骗贷、刷单、薅羊毛……黑灰产每年造成万亿损失防T级DDos攻击、200毫秒辨别“羊毛党”……IT时报记者郝俊慧
　　“滴滴滴”，9点58分，金晶（化名）的手机响了，她手忙脚乱地打开了某电商App，这天是6月16日，618电商年中大促最后冲刺阶段。上午10点，该平台将送出199100的“神券”，金晶特意定了闹钟，提前进入抢券页面。然而10点刚刚过去30秒，页面显示，该券已发放完毕，“这秒杀的速度，都赶上拍车牌了。”
　　然而，金晶并不知道，和她一起竞争这张“神券”的，并不仅仅是普通消费者。闹钟响起的那一刻，同样是职业“羊毛党”狂欢的开始。
　　中国的黑灰产已成气候。骗贷、刷单、薅羊毛、盗刷、洗钱等一系列网络欺诈行为背后，是一条涉及信息盗取、精准匹配、养卡猫池、职业话术、快速分赃等多环节的地下产业链。
　　“整个安全行业的产值不过500亿，被黑灰产‘薅’走的就超过1000亿，而因此受影响的产业损失超过1万亿，160万人在从事黑灰产。”7月31日举行的第五届全球互联网安全领袖峰会上（CSS 2019），腾讯公司副总裁马斌感慨，“很多大爷大妈和年轻人，被‘逼’成了反欺诈专家。”
　　最近热播的电视剧《亲爱的，热爱的》中，男主角韩商言所热爱的是CTF（白帽子攻防赛），但大赛毕竟只是模拟，现实中，“黑白”之间的对抗，是一条魔高一尺、道高一丈、螺旋式上升、永无休止之路。
专业级“羊毛党”的致富捷径
　　“开盖再来一瓶”“扫码领红包”“邀请好友分享红包”……这些营销“套路”是不是看起来很熟悉？可“羊毛党”比你更熟悉。
　　“以前我们银行上线的营销活动，80%—90%的客户权益资金都会被‘羊毛党’薅掉。”中国邮政储蓄银行深圳湾支行行长李昭告诉《IT时报》记者，国内很多银行、机构常年被“羊毛党”用专用工具时刻扫描，只要有新营销活动上线或者系统出现漏洞，一两分钟内资金就会被套走。
　　有过同样烦恼的，还有蒙牛。2018年，蒙牛成为FIFA世界杯全球赞助商后，准备了2亿元现金营销红包，希望刺激消费者参与互动，但蒙牛的担心在于，从“再来一瓶”到“扫码领红包”，传统饮料行业的营销玩法早已被羊毛党摸索出一整套线上线下的完整打法，不仅瓶盖的收集、分发、兑奖、变现等各个环节都有专人负责，红包的网址链接也被“羊毛党”在各个平台上廉价出售。
　　即使事先设置同一地址、同一手机号、同一IP不得多次参加活动等限制手段，羊毛党仍会使用短信代收平台、验证码破解机、代理IP甚至廉价的真机平台等多种专业化科技来对抗厂商的安全策略。
　　如果这些手段都失效，“羊毛党”还有新手段。
　　腾讯安全不久前发布的《2019年白酒行业黑灰产研究白皮书》中指出，电商兴起之后，在抢购限价优惠白酒时，黄牛起初尝试用机器批量注册，但很快被品牌的风控措施拦截，此后又创造出一种“人肉众包”手段：“牛头”发现抢购信息后，在各大平台发布任务，“肉牛”接受任务后，在平台上购买，“快递员”送货时根据地址上自创的某些特定暗号，将酒送至“牛头”手里，“牛头”再倒卖给经销商。整个过程参与者众多，分工明确。
　　暴利是最大的驱动力。被“羊毛党”屡次盯上的东鹏特饮曾做过测算，每次活动的营销费用有8%-10%被黑产“薅”走，每年至少损失3000万元。上述白皮书数据也显示，白酒倒卖利润空间惊人，最厉害的“牛头”一次囤货能赚上百万元，而其年龄普遍只有25岁～35岁，与同龄人相比，堪称“致富高手”。
计算机博士“入场”黑灰产
　　7月31日下午，作为CSS云安全分论坛演讲嘉宾，上台前10分钟，家乐福技术总监袁鸣凯给同事发了封安全策略调整邮件，并要求晚上上线。
　　刚刚过去的618，袁鸣凯和黑灰产结结实实打了一仗。与此前孤军奋战不同，这一次，它选择和腾讯安全并肩作战。
　　担任家乐福技术总监以来，袁鸣凯基本遇到过所有针对零售业的黑客攻击类型。在没有使用腾讯安全产品之前，家乐福被攻击的最高次数是1.21亿次。
　　2017年，订单被篡改、售价被恶意爬虫拖走、DDoS攻击；2018年，薅羊毛、磁盘被内爆等等打击都交织在一起；2019年，脉冲式攻击……三年来，家乐福的系统“扎心”了。袁鸣凯甚至发现不同地方的黑产联手发动“狼群攻击”，有的团队专做拟人化登录，登录后拿到信息给其他地方黑产“薅羊毛”。
　　2019年上半年，零售行业的促销一波接一波，家乐福也启动了从520到628的超长促销期，每天设计十几场大额券发放活动，可经常1万张券上线几秒就没了。“从520到610，我们被打得‘鼻青脸肿’。”6月10日开始，家乐福开始与腾讯天御联合“抗黑”，进行登录防御，“完胜！”
　　然而，6月24日开始，黑产又改变了策略“劫持”良性手机号。比如产业链上游派一个人在大卖场里设置一个不加密的WiFi热点，吸引大家来“蹭网”，然后这些蹭网手机的短信码全部被黑产在后台劫持，并被设置用于抢券。于是，家乐福开始收到客户投诉，自己没有注册过家乐福会员，但却已经下过单。
　　“黑灰产在不断探索我们系统的漏洞，我们则不断研究封锁策略，”袁鸣凯坦言，一个多月来，与腾讯一起已经清洗了1000多万个手机号，但对手依然在攻击，“昨天我改变了策略，对手已经攻了两轮，明天还要继续打。”
　　“随着流量日益增多，传统的黑产变成灰产，对抗变得越来越激烈，“羊毛党”的花样也越来越多，更重要的是，专业选手开始入场。”腾讯安全云业务安全总监周斌发现，一些最早从事职业网络安全的人，开始转型为“羊毛党”，其中不乏计算机博士和算法类工程师。新的技术也被应用到攻击上，腾讯甚至发现，为了破解验证码，黑客们用AI算法搭建了卷积神经网络。“技术变化实在太快，企业在面对瞬息万变的安全威胁时，比任何时候都更加脆弱。”腾讯公司云与智慧产业总裁汤道生深刻感受到，必须要做到“快人一步”的安全能力部署，“我们必须确定，对所有的（危险）点都能进行最快的反应。”
一年从“羊毛党”夺回2700亿
　　与黑灰产对抗，腾讯做了20年。
　　从提供QQ、微信、浏览器、游戏等面向C端的服务开始，腾讯很早便思考：如何搭建一套企业安全的整体战略或整体防御体系，同时又能对个人用户提供更好的体验？而随着腾讯云服务范围渐广，新的问题是，如何让企业在云上感到安全？
　　通过思考并实践解决这些问题，20年来腾讯积累了大量黑产数据，运用AI人工智能深度神经网络和机器学习模型等技术，形成了一整套集安全能力建设、运营、运营规范和监管于一体的标准化风控模型。
　　以最常见的刷单为例，“羊毛党”一般会通过猫池“养卡”，从各大平台“薅”新用户优惠，同一个手机号码将不同平台统统扫一遍，“存活时间”在一周左右，单一平台很难辨别这个新号码是真正的新用户，还是职业“羊毛党”。
　　腾讯的天御系统通过多年与黑产的对抗，积累了超过100T的数据，覆盖超过500个场景，包含社交、游戏、支付、自媒体、电商、O2O、互联网金融等多个领域，可以通过手机号码、IP、邮箱、银行卡、身份证、QQ、微信账号等垂直属性，挖掘羊毛党特征。
　　简而言之，如果采用了天御系统，当一个新号码来注册时，通过组合矩阵，它可以迅速判断这个号码是否在别的平台频繁注册，是否具有“羊毛党”的特征，最后将其分级为恶意用户、可疑用户和可信用户三等，并给企业提出策略建议。据腾讯云安全透露，目前的恶意识别率高于96%。
　　在帮蒙牛发放2亿红包的过程中，天御做到了200毫秒内实时判断用户风险级别，因此在这场覆盖了2亿多人次，7000多万人的抢红包大战中，将绝大部分羊毛党摒弃在外，蒙牛至少节约了千万级的营销费用。
　　据腾讯副总裁丁珂介绍，在底层安全能力方面，腾讯开放了基础安全能力和平台业务能力，以帮助企业应对转型过程中不断出现的新业务和新场景安全需求，除了天御，有灵鲲、星云等几大业务安全解决方案在泛金融、泛互联网、智慧零售等领域都有非常好的实效。
　　腾讯安全副总裁黎巍透露了一系列数据，截至目前，腾讯安全DDoS攻击防御峰值可达1.23Tbps、全年抵御DDoS攻击700万次，抵御云端病毒超过3000万次，PC端病毒拦截量15亿次，恶意内容识别超过1000亿，为金融行业守护了4000亿资金的安全，避免了2700亿“羊毛”被薅。
　　“大家越来越意识到安全的重要性，可不知道如何评估投入的成本，而且产业数字时代的市场竞争瞬息万变，企业往往缺乏海量数据涌入时处理的经验。”在本次CSS上，丁珂表示，腾讯将自己定位为产业互联网的安全战略官，帮助企业在数字化转型的过程中系统化构建安全能力。