如何打击互联网黑灰色产业链犯罪：我总结了6个关键点

之前写的一篇文章关于打击跨境网络赌博犯罪，我们如何侦查？我的建议和想法

前言    

打击新型涉网犯罪是当前互联网治理的重要任务，各个领域的专家和政府部门都在积极探讨打击黑灰产的方法和措施。  

为了打击网络黑灰产，笔者提供了6个技术方向的措施：信息支撑技术支撑资金清算网络推广人才招聘管控措施。  

同时为了更好的传授相关经验，笔者同相关业界专家准备一场分享交流会，孵化更多科技公司，加入到这场战斗中，助力默默前行的个人与企业，造福这个生态圈。

分享干货内容+企业降本增效方法。报名方式请看文尾。  

打击网络黑灰产需要各个部门和人员共同合作，采取多种手段和措施。我们每个人都应该积极参与到打击黑灰产的行动中，共同维护互联网的安全和稳定，为社会的发展和进步做出贡献。  

采取以下手段，能够有效地打击网络黑灰产，维护社会公共安全和市场经济秩序，保护个人权益和隐私。  

具体内容

1.网络黑灰产的信息支撑  

1.1银行卡四件套（老问题）  

黑产传播路径：开卡/收卡人->开卡头目->（开卡渠道）->代理商->黑产人员  

1.2手机黑卡和物联网卡（老问题）  

获取途径：

主要通过卖物联卡店、运营商代理商进行大量购买，少部分不法分子钻了运营商实名认证的空挡，进行批量购买并实名验证；  

常用于途径：

收发短信，批量注册账号，4G上网实施犯罪，批量买卡筹建猫池。

更多依靠断卡行动牵带，落地案件要从上至下打击，触及到核心的链，其次就是追踪问题，     

处置方法

物联网查询与封停主要还是根据办案机关递交的材料，对物联网卡进行涉案IP，端口，卡号，和关联设备IMEI码，并反串该上网设备关联的其他网联网卡号。

同时提交材料可以获取到：

归属电信局，经办人，号码，imei,msi,客户单位，责任人，使用人等信息。

1.3、代理池，流量精灵(痛点)  

这些代理池的厂商一般有以下几种业务：  

混拨（ADSL动态ip）、专拨（固定ip）、云手机（手机云控）、动态秒拨VPS服务器（用来搭建应用）。  

线路：  

产品：  

技术打击思路：  

技战法：  

1、通过实际案件获取到这类平台地址，寻找特性，制定规则，用流量系统和爬虫系统定期获取数据。  

2、加强在这些节点网络上的侦控，有条件下在这些节点网络上装安全探针。  

1.4多卡宝、Goip(痛点)  

GOPI工具的优势：

部署简单

建立双向通话，增加信任率，易饶过检测，后端隐蔽，

这类盒子一般的对外链接协议有:http、sip、https、ntp、icmp、tcp、udp 

里面常见的工具：猫池，2G短信嗅探，四件套，移动AP，voip,BadUSB,大菠萝，伪基站。

通过很多前期的工作和信息收集，我们找到一些特征可以来定位：  

通过协议端口信息：  

抓包分析：  

有个特征是某款多卡宝产品硬件imei 都是86642904开头的。盒子联网后会通过TCP协议发送一个含有IMEI信息的数据包到目标服务器)  

通过系统可以查询到

打击此类案件，我们可以做的几个手法：  

1、网络层面的数据包有特征可用去流量系统筛选、

2、大部分这类设备会连接原厂服务器，可让原厂商协查、 

3、加强这些盒子厂商的网络安全法宣传，要履行网络安全管理义务、

4、以帮助网络犯罪打击这类提供盒子的厂商    

国内的电诈窝点，最大问题是网络部分；通讯都是（手机黑卡和物联网卡），犯罪人员频频换卡、换窝点。

侦办的警方因为属地或资源问题，没办法及时协调到数据（话单、计费账单、IMEI、上网行为、基站位置、GPS位置）。

需要督促相关盒子厂商，履行网络安全监管义务，记录更多的内容信息。

1.5 黑经济虚拟账号（老问题）

让相关互联网公司加强风控机制，强化警企联动。

黑灰产收款除了四件套，还有微信、支付宝、拼多多、直播平台等账号贩卖，特别是我们发现很多拼多多的账号贩卖，犯罪分子用来洗钱；因为微信和支付宝风控严格限额，拼多多成本不高且一个账号能跑10来万额度。

黑灰产传输途径：开号/收号人->开号头目->代理商->黑产人员

推广渠道有：

即时通讯、SEO、暗网。

建议：更多依靠情报机构，对设备指纹进行监控，让互联网大型企业接入SDK，提取出风险账号进行周期查封，行程固定性流程。

1.6、机场和翻墙代理资源（老问题）  

网络共享订阅

现状：犯罪分子经常用来当跳板，很多是用现成的机场(翻墙线路)，有的是通过淘宝或其他渠道购买线上vps主机当跳板。  

处置办法：  

1、获取大量机场免费和收费节点的ip归属地+ip+端口+协议，有条件在这些中转节点网络上装安全探针、  

2、通过收集大量机场订阅地址和代理节点，境外vps厂商特征，与传统上网流量匹配，证书匹配，dns流量匹配、  

3、在协议层面可以识别出常用翻墙协议和VPN协议（SS、SSR、v2ray、vmess、Trojan、OpenVpn、L2tp）、  

4、在协议层面可以识别出辖区常态ip经常用未知协议或加密协议连接境外去白名单后的ip    

1.7、云服务、DNS解析、CDN (痛点)  

现状：国内常见的提供商有：阿里云、腾讯云、华为云、知道创宇、蓝汛、西部数码、网宿科技、唯一网络、南昌邦腾科技 等等。

云服务、CDN、DNS解析的监管非常不严谨。  

处置办法

1、网络犯罪是一种常态，全网识别黑灰产ip和域名，并反查出一年内这类信息dns解析，IDC或云归属地，CDN情况，同ip下的网站、  

2、找出当地辖区的CDN节点和ip代理节点，加强对他们的网络安全法的宣传，让他们履行网络安全监管义务。   

1.8二级IDC机房管理欠缺     

现状：

在发达城市的二级IDC中，有大量的托管业务、多级代理商和加速业务（CDN或加速节点），因此仅靠传统的IDC台账备案是无法落实实名制的。

这些业务的存在给网络安全带来了极大的隐患。例如，如果没有有效的实名制管理，黑客和犯罪分子就可以轻易地使用虚假身份注册并使用这些服务，从而实施各种网络犯罪活动，包括窃取个人信息、攻击网站和网络敲诈等。

处置办法：

为了有效防范和打击网络犯罪，应采取以下措施：

1. 对二级IDC加强检查力度。要求二级IDC自行对相关业务或多级代理商进行自查，一旦发现问题应予以严厉惩罚（未履行网络安全管理义务）。

2. 在条件允许的情况下，可以在机房内部署探针系统，对抽样流量进行检查，以查明是否存在非法信息。

3. 要求这些业务的使用者必须提供真实身份信息，并对身份信息进行验证。

1.9、黑虚拟账号（老问题）  

出售带好友的账号、出售养了半年以上的老号、出售群组、出售被黑客批量盗号的账号。还有一种方法是通过群呼养号，然后转手，保证号码的活跃度不会被拉黑。

处置方法：

让相关互联网公司加强风控机制，强化警企联动。  

2网络黑灰产的技术支撑  

2.1、代码和开发团队  

市面上还存在不少售卖源代码的网站  

提供开发支持    

还有专业的包网服务 （只需要每个月交月租和自行推广拉客，盘口、后台、支付、技术支撑，一条龙解决）  

处置方式：

1、定期更新并获取各类源码，并将相应的规则流量梳理出来。

2、识别并打击提供黑产代码的网站和人员。 

3、通过各种渠道寻找专业开发团队，并与公安机关配合使用技术手段梳理出这些团队及购买该团伙服务的人员，

4、梳理出包网的特征和基础架构，并制定规则以在全网识别。

2.2 黑客团伙    

处置方法  

根据具体事件的特征来全网识别；51la、cnzz、百度统计、木马特征、SEO特征和盘口特征等等、通过积累到的黑客攻击ip资源和黑客扫描攻击特征形成规则并联动现场处置。  

案例：我们这两年在全省范围内发现了上千起黑帽SEO事件，并协助有关部门现场处置了20余起；

发现了一个全国最大的黑帽SEO团伙，常年累月入侵各省互联网公司、党媒、政府网站，还有央媒。  

网络黑灰产的资金清算  

3.1三方支付与传统四方支付  

通过对黑产网站的四方支付进行：频繁抓包、网络攻防、网络流量特征提取等手法，可提取出三方支付的商户号与流水订单号    

收集到主要商户信息编号  

盘点支付接口属性 

处置方法：  

黑产团伙容易被掐脖子。如果发现了三方支付接口，冻结只进不出，”前功尽弃“。 

3.2四方支付跑分平台  

承兑商的平台，卖家的脏钱购买U套现，脏币通过散户发散出去，商家成了二头都吃的中间商，这对中心化交易所杀伤力很强。

四方数据的请求包  

一般的架构：有平台方、有码商、有出码人，出的码包括微信、支付宝、拼多多、京东、QQ钱包、云闪付。  

码商是在2.5（黑经济虚拟账户）的基础上形成的，卖卡、卖号的成为了码商，催生了新的产业链。这种模式有效的降低了传统三方支付会被溯源和冻结的风险，让鸡蛋装到不同的篮子里，大大的提高了黑灰产资金的稳定性。  

4.3虚拟币跑分平台  

一般的虚拟币跑分平台架构：兑换商（原来的码商）、”四方虚拟币平台（接黑产平台）”、“三方虚拟币平台”。和传统跑分平台的区别在于码商成了兑换商，此团伙一般是独立存在的，专门兑换（洗钱）。一般用USDT，等价美元汇率比较稳定。  

码商变成了虚拟币兑换团伙。进钱出币，出钱进币，更难追踪！  

针对这种跑分平台确实没有什么好的办法，但是有一些比较笨的办法：  

梳理出相关详细特征，  

网络黑灰产的网络推广  

4.1代理商  

代理商人群：跨界互充、微商、手握客户资源的人、有流量和资金的人群。  

很多赌博和色情的团伙来互充手上客源，也有不少微商推广各类黑灰产包括枪支和弓弩；很多网络黑产都是(代理/家族)控制住下面的会员，比盘口的危害性更大！  

刷流水、刷流量团伙，涉及到（四件套） 、（代理池和流量精灵）、（黑经济虚拟账户）、（黑虚拟账号）内容。  

4.2量发（老问题）  

渠道有：短信量发、邮箱量发、IPhone日历和IPhone相册，有现成成熟的工具或平台。  

点评：大力出奇迹，笨办法效果不差。  

4.3狗推

狗推一般涉及到的内容：交友APP或网站、各大即时通讯、购买有粉丝的账号或者群组

需要2.3（代理池）和2.9（黑虚拟账号）的支撑。

点评：

很多警情都是因为聊天被骗，还是老话：“大力出奇迹，笨办法效果不差”。

4.4、SEO资源  

不少团队专门自己买域名和服务器做站点来生成SEO内容，让各大搜索引擎收录；

有的团队会克隆一些党媒站点、政府站点、网站权重高的站点的页面，并在页面里面加上自己的暗链内容，让各大搜索引擎收录；

我们在省内发现有境外黑产团伙收买流量权重高的网站管理员，每个月出3~20万不等的费用，让他们把域名解析改到指定的服务器上，然后推广相关黑产暗链。  

处置办法  

据具体事件的特征来全网识别，域名购买注册、dns解析、同ip下的域名、证书、SEO特征、统计地址等等。  

5网络黑灰产的人才招聘  

人才招聘

网络平台介绍  

处置这种人才招聘环节：  

简历公司筛查:

各大简历公司筛查：

黑产的HR也会去招聘网站收取简历，面试会在境内公司，工作地点一般在境外。

不少人员在发布的简历里面有境外工作经验。

不少的黑产官网和广告区域会留下招聘联系方式。

警务数据：

从警务数据里面定期筛选45岁以内频繁出入东南亚的人（越南、柬埔寨、泰国、菲律宾、马来西亚、新加坡），再进一步筛选名下资金和资产异常的人

黑产猎头：

有专业的猎头公司招聘境外黑产人员

还有专业的平台招聘境外黑产人员。

6网络黑灰产的管控措施    

有影响力的网络犯罪离不开五大支撑，只有把各环节作为阵地，形成有效抓手，才能治理好网络犯罪。  

6.1摸索产业链形成“池子捞鱼”模式  

1、发现黑灰产、预警受害人、及时封堵有害内容、打击帮助网络信息犯罪的单位、打击产业链、管控未履行网络安全管理义务的单位。  

2、在大案要案和部督、省督案件出现的时候，就需要多方资源共同作战，需要外面公司技术协助，要啃硬骨头  

3、在常态建设和日常巡检的工作里，还是要运用好自身的系统、资源、技术、思路，耕耘好自己的一亩三分地  

6.2低投入高产出的系统  

经过两年多的研究和实际案例应用，我们对各类犯罪有沉淀不少技战法，形成了规则模型做成了系统。可以在固网、4G网络、IDC机房可采用抽样分光技术，仅需抽取整体机房的1-2%流量进行部署。  

具体架构图  

目前系统有显著效果，获得不错的评价。  

6.2.1规则和数据的来源， 有意思的技战法  

结合现有的警情数据和警务系统，再配合网络数据分析、源代码分析、规则模型训练、攻防技术支撑、网络爬取。除了传统黑灰产的识别、预警受害人、抓取代理和管理员和财务和前台的账号信息，  

我们还有一些有意思的技战法：CDN和代理节点的识别、 ip多域名的识别、 异常域名的识别、 黑产常用供应链的识别、 流量里面筛选去白名单后的境外ip和域名、 黑产常见区ip段访问记录和域名 、  

可以和运营商DNS解析、公共DNS服务商、权威DNS服务商、工信、通管结合，及时封堵有害内容。  

 

6.3行政管理-监管处罚  

结合相关警种，要相关政企做好有效的数据留存，对未履行网络安全管理义务的单位进行行政处罚；对帮助网络信息犯罪的单位进行刑事打击。  

帮信罪  

总结

本文介绍了笔者在日常处置中遇到的一些黑灰产的打击经验跟总结。

---

科技公司如何赋能主力公安，打击涉网新型犯罪交流会

如果您正在打击网络黑灰产业链中身单力薄，缺乏同行者的支持，不知道如何处置案件，缺乏一个好的商务模式，我们可以为您提供帮助！

为了更好地传授相关经验，我们与业界专家一起策划了一场分享交流会，旨在帮助更多的科技公司加入这场战斗。

助力个人和企业，共同打击网络黑灰产业链的存在，维护网络安全和稳定。

在这场交流会上，您将有机会与来自业界的专家进行深入的探讨和交流，掌握最新的案件处置思路和商务模式，提高对网络黑灰产的认知和应对能力。

无论您是刚刚起步的初创公司，还是经验丰富的行业老手，我们都欢迎您的参加！

不要再让网络黑灰产业链在暗中作恶，让我们一起行动起来，让网络空间更加清朗和安全！

PS：本次交流会为科技公司交流会，暂不接单公职人员。

原文始发于微信公众号（安全女巫）：如何打击互联网黑灰色产业链犯罪：我总结了6个关键点