雷鋒網(wǎng)編者按：1 月 18 日，雷鋒網(wǎng)宅客頻道受邀參加騰訊安全年度媒體溝通會(huì)，騰訊安全除了宣布2019年的年度計(jì)劃外，將溝通會(huì)的下半程交給了騰訊守護(hù)者觀察計(jì)劃團(tuán)隊(duì)，披露了該團(tuán)隊(duì)2018年十大經(jīng)典案例。其中，鮮少在媒體露面的騰訊微信安全風(fēng)控中心專(zhuān)家楊建披露了其在 2018 年協(xié)助警方打掉的惡意注冊(cè)專(zhuān)案詳情。以下為楊建發(fā)言，雷鋒網(wǎng)編輯整理。

文|微信安全楊建  

起因

我在騰訊的工作主要是圍繞各類(lèi)網(wǎng)絡(luò)黑產(chǎn)的打擊和研究。我們發(fā)現(xiàn)，在各類(lèi)網(wǎng)絡(luò)黑產(chǎn)的背后隱藏著一群人，他們?yōu)楦黝?lèi)網(wǎng)絡(luò)黑產(chǎn)提供源源不絕的技術(shù)和資源，如 IP 號(hào)段、手機(jī)號(hào)碼、軟硬件設(shè)備等，幫助他們更低門(mén)檻地從事各類(lèi)違法犯罪活動(dòng)。以下我要分享的守護(hù)者團(tuán)隊(duì)協(xié)助警方破獲惡意注冊(cè)專(zhuān)項(xiàng)打擊系列案件，就是團(tuán)隊(duì)過(guò)去一年里在黑產(chǎn)源頭治理的探索和成效。

隨著互聯(lián)網(wǎng)隨著時(shí)代在生活中的不斷融入，絕大多數(shù)的公民除了擁有社會(huì)屬性的身份外，還往往會(huì)擁有各個(gè)網(wǎng)絡(luò)平臺(tái)不同的網(wǎng)絡(luò)身份，這些網(wǎng)絡(luò)身份對(duì)應(yīng)的，就是各大互聯(lián)網(wǎng)公司的網(wǎng)絡(luò)賬號(hào)。

互聯(lián)網(wǎng)時(shí)代流量為王。所謂流量，就是一個(gè)個(gè)賬號(hào)的聚沙成塔。因?yàn)榱髁康闹匾?，各大互?lián)網(wǎng)公司對(duì)于賬號(hào)管理都有各自的標(biāo)準(zhǔn)和要求，對(duì)于不符合使用要求的賬號(hào)，平臺(tái)通過(guò)各種線上安全治理手段，對(duì)這些賬號(hào)進(jìn)行停止功能、封禁等處罰。

因此，對(duì)于各類(lèi)互聯(lián)網(wǎng)違法犯罪行為來(lái)說(shuō)，一個(gè)號(hào)被停掉部分功能或封禁，勢(shì)必對(duì)其從事違法犯罪行為產(chǎn)生影響，故而賬號(hào)的消耗對(duì)團(tuán)伙來(lái)說(shuō)是一個(gè)常態(tài)化動(dòng)作，為了確保他們的違法犯罪行為持續(xù)進(jìn)行，必須有源源不斷的賬號(hào)提供，這個(gè)生產(chǎn)賬號(hào)的過(guò)程，就是惡意注冊(cè)的現(xiàn)實(shí)存在依據(jù)。

在互聯(lián)網(wǎng)犯罪初期，由于平臺(tái)的線上治理手段相對(duì)初級(jí)，賬號(hào)的損耗不大，故這些黑產(chǎn)團(tuán)伙一般純手工注冊(cè)，自給自足。

隨著線上手段升級(jí)，傳統(tǒng)的自給自足無(wú)法滿(mǎn)足團(tuán)伙需要，專(zhuān)業(yè)注冊(cè)團(tuán)伙登上黑產(chǎn)歷史舞臺(tái)，在與互聯(lián)網(wǎng)平臺(tái)線上策略多年的對(duì)抗中，惡意注冊(cè)模式不斷進(jìn)化，技術(shù)不斷迭代，終于發(fā)展成為現(xiàn)如今產(chǎn)業(yè)鏈上中下游高度獨(dú)立，對(duì)抗技術(shù)全面，工具專(zhuān)業(yè)的黑色產(chǎn)業(yè)。用一句話(huà)總結(jié)就是：技術(shù)手段驅(qū)動(dòng)產(chǎn)業(yè)升級(jí)，專(zhuān)業(yè)分工提供精準(zhǔn)服務(wù)。

今天分享的惡意注冊(cè)專(zhuān)項(xiàng)打擊系列案件，是 2018 年騰訊配合遼寧省公安廳分別就惡意注冊(cè)上游工具軟件和惡意注冊(cè)公眾號(hào)發(fā)起的專(zhuān)案打擊。本次專(zhuān)案主要包括兩起案件，包括圍繞惡意注冊(cè)上游工具軟件XXTouch的“610”專(zhuān)案和惡意注冊(cè)微信公眾號(hào)以及其衍生下游詐騙犯罪鏈條的打擊案件。

XXTouch的“610”專(zhuān)案已有媒體報(bào)道，所以今天我給各位講講沒(méi)在新聞稿上出現(xiàn)的內(nèi)幕。

“610”專(zhuān)案

在此案之前，我們已經(jīng)配合了多起惡意注冊(cè)養(yǎng)號(hào)工作室的打擊，但因?yàn)閻阂庾?cè)軟件在黑產(chǎn)圈普及，導(dǎo)致惡意注冊(cè)工作室的開(kāi)設(shè)門(mén)檻極低，一次集群行動(dòng)可以打掉一個(gè)地區(qū)的一批團(tuán)伙，但是很可能其他地區(qū)就有新的團(tuán)伙如雨后春筍般冒出。

通過(guò)打擊，我們對(duì)惡意注冊(cè)整個(gè)產(chǎn)業(yè)鏈有了直觀了解。在這個(gè)黑產(chǎn)鏈里，技術(shù)提供者和其提供的軟件位于產(chǎn)業(yè)鏈最上游，它們從兩個(gè)方面體現(xiàn)對(duì)產(chǎn)業(yè)鏈的統(tǒng)治力：一是偽造設(shè)備硬件信息實(shí)現(xiàn)多開(kāi)的改機(jī)工具，沒(méi)有改機(jī)工具，惡意注冊(cè)不具備實(shí)施性；二是輔助自動(dòng)化操作的群控和按鍵精靈軟件，沒(méi)有自動(dòng)化，惡意注冊(cè)無(wú)法擺脫高昂的人力成本。所以打擊惡意注冊(cè)，最好的辦法是能夠斬?cái)鄲阂庾?cè)黑產(chǎn)鏈最上游，從生態(tài)上擠壓惡意注冊(cè)的生存空間。

于是，我們鎖定了頭部惡意注冊(cè)工具軟件數(shù)款，并嘗試尋找突破口開(kāi)展行動(dòng)，這里就包括了“610”專(zhuān)案。

“610”專(zhuān)案并非一帆風(fēng)順。作為一款按鍵精靈軟件，它模擬人動(dòng)作操作手機(jī)的行為，更容易被理解為中立性的工具，而不是電影里破壞性很強(qiáng)的黑客工具。在推進(jìn)過(guò)程中，我們對(duì)軟件進(jìn)行了精準(zhǔn)分析，鎖定了 XXTouch 在執(zhí)行模擬輸入動(dòng)作時(shí)注入微信進(jìn)程的證據(jù)。同時(shí)，我們對(duì) XXTouch 的功能做整體驗(yàn)證，發(fā)現(xiàn)其集成有 XXTfaker 模塊，該模塊可簡(jiǎn)易化實(shí)施改機(jī)工具的功能，包括偽裝手機(jī)信息、GPS 信息功能。簡(jiǎn)而言之，在不考慮效果的情況下，XXTouch一款軟件已經(jīng)做到惡意注冊(cè)除IP更改外的所有環(huán)節(jié)技術(shù)提供，在其看似中立的偽裝下，實(shí)際上為惡意注冊(cè)黑產(chǎn)配備了全套武器。

最終在遼寧公安的大力推動(dòng)下，打擊覆蓋“下游微信惡意注冊(cè)養(yǎng)號(hào)人員——中游腳本開(kāi)發(fā)人員——上游軟件開(kāi)發(fā)人員”的全鏈條。該案批捕嫌疑人 11 名，涉及 5 省 9 市，查獲公民個(gè)人信息 2015 萬(wàn)余條，扣押、凍結(jié)涉案資金人民幣 240 余萬(wàn)元。 

惡意注冊(cè)微信公眾號(hào)案件詳情

有了這一次良好合作，我們繼續(xù)配合遼寧在惡意注冊(cè)領(lǐng)域開(kāi)展專(zhuān)項(xiàng)打擊行動(dòng)，打掉了一個(gè)惡意注冊(cè)微信公眾號(hào)、販賣(mài)給下游團(tuán)伙假冒客服進(jìn)行詐騙的犯罪鏈條。

這個(gè)案子的作惡手法圍繞惡意注冊(cè)微信公眾號(hào)的行為，從犯罪分工上看：一是軟件開(kāi)發(fā)，惡意注冊(cè)團(tuán)伙委托開(kāi)發(fā)了批量注冊(cè)微信公眾號(hào)的軟件。

二是批量注冊(cè)，注冊(cè)團(tuán)伙先購(gòu)買(mǎi)大量某易數(shù)字郵箱，導(dǎo)入軟件批量注冊(cè)公眾號(hào)，并通過(guò)購(gòu)買(mǎi)、或者誘騙的方式，獲取個(gè)人信息進(jìn)行公眾號(hào)綁定。這里要說(shuō)明的是，基于注冊(cè)微信個(gè)人賬號(hào)和公眾號(hào)的邏輯不同，公眾號(hào)的批量注冊(cè)只能半自動(dòng)化。

三是詐騙犯罪，公眾號(hào)被售賣(mài)至下游詐騙團(tuán)伙，用以發(fā)布虛假商家客服電話(huà)，引誘用戶(hù)撥打，再實(shí)施詐騙。

大家可以看到，互聯(lián)網(wǎng)產(chǎn)品形態(tài)不同，導(dǎo)致實(shí)施惡意注冊(cè)的方式，以及利用惡意注冊(cè)的產(chǎn)出實(shí)施的犯罪也有所不同。尤其在案例中我們看到了嫌疑人購(gòu)買(mǎi)某易數(shù)字郵箱的行為，這些郵箱就涉及到某易郵箱的惡意注冊(cè)，一類(lèi)惡意注冊(cè)的產(chǎn)出變成另一類(lèi)惡意注冊(cè)的原料。此外，還包括其他支付工具和打車(chē)軟件等，不同平臺(tái)賬號(hào)的注冊(cè)手法，以及后續(xù)跟進(jìn)的互聯(lián)網(wǎng)犯罪，都可以單獨(dú)列出詳細(xì)研究討論。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。