北京朝阳区的群众非常知名，因为他们曾协助警方破获多起大案、要案，因此被网友称为“朝阳群众”。而在打击黑产方面，同样有一股不逊于朝阳群众的神秘力量——腾讯安全反诈骗实验室，他们以技术为矛，专攻黑产之盾，曾令洗钱团伙亏到不敢"接单"。 

而随着互联网的快速发展，近年来屡屡出现规模达到亿级的黑产案件，如“暗夜攻击小组”等DDoS攻击系列案、9·27特大窃取贩卖公民个人信息专案，大众对黑产的关注度也越来越高。今天就为大家起底网络黑产“一夜暴富”背后的真相。 

黑产是什么？ 

黑产是黑色产业的简称，广义上包括贩毒、高利贷、网络诈骗等行业，狭义上是指非法利用病毒木马来获得利益的一个行业，现在提到黑产一般指狭义上的黑产。黑产一般有交易链，通常在搜索引擎搜索不到、一般人也难以进入的暗网进行大规模交易，也会在私人网站或者交易论坛进行交易。 

黑产在做什么？ 

黑产利用病毒木马非法盗取或者通过机构泄密人员购买他人身份证号、手机号、游戏帐号、邮箱、家庭住址等私人信息，以及被盗者家庭成员的上述隐私，甚至包括所养宠物的信息，然后进行非法贩卖。具体如下： 

1、非法获得大量用户账户和密码数据。获取的方式可以是通过黑客手段攻击一些网站，或者向一些非法人员购买，一般价格是每10万条50-100元。 

2、验证账户和密码数据的准确性，这个过程一般被叫做“晒密”。晒密最常见的方式是“撞库”，即通过专门的软件或程序批量访问邮箱、社交软件等。经过撞库晒密后获得的有效数据，价格会更高，一个账户能卖到1.2-1.5元。 

3、利用账户和密码数据获得更多用户信息，进行敲诈、勒索等诈骗操作。经过晒密并进一步获得的用户精准信息，价格往往更高，非法利润是驱动黑产的主要因素。 

黑产会经过多重洗劫，比如游戏帐号密码会先将该帐号的装备金币等进行折现或者转移，然后再卖给下一个买家，经过再处理后再销售。 

黑产有哪些技术手段？ 

对于黑产分子来说，“晒密”技术难度很大，阻力在于平台的安全策略，最常见的是验证码和IP限制。举例来说，验证码包括数字、文字、图形，甚至需要拖拽操作等更高难度的验证方式，用以区分人或机器行为。IP限制包括诸如同一个IP在一定时间范围内只能登录一次或者几次，或者仅限指定区域用户登录等措施。 

为突破网站的安全策略，在黑产中出现了打码平台和秒拨动态IP服务。 

1、打码 

软件黑产商售卖几十种甚至上百种撞库软件，此类软件一般都集成有“打码”功能，通过链接到打码平台实现对验证码的识别破解。打码平台往往采用人工智能深度学习技术训练机器，使其有效识别字符、图片等验证码，大幅提升验证码的破解率。对于极其复杂、机器难以操作的情况，打码平台还提供基于众包的人工打码解决方案，发展大量网赚人员，以人工方式识别验证码。 

（图：基于分布式AI神经网络的验证码识别破解系统） 

2、秒拨 

秒拨动态IP黑产服务的背后，是可调用全国甚至国外的ADSL宽带动态IP资源，面向非法分子的界面只要通过简单配置，就可以实现IP的自动切换、秒级切换、断线重拨、清理COOKIES缓存、虚拟网卡（MAC）信息、多地域IP资源调换等服务，规避网站的限制策略。 

（图：秒拨”动态IP客户端界面（可实现按秒拨号的IP跳变）） 

当黑产人员获得了一批用户名和密码信息后，通过打码平台和秒拨服务就可以突破大部分网站的安全策略，获取更多个人隐私信息，造成更大的安全威胁。因为存在恶意商家竞争需求、黑产分子妄图牟取暴利等，秒拨动态IP服务得以快速发展，甚至在电商平台上堂而皇之地售卖。 

除了在互联网领域对商家及个人造成危害以外，黑产还会威胁国家网络安全。市面上大部分动态IP黑产服务商，都有桥接境外多个国家的服务器、云主机等国际网络链路资源，能够接入境外服务器，用境外IP访问非法网站、发布非法信息，包括访问暗网、国际信用卡CVV盗刷、境外帐号作恶等多种场景。 

3、薅羊毛 

电商平台放出优惠券和优惠码，或者红包奖励，以此进行拉新或促销，往往限制一个IP仅能参加一次领券活动。此时有黑产人员通过机器方式突破IP限制大量参与活动，用非法批量注册的帐号获取优惠券，这种行为被称为“薅羊毛”，这些人被叫做“羊毛党”。 

4、违规刷量 

电商平台的商家为了获得某些权益寄希望于商品刷单，一些自媒体为获得在客户眼中的所谓影响力要进行阅读刷量，第三方刷单刷量人员都会采用到动态IP服务规避平台限制策略。 

除了上述使用率高、覆盖面广、技术门槛比较低的四种手段外，近年来还出现了控制肉鸡挖矿、勒索病毒解密等新兴黑产作案手段。同时，黑产表现出向移动端迁移、与区块链等新兴技术相结合的特点，打击黑产之路仍然任重道远。 

君子爱财取之以道，要知道，所有挣大钱的方法，都写在了刑法里。等待这些作恶黑产的，最终将是法律的制裁。