互聯網和新技術帶來電信網絡違法犯罪專業化升級，網絡黑產威脅源成為計算機信息系統安全和網絡空間管理秩序的重大隱患。1月14日，在騰訊公司主辦的2018年守護者計劃大會上，《騰訊2017年度網絡黑產威脅源研究報告》正式發布，這是國內首份全面研究網絡黑產和背后威脅源發展態勢，以及打擊治理和法律適用情況的專業性報告，為全行業聯合打擊網絡黑產奠定了基礎。同時，該報告發布也標志著，騰訊“守護者計劃”將立足公益，以技術賦能的方式，攜手合作伙伴、協助執法機關全面打擊網絡黑產，向不法分子“亮劍”。

　　所謂網絡黑產威脅源，是以互聯網為媒介、以網絡技術為主要手段，給公眾人身財產安全、計算機信息系統安全和網絡空間管理秩序，甚至國家安全、社會穩定帶來直接或間接威脅的網絡違法犯罪活動。這其中包括了針對政府/企業網站的黑客滲透、DDoS攻擊和流量劫持等網絡黑產活動，以及木馬病毒、惡意網站等非法獲取公民信息的網絡黑產上游環節，也包括撞庫、洗號以及非法買賣公民/企業信息等為各類違法犯罪提供支持的中間鏈條。

　　據《報告》顯示，2017年，“守護者計劃”協助各地公安機關破獲新型網絡違法犯罪案件近160起，抓獲人員約3800人，涉案資金近32億元，其中，通過對網絡黑產威脅源的針對性打擊，有效遏制了網絡黑產的進一步發展。這也進一步顯示出，基于技術監控、對抗與防范，以合作共治為核心特點的“騰訊模式”已經成為高效打擊網絡黑產的產業模板。

　　全面剖析七大網絡黑產威脅源，技術加持成典型特征

　　非法獲取公民個人信息、木馬病毒、黑客滲透、惡意網站、流量劫持、DDoS攻擊以及為黑客攻擊提供技術支持這七大網絡黑產威脅源，為電信網絡詐騙、惡意網絡攻擊提供隱蔽而高效的技術支持，降低犯罪成本，增加案件破解難度，給傳統單點防御帶來極大挑戰，也讓不法分子更加猖狂。

　　（圖為網絡黑色產業鏈的主要運作流程）

　　1、非法獲取公民個人信息。當犯罪分子掌握大量公民個人信息后，以司法機關、銀行等權威機構工作人員名義，或者冒充親友熟人進行詐騙，往往令受害者猝不及防，非法獲取公民個人信息已經成為“精準詐騙”的核心彈藥，是頭號威脅源。

　　2、木馬病毒威脅。《報告》顯示，2016年下半年以來木馬病毒呈現下降趨勢，2017年累計木馬病毒感染用戶達1.88億，潛在威脅依然嚴峻。木馬病毒已經成為獲取公民隱私信息，進行廣告騷擾、暗中扣費、刷量、誘導支付、敲詐勒索等主要技術手段。

　　3、惡意網站威脅。惡意網站數量呈現逐年遞增態勢，其中仿冒銀行、通信、電商、游戲和互聯網金融五類網站數量最多。受害者訪問惡意網址，往往隱私信息、銀行卡四大件、蘋果手機ID、社交賬號等信息會被非法竊取，面臨銀行卡盜刷、電信詐騙、敲詐勒索等違法行為威脅。

　　4、黑客滲透威脅。黑客滲透、侵入政府等權威網站，獲取服務器權限后增、刪、改私人信息，成為偽造資質文憑的源頭。從權威網站獲取的大量詳實公民個人信息，威脅更大，山東“徐玉玉案”正是因為黑客滲透入侵山東教育招生考試院的政府網站獲取考生信息后，最終造成悲劇。

　　5、流量劫持威脅�！秷蟾妗窋祿�透露，2017年1-11月期間的流量劫持約2000萬起/天，非法獲取用戶數據，鎖定用戶主頁或強制網頁跳轉，向用戶推出彈窗廣告、安裝推廣APP、暗扣流量等時刻不停在進行。

　　6、DDoS攻擊威脅。DDoS攻擊一方面控制“肉雞”計算機，一方面攻擊目標網站，對計算機信息系統造成極大干擾與破壞，并且常伴隨敲詐金錢、打擊報復、同行惡意競爭等行為。2012到2017年DDoS攻擊流量峰值由百G逐漸增加至T級，2017年流量峰值達1.4T。

　　7、為黑客提供技術支持。專為黑客攻擊提供打碼、秒撥動態IP服務等技術支持的團伙，也是不可忽視的威脅源，它們讓黑客更容易突破互聯網賬號基礎安全策略，進而產生更大破壞性。

　　全面對抗網絡黑產威脅源，“守護者計劃”在行動

　　《報告》分析了每一種網絡黑產威脅源對應的司法現狀和法律適用情況，刑法對于控制、破壞計算機信息系統，提供非法程序和工具支持，以及盜竊、盜刷、詐騙等進一步犯罪行為，都有嚴格的懲戒措施，為打擊網絡黑產和威懾不法分子提供了法律基礎。

　　“守護者計劃”則在對抗網絡黑產威脅源過程中提供充分的技術支持，協助警方破獲諸多大案要案。如“9.27”特大竊取販賣公民個人信息案，以及協助打掉最大DDoS跨境黑客團伙“暗夜攻擊小組”。

　　前者查獲涉及互聯網、物流、醫療、社交、銀行等各類被盜公民個人信息超過50億條，從源頭上打擊了買賣公民個人信息犯罪活動。后者從17萬個攻擊源IP中篩查線索，打掉最大DDoS黑客團伙的當月，直接導致DDoS攻擊頻次環比下降86%。

　　會上，“守護者計劃”發布了2017年打擊網絡黑產十大案例，包括協助警方破獲國內首例微信木馬刷公眾號流量案、打掉市面上最大的通過AI技術破解互聯網驗證碼的打碼平臺“快啊答題”、抓獲非法架設提供“秒撥”動態IP黑產服務團伙等。

　　洞悉網絡黑產五大特點，騰訊安全團隊全面亮劍

　　《報告》結合“守護者計劃”協助打擊的案例指出，網絡黑產在專業化發展過程中呈現出五大趨勢：

　　一是國際化。隨著我國對網絡犯罪打擊力度的不斷加大，一些大型黑產團伙為了逃避打擊，紛紛逃往國外設立據點，同時，跨境犯罪的類型也從最初的電信詐騙，發展為DDoS攻擊、網絡賭博、網上招嫖、制作木馬、黑客滲透等多種。如“守護者計劃”協助深圳警方破獲的“暗夜攻擊小組”DDoS攻擊案，該團伙為逃避打擊，長期盤踞境外東南亞國家。

　　二是智能化。人工智能等先進技術已在網絡犯罪中應用。如“守護者計劃”協助警方破獲全國首例用AI技術做黑產的案件，打掉全國最大驗證碼打碼平臺“快啊答題 ”。嫌疑人使用基于神經網絡模型的深度學習技術，搭建分布式AI驗證碼識別系統，能夠快速識別當前互聯網上80%以上的驗證碼，識別正確率達90%以上。

　　三是平臺化。平臺化的黑產軟件替代人工操作，降低了犯罪成本，提高了犯罪效率。在“守護者計劃”協助公安機關破獲的諸多網絡黑產案件中，已經出現了一些平臺化的黑產軟件，如批量識別驗證碼的“打碼平臺”，旨在繞過互聯網公司“IP判定策略”，自動實現秒級重復撥號、不斷變化IP地址的“秒撥”動態IP服務。

　　四是公司化。黑產團伙成立專門的公司作惡的例子增多，各環節有專門人員負責，常打著正規經營的幌子進行大規模黑產犯罪。如“守護者計劃”協助警方破獲的“雷勝科技”系列色情誘導詐騙案中，犯罪團伙成立的武漢雷勝科技公司，其注冊經營范圍為“經營與銷售計算機和網絡業務”，內設有研發部、市場部、編輯部、財務部、客服部等。

　　五是涉眾化。越來越多的線下犯罪向線上犯罪轉移，在互聯網場景下對人群的影響被放大，影響面更廣。如“守護者計劃”協助公安部破獲的“善心匯”特大傳銷組織中，犯罪團伙頭目及其骨干成員超過600名，該傳銷組織會員超過500萬人。

　　縱觀威脅源的成型與發展，更是網絡黑產產業化的體現。一方面，威脅源為下游犯罪提供工具、技術和數據等方面的支持，客觀上幫助了下游網絡犯罪的實施；另一方面，下游犯罪在威脅源的伴生式支持下，作案成本下降、效率提升，對威脅源的依賴與使用越來越多。

　　從“守護者計劃”配合公安機關打擊網絡黑產犯罪的實踐中發現，往往多個下游犯罪團伙均能溯源指向一個或少數幾個威脅源團伙。國內最大的DDoS攻擊團伙“暗夜”覆滅后，因其涉及的攻擊軟件作者、肉雞控制者、攻擊發起者等無法繼續作惡，直接導致當月DDoS攻擊頻次環比下降86%�？梢�，打擊網絡黑產威脅源能夠最大程度擠壓黑產生存空間，從而遏制下游犯罪滋生。

　　由于網絡犯罪隱蔽性的特點，難以取得網絡黑產上游與下游犯罪形成共同故意的相關證據，導致在主觀認定上存在難點，很難將網絡黑產威脅源的團伙按照共犯論處。同時，由于下游犯罪查實難，實踐中認定幫助信息網絡犯罪活動罪的成立又多以下游犯罪成立為基礎，因此網絡黑產威脅源的打擊與司法判定工作面臨著多重挑戰。不過，《報告》結合現有已決司法判例對網絡黑產威脅源的判決情況和法律適用難點問題進行了全面梳理�？偨Y出了司法實踐中網絡黑產威脅源被用于下游犯罪的常見類型，以及針對各種不同犯罪行為的認定罪名情況。結合具體案件，針對現行法律及司法解釋存在的不完善之處以及實踐認定難點問題，提出了相應的建議。對于今后處理同類案件具有一定的參考價值。

　　分析網絡黑色產業鏈結構，共享網絡黑產發展趨勢，為全行業聯合對抗黑產奠定了基礎。以打擊網絡黑產威脅源為抓手，能夠最大程度擠壓黑產生存空間，遏制下游犯罪滋生，2017年“守護者計劃”已經正式亮劍，2018年需要社會各方聯合起來共同努力，給網絡黑產以全面性打擊。