监管及平台管理无法跟上形势发展的情况下,网络黑产的数量和规模呈增加之势,也符合事务发展的规律。据统计,中国“网络黑产”从业人员已超过150万,市场规模高达千亿。[1]犯罪分子借助网络打通、扩大甚至创造网络上下游产业链,实施了大量危害个人信息、计算机信息系统安全,、网络空间管理秩序的行为,这些行为甚至会危急国家安全、社会政治稳定。
无论从构建网络空间正常交易秩序的角度,还是从社会治理、从保护广大互联网用户合法权利和利益的角度、从维持正向发展的网络生态的角度,从为亿万人民创造美好精神家园的角度,网络黑产的治理都将是长期而艰巨的任务,是政府监管机构、互联网服务平台和广大互联网用户共同投入的一场没有硝烟的战争。
一、网络黑产的类型
虽然可以从黑产形成的方式对黑产类型进行划分,但每一种黑产形式并不是孤立或可以截然分开的。相反,网络黑产是个整体,无论是通过哪种行为方式形成的黑产,都存在这样或那样的关联性。
诈骗,是指以非法占有为目的,用虚构事实或者隐瞒真相的方法,骗取他人钱财的行为。如果骗取的钱财数额较大,达到一定标准,则可能构成刑法上的犯罪行为,需要承担相应的法律责任。
网络诈骗屡禁不绝并呈泛滥之势的重要原因之一,是社交媒体的快速发展。社交媒体的快速发展不仅不断聚集着可用于进行诈骗的目标人群,同时提供多种服务,尤其是最便捷支付服务的社交平台,为网络诈骗手法的不断翻新创造了条件。360发布的《2019网络诈骗趋势研究报告》显示了这一发展趋势,社交平台成为网络诈骗的最主要途径,有超过35%的受害者是通过社交媒体接触到诈骗者和诈骗信息,远超电信诈骗的占比(9.76%)。而损失最大的是通过直播间接触到的诈骗,人均损失超过13万元。[3]
为治理色情引流、分流现象,各大短视频平台已纷纷开始采取措施,例如在2020年9月期间,抖音发起了“打击同城招嫖、色情引流”专项行动,该平台的安全中心在9月累计永久封禁色情引流、招嫖帐号逾35万个,同期内封禁诈骗帐号逾3.6万个。
此类诈骗行为能够屡屡得手,与这类诈骗背后严密的组织、精心的策划和平台与平台之间在管理上难以形成闭环,导致的责任不明有直接关系。比如在这类诈骗中,通过账号并不能够落实到其背后真实的个体或组织者身份,因为其注册时,使用的并不是自己的真实身份,而是通过工具恶意注册的虚假信息。如此一来,被骗者发现上当后,难以追查到真正的“罪犯”,平台复杂的举报程序,又导致无法有效、快速维权,被骗者只好主动或被动放弃追究。
2、网络色情
同时,由于色情内容涉及到未成年人健康成长等重要的社会价值,许多国家的法律都严格禁止色情内容,尤其是较为严重的淫秽内容的传播。中国也构建了完善的法律体系,积累了丰富的监管经验。同时,如何限制色情内容的传播,也是各大互联网平台,尤其是巨型平台内容管理的重中之重。
作为影响力巨大的社交平台,像微信、微博这类聚集大量用户的平台,一直有玩家试图用各种色情内容作为谋取不正当利益的重要手法,使色情内容成为各类黑产的重要入口。为规避平台审查,色情推广的语言十分隐晦,比如将“资源、动漫、网址、女女、男男”等关键词嵌入普通文字中,在配图里留下qq或者微信联系方式吸引用户添加。这类图片由于不包含敏感信息,因此很难被AI识别,在用户与推广者联系上以后,推广者往往会通过发送收费链接以及色情直播应用注册邀请码等方式传播淫秽信息。
图二:通过关键字嵌入进行色情引流
部分国家和地区色情产业所受限制较小,因此积累了海量的色情资源,这些资源成为国内色情黑产实施非法活动的重要资料库。此外,国内也存在各种以拍摄淫秽色情内容获利的非法行为,如“酒店偷拍”产业,犯罪分子到各个酒店安装改装后的摄像头,然后以发展代理、销售网络邀请码等方式发行、售卖偷拍视频。色情从业者还采用营造特殊场景,如“司机强奸幼女”等以直播的形式实施非法行为,最大限度收割网民注意力。在大量的互联网广告中,加入适当的色情内容作为引诱点击或采取进一步交易行为的做法,是一种成本较低又往往能够获得更好传播和引流效果的作法。
3、网路赌博
据公安部发布数据显示,仅2020年上半年,各地公安机关侦破跨境赌博案件257起,涉案资金2290亿元。[4]大型网络赌博产业链条通常由四个节点构成,即技术(软件开发),人员(平台运营),推广(网络推广、各级代理)、资金(支付结算)。为了保证交易的隐秘性和规避审查,各成员之间往往使用虚拟身份在自制通信软件上交流交易细节,实施具体的赌博行为。这样既可以实现巨大的服务盈利,同时又容易逃避公安等机关的侦查和处理。财产受到损失的用户通常维权也非常困难。
图三:网络赌博产业结构
网赌赌资流转数额巨大。为逃避监管,洗白“赃款”,网络赌博行业打造了一套特殊的“跑分”模式。比如利用“泰达币”经营跑分平台,跑分人员在平台购入“泰达币”作为保证金参与抢单,抢单成功后向平台提供“泰达币”充值码,由平台汇聚不同额度的充值码,整合为“码池”,以充值接口方式与网赌平台衔接。[5]玩家在赌博时同样以充值“泰达币”的方式进行。这样,赌博过程中产生的巨额黑产资金,便通过成千上万的私人账户的分散式洗钱,让监管机构无从下手。
4、损害个体数据权益
网络黑产与个体数据的非法泄露而导致的非法使用密切相关。网络信息泄露源头通常有三种,其一是由黑客利用互联网应用或者数据服务商的漏洞,通过非法手段入侵数据库,窃取大量公民个人数据,而后将数据销售给数据中介。此类事件频频发生在国内外大型互联网公司身上,如2018年,Facebook遭遇黑客攻击,5000万账户受到威胁,印度McDelivery系统内200多万涉及用户邮箱、电话、家庭住址等详细个人信息遭泄露。
其三是合法注册、经营的互联网公司从事窃取个人数据的业务,并从这些个体隐私数据当中谋求不当利益。2018年7月,包括“数据堂”在内的11家公司被曝非法传输公民个人信息百亿条。同年8月,上市公司瑞智华胜也被查出非法盗窃个人信息30亿条,其中不乏腾讯、阿里、百度、京东等国内知名互联网公司的用户信息。瑞智华胜与移动、电信、联通、铁通等多家通信运营商签有正规合作协议,在拿到登陆凭证后,利用非法软件收集用户cookies,并从中爬取包括用户密码、活动轨迹等隐私类数据。这些互联网公司通过控制大量网民账号,一方面持续给自己在多个社交平台的账号矩阵增加大量粉丝,同时还对外承接刷量,吸粉,排位等非法业务。
图四:个人数据侵害流程图
二、网络黑产的特点
网络黑产产生于网络空间独特的环境当中,充分利用了互联网服务、技术发展所创造的条件、提供的便利机会。没有互联网及其相关的技术及服务,有些黑产就不会产生,典型的如DDos攻击。作为全球互联网所面临的最严重的安全威胁之一[6],在互联网产生之前,DDos攻击在互联网所依托的全球数据传输技术之前和全球电脑都能互通互联之前,并不存在。大量的其他类型的黑产,则是传统黑色产业在网络环境下获得了更大的发展空间,更强的技术支持。
1、模块化、组织化、团队化操作
模块化广泛应用在各个终端,各个领域,自然也无法阻止其在网络黑产领域的使用。网络黑产规模的扩大、参与人数的增多以及监管机构在监管过程中困难重重,与网络黑产模块化有直接关系。
组织化是近些年黑产犯罪的重要特点,即呈现出分工明确,组织严密,协同作案的趋势。经过精心设计,把黑产犯罪过程分成许多不同的阶段或不同的板块,借助网络服务将各个不同板块或阶段的任务安排给不同的模块,使各个不同的模块既可以单独完成指令,也可以协同完成对整个黑产变现过程的管理。
国内黑产犯罪组织更为复杂,精细。从产业链分布来看,上游有挖掘互联网平台漏洞制作攻击工具的团队、专门的料商、卡商和养号平台;中游有针对不同交易类型搭建交易模块,提供集约化处理方案的组织;下游分布着广大的金字塔式的代理群体、推广引流人员以及维护公司声誉的公关人员。不同人员之间分工协作,共同构成了整个黑产产业链的有效运转。
由小作坊式的交易模式转向分工明确,组织严密,容易复制的模块化产业,是当前黑产的重要演变趋势。同时,网络黑产技术与互联网其他技术的同步改进、同步迭代、同态、同台操作等特征,也使得网络黑产的实施和变现过程都可以在高度专业化、隐蔽化的情况下单独或协同进行,也意味着黑产犯罪行为将愈发难以侦破和监管。
信息技术的发展和应用使得犯罪行为更加具有迷惑性和隐蔽性。与现实空间的情况相比,传统或线下涉及黑产的违法犯罪行为,会在实施和完成的过程中,留下诸多可以寻踪的物理痕迹。案件的侦破和查处工作,包括最后涉案人员的处理等,都可以根据相关的细节跟进。而网络黑产借助互联网技术,采用专业化和团队化操作,并且借助电子证据会在某个环节突然“失踪”的特点,巧妙地将黑产变现之前的违法犯罪行为,或可以证明其实施违法行为的证据链条切断、证据灭失,在不露声色中将非法行为与无法证明的“黑产”结果之间的因果关系断开,使平台管理和政府监管,尤其是对案件的查处“突然死亡”。
犯罪行为的隐蔽性还表现在犯罪行为的分散化。如近几年流行的“出租收款码”,普通用户在缴纳押金后,可以通过自己的收款码收取金额,再按照要求转出拿到一定比例的佣金。对于普通网民而言,这种赚钱方式看似毫不费力,实际是在帮助网络黑产洗钱,许多网民根本意识不到自己是在从事非法行为,而非法色情、赌博网站正是利用租用“收款码”的方式将大量非法资金通过海量私人账户分批运作,漂白。对于监管和侦察机构而言,这种网络洗钱的方式涉及大量普通账户,路径十分隐蔽分散,难以侦察。
跨平台犯罪现象突出体现在网络黑产的“引流”环节。流量为王,黑产运营同样需要聚集大量的人气,而人气必须建立在足够量的用户数和数据传输量的基础之上。作为见不得光的网络交易流程,与黑产相关的操作自然也不能不加处理地把自己的服务通过搜索服务、社交媒体平台、贴吧等网络平台进行推广和宣传,不能正大光明地为自己的操作打广告,不能明目张胆地将黑产相关的文案出现在各个互联网内容平台上。黑产如何推广,如何让更多的人自觉或不自觉地卷入到相关的环节或场景之中呢?黑产推广的重要手段,就是在全网各个平台,尤其是大量的社交媒体平台、比较火爆的视频类平台,以各种方式进行引流式的宣传推广。公共性、社交性功能比较强的互联网服务及应用,以及能够聚焦大量用户且传播效果好的网络直播、短视频等服务和应用,也常常成为黑产引流的入口和通道,成为黑产扩大影响并不断俘获目标受众群体的主要方式。
平台用户越多、平台服务对用户渗透力度越大、用户对平台服务粘性越高,平台就越容易成为黑产引流、黑产推广的前站。先通过这类平台或服务,用精心设计过的文案将用户引流到色情、诈骗、赌博网站或其他黑产类服务实施的场所。比如通过在发布内容中夹杂特殊关键词(动漫、资源、精品),在评论中粘贴涉黄文字片段等,引诱用户点击个人主页或者私信,将其引流到微信等私密性较强的即时通讯服务端口,再接着实施色情内容传播、色情表演和卖淫嫖娼等犯罪活动,从中谋取非法利益。通过短视频和直播引流的情况近年来也有不断扩大泛滥之势。这类平台的引流现场感更强,用户更容易掉入黑产操作人员精心营造的场景当中而失去控制能力。另一方面,这类引流较强的流动性和私密性,无论对平台和管理者来讲还是对政府的监管部门来讲,及时发现并及时予以处理的难度,都增加了不少。
为有效应对黑产的跨平台操作,各大互联网平台已经开始与相关方建立联席打击机制。例如,阿里巴巴在2020年年初与浙江省公安厅联合发送弹窗提醒,向全省范围内的市民发出提醒,警惕围绕疫情出现的诈骗骗局。再比如,抖音为打击平台上的售假行为,专门建立了模型快速识别假货,并针对售假的店铺进行处罚清退,同时还与品牌权利人形成联合打击机制。自2020年年初至2020年10月末,抖音已配合多地警方从刑事层面惩治了多个利用抖音进行“黑产犯罪”的团伙,抓获犯罪嫌疑人100多名。
网络黑产违法犯罪活动的实施,不仅时常有环环相扣、分工明确且相互配合、呼应的作业流水线和多平台、多团队线上线下操作的行为特征,而且呈现出多犯罪团伙在形成初步共犯合意之后为谋求共同利益而相互勾连,从而形成更大的黑产共同体、黑产利益共同体的现象。
具体来讲,网络色情产业可以在吸引到参与团队或产业链条的情况下,将这些人员或团队融入其中:负责网络运营的专业技术人员、引流推广人员,向色情行业出租服务器的互联网服务提供商,线下色情主播招募、培训中介和代理商,以及大量从事色情交易的个体。而一个完整的网络赌博网页的运行同样包括搭建网页、应用等平台的技术人员,负责推广、引流的人员,以及后台操控人员和专业洗钱人员。
网络黑产的引流操作,就充分展示了这种操作流程。在引流目的实现、效果不断扩大的过程中,专业“木马”软件以及木马植入服务、“众包”给大量并不具有犯罪故意的普通人并通过租用他们的收款码变现的支付服务,都是黑产操作过程中必要的环节。这些卷入的团伙、公司不排除其提供的服务是在中立或“不可能知道”的情况下进行的,但要想坐实其具有犯罪“故意”或放任的主观意图,并不是一件容易的事情。
青少年群体由于心智尚未成熟,法律意识薄弱,缺乏判断力,容易成为黑产引诱的对象。以青少年为对象的网络色情、网络赌博、网络诈骗产业,也极易对青少年的网络权益造成难以挽回的影响,损害青少年健康成长。
青少年赌博现象同样值得关注,充斥在各种网页、平台上的弹窗广告,以“玩游戏还能赚钱”等噱头诱惑未成年人,游戏首先会提供一些金额不高的盈利机会,等到青少年尝到甜头后提高赌注,开始大量输钱,甚至由此走上偷窃抢劫的犯罪道路。
为引导未成年良性上网,国家网信办于2019年组织抖音、快手等短视频平台,试点上线了“青少年”模式,在该模式下,用户每日首次打开APP时,都会接收到弹窗提示,以引导家长及青少年选择“青少年”模式。当前,抖音及西瓜视频平台中常设有“青少年”模式,在该模式下,未成年用户无法使用直播、打赏、充值、提现等功能。
原生于互联网领域的网络黑产,系互联网产生之后借助互联网独特条件、技术或信息传播而生成的网络生态等而形成的非法产业或产业链条。既有互联网产生及其不断发展所催生的新形式的网络黑产,也有原来的黑产在网络环境下的新发展。
1、不良市场需求催生庞大的网络黑产交易
以流量市场为例,互联网时代,流量就是资源,是变现的重要依据。巨大的市场需求养活了大批专业化、体系化、分工明确的刷流量公司。据“2019中国文娱金数据年终发布会”数据[8]显示,将近50%的用户为无效用户,这就意味着全网有一半的用户是“僵尸粉”,可见刷流量产业多么猖獗。互联网相关的各种流量,播放量、阅读量、点赞量、在线量、互动量、粉丝量都可以通过专业化的公司或专业团队造假。这些刷流量公司通过手中掌握的大量账号资源,将机器与人工结合,利用平台自动刷新流量,通过人为干预的方式影响市场的流量走向,控制广大互联网用户的注意力,并试图将广大互联网用户误导到自己的黑产相关的平台或服务上去,严重败坏网络生态,使广大互联网用户面临着大量虚拟信息、虚假繁荣的困扰。
2、低成本、高收益模式驱动网络黑产扩张
网络黑产的低成本、高收益首先体现在产业链完善,分工明确。随着黑客技术升级和黑色产业链的发展,一方面,原本较为依赖人工的操作,现在可通过产业分类,比如通过养号、改号、打码、跑分等平台的集中模块来运营相关业务;另一方面,黑产工具逐渐集中、统一,形成集约化经营,黑产操作方在此基础上将不同服务链打包销售。如此一来,分摊到整个产业中的技术和人力成本不断降低。由此,不同的黑产模块构成了组织复杂,逻辑严密的闭环,吸引大量人流涌入,为网络黑产提供了源源不断的资源。
此类网络黑产的基础架构是一致的,在遭遇封禁后,其文字、图片等内容几乎不需要任何改动,只需要换个链接就可以继续经营。同时通过群组信息服务能够保持较为稳定的用户群体,几乎不影响其收益。与此类似,犯罪分子可以借助专用工具,以十分低廉的成本来批量制作、生成网络诈骗账号和链接,用户往往在遭遇诈骗后发现骗子和链接销声匿迹,无处可寻。黑产交易这种“打一枪换一个地方”的低成本复制模式在很大程度上增加了网络黑产打击的难度。
从运作形式来看,网络黑产呈现出多场景、跨平台的特点。网络空间的公开信息的非法性往往并不显著,违法内容和操作通常是从公域进入私域,从公开场景进入私密空间,继而转向特殊交易平台或者线下交易场所。比如,儿童色情内容往往集中在小圈内,网民在看到相应引流广告后,需要添加个人微信等私密账号,花钱购买特殊的邀请码或者提交特殊的证明才能够注册或者加入。大部分以色情为诱饵的网络诈骗行为也发生在这一由公转私的过程中。
<p style="box-sizing: border-box; margin: 0px 3px 15px; color: rgb(51, 51, 51); font-family: " segoe="" ui",="" "lucida="" grande",="" helvetica,="" arial,="" "microsoft="" yahei",="" freesans,="" arimo,="" "droid="" sans",="" "wenquanyi="" micro="" hei",="" "hiragino="" sans="" gb",="" gb="" w3",="" fontawesome,="" sans-serif;="" font-size:="" 16px;="" text-indent:="" 30px;"="">从引流内容看,网络黑产前期投放内容通常较为隐晦,以打色情、暴力擦边球为主,同时采用黑话、谐音、分散插入、变形文字、表情、图文等多种元素结合以规避各平台筛查。社交媒体是此类信息较为集中的地方。随着近年来国家监管机构打击力度的加大,平台虽在不断完善相应管理制度来打击这类与黑产有关的信息发布、传播,并不断加大平台内容审核力度,但仍然难以从根本上解决问题。比如,尽管针对色情引流设置了相关屏蔽,但是仍然无法避免黑产推广者利用平台宣传推广黑产,黑产推广者仍然有多种方式绕开一些平台设置的门槛。类似“❤❤kan❤❤pian
