亚太智媒
关闭

亚太智媒APP, 全新登场!

点击下载

让市值1800亿的拼多多惊慌 黑灰产离我们有多近?

时讯

2019-01-22 07:37

周日,正当大家吃着火锅唱着歌的时候,拼多多优惠券漏洞的消息以一种病毒营销的速度在社交圈传播。

原来,当天凌晨1点开始,拼多多平台出现重大BUG,用户可以无限制领用100元无门槛通用优惠券。羊毛党沸腾了。有人半夜被朋友叫起来领券,最多的是1元钱买100话费以及Q币,还有“大牛”持续作战,薅出了一套房。据说拼多多损失可能超200亿。

Bug的修复是在第二天上午10点左右,广大群众一面奔走相告去赶最后一趟末班车,一面还不忘吐槽拼多多的反应速度实在有点慢。

多多也在昨天中午发表声明辟谣:损失不到千万,BUG已修复,同时向警察报案了。

事情的真相也被拼凑完整:漏洞的确是有,但针对漏洞薅羊毛的却并不是平常理解的“羊毛党”,而是一次团队有组织的“违法行动”,是一次蓄谋以待的攻击。

曾经在公众视野中隐形的“黑灰产”,浮出水面。

所谓网络黑灰产,指的就是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是,“黑产”指的是直接触犯国家法律的网络犯罪,“灰产”则是游走在法律边缘,往往为“黑产”提供辅助的争议行为。

很多互联网平台都是黑灰产团伙的猎物。他们专门紧盯各电商、网络平台的优惠券、秒杀等活动,形成完整产业链来获利。他们群控手机、大量账号、“先人一步”抢到券后再在网络平台上分销出去。他们就像黑夜中的猎手,随时盯着漏洞,一旦出现,群起而撕扯,把一个口子拉成一个窟窿,最后往往造成难以追回的损失。

黑灰产从业人员超40万人

我们都知道黑客是什么,但很多时候黑灰产却被面目模糊地一概与诈骗团伙混淆。

多多事件中,我们看到了黑灰产团伙的另一面:他们有能力发现漏洞、能够利用漏洞在短时间内快速牟利、同时还能散布消息制造法不责众的局面。

去年,南都大数据研究院联合阿里安全发布的《2018网络黑灰产治理研究报告》(以下简称《报告》)用数据给这群人勾勒了一个基本画像:他们其中的大多数是21到30岁的年轻男性,在广东最为活跃。

并且,黑灰产团伙已经形成了组织化运转,分工明确,从上游的基础工具、中游的软件开发到下游的具体行动,产业链完整。根据《报告》的总结,黑灰产行业的链路分为四个环节。

一是技术类黑灰产,这些人为下游人员提供各类软、硬件设备和服务。木马植入、钓鱼网站、各类恶意软件等是这类黑灰产人的工作。

二是源头性黑灰产,又叫网络黑账号,多以恶意注册、虚假认证、盗号等形式实现。这些大量非实名注册手机卡和网络账号的出现,为网络诈骗、网络黄、赌、毒等犯罪提供了“掩护马甲”。

三是平台类黑灰产,这是互联网黑灰产业链的运转核心,分为恶意网站、恶意论坛和恶意群组三大类。网络黑灰产所运作的各类资源、工具以及犯罪手段、经验,都需要通过“恶意平台”来进行交流、运转、交易。服务的专业化使得犯罪技术更加平民化,低廉的价格也使得黑灰产技术犯罪的成本逐步降低。

四是恶意行为的具体实施,职业打假人、职业差评师、职业羊毛党处于整个黑灰产的下游链路,也正是他们直接实施侵害行为。

从事黑灰产的成本极低,收益却诱人,进入这个群体的人往往幻想着“一夜暴富”。

“上车”是他们所谓头目的讯号。“最近袜子不够换了,有袜子‘车’没?”“我们先搞长裤和袜子,完了再进军其他东西,什么行李箱,鞋子衣服手表手机之类的来全套”这是一个职业打假群里“老鸟”的召唤。

除了“上车”,他们形成了一套系统的“黑话”:上车是让别人带着你一起做单(打假),车票是跟着上车要给别人钱做为好处(“学费”),先车后票指的是吃到了货或者吃到了赔偿再给车票;下车是成功做了一单,学会了方法。

在利益面前,不光是缺钱的小年轻“误入歧途”,《报告》显示,在银行、保险、卫生、交通、快递等与公民隐私数据相关的产业中,腐蚀进入行业内部, “内鬼”俨然成为“黑灰产”的重要成员。

《报告》还给出了一组惊人的数据:目前整个黑灰产业从业人员超过40万人,规模达到千亿元 。

卧底微信群,除了薅羊毛,他们还做过这些事情

无论是消费者还是商家、平台,都对羊毛党深恶痛绝,并列的还有“职业打假人”,“职业差评师”以及“黄牛党。”

「电商在线」曾卧底多个“职业打假人”的微信群,他们瞄准的,往往是代购大牌的淘宝店铺。他们团队作战,有人负责找链接,有人负责“吃货”。

所谓“吃货”就是找各种理由,包括制作假的鉴定证明、故意弄坏东西等方法只退款不退货,把东西侵占下来,实现“头戴champion帽子,身穿耐克衣服,脚上是彪马的鞋子,还有平时吃的零食”都不用花钱。

职业打假的入门往往是师徒制,一只“老鸟”带一群“小白”。小白通过缴费学习怎么从商家那里“吃货”和获得赔偿,学费“只要188”,但更多的“先车后票”,从商家那里成功获得赔偿之后再支付学费,相当于零成本。

与职业打假的零成本相比,黄牛党需要先从上游购买服务,他们惯常的做法是先弄来一批注册账号,或是买来机器软件,或是众包到微信群或是QQ群,通过前期投入的这三种方式,他们大量拍下限购的优惠商品,然后加价转卖。从手机到奶粉,再到卫生纸,只要是有利可图的商品,都成为他们“秒杀”的对象。

“差评师”则更简单,“删一个差评8888元”曾因此上了微博热搜。但差评师往往更专业,他们先买东西然后给差评,最后用删差评的方式勒索红包,金额不会太高,往往就在违法的边缘。

“羊毛、打假、差评本来是商家给消费者的权益保障,但被恶意利用后,变成了要挟和勒索,最后的结果不仅是让商家受到伤害,也侵占了正常消费者的利益。”阿里巴巴安全部高级专家梁樟表示,这破坏的是正常的商品销售秩序和公平竞争的营商环境。

2017年,全国“组织刷单炒信入刑第一案”在杭州宣判。

被告李某2013年创建“零距网商联盟”网站和利用YY语音聊天工具搭建炒信平台,吸纳电商平台上的卖家(商家)注册账号成为会员。

每位新成员只要交纳500元入会费和40元管理费,再经简单培训考试,就能成为正式会员。正式会员一般会先接受和完成联盟网站发布的虚假交易任务,即帮助他人实现虚假交易数据,提高信誉等级,以获取任务点。

成为高级别会员后,可从李某手中,直接购买任务点来发布多个操作任务,每个任务点需5元的购买成本,而联盟网站会对每单刷单炒信任务收取10%的费用。

短短一年内,“零距网商联盟”网站就吸纳超过1500名会员,拥有炒作小号56000多个。在淘宝网上,炒信联盟会员一年就操作了35万多笔虚假交易和18万多条虚假评价。

最终,刷单组织者李某因犯非法经营罪被一审判决五年六个月,连同原判有期徒刑九个月并罚,决定执行有期徒刑五年九个月。

别以为离黑灰产很远,他们比我们想象的更近。

打击黑灰产需要什么?

针对拼多多漏洞事件,尽管浙江垦丁律师事务所主任张延来认为,消费者利用系统漏洞获取无门槛券在法律上属于不当得利,有权追回损失。拼多多也发声明称,损失在千万上下。但更多被黑灰产伤害的商家和平台却没有这个运气。

淘宝上被“职业打假人”和“职业差评师”盯上了,往往就得删商品链接、最后说不定还得关店了事,损失惨重。用户信息被贩卖,人的财产和生命安全受到威胁。

可即便深知“黑灰产团伙”的危害,但在现行法律框架内是否入罪、适用什么罪、如何量刑等问题也依然难以统一认识,导致网络黑灰产在司法程序上成本极高。加上当前网络黑灰产行为隐秘,分工明确,往往难以明确各方责任。

打击黑灰产,唯有企业和公安等监管部门的协同治理。

阿里一直在通过法律的力量、运用诉讼手段来打击包括反向刷单在内的恶意行为。2018年11月,某“反向刷单”组织者获刑入狱后,阿里对其提出巨额诉讼。2017年,全国“组织刷单炒信入刑第一案”在杭州宣判,这也是阿里运用技术主动发现并向警方输送刷单线索、进入刑事宣判的第一案。近年来,阿里先后利用技术力量将“知产流氓”、差评师、黄牛党送入刑事审判程序,还联手受害商家陆续将差评师、恶意退款师、恶意投诉人等恶意行为者诉至法院。

除了企业自身的技术风控保障之外,与公安的合作也能从源头上让黑灰产的生存空间缩小。例如企业可以提供自身的大数据能力帮助公安、电信运营商建设统一的号码识别平台,将诈骗号码推送到每个用户的手机上,避免被骗。

“以前大家都讲黑灰产治理要联合起来做事情。这句话是非常正确的,但是联合也容易变成没有人负责。”阿里安全部资深总监张玉东认为,治理网络黑灰产不能因协同治理而迷糊各方责任,应该从问题根源入手,分析各方责任,相互督促各方解决问题。

对更隐蔽的用户个人隐私的数据泄露的黑灰产分支,阿里安全部资深总监张玉东建议发挥网络基础设施作用的平台级企业应该率先示范,首先行动起来,保护用户数据和个人信息免遭泄露。“各家自扫门前雪,把自己的事先解决,这是第一步。