“滴滴滴”，9點(diǎn)58分，金晶（化名）的手機(jī)響了，她手忙腳亂地打開了某電商App，這天是6月16日，618電商年中大促最后沖刺階段。上午10點(diǎn)，該平臺將送出199-100的“神券”，金晶特意定了鬧鐘，提前進(jìn)入搶券頁面。然而10點(diǎn)剛剛過去30秒，頁面顯示，該券已發(fā)放完畢，“這秒殺的速度，都趕上拍車牌了�！�

然而，金晶并不知道，和她一起競爭這張“神券”的，并不僅僅是普通消費(fèi)者。鬧鐘響起的那一刻，同樣是職業(yè)“羊毛黨”狂歡的開始。

中國的黑灰產(chǎn)已成氣候。騙貸、刷單、薅羊毛、盜刷、洗錢等一系列網(wǎng)絡(luò)欺詐行為背后，是一條涉及信息盜取、精準(zhǔn)匹配、養(yǎng)卡貓池、職業(yè)話術(shù)、快速分贓等多環(huán)節(jié)的地下產(chǎn)業(yè)鏈。

“整個安全行業(yè)的產(chǎn)值不過500億，被黑灰產(chǎn)‘薅’走的就超過1000億，而因此受影響的產(chǎn)業(yè)損失超過1萬億，160萬人在從事黑灰產(chǎn)�！�7月31日舉行的第五屆全球互聯(lián)網(wǎng)安全領(lǐng)袖峰會上（CSS 2019），騰訊公司副總裁馬斌感慨，“很多大爺大媽和年輕人，被‘逼’成了反欺詐專家。”

最近熱播的電視劇《親愛的，熱愛的》中，男主角韓商言所熱愛的是CTF（白帽子攻防賽），但大賽畢竟只是模擬，現(xiàn)實中，“黑白”之間的對抗，是一條魔高一尺、道高一丈、螺旋式上升、永無休止之路。

專業(yè)級“羊毛黨”的致富捷徑

“開蓋再來一瓶”“掃碼領(lǐng)紅包”“邀請好友分享紅包”……這些營銷“套路”是不是看起來很熟悉？可“羊毛黨”比你更熟悉。

“以前我們銀行上線的營銷活動，80%—90%的客戶權(quán)益資金都會被‘羊毛黨’薅掉。”中國郵政儲蓄銀行深圳灣支行行長李昭告訴《IT時報》記者，國內(nèi)很多銀行、機(jī)構(gòu)常年被“羊毛黨”用專用工具時刻掃描，只要有新營銷活動上線或者系統(tǒng)出現(xiàn)漏洞，1、2分鐘內(nèi)資金就會被套走。

有過同樣煩惱的，還有蒙牛。2018年，蒙牛成為FIFA世界杯全球贊助商后，準(zhǔn)備了2億元現(xiàn)金營銷紅包，希望刺激消費(fèi)者參與互動，但蒙牛的擔(dān)心在于，從“再來一瓶”到“掃碼領(lǐng)紅包”，傳統(tǒng)飲料行業(yè)的營銷玩法早已被羊毛黨摸索出一整套線上線下的完整打法，不僅瓶蓋的收集、分發(fā)、兌獎、變現(xiàn)等各個環(huán)節(jié)都有專人負(fù)責(zé)，紅包的url鏈接也被“羊毛黨”在各個平臺上被廉價出售。

即使事先設(shè)置同一地址、同一手機(jī)號、同一IP不得多次參加活動等限制手段，羊毛黨仍會使用短信代收平臺、驗證碼破解機(jī)、代理IP甚至廉價的真機(jī)平臺等多種專業(yè)化科技來對抗廠商的安全策略。

如果這些手段都失效，“羊毛黨”還有新手段。

騰訊安全不久前發(fā)布的《2019年白酒行業(yè)黑灰產(chǎn)研究白皮書》中指出，電商興起之后，在搶購限價優(yōu)惠白酒時，黃牛起初嘗試用機(jī)器批量注冊，但很快被品牌的風(fēng)控措施攔截，此后又創(chuàng)造出一種“人肉眾包”手段：“牛頭”發(fā)現(xiàn)搶購信息后，在各大平臺發(fā)布任務(wù)，“肉�！苯邮苋蝿�(wù)后，在平臺上搶購，“快遞員”送貨時根據(jù)地址上自創(chuàng)的某些特定暗號，將酒送至“牛頭”手里，“牛頭”大量囤貨之后，再倒賣給經(jīng)銷商。整個過程參與者眾多，分工明確。

暴利是最大的驅(qū)動力。被“羊毛黨”屢次盯上的東鵬特飲曾做過測算，每次活動的營銷費(fèi)用至少有8%-10%被黑產(chǎn)“薅”走，每年至少損失3000萬元。上述白皮書數(shù)據(jù)也顯示，白酒倒賣利潤空間驚人，最厲害的牛頭一次囤貨能賺上百萬元，而其年齡普遍只有25歲～35歲，與同齡人相比，堪稱“致富高手”。

計算機(jī)博士“入場”黑灰產(chǎn)

7月31日下午，作為CSS云安全演講嘉賓，上臺前10分鐘，袁鳴凱給同事發(fā)了封安全策略調(diào)整郵件，要求晚上上線。

剛剛過去的618，家樂福技術(shù)總監(jiān)袁鳴凱和黑灰產(chǎn)結(jié)結(jié)實實打了一仗。與此前孤軍奮戰(zhàn)不同，這一次，它選擇和騰訊安全并肩作戰(zhàn)。

擔(dān)任家樂福技術(shù)總監(jiān)以來，袁鳴凱基本遇到過所有針對零售業(yè)的黑客攻擊類型。在沒有使用騰訊安全產(chǎn)品之前，家樂福被攻擊的最高次數(shù)是1.21億次。

2017年，訂單被篡改、售價被惡意爬蟲拖走、DDOS攻擊；2018年，薅羊毛、磁盤被內(nèi)爆等等打擊都交織在一起；2019年，脈沖式攻擊……三年來，家樂福的系統(tǒng)“扎心”了。袁鳴凱甚至發(fā)現(xiàn)不同地方的黑產(chǎn)聯(lián)手發(fā)動“狼群攻擊”，有的團(tuán)隊專門做擬人化地登錄，登錄后拿到信息給其他地方黑產(chǎn)“薅羊毛”。

2019年上半年，零售行業(yè)的促銷一波接一波，家樂福也啟動了從520到628的超長促銷期，每天設(shè)計了10幾場大額券發(fā)放活動，可經(jīng)常1萬張券上線幾秒就沒了。“從520到610，我們被打得‘鼻青臉腫’。”6月10日開始，家樂福開始與騰訊天御聯(lián)合“抗黑”，進(jìn)行登錄防御，“完勝！”

然而，6月24日開始，黑產(chǎn)開始改變策略，“劫持”良性手機(jī)號。比如產(chǎn)業(yè)鏈上游派一個人在大賣場里設(shè)置一個不加密的WiFi熱點(diǎn)，吸引大家來“蹭網(wǎng)”，然后這些蹭網(wǎng)手機(jī)的短信碼全部被黑產(chǎn)在后臺劫持，并被設(shè)置用于搶券。于是，家樂福開始收到客戶投訴，自己沒有注冊過家樂福會員，但卻已經(jīng)下過單。

“黑灰產(chǎn)在不斷探索我們系統(tǒng)的漏洞，我們則不斷研究封鎖策略，”袁鳴凱坦言，一個多月來，與騰訊一起已經(jīng)清洗了1000多萬個手機(jī)號，但對手依然在攻擊，“昨天我改變了策略，對手已經(jīng)攻了兩輪，明天還要繼續(xù)打。”

“隨著流量日益增多，傳統(tǒng)的黑產(chǎn)變成灰產(chǎn)，對抗變得越來越激烈，羊毛黨的花樣也越來越多，更重要的是，專業(yè)選手開始入場�！彬v訊安全云業(yè)務(wù)安全負(fù)責(zé)人周斌發(fā)現(xiàn)，一些最早從事職業(yè)網(wǎng)絡(luò)安全的人，開始轉(zhuǎn)型為“羊毛黨”，其中不乏計算機(jī)博士和算法類工程師。新的技術(shù)也被應(yīng)用到攻擊上，騰訊甚至發(fā)現(xiàn)，為了破解驗證碼，黑客們用AI算法搭建了卷積神經(jīng)網(wǎng)絡(luò)。

“技術(shù)變化實在太快，企業(yè)在面對瞬息萬變的安全威脅時，比任何時候都更加脆弱�！彬v訊公司云與智慧產(chǎn)業(yè)總裁湯道生深刻感受到，必須要做到“快人一步”的安全能力部署，“我們必須確定，對所有的（危險）點(diǎn)都能進(jìn)行最快的反應(yīng)。”

一年從“羊毛黨”奪回2700億

與黑灰產(chǎn)對抗，騰訊做了20年。

從提供QQ、微信、瀏覽器、游戲等面向C端的服務(wù)開始，騰訊很早便開始思考：如何搭建一套企業(yè)安全的整體戰(zhàn)略或整體防御體系，同時又能對個人用戶提供更好的體驗？而隨著騰訊云服務(wù)范圍漸廣，新的問題是，如何讓企業(yè)在云上感到安全？

通過思考并實踐解決這些問題，20年來騰訊積累了大量黑產(chǎn)數(shù)據(jù)，運(yùn)用AI人工智能深度神經(jīng)網(wǎng)絡(luò)和機(jī)器學(xué)習(xí)模型等技術(shù)，形成了一整套集安全能力建設(shè)、運(yùn)營、運(yùn)營規(guī)范和監(jiān)管于一體的標(biāo)準(zhǔn)化風(fēng)控模型。

以最常見的刷單為例，“羊毛黨”一般會通過貓池“養(yǎng)卡”，從各大平臺“薅”新用戶優(yōu)惠，同一個手機(jī)號碼可以將不同平臺統(tǒng)統(tǒng)掃一遍，“存活時間”在一周左右，單一平臺很難辨別這個新號碼是真正的新用戶，還是職業(yè)“羊毛黨”。

騰訊的天御系統(tǒng)通過多年與黑產(chǎn)的對抗，積累了超過100T的數(shù)據(jù)，覆蓋超過500個場景，包含社交、游戲、支付、自媒體、電商、O2O、互聯(lián)網(wǎng)金融等多個領(lǐng)域，可以通過手機(jī)號碼、IP、郵箱、銀行卡、身份證、QQ、微信賬號等垂直屬性，挖掘羊毛黨特征。

簡而言之，如果采用了天御系統(tǒng)，當(dāng)一個新號碼來注冊時，通過組合矩陣，它可以迅速判斷這個號碼是否在別的平臺頻繁注冊，是否具有“羊毛黨”的特征，最后將其分級為惡意用戶、可疑用戶和可信用戶三等，并給企業(yè)提出策略建議。據(jù)騰云安全透露，目前的惡意識別率高于96%。

在幫蒙牛發(fā)放2億紅包的過程中，天御做到了200毫秒內(nèi)實時判斷用戶風(fēng)險級別，因此在這場覆蓋了2億多人次，7000多萬人參與的搶紅包大戰(zhàn)中，將絕大部分羊毛黨摒棄在外，蒙牛至少節(jié)約了千萬級的營銷費(fèi)用。

據(jù)騰訊副總裁丁珂介紹，在底層安全能力方面，騰訊開放了基礎(chǔ)安全能力和平臺業(yè)務(wù)能力，以幫助企業(yè)應(yīng)對轉(zhuǎn)型過程中不斷出現(xiàn)的新業(yè)務(wù)和新場景安全需求，除了天御，還有靈鯤、星云等幾大業(yè)務(wù)安全解決方案，在泛金融、泛互聯(lián)網(wǎng)、智慧零售等領(lǐng)域都有非常好的實效。

騰訊安全副總裁黎巍透露了一系列數(shù)據(jù)，截至目前，騰訊安全DDoS攻擊防御峰值可達(dá)1.23Tbps、全年抵御DDoS攻擊700萬次，抵御云端病毒超過3000萬次，PC端病毒攔截量15億次，惡意內(nèi)容識別超過1000億，為金融行業(yè)守護(hù)了4000億資金的安全，避免了2700億“羊毛”被薅。

“大家越來越意識到安全的重要性，可不知道如何評估投入的成本，而且產(chǎn)業(yè)數(shù)字時代的市場競爭瞬息萬變，企業(yè)往往缺乏面對海量數(shù)據(jù)涌入時如何處理的經(jīng)驗。”在本次CSS上，丁珂表示，騰訊將自己定位為產(chǎn)業(yè)互聯(lián)網(wǎng)的安全戰(zhàn)略官，幫助企業(yè)在數(shù)字化轉(zhuǎn)型的過程中系統(tǒng)化構(gòu)建安全能力。

對于同樣在“擁抱產(chǎn)業(yè)互聯(lián)網(wǎng)”的騰訊而言，走上這條TOB道路是水到渠成之事。

打造生態(tài)合作、責(zé)任共擔(dān)的機(jī)制

然而，與黑灰產(chǎn)業(yè)鏈的斗爭，絕不是靠一家之力能扛下，也絕非安全部門一家之事。

7月29日，P17安全領(lǐng)袖圓桌召開，騰訊、天融信、衛(wèi)士通、啟明星辰、美亞柏科、拓爾思、藍(lán)盾股份、任子行、北信源、綠盟科技、飛天誠信、數(shù)字認(rèn)證、中孚信息、深信服、格爾軟件、迪普科技等國內(nèi)安全行業(yè)上市公司悉數(shù)參加，這已經(jīng)是P17的第三次圓桌會議。7月30日，騰訊和滴滴合作成立互聯(lián)網(wǎng)安全聯(lián)合實驗室，7月31日，騰訊安全聯(lián)合中國信通院宣布將共建“產(chǎn)業(yè)互聯(lián)網(wǎng)安全實驗室”。

打造生態(tài)安全、安全責(zé)任意識共擔(dān)，幾乎是此次所有與會人士的共識。

網(wǎng)絡(luò)安全的威脅系數(shù)正在上升。產(chǎn)業(yè)升級、智慧零售、業(yè)務(wù)上云……數(shù)字化日益貫穿企業(yè)研發(fā)、生產(chǎn)、流通、服務(wù)等全過程，每一個環(huán)節(jié)里，都可能暗藏漏洞，尤其進(jìn)入產(chǎn)業(yè)互聯(lián)網(wǎng)時代，一旦企業(yè)遭遇網(wǎng)絡(luò)攻擊，所造成的社會影響和經(jīng)濟(jì)損失，遠(yuǎn)超以往。

2019年上半年，騰訊安全在全國范圍內(nèi)監(jiān)測到感染事件1588萬次，其中非個人用戶受到攻擊的占比超過半數(shù)。對黑客而言，從企業(yè)批量獲取的數(shù)據(jù)，成本更低，價值更大，“一旦企業(yè)用戶數(shù)據(jù)被黑客竊取，不僅僅是收入、股價、利潤可能受到巨大的影響，也會引發(fā)巨大的用戶信任危機(jī)，為企業(yè)帶來持續(xù)的損害。”湯道生表示。

騰訊安全方面提供的統(tǒng)計顯示，2018年，受數(shù)據(jù)安全問題影響的企業(yè)平均損失2700萬元，2019年，全球網(wǎng)絡(luò)犯罪預(yù)計損失17萬億元，上半年全國被勒索攻擊的設(shè)備超過250萬臺。

“安全正成為CEO的一把手工程。”湯道生毫不諱言，數(shù)據(jù)的安全與保護(hù)，已成為企業(yè)生命線，而做好安全防范，要解決數(shù)字化的安全問題，就需要企業(yè)從經(jīng)營戰(zhàn)略視角進(jìn)行統(tǒng)一規(guī)劃，建立系統(tǒng)性的安全防御機(jī)制。

但長期以來，安全在企業(yè)中是“下水道工程”，所有投資都隱藏在地下，除非被攻擊，否則很難直接讓老板看到效益。即使公司一把手愿意投資，安全又被視為“交鑰匙工程”，似乎只要設(shè)備買回來、防火墻壘起來，剩下就是IT和安全部門的事，其他都是無關(guān)人員。

結(jié)果，往往“業(yè)務(wù)人員的一串弱密碼，就能讓整個系統(tǒng)所有安全措施毀于一旦。”李昭告訴《IT時報》記者，郵儲銀行和騰訊在業(yè)內(nèi)首創(chuàng)了業(yè)務(wù)和技術(shù)深度融合的防護(hù)模式，基于銀行的場景化業(yè)務(wù)，讓業(yè)務(wù)和安全部門一起制定安全策略，將被動防御上升為主動防御，“這種融合模式下，業(yè)務(wù)部門和安全部門便可以相互理解，消除了以往因為溝通不暢帶來的矛盾，目前在郵儲總行，安全人員滿口業(yè)務(wù)名詞，業(yè)務(wù)人員則基本可以準(zhǔn)確說出某個項目上線的時間線。”

“每個人都應(yīng)該有安全的職責(zé)，企業(yè)要將安全納入戰(zhàn)略思考的思維。”亞馬遜首席技術(shù)官、副總裁Werner Vogels表示。

“一人拿不起，大家一起扛。”滴滴信息安全戰(zhàn)略副總裁弓峰敏略帶戲謔地指出，隨著技術(shù)的提升，各種安全問題交織在一起，企業(yè)不僅要第一時間感知威脅和風(fēng)險，而且需要做出有效的安全事件響應(yīng)和處理，這需要安全團(tuán)隊有很強(qiáng)的異常檢測能力以及為安全設(shè)計整套模型，但AI本身的復(fù)雜性會帶來新的攻擊面和更多盲點(diǎn)，光靠一家企業(yè)很難面面俱到，因此必須共建行業(yè)安全生態(tài)。

弓峰敏給出的方案是建立健全情報合作的政策與機(jī)制，從數(shù)據(jù)收集到銷毀的整個數(shù)據(jù)全鏈路有完整機(jī)制，同時，保證合作雙方之間能夠進(jìn)行透明溝通和反饋迭代，“如果不透明，大家會容易走進(jìn)誤區(qū)。目前滴滴與騰訊的合作只是開始，隨著合作相對體系化、框架化，希望將來有更多人牽手，建立更大的安全生態(tài)。”