哪里可以薅羊毛（羊毛可以薅什么意思）

（东方IC/图）

2018年，公安机关破获了全国最大的一起非法买卖公民个人信息案件，一共缴获了50亿条公民的个人信息，这相当于每个人的数据被卖了3遍。这些数据从哪里来？

2019年1月20日凌晨，因为一个过期的优惠券漏洞，中国电商平台拼多多被“薅羊毛”，一个黑灰产团伙薅走了其价值数千万元的平台优惠券。互联网公司平台上聚集了海量用户和海量数据，这既是它们财富的源头，也是麻烦的源头。

在刚刚过去的2018年，数据泄露的数量动辄以千万、亿为单位，互联网公司们深感切肤之痛。谷歌决定在2019年关闭其社交平台Google+，Facebook则至今未能完全走出因剑桥分析公司丑闻而爆出的用户数据泄露漩涡。骚扰电话屡禁不止，网络诈骗新手法层出不穷，网络用户们或多或少也都在遭遇数据泄露的困扰。

网络黑灰产借助新的技术手段不断升级进化，像是常年盘踞网络社会上空的乌云。更让人担忧的是，那些被泄露出去的数据持续在暗网、黑市中不断被交易、流通、整合，又成为饲养下一轮新型网络犯罪的原料。

“互联网犯罪，利益太大、成本太低，是全世界的治理难点。”腾讯守护者计划法律专家张宝峰对南方周末记者表示，破坏规则远比设立规则容易得多。

黑产源头的隐身人

2019年1月18日，腾讯云与智慧产业事业群（CSIG）公布了一组打击网络犯罪的年度数据，2018年腾讯“守护者计划”协助公安机关开展各类网络黑灰产打击行动，协助公安机关共计破获案件145件，抓获人员超过3200人，涉案金额超过110亿元。平均一起案件涉案超过7500万元，网络黑灰产的暴利可见一斑。

以前面提到的拼多多为例，平台漏洞不是普通用户能够轻易发现，普通用户即使发现了，也不至于在短时间内套现千万元，技术推手隐身其后。

在各类网络黑灰产的背后隐藏着一群人，他们为各类网络黑灰产提供源源不绝的技术和资源，如IP号段、手机号码、软硬件设备等，使得各类违法犯罪活动门槛更低。他们可以说是网络黑灰产的源头。

绝大部分网络犯罪都是通过网络账号来进行。互联网公司都有各自的账号管理标准和要求，通过各种线上安全治理手段，对不符合使用要求的账号进行停止、封禁等处罚。各类互联网违法犯罪为了隐匿身份、持续开展犯罪活动，需要源源不断的账号供应，于是有了恶意注册。

恶意注册，已经从最早期的自给自足式的纯手工注册，逐渐发展为通过恶意注册软件实现工具批量注册，随着专业注册团伙登台，它又独立发展成为网络黑灰产的上游产业。

恶意注册养号工作室哪里可以薅羊毛，在与互联网平台对抗的猫鼠游戏中不断技术升级，已经形成专业分工，为各种网络犯罪提供精准服务。比如，有些专门提供注册短信收发服务，有些提供批量邮件注册，有些提供批量微信公众号注册。

腾讯“守护者计划”安全专家杨建介绍说，技术提供者及其提供的软件位于产业链最上游，他们主要通过伪造设备硬件信息实现多开的改机工具，辅助自动化操作的群控和按键精灵软件，实现对恶意注册产业链的统治力。

以2018年7月辽宁警方破获的一起恶意注册案件为例，它的源头是一款叫做“XXTouch”的软件，表面上看这是一款按键精灵软件，即通过脚本制作，可以模拟人的动作操作手机，通常被认为是一款中立性的工具。

腾讯技术团队发现，XXTouch在执行模拟输入动作时注入微信进程，这个软件集成了XXTfaker模块，可以伪装手机信息、GPS信息功能，为恶意注册中除IP更改外的所有环节提供技术，在其看似中立的伪装下，实际上为恶意注册黑产配备了全套武器。

比如，恶意注册软件篡改GPS，它可以把手机定位在全国各地，以美女头像诱惑附近陌生人加好友，之后通过批量操作讨要红包、推荐股票、贩卖色情视频等来骗取钱财，甚至通过免费赠送礼品，诱骗用户填写个人信息进行售卖或骗取运费赚取差价获利。

上游软件开发人员、中游脚本开发人员、下游微信恶意注册养号人员，完成了恶意注册黑产的全链条，它还可以继续向下拓展，形成网络诈骗产业链。

辽宁警方破获的另一个诈骗案例显示，这个产业链又可以分解为三个环节：软件开发，恶意注册团伙委托开发了批量注册微信公众号的软件；批量注册，注册团伙购买大量邮箱地址，导入软件批量注册公众号，并通过购买或者诱骗的方式，获取个人信息进行公众号绑定；诈骗犯罪，公众号被售卖至下游诈骗团伙，用以发布虚假商家客服电话，引诱用户拨打，再实施诈骗。

新技术，新犯罪

杨建坦言，无论技术对抗，还是刑事打击，都无法从根源上解决恶意注册这一黑产难题。恶意注册软件在黑产圈普及，导致恶意注册工作室的开设门槛极低，一次警方行动可以打掉一个地区的一批团伙，但其他地区又会有新的团伙如雨后春笋般冒出来。他自己也感受到，最近一年来，恶意注册黑产本身也发生了天翻地覆的变化，今年积累的技战法不一定适用于明年的战场。

除了前面提到的利用恶意注册实施网络犯罪，一些线下灰色、黑色产业也搭上互联网技术的快车转移到线上，传播速度更快，传播手法不断推陈出新，不断衍生出新型犯罪行为，并呈现公司化、平台化、产业化的趋势。

2018年9月28日，腾讯配合浙江杭州警方打掉了一个传播淫秽色情漫画的团伙“喵喵漫画”。这一团伙注册成立了多家公司专门来运营淫秽色情漫画，搭建漫画网站，从境内外的漫画网站上通过付费下载以及技术手段来获取淫秽色情漫画，接着通过各类小说、电影、游戏等推广平台来推广其网站，做用户引流。通过免费放开两张漫画浏览的方式，诱导用户进行会员注册、充值。从网站上线到被公安抓获，短短4个月时间平台上就聚集了近900万用户。

“喵喵漫画”并非个案，这个行业已经形成了完整的产业链，包括淫秽色情漫画的源头，像付费下载和技术破解团队，以及境内漫画编辑翻译团队和境内漫画网站搭建团队，当然还有负责推广引流的团伙，直至最后专门运营色情漫画的团伙。

除了漫画为载体的网站，淫秽色情黑产还采用了聚合云播平台的新技术。

2017年9月，山东警方打掉了当时全国最大的互联网色情云播平台——月光宝盒云播平台。

这是一款聚合类的云播软件，应用云存储技术实现在线播放哪里可以薅羊毛，同时它又通过付费推广和技术破解的手段将国内较大的色情直播平台都聚集到一起，采取类似“快播+直播”的内容运营模式，用户在这个平台上注册会员以后，按照月、季、年的方式缴纳会费，就可在平台上观看色情直播和淫秽视频。

色情类云播平台形成了完整的产业链。运营团伙负责整个平台管理运营、联系互联网灰黑服务商，互联网灰黑服务商主要负责违法违规产品的开发和建设，推广引流团伙在各大网站、论坛、群组对这个平台进行引流和推广，中介负责招募、培训涉黄主播，抽取利润分成。

甚至，2015年被证监会明令禁止的场外配资，也在互联网上找到了新土壤。有人参照股票配资交易系统HOMS原理，一方面研发交易软件以私人账户对接券商系统，另一方面通过网络平台向大量散户提供分仓及配资服务，在全国范围内开展非法经营股票期货配资。

还有些公司，通过购买的网络交易软件开设网络投资交易平台，搭建虚拟交易环境，发展二级代理商，推广引流，欺骗用户在交易平台开户，进行农产品、证券、贵金属、原油等商品现、期货交易或二元期权交易。

这类网络交易平台往往私设服务器，采取行情平台与市场接轨、交易平台内部循环的方式运行，通过交易平台后台数据调控、修改，指导用户反向操作、刷单等方式，给用户造成巨大经济损失。不少网络金融犯罪团伙藏身境外，警方出境打击这类犯罪的成本也越来越高。

相当于每个人的数据被卖了3遍

2018年12月29日，中国互联网协会召开手机APP收集和使用用户个人信息情况专家评议会，通过技术检测以及用户举报发现，14款APP存在过度收集用户个人信息、未经用户同意收集使用用户个人信息等问题。

这些非法收集情况很多个人用户不以为意，但背后暗藏风险。

2018年，公安机关破获了全国最大的一起非法买卖公民个人信息案件，一共缴获了50亿条公民的个人信息，这相当于每个人的数据被卖了3遍。这些数据从哪里来？

黑市交易的公民个人信息来源主要有三类，一是黑客非法获取的批量登陆论坛、网站等的账号密码信息；二是一些企、事业单位因为管理不当，或者以牟利为目的信息过度采集，内鬼为牟利售卖；三是民众安全防护意识不够，被钓鱼网站、钓鱼wifi、小礼品扫二维码等泄露了个人信息，对方获得信息不一定直接做坏事，但是会在收集之后转手出售。

尤其是一些小型信贷类APP，收集了最齐全的用户信息，包括身份证号码、姓名、收入、户籍、工作、出行、物流、开房、快递、购物记录等等信息，他们却通常在安全防护上力度不够，很容易被黑客拖库，黑客再通过论坛账号密码撞库，A网站和B网站的信息整合，可以拼凑出更全的信息，很多重合的信息都可以对接。

一些打着大数据公司旗号的中间商，通过整合、清洗，把个人信息做更精准的整合。诈骗团伙购买整合后的信息，实施诈骗。

有了这些精准信息，诈骗者对受害者了如指掌，甚至比身边的朋友更了解受害者。

黑市交易的个人信息采集已经不局限于国内软件，它们已经开始利用暗网、境外软件做集成化、批量化的数据收集整合，对外付费使用，提供非常完整的产业链条。比如，在腾讯协助江苏警察破获的全国首例跨境案件中，上游犯罪集团已经转移到东南亚，国内只是作为黑产销售渠道。