“滴滴滴”，9點58分，金晶（化名）的手機響了，她手忙腳亂地打開了某電商App，這天是6月16日，618電商年中大促最后沖刺階段。上午10點，該平臺將送出199-100的“神券”，金晶特意定了鬧鐘，提前進入搶券頁面。然而10點剛剛過去30秒，頁面顯示，該券已發(fā)放完畢，“這秒殺的速度，都趕上拍車牌了�！�

然而，金晶并不知道，和她一起競爭這張“神券”的，并不僅僅是普通消費者。鬧鐘響起的那一刻，同樣是職業(yè)“羊毛黨”狂歡的開始。

中國的黑灰產已成氣候。騙貸、刷單、薅羊毛、盜刷、洗錢等一系列網絡欺詐行為背后，是一條涉及信息盜取、精準匹配、養(yǎng)卡貓池、職業(yè)話術、快速分贓等多環(huán)節(jié)的地下產業(yè)鏈。

“整個安全行業(yè)的產值不過500億，被黑灰產‘薅’走的就超過1000億，而因此受影響的產業(yè)損失超過1萬億，160萬人在從事黑灰產。”7月31日舉行的第五屆全球互聯(lián)網安全領袖峰會上（CSS 2019），騰訊公司副總裁馬斌感慨，“很多大爺大媽和年輕人，被‘逼’成了反欺詐專家。”

最近熱播的電視劇《親愛的，熱愛的》中，男主角韓商言所熱愛的是CTF（白帽子攻防賽），但大賽畢竟只是模擬，現實中，“黑白”之間的對抗，是一條魔高一尺、道高一丈、螺旋式上升、永無休止之路。

專業(yè)級“羊毛黨”的致富捷徑

“開蓋再來一瓶”“掃碼領紅包”“邀請好友分享紅包”……這些營銷“套路”是不是看起來很熟悉？可“羊毛黨”比你更熟悉。

“以前我們銀行上線的營銷活動，80%—90%的客戶權益資金都會被‘羊毛黨’薅掉。”中國郵政儲蓄銀行深圳灣支行行長李昭告訴《IT時報》記者，國內很多銀行、機構常年被“羊毛黨”用專用工具時刻掃描，只要有新營銷活動上線或者系統(tǒng)出現漏洞，1、2分鐘內資金就會被套走。

有過同樣煩惱的，還有蒙牛。2018年，蒙牛成為FIFA世界杯全球贊助商后，準備了2億元現金營銷紅包，希望刺激消費者參與互動，但蒙牛的擔心在于，從“再來一瓶”到“掃碼領紅包”，傳統(tǒng)飲料行業(yè)的營銷玩法早已被羊毛黨摸索出一整套線上線下的完整打法，不僅瓶蓋的收集、分發(fā)、兌獎、變現等各個環(huán)節(jié)都有專人負責，紅包的url鏈接也被“羊毛黨”在各個平臺上被廉價出售。

即使事先設置同一地址、同一手機號、同一IP不得多次參加活動等限制手段，羊毛黨仍會使用短信代收平臺、驗證碼破解機、代理IP甚至廉價的真機平臺等多種專業(yè)化科技來對抗廠商的安全策略。

如果這些手段都失效，“羊毛黨”還有新手段。

騰訊安全不久前發(fā)布的《2019年白酒行業(yè)黑灰產研究白皮書》中指出，電商興起之后，在搶購限價優(yōu)惠白酒時，黃牛起初嘗試用機器批量注冊，但很快被品牌的風控措施攔截，此后又創(chuàng)造出一種“人肉眾包”手段：“牛頭”發(fā)現搶購信息后，在各大平臺發(fā)布任務，“肉�！苯邮苋蝿蘸螅�在平臺上搶購，“快遞員”送貨時根據地址上自創(chuàng)的某些特定暗號，將酒送至“牛頭”手里，“牛頭”大量囤貨之后，再倒賣給經銷商。整個過程參與者眾多，分工明確。

暴利是最大的驅動力。被“羊毛黨”屢次盯上的東鵬特飲曾做過測算，每次活動的營銷費用至少有8%-10%被黑產“薅”走，每年至少損失3000萬元。上述白皮書數據也顯示，白酒倒賣利潤空間驚人，最厲害的牛頭一次囤貨能賺上百萬元，而其年齡普遍只有25歲～35歲，與同齡人相比，堪稱“致富高手”。

計算機博士“入場”黑灰產

7月31日下午，作為CSS云安全演講嘉賓，上臺前10分鐘，袁鳴凱給同事發(fā)了封安全策略調整郵件，要求晚上上線。

剛剛過去的618，家樂福技術總監(jiān)袁鳴凱和黑灰產結結實實打了一仗。與此前孤軍奮戰(zhàn)不同，這一次，它選擇和騰訊安全并肩作戰(zhàn)。

擔任家樂福技術總監(jiān)以來，袁鳴凱基本遇到過所有針對零售業(yè)的黑客攻擊類型。在沒有使用騰訊安全產品之前，家樂福被攻擊的最高次數是1.21億次。

2017年，訂單被篡改、售價被惡意爬蟲拖走、DDOS攻擊；2018年，薅羊毛、磁盤被內爆等等打擊都交織在一起；2019年，脈沖式攻擊……三年來，家樂福的系統(tǒng)“扎心”了。袁鳴凱甚至發(fā)現不同地方的黑產聯(lián)手發(fā)動“狼群攻擊”，有的團隊專門做擬人化地登錄，登錄后拿到信息給其他地方黑產“薅羊毛”。

2019年上半年，零售行業(yè)的促銷一波接一波，家樂福也啟動了從520到628的超長促銷期，每天設計了10幾場大額券發(fā)放活動，可經常1萬張券上線幾秒就沒了�！皬�520到610，我們被打得‘鼻青臉腫’。”6月10日開始，家樂福開始與騰訊天御聯(lián)合“抗黑”，進行登錄防御，“完勝！”

然而，6月24日開始，黑產開始改變策略，“劫持”良性手機號。比如產業(yè)鏈上游派一個人在大賣場里設置一個不加密的WiFi熱點，吸引大家來“蹭網”，然后這些蹭網手機的短信碼全部被黑產在后臺劫持，并被設置用于搶券。于是，家樂福開始收到客戶投訴，自己沒有注冊過家樂福會員，但卻已經下過單。

“黑灰產在不斷探索我們系統(tǒng)的漏洞，我們則不斷研究封鎖策略，”袁鳴凱坦言，一個多月來，與騰訊一起已經清洗了1000多萬個手機號，但對手依然在攻擊，“昨天我改變了策略，對手已經攻了兩輪，明天還要繼續(xù)打�！�

“隨著流量日益增多，傳統(tǒng)的黑產變成灰產，對抗變得越來越激烈，羊毛黨的花樣也越來越多，更重要的是，專業(yè)選手開始入場�！彬v訊安全云業(yè)務安全負責人周斌發(fā)現，一些最早從事職業(yè)網絡安全的人，開始轉型為“羊毛黨”，其中不乏計算機博士和算法類工程師。新的技術也被應用到攻擊上，騰訊甚至發(fā)現，為了破解驗證碼，黑客們用AI算法搭建了卷積神經網絡。

“技術變化實在太快，企業(yè)在面對瞬息萬變的安全威脅時，比任何時候都更加脆弱。”騰訊公司云與智慧產業(yè)總裁湯道生深刻感受到，必須要做到“快人一步”的安全能力部署，“我們必須確定，對所有的（危險）點都能進行最快的反應�！�

一年從“羊毛黨”奪回2700億

與黑灰產對抗，騰訊做了20年。

從提供QQ、微信、瀏覽器、游戲等面向C端的服務開始，騰訊很早便開始思考：如何搭建一套企業(yè)安全的整體戰(zhàn)略或整體防御體系，同時又能對個人用戶提供更好的體驗？而隨著騰訊云服務范圍漸廣，新的問題是，如何讓企業(yè)在云上感到安全？

通過思考并實踐解決這些問題，20年來騰訊積累了大量黑產數據，運用AI人工智能深度神經網絡和機器學習模型等技術，形成了一整套集安全能力建設、運營、運營規(guī)范和監(jiān)管于一體的標準化風控模型。

以最常見的刷單為例，“羊毛黨”一般會通過貓池“養(yǎng)卡”，從各大平臺“薅”新用戶優(yōu)惠，同一個手機號碼可以將不同平臺統(tǒng)統(tǒng)掃一遍，“存活時間”在一周左右，單一平臺很難辨別這個新號碼是真正的新用戶，還是職業(yè)“羊毛黨”。

騰訊的天御系統(tǒng)通過多年與黑產的對抗，積累了超過100T的數據，覆蓋超過500個場景，包含社交、游戲、支付、自媒體、電商、O2O、互聯(lián)網金融等多個領域，可以通過手機號碼、IP、郵箱、銀行卡、身份證、QQ、微信賬號等垂直屬性，挖掘羊毛黨特征。

簡而言之，如果采用了天御系統(tǒng)，當一個新號碼來注冊時，通過組合矩陣，它可以迅速判斷這個號碼是否在別的平臺頻繁注冊，是否具有“羊毛黨”的特征，最后將其分級為惡意用戶、可疑用戶和可信用戶三等，并給企業(yè)提出策略建議。據騰云安全透露，目前的惡意識別率高于96%。

在幫蒙牛發(fā)放2億紅包的過程中，天御做到了200毫秒內實時判斷用戶風險級別，因此在這場覆蓋了2億多人次，7000多萬人參與的搶紅包大戰(zhàn)中，將絕大部分羊毛黨摒棄在外，蒙牛至少節(jié)約了千萬級的營銷費用。

據騰訊副總裁丁珂介紹，在底層安全能力方面，騰訊開放了基礎安全能力和平臺業(yè)務能力，以幫助企業(yè)應對轉型過程中不斷出現的新業(yè)務和新場景安全需求，除了天御，還有靈鯤、星云等幾大業(yè)務安全解決方案，在泛金融、泛互聯(lián)網、智慧零售等領域都有非常好的實效。

騰訊安全副總裁黎巍透露了一系列數據，截至目前，騰訊安全DDoS攻擊防御峰值可達1.23Tbps、全年抵御DDoS攻擊700萬次，抵御云端病毒超過3000萬次，PC端病毒攔截量15億次，惡意內容識別超過1000億，為金融行業(yè)守護了4000億資金的安全，避免了2700億“羊毛”被薅。

“大家越來越意識到安全的重要性，可不知道如何評估投入的成本，而且產業(yè)數字時代的市場競爭瞬息萬變，企業(yè)往往缺乏面對海量數據涌入時如何處理的經驗。”在本次CSS上，丁珂表示，騰訊將自己定位為產業(yè)互聯(lián)網的安全戰(zhàn)略官，幫助企業(yè)在數字化轉型的過程中系統(tǒng)化構建安全能力。

對于同樣在“擁抱產業(yè)互聯(lián)網”的騰訊而言，走上這條TOB道路是水到渠成之事。

打造生態(tài)合作、責任共擔的機制

然而，與黑灰產業(yè)鏈的斗爭，絕不是靠一家之力能扛下，也絕非安全部門一家之事。

7月29日，P17安全領袖圓桌召開，騰訊、天融信、衛(wèi)士通、啟明星辰、美亞柏科、拓爾思、藍盾股份、任子行、北信源、綠盟科技、飛天誠信、數字認證、中孚信息、深信服、格爾軟件、迪普科技等國內安全行業(yè)上市公司悉數參加，這已經是P17的第三次圓桌會議。7月30日，騰訊和滴滴合作成立互聯(lián)網安全聯(lián)合實驗室，7月31日，騰訊安全聯(lián)合中國信通院宣布將共建“產業(yè)互聯(lián)網安全實驗室”。

打造生態(tài)安全、安全責任意識共擔，幾乎是此次所有與會人士的共識。

網絡安全的威脅系數正在上升。產業(yè)升級、智慧零售、業(yè)務上云……數字化日益貫穿企業(yè)研發(fā)、生產、流通、服務等全過程，每一個環(huán)節(jié)里，都可能暗藏漏洞，尤其進入產業(yè)互聯(lián)網時代，一旦企業(yè)遭遇網絡攻擊，所造成的社會影響和經濟損失，遠超以往。

2019年上半年，騰訊安全在全國范圍內監(jiān)測到感染事件1588萬次，其中非個人用戶受到攻擊的占比超過半數。對黑客而言，從企業(yè)批量獲取的數據，成本更低，價值更大，“一旦企業(yè)用戶數據被黑客竊取，不僅僅是收入、股價、利潤可能受到巨大的影響，也會引發(fā)巨大的用戶信任危機，為企業(yè)帶來持續(xù)的損害。”湯道生表示。

騰訊安全方面提供的統(tǒng)計顯示，2018年，受數據安全問題影響的企業(yè)平均損失2700萬元，2019年，全球網絡犯罪預計損失17萬億元，上半年全國被勒索攻擊的設備超過250萬臺。

“安全正成為CEO的一把手工程。”湯道生毫不諱言，數據的安全與保護，已成為企業(yè)生命線，而做好安全防范，要解決數字化的安全問題，就需要企業(yè)從經營戰(zhàn)略視角進行統(tǒng)一規(guī)劃，建立系統(tǒng)性的安全防御機制。

但長期以來，安全在企業(yè)中是“下水道工程”，所有投資都隱藏在地下，除非被攻擊，否則很難直接讓老板看到效益。即使公司一把手愿意投資，安全又被視為“交鑰匙工程”，似乎只要設備買回來、防火墻壘起來，剩下就是IT和安全部門的事，其他都是無關人員。

結果，往往“業(yè)務人員的一串弱密碼，就能讓整個系統(tǒng)所有安全措施毀于一旦。”李昭告訴《IT時報》記者，郵儲銀行和騰訊在業(yè)內首創(chuàng)了業(yè)務和技術深度融合的防護模式，基于銀行的場景化業(yè)務，讓業(yè)務和安全部門一起制定安全策略，將被動防御上升為主動防御，“這種融合模式下，業(yè)務部門和安全部門便可以相互理解，消除了以往因為溝通不暢帶來的矛盾，目前在郵儲總行，安全人員滿口業(yè)務名詞，業(yè)務人員則基本可以準確說出某個項目上線的時間線。”

“每個人都應該有安全的職責，企業(yè)要將安全納入戰(zhàn)略思考的思維。”亞馬遜首席技術官、副總裁Werner Vogels表示。

“一人拿不起，大家一起扛。”滴滴信息安全戰(zhàn)略副總裁弓峰敏略帶戲謔地指出，隨著技術的提升，各種安全問題交織在一起，企業(yè)不僅要第一時間感知威脅和風險，而且需要做出有效的安全事件響應和處理，這需要安全團隊有很強的異常檢測能力以及為安全設計整套模型，但AI本身的復雜性會帶來新的攻擊面和更多盲點，光靠一家企業(yè)很難面面俱到，因此必須共建行業(yè)安全生態(tài)。

弓峰敏給出的方案是建立健全情報合作的政策與機制，從數據收集到銷毀的整個數據全鏈路有完整機制，同時，保證合作雙方之間能夠進行透明溝通和反饋迭代，“如果不透明，大家會容易走進誤區(qū)。目前滴滴與騰訊的合作只是開始，隨著合作相對體系化、框架化，希望將來有更多人牽手，建立更大的安全生態(tài)。”