雷鋒網(wǎng)編者按：1 月 18 日，雷鋒網(wǎng)宅客頻道受邀參加騰訊安全年度媒體溝通會，騰訊安全除了宣布2019年的年度計(jì)劃外，將溝通會的下半程交給了騰訊守護(hù)者觀察計(jì)劃團(tuán)隊(duì)，披露了該團(tuán)隊(duì)2018年十大經(jīng)典案例。其中，鮮少在媒體露面的騰訊微信安全風(fēng)控中心專家楊建披露了其在 2018 年協(xié)助警方打掉的惡意注冊專案詳情。以下為楊建發(fā)言，雷鋒網(wǎng)編輯整理。

文|微信安全楊建  

起因

我在騰訊的工作主要是圍繞各類網(wǎng)絡(luò)黑產(chǎn)的打擊和研究。我們發(fā)現(xiàn)，在各類網(wǎng)絡(luò)黑產(chǎn)的背后隱藏著一群人，他們?yōu)楦黝惥W(wǎng)絡(luò)黑產(chǎn)提供源源不絕的技術(shù)和資源，如 IP 號段、手機(jī)號碼、軟硬件設(shè)備等，幫助他們更低門檻地從事各類違法犯罪活動(dòng)。以下我要分享的守護(hù)者團(tuán)隊(duì)協(xié)助警方破獲惡意注冊專項(xiàng)打擊系列案件，就是團(tuán)隊(duì)過去一年里在黑產(chǎn)源頭治理的探索和成效。

隨著互聯(lián)網(wǎng)隨著時(shí)代在生活中的不斷融入，絕大多數(shù)的公民除了擁有社會屬性的身份外，還往往會擁有各個(gè)網(wǎng)絡(luò)平臺不同的網(wǎng)絡(luò)身份，這些網(wǎng)絡(luò)身份對應(yīng)的，就是各大互聯(lián)網(wǎng)公司的網(wǎng)絡(luò)賬號。

互聯(lián)網(wǎng)時(shí)代流量為王。所謂流量，就是一個(gè)個(gè)賬號的聚沙成塔。因?yàn)榱髁康闹匾裕鞔蠡ヂ?lián)網(wǎng)公司對于賬號管理都有各自的標(biāo)準(zhǔn)和要求，對于不符合使用要求的賬號，平臺通過各種線上安全治理手段，對這些賬號進(jìn)行停止功能、封禁等處罰。

因此，對于各類互聯(lián)網(wǎng)違法犯罪行為來說，一個(gè)號被停掉部分功能或封禁，勢必對其從事違法犯罪行為產(chǎn)生影響，故而賬號的消耗對團(tuán)伙來說是一個(gè)常態(tài)化動(dòng)作，為了確保他們的違法犯罪行為持續(xù)進(jìn)行，必須有源源不斷的賬號提供，這個(gè)生產(chǎn)賬號的過程，就是惡意注冊的現(xiàn)實(shí)存在依據(jù)。

在互聯(lián)網(wǎng)犯罪初期，由于平臺的線上治理手段相對初級，賬號的損耗不大，故這些黑產(chǎn)團(tuán)伙一般純手工注冊，自給自足。

隨著線上手段升級，傳統(tǒng)的自給自足無法滿足團(tuán)伙需要，專業(yè)注冊團(tuán)伙登上黑產(chǎn)歷史舞臺，在與互聯(lián)網(wǎng)平臺線上策略多年的對抗中，惡意注冊模式不斷進(jìn)化，技術(shù)不斷迭代，終于發(fā)展成為現(xiàn)如今產(chǎn)業(yè)鏈上中下游高度獨(dú)立，對抗技術(shù)全面，工具專業(yè)的黑色產(chǎn)業(yè)。用一句話總結(jié)就是：技術(shù)手段驅(qū)動(dòng)產(chǎn)業(yè)升級，專業(yè)分工提供精準(zhǔn)服務(wù)。

今天分享的惡意注冊專項(xiàng)打擊系列案件，是 2018 年騰訊配合遼寧省公安廳分別就惡意注冊上游工具軟件和惡意注冊公眾號發(fā)起的專案打擊。本次專案主要包括兩起案件，包括圍繞惡意注冊上游工具軟件XXTouch的“610”專案和惡意注冊微信公眾號以及其衍生下游詐騙犯罪鏈條的打擊案件。

XXTouch的“610”專案已有媒體報(bào)道，所以今天我給各位講講沒在新聞稿上出現(xiàn)的內(nèi)幕。

“610”專案

在此案之前，我們已經(jīng)配合了多起惡意注冊養(yǎng)號工作室的打擊，但因?yàn)閻阂庾攒浖诤诋a(chǎn)圈普及，導(dǎo)致惡意注冊工作室的開設(shè)門檻極低，一次集群行動(dòng)可以打掉一個(gè)地區(qū)的一批團(tuán)伙，但是很可能其他地區(qū)就有新的團(tuán)伙如雨后春筍般冒出。

通過打擊，我們對惡意注冊整個(gè)產(chǎn)業(yè)鏈有了直觀了解。在這個(gè)黑產(chǎn)鏈里，技術(shù)提供者和其提供的軟件位于產(chǎn)業(yè)鏈最上游，它們從兩個(gè)方面體現(xiàn)對產(chǎn)業(yè)鏈的統(tǒng)治力：一是偽造設(shè)備硬件信息實(shí)現(xiàn)多開的改機(jī)工具，沒有改機(jī)工具，惡意注冊不具備實(shí)施性；二是輔助自動(dòng)化操作的群控和按鍵精靈軟件，沒有自動(dòng)化，惡意注冊無法擺脫高昂的人力成本。所以打擊惡意注冊，最好的辦法是能夠斬?cái)鄲阂庾院诋a(chǎn)鏈最上游，從生態(tài)上擠壓惡意注冊的生存空間。

于是，我們鎖定了頭部惡意注冊工具軟件數(shù)款，并嘗試尋找突破口開展行動(dòng)，這里就包括了“610”專案。

“610”專案并非一帆風(fēng)順。作為一款按鍵精靈軟件，它模擬人動(dòng)作操作手機(jī)的行為，更容易被理解為中立性的工具，而不是電影里破壞性很強(qiáng)的黑客工具。在推進(jìn)過程中，我們對軟件進(jìn)行了精準(zhǔn)分析，鎖定了 XXTouch 在執(zhí)行模擬輸入動(dòng)作時(shí)注入微信進(jìn)程的證據(jù)。同時(shí)，我們對 XXTouch 的功能做整體驗(yàn)證，發(fā)現(xiàn)其集成有 XXTfaker 模塊，該模塊可簡易化實(shí)施改機(jī)工具的功能，包括偽裝手機(jī)信息、GPS 信息功能。簡而言之，在不考慮效果的情況下，XXTouch一款軟件已經(jīng)做到惡意注冊除IP更改外的所有環(huán)節(jié)技術(shù)提供，在其看似中立的偽裝下，實(shí)際上為惡意注冊黑產(chǎn)配備了全套武器。

最終在遼寧公安的大力推動(dòng)下，打擊覆蓋“下游微信惡意注冊養(yǎng)號人員——中游腳本開發(fā)人員——上游軟件開發(fā)人員”的全鏈條。該案批捕嫌疑人 11 名，涉及 5 省 9 市，查獲公民個(gè)人信息 2015 萬余條，扣押、凍結(jié)涉案資金人民幣 240 余萬元。 

惡意注冊微信公眾號案件詳情

有了這一次良好合作，我們繼續(xù)配合遼寧在惡意注冊領(lǐng)域開展專項(xiàng)打擊行動(dòng)，打掉了一個(gè)惡意注冊微信公眾號、販賣給下游團(tuán)伙假冒客服進(jìn)行詐騙的犯罪鏈條。

這個(gè)案子的作惡手法圍繞惡意注冊微信公眾號的行為，從犯罪分工上看：一是軟件開發(fā)，惡意注冊團(tuán)伙委托開發(fā)了批量注冊微信公眾號的軟件。

二是批量注冊，注冊團(tuán)伙先購買大量某易數(shù)字郵箱，導(dǎo)入軟件批量注冊公眾號，并通過購買、或者誘騙的方式，獲取個(gè)人信息進(jìn)行公眾號綁定。這里要說明的是，基于注冊微信個(gè)人賬號和公眾號的邏輯不同，公眾號的批量注冊只能半自動(dòng)化。

三是詐騙犯罪，公眾號被售賣至下游詐騙團(tuán)伙，用以發(fā)布虛假商家客服電話，引誘用戶撥打，再實(shí)施詐騙。

大家可以看到，互聯(lián)網(wǎng)產(chǎn)品形態(tài)不同，導(dǎo)致實(shí)施惡意注冊的方式，以及利用惡意注冊的產(chǎn)出實(shí)施的犯罪也有所不同。尤其在案例中我們看到了嫌疑人購買某易數(shù)字郵箱的行為，這些郵箱就涉及到某易郵箱的惡意注冊，一類惡意注冊的產(chǎn)出變成另一類惡意注冊的原料。此外，還包括其他支付工具和打車軟件等，不同平臺賬號的注冊手法，以及后續(xù)跟進(jìn)的互聯(lián)網(wǎng)犯罪，都可以單獨(dú)列出詳細(xì)研究討論。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。