长亭百川云 - 文章详情

“黑灰产”干活就像搭积木!蚂蚁集团发布年度反诈治理研究报告(附全文下载)

天书奇坛TFT

73

2024-07-14

大家好!

当前,围绕电信网络诈骗犯罪已经形成一个门类齐全、分工明确、协作紧密的生态产业链。几乎所有与之相关联的网络犯罪,都“依附”在了这条产业链上。

蚂蚁集团近期发布了《2022年电信网络诈骗治理和技术应用研究报告》,第二部分对网络黑灰产的最新趋势进行了刻画,指出这些产业“促进”或“助推”电信网络诈骗犯罪,披上了“黑灰”的色彩,而产业“聚沙成塔”的效应,为社会秩序带来规模性、集聚性的威胁与挑战。

一、黑灰产生态的“积木”趋势

(一)领域“垂直”:黑灰产生态日益走向成熟

电信网络诈骗犯罪已经发展至分工明确、人员专业、链路复杂的生态产业,各类黑灰产业融贯其中,形成一条链条化的产业体系。随着电信网络诈骗犯罪及其黑灰产的升级发展,链条上的犯罪领域更加分明,分工更加精细,黑灰产专注在各自擅长的垂直领域中深耕发展。围绕诈骗犯罪实施,整个犯罪链条分为上、中、下游,由不同的团伙、个人分工从事。具体来说,上游链条为中游的诈骗犯罪提供各种工具资料、技术支持等,下游链条则为中游诈骗实施所骗取的财产进行转移、变现或提供交易通道,领域“垂直”化成为电信网络诈骗黑灰产业发展的显著趋势。

(二)功能“兼容”:自由布局搭建犯罪平台

随着分工专业化和精细化,整个犯罪链条分化为多个犯罪模块。其中,上游链条相对稳定形成“账号”“引流”“通讯”和“技术”等模块,下游主要是“洗钱”模块。各模块内部又可分化为一个个更小的子模块,以“账号”模块为例,至少包括“恶意爬虫”“批量注册”“职业解封”和“养号”等子模块。一方面,这些黑灰产模块犹如一块一块的“积木”,兼容性和复用性强,模块与模块之间临时或长期组合成“一对一”“一对多”“多对多”的协作关系,“拼接”形成完整的电信网络诈骗“产业”链条。另一方面,犯罪分子可以购买所需要的黑灰产“积木”自由组合,构筑成不同形态的网络犯罪生产“机器”,这些庞大的“机器”不停地运转,犹如附骨之疽潜藏在社会的阴暗角落。

(三)组织“松散”:产业链达成潜规则的默契

黑灰产生态“积木”化推动犯罪组织结构松散化的升级转型。相较于传统犯罪组织紧密的架构,可随时替换黑灰产模块搭建起来的犯罪组织关系纽带薄弱,一方面模块与模块之间结构松散,各个模块都为多个犯罪组织服务,对彼此的具体行为“心照不宣”或“漠不关心”。另一方面在“长链路”犯罪中,部分模块的直接服务对象很可能并非该链路终点的下游犯罪,而是作为中间环节的预备或帮助行为,如给电信网络诈骗犯罪的“引流”环节提供互联网接入、服务器托管、网络存储等技术帮助。模块与模块之间、成员与成员之间结构松散,这一产业特征使得各环节的主观意思联络和客观行为连接性降低,但是却又紧密为电信网络诈骗等犯罪服务。

二、黑灰产模块的“技术”趋势

(一)技术“中立”:技术服务模块伪装“向善”

技术化是电信网络诈骗及其黑灰产业发展的必然趋势,通过专业技术的投入,电诈团伙能够自动高效地收集筛选潜在被害人信息、对抗监管部门和电信网络平台持续升级的监管风控措施、防范黑灰产业竞争对手“黑吃黑”的技术攻击等。随着黑灰产“积木”化趋势凸显,各黑灰产模块实施的行为也被更精细划分,每个独立黑灰产模块都专注在更微观的领域,黑灰产技术的研发目的和用途的不法性更加模糊,部分技术甚至同时服务合法用途,黑灰产以“中立”面目更加肆无忌惮地为犯罪提供帮助。黑灰产模块的技术化趋势提升了犯罪的专业化程度,看似高精尖的电信网络诈骗犯罪,门槛大大降低。

(二)运营“集约”:拉动黑灰产业提速增效引擎

技术模块为其他黑灰产模块提供技术支持和作案工具,尤其是集约控制技术设备和服务黑灰产的出现,大大提升电信网络诈骗犯罪效率,为犯罪提供隐匿身份、规避风控、集约控制等便利条件。如在手机卡、银行账户、互联网用户账号实名制背景下,个人信息以及各类“实名非实人”的虚假账号成为电信网络诈骗犯罪的首要“生产资料”,形成了需求最庞大的细分黑灰产,单点收集快递物流、纸质票据、社交动态等泄露的个人信息已经远远不能满足需求。为更高效地批量获取个人信息,黑灰产利用“恶意程序”突破和绕过目标计算机信息系统的安全防护措施,侵入并批量获取目标系统内的数据。甚至出现将“恶意程序”嵌入手机主板后销售给“老人机”手机生产商,实时对这批手机进行控制,获取“老人机”用户的个人信息。此外,群控技术还广泛地应用于批量发信息、打电话等场景,帮助电信网络诈骗犯罪进行推广引流,为黑灰产运营集约化注入动力。

(三)表面“合规”:犯罪活动披上合法外衣

值得注意的是,黑灰产业已经从“技术对抗”向“司法对抗”升级,黑灰产为干扰监管部门对违法犯罪的识别,“表面”上开始呈现出“合规化”趋势。尤其是法律技术模块的出现帮助黑灰产业规划布局形式合规、规避调查,一些基础服务黑灰产平台因为长期服务下游违法犯罪,被各地执法司法机关要求协助调查,已制定标准化流程应对,并反映到日常业务流程设计中,甚至组建起自己的法务团队。黑灰产通过专业法律支持,识别合规风险,注重留下“合规”痕迹,为未来可能的调查、诉讼布局抗辩空间,成为电信网络诈骗犯罪黑灰产对抗司法的新趋势。

三、黑灰产手法的“跨域”趋势

(一)据点“出海”:跨境犯罪滋生偷渡产业链

随着国内电信网络诈骗犯罪打击升级,犯罪“出海”趋势开始加剧,黑灰产首要分子基于网络互联互通,通过网络跨境操纵犯罪组织运转,犯罪行为突破现实中时间和地域的制约。黑灰产内部不同层级、成员之间往往远隔山海、不曾谋面,平时仅通过网络以代号、暗语等方式联系,加大了对电信网络诈骗犯罪及其黑灰产的打击难度。顺应“跨境”化趋势,已经发展出专门为赴境外实施电信网络诈骗犯罪活动提供偷渡帮助的“黑色旅行团”产业。公安机关开展“断流”行动,即是通过斩链条、断通道,挖“金主”、打“蛇头”,向招募人员赴境外实施电信网络诈骗犯罪发起凌厉攻势。

(二)场所“隐秘”:平行网络空间的阴暗角落

随着国内对网络空间管控的成熟,黑灰产交流互动的场所被逐渐压缩。黑灰产开始更多地通过暗网论坛、匿名通讯工具等开展“业务沟通”。通过暗网论坛实施违法犯罪的形式复杂多样,以茶马古道平台为例,平台中的门类包括出售服务、出售数据、出售实物、求购数据等等,十分齐全,给黑灰产群体提供了极大便利,而数据是暗网交易的重要商品之一。暗网中交易的数据种类多样,其中以博彩和公民身份信息占比最大,金融行业也是信息泄露的重灾区。在即时通讯方面,除了使用虚假账号在境内社交平台进行交流,黑灰产使用Telegram、Potato等“端到端”加密的通讯工具进行沟通成为趋势。上述软件一般具有通讯加密、阅后即焚等功能,使用群体庞大。值得注意的是,这些通讯软件均制定了相关监管措施和举报渠道,通讯加密、阅后即焚等功能也符合通讯需求,只是由于被黑灰产恶意利用,才成为滋生犯罪的温床。

(三)信息“壁垒”:跨行业、跨平台流窜作案

随着单一监管部门、电信网络平台的监管、风控措施不断升级,电诈团伙转而寻求通过利用不同行业、不同平台之间的信息不对称或者信息壁垒进行犯罪。近几年,虚拟币行业完成迸发式生长,随之相伴,在虚拟币全球监管生态尚未完善建立的情况下,犯罪分子利用虚拟币的特性,将其作为“洗钱”工具。虚拟币洗钱充分利用不同行业、不同平台之间的信息不对称或者信息壁垒进行资金跨域转移,如犯罪分子利用社交软件或电话进行沟通,通过银行卡或支付平台支付法定货币,再通过虚拟币交易平台转移虚拟币,相关平台运营主体利用自有的数据难以对交易中的沟通、法定货币支付、虚拟币转移等各个环节的行为进行关联。利用社交、电商、游戏、银行、电信等不同行业、平台间信息不互通的特性,跨行业、跨平台流窜作案极有可能成为未来的主流手法。

来源:蚂蚁集团《2022年电信网络诈骗治理和技术应用研究报告》

全文下载请点击原文链接

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2