梁 勝

(中國人民公安大學(xué)，北京 100038)

互聯(lián)網(wǎng)從業(yè)者隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的大發(fā)展日漸增多，而網(wǎng)絡(luò)犯罪黑色產(chǎn)業(yè)(以下簡稱“黑產(chǎn)”)從業(yè)者大多從事網(wǎng)絡(luò)安全工作、懂得社會工程學(xué)，并且難以抵制自己內(nèi)心賺快錢的誘惑。在市場機(jī)制不健全和企業(yè)缺乏安全防護(hù)措施的情形之下，作為互聯(lián)網(wǎng)從業(yè)者之一的黑產(chǎn)從業(yè)者利用其自身獨(dú)具特色的專業(yè)知識，開展相應(yīng)違法犯罪活動去獲取利潤。黑產(chǎn)是形式合法但是實(shí)質(zhì)非法的行為，它是由諸多的有組織行為所組成的非法互聯(lián)網(wǎng)獲利行為的集合。由于黑產(chǎn)形態(tài)眾多，所以它在不同的行業(yè)中有不同行為表現(xiàn)。眾多的黑產(chǎn)雖然形態(tài)各異，但是其大多遵循這樣幾個步驟的實(shí)現(xiàn)路徑：獲取獲利信息—黑產(chǎn)的中介組織—變現(xiàn)的實(shí)現(xiàn)。“變現(xiàn)”是整個黑產(chǎn)的關(guān)鍵，黑產(chǎn)從業(yè)者由于獲取信息起點(diǎn)的不同而采取不同的變現(xiàn)方法，本文在聚焦個案的基礎(chǔ)之上剖析黑產(chǎn)相關(guān)特征，并提出符合黑產(chǎn)活動規(guī)律的偵查對策。

一、黑產(chǎn)發(fā)展概述以及黑產(chǎn)產(chǎn)業(yè)鏈定義

(一)黑產(chǎn)發(fā)展背景概述

互聯(lián)網(wǎng)的井噴式發(fā)展，也帶來了諸多問題。據(jù)中國信息通信研究院的互聯(lián)網(wǎng)發(fā)展報告指出：全球互聯(lián)網(wǎng)治理面臨著網(wǎng)絡(luò)平臺治理、數(shù)據(jù)流動與數(shù)據(jù)監(jiān)管、個人信息保護(hù)和網(wǎng)絡(luò)安全這四大難點(diǎn)與難題[1]。黑產(chǎn)作為互聯(lián)網(wǎng)發(fā)展的派生產(chǎn)業(yè)，具有犯罪特點(diǎn)的團(tuán)隊(duì)化、專業(yè)化，犯罪對象的不特定化，犯罪手段的多樣化等特征。當(dāng)我們在研究黑產(chǎn)作為客體事物同時，必須注意到其本身就具有一定的事物特征，例如：(1)黑客群體，呈低齡化；(2)形成組織，分工明確；(3)由暗到明，有恃無恐；(4)利益趨動，規(guī)則改變；(5)牟利方式，買賣“肉雞”[2]。這是相關(guān)研究學(xué)者對黑產(chǎn)的學(xué)理特性定義。黑產(chǎn)是寄生在互聯(lián)網(wǎng)發(fā)展的產(chǎn)物，同時伴隨各類線上線下的互聯(lián)網(wǎng)活動而存在，只要是有利潤的地方就會存在黑產(chǎn)。

(二)黑產(chǎn)定義

產(chǎn)業(yè)鏈?zhǔn)钱a(chǎn)業(yè)經(jīng)濟(jì)學(xué)中的一個概念，是指各個產(chǎn)業(yè)部門之間基于一定的技術(shù)經(jīng)濟(jì)聯(lián)系，而表現(xiàn)出的關(guān)聯(lián)關(guān)系的形象描述。產(chǎn)業(yè)鏈中大量存在著上下游關(guān)系和相互價值的交換，上游環(huán)節(jié)向下游環(huán)節(jié)輸送產(chǎn)品或服務(wù)，下游環(huán)節(jié)向上游環(huán)節(jié)反饋信息。本文借助經(jīng)濟(jì)學(xué)產(chǎn)業(yè)鏈定義分析網(wǎng)絡(luò)犯罪黑產(chǎn)。有的學(xué)者認(rèn)為：網(wǎng)絡(luò)黑產(chǎn)，是指以計(jì)算機(jī)網(wǎng)絡(luò)為工具，運(yùn)用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)實(shí)施的以盈利為目的、有組織、分工明確的團(tuán)伙式犯罪行為[3]。也有學(xué)者認(rèn)為：黑產(chǎn)是指以計(jì)算機(jī)網(wǎng)絡(luò)為工具，運(yùn)用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)實(shí)施的以盈利為目的，有組織、分工明確的團(tuán)伙式犯罪行為。它可被細(xì)分為以職業(yè)黑客為主的產(chǎn)業(yè)鏈的上游，以職業(yè)中介為主的中游，由取錢、洗錢、收卡、販賣身份證等團(tuán)伙組成的下游。以上定義都有可取之處，但新形勢下我們可做如下定義：黑產(chǎn)是指以互聯(lián)網(wǎng)終端為工具，運(yùn)用互聯(lián)網(wǎng)技術(shù)手段和其他相關(guān)手段實(shí)施以獲利為目的，有組織、分工明確的團(tuán)伙式犯罪行為。它可被細(xì)分為專業(yè)獲取信息人員為主的產(chǎn)業(yè)鏈上游，以信息傳播中介為主的中游，由取錢、洗錢、收卡、販賣信息等團(tuán)伙組成的變現(xiàn)產(chǎn)業(yè)鏈下游。這都統(tǒng)稱為網(wǎng)絡(luò)犯罪黑產(chǎn)，網(wǎng)絡(luò)犯罪黑產(chǎn)可以歸入網(wǎng)絡(luò)犯罪范疇。

網(wǎng)絡(luò)犯罪黑產(chǎn)并不是嚴(yán)謹(jǐn)?shù)姆尚g(shù)語[4]，在刑法語境下的網(wǎng)絡(luò)黑產(chǎn)應(yīng)當(dāng)是指以信息技術(shù)為工具，以互聯(lián)網(wǎng)為媒介，以獲取非法經(jīng)濟(jì)利益為目的，以非法利益交換為連接形成的多環(huán)節(jié)分工、多階層、市場化的犯罪活動[4]。當(dāng)前網(wǎng)絡(luò)犯罪黑產(chǎn)的定性已經(jīng)邁過了“罪與非罪”，走向了“此罪與彼罪”，至于說具體黑產(chǎn)行為的定罪與量刑，可以依據(jù)行為性質(zhì)不同認(rèn)定為不同的罪名，例如針對騰訊QQ的網(wǎng)絡(luò)盜號可以裁定為破壞生產(chǎn)經(jīng)營罪。黑產(chǎn)可能是行為形態(tài)各異，但是定罪量刑是不存在爭議的，本文以D企業(yè)的領(lǐng)紅包促銷事件還原黑產(chǎn)犯罪行為的過程，對其在法律意義上的相關(guān)定罪進(jìn)行分析，并著重探討網(wǎng)絡(luò)犯罪中的虛假注冊犯罪行為和偵查對策。

二、黑產(chǎn)的具體案例分析

(一)黑產(chǎn)的鏈條分析

網(wǎng)絡(luò)黑產(chǎn)的概念和范圍已經(jīng)不斷延伸和擴(kuò)大，并不再僅僅局限于病毒木馬樣式的“剪刀差”和“薅羊毛”式的獲利手段。一切地下的、不透明的互聯(lián)網(wǎng)獲利行為都可以稱之為“黑產(chǎn)”。黑產(chǎn)要實(shí)現(xiàn)“變現(xiàn)”首先要有流量的獲取，即用戶的數(shù)量，用戶的數(shù)量越多，流量也就越多，那么可以變現(xiàn)的空間或者說是可能性也就越大。而黑產(chǎn)的變現(xiàn)空間是巨大的，他們是天然生成自帶用戶流量的產(chǎn)業(yè)，通過用戶的最終變現(xiàn)獲取利潤。通過無數(shù)附帶于黑產(chǎn)上的用戶，黑產(chǎn)從業(yè)者實(shí)現(xiàn)變現(xiàn)行為，而這些獲利行為往往是非法的。本文著眼于黑產(chǎn)終端的變現(xiàn)環(huán)節(jié)來探討和研究黑產(chǎn)，從中探討黑產(chǎn)的意義所在，這也是我們探討偵查對策的焦點(diǎn)所在。

(二)D企業(yè)領(lǐng)紅包事件分析

1．D企業(yè)領(lǐng)紅包被薅羊毛事件回顧

D企業(yè)通過領(lǐng)紅包活動，迅速拓展人氣，從而增加企業(yè)的影響力并為企業(yè)帶來銷售額上升。D企業(yè)通過合法的領(lǐng)紅包促銷，而在營銷的過程中被非法“薅羊毛”，這就產(chǎn)生了黑產(chǎn)事件。通過分析我們可以發(fā)現(xiàn)，該企業(yè)被黑產(chǎn)從業(yè)者“薅羊毛”就是黑產(chǎn)從業(yè)者一次典型而具有示范性質(zhì)的行動，通過對此次事件的對比分析有助于我們理解黑產(chǎn)從業(yè)者自身行為和在法律意義上的行為，并在此基礎(chǔ)之上提出偵查對策。

2．D企業(yè)領(lǐng)紅包活動正常行為分析

D企業(yè)領(lǐng)紅包產(chǎn)業(yè)鏈如圖1所示：首先廠家通過紅包碼進(jìn)行營銷推廣活動，大量的紅包碼被投放到市場上；其次用戶通過購買活動獲得紅包碼，繼而用戶進(jìn)行兌現(xiàn)活動，最后廠家完成整個兌現(xiàn)的流程。整個過程中廠家與客戶之間的互動是完全合法合理的，廠家可以完成整個用戶推廣活動，并且擴(kuò)大企業(yè)的知名度，從而拉動整個用戶的數(shù)量和銷售數(shù)額的增長。

圖1 D企業(yè)領(lǐng)紅包正常鏈條

3．D企業(yè)領(lǐng)紅包非正常鏈條分析

D企業(yè)促銷活動由于范圍和影響力大，于是在活動開始后迅速出現(xiàn)了大量販賣相關(guān)活動碼子(CDK)的人，所謂碼子就是將二維碼轉(zhuǎn)換成的鏈接，用戶購買碼子后用互聯(lián)網(wǎng)終端點(diǎn)擊便可以領(lǐng)取紅包。對廠家而言只是生成二維碼在瓶蓋上，但是生成碼子并不是廠家自身行為，而是黑產(chǎn)從業(yè)者行為。首先一級用戶獲取碼子并承擔(dān)生成碼子的任務(wù)；然后利用各種信息獲取渠道獲取下一級的用戶分發(fā)信息，轉(zhuǎn)手分發(fā)給下一級的用戶，賺取整個黑產(chǎn)鏈條的一級利潤；隨后二級的用戶進(jìn)行相應(yīng)的兌現(xiàn)行為活動，也可以承擔(dān)中間商角色完成碼子的繼續(xù)分發(fā)并獲取二級利潤；最后三級用戶既可進(jìn)行類似二級用戶的分發(fā)行為，也可以直接進(jìn)行兌現(xiàn)；隨后也可以出現(xiàn)四級用戶，但是要考慮活動邊際成本和收入，大多用戶出現(xiàn)也只是進(jìn)行相同行為模式。每個節(jié)點(diǎn)上用戶不僅僅局限于用戶本身的節(jié)點(diǎn)，他們另外有自己的一條縱向渠道。如果把整個兌現(xiàn)活動形容成一棵樹的話，圖2只是簡化了的黑產(chǎn)分發(fā)活動的主干鏈，而每個節(jié)點(diǎn)上縱向產(chǎn)業(yè)鏈由從業(yè)者自行增添，他們會實(shí)施何種行為是由他們是一級還是二級乃至是三級的用戶的節(jié)點(diǎn)位置所決定的。

圖2 D企業(yè)領(lǐng)紅包非正常鏈條

(1)一級用戶行為模式分析。黑產(chǎn)從業(yè)者主要依靠注冊大量賬號獲取優(yōu)惠券、爭搶紅包、獎品，再通過轉(zhuǎn)賣等方式變現(xiàn)。所謂線報：就是每次相關(guān)企業(yè)促銷和兌獎等活動的信息。一級用戶獲取線報之后進(jìn)行變現(xiàn)，他們的行為與正常的用戶獲取紅包行為表面上無異，但在最后兌現(xiàn)方式選擇不兌現(xiàn)，而是將瓶蓋生成二維碼鏈接，一級用戶在整個行動中扮演了“薅羊毛者”的角色。在利益的促使下，迅速有人與碼源擁有者合作以獲取碼源，而碼源的來源有以下幾個主要渠道：一是與廢品回收站合作，低價收購瓶蓋，提取二維碼，由于“廢品碼”的碼源是不穩(wěn)定，而且不是“必中碼”，這需要投入成本去回收這些碼源，而且需要大量的試錯機(jī)會，成本是極高的。由于需要在“廢品碼”與“必中碼”之間試錯，所以很多一級用戶選擇了直接與碼源接觸。二是通過打通與廠商的關(guān)系，從生產(chǎn)瓶蓋廠商等人員處購買碼源，這類二維碼雖然碼源可能需要成本，但是碼源是精準(zhǔn)“必中碼”，較之于可能試錯之后的零利潤，這種碼源是可靠的，但是成本也往往會高一些，隨后一級用戶將二維碼一鍵生成鏈接CDK，轉(zhuǎn)手賣給二級用戶進(jìn)行兌現(xiàn)。

(2)二級用戶行為模式分析。由于兌現(xiàn)紅包的時候需要賬號進(jìn)行認(rèn)證，所以二級用戶在此次事件中主要扮演賬號掌握者的角色。目前主要可以采取手機(jī)批量注冊、養(yǎng)號等方法。其實(shí)簡單表述就是：有幾個手機(jī)號碼就有幾個注冊賬號，掌握了手機(jī)號碼就是掌握了注冊賬號，也就掌握了此次虛假領(lǐng)紅包事件最終兌現(xiàn)環(huán)節(jié)，在黑產(chǎn)中二級用戶可以選擇只擔(dān)任販賣賬號的角色，也可以選擇擔(dān)任三級用戶角色進(jìn)行直接兌現(xiàn)活動。手機(jī)卡批量注冊必然涉及另一黑卡產(chǎn)業(yè)，所以從此可以看出：某一黑產(chǎn)絕不是孤立于整個黑產(chǎn)體系的，每條鏈條或是承擔(dān)兌現(xiàn)的角色或是承擔(dān)著分發(fā)者的角色，如圖3所示。

手機(jī)黑卡、卡源卡商、貓池廠家與接碼平臺又組成了在二級用戶節(jié)點(diǎn)一條全新的為主要產(chǎn)業(yè)鏈條服務(wù)的小產(chǎn)業(yè)鏈條(如圖3所示)，二次用戶節(jié)點(diǎn)上的行為在此次活動中主要表現(xiàn)是領(lǐng)紅包，但在下次的活動中就可能扮演另一種角色。例如某外賣新用戶

圖3 手機(jī)卡黑產(chǎn)

有十幾元的首單減免，黑產(chǎn)從業(yè)者會從接碼平臺獲取手機(jī)號批量注冊，再通過下游將這些首單優(yōu)惠以一半的價格賣給需要點(diǎn)外賣的人。注冊成本是支付一毛錢給接碼平臺，收益是下游接單人的幾元到十幾元不等的收購價，而黑卡就是接碼平臺手機(jī)號的源頭。二級派生鏈分析如下：第一，手機(jī)黑卡，指黑產(chǎn)從業(yè)者手中的大量非正常手機(jī)卡。這些黑卡供給接碼平臺，用于接收發(fā)送驗(yàn)證碼，進(jìn)行各種虛假注冊、認(rèn)證業(yè)務(wù)，此次虛假領(lǐng)紅包事件也是需要進(jìn)行密碼認(rèn)證的。第二，卡源卡商，指從運(yùn)營商或者代理商那里辦理手機(jī)卡，通過加價轉(zhuǎn)賣給下游卡商賺取利潤的貨源持有者?？ㄔ粗饕校何锫?lián)網(wǎng)卡[5]、實(shí)名卡、海外卡[5]。第三，貓池廠家負(fù)責(zé)生產(chǎn)貓池設(shè)備[6]，并將設(shè)備賣給卡商使用。

(3)三級用戶行為模式分析。掌握了卡源的三級用戶，自身既可以是卡源的分發(fā)者，向四級用戶繼續(xù)分發(fā)，這就將其轉(zhuǎn)化為一個卡源中間商的角色，而對于那些沒有卡源的三級用戶而言需要的就是從二級用戶處購買卡源，支付給二級用戶相應(yīng)的費(fèi)用，最后由三級用戶通過各種信息渠道，在市面上分發(fā)或者由自己組織黑卡直接兌現(xiàn)紅包活動。以上三類用戶的行為構(gòu)成了整個黑產(chǎn)產(chǎn)業(yè)的完整產(chǎn)業(yè)鏈條，對其行為定性可做如下分析：對三個產(chǎn)業(yè)鏈節(jié)點(diǎn)從業(yè)者的共同犯罪的歸納是不具有爭議的。但依據(jù)《中華人民共和國刑法修正案(九)》(以下簡稱新《刑法修正案》)，增設(shè)的有關(guān)信息網(wǎng)絡(luò)犯罪活動罪規(guī)定：針對明知他人利用信息網(wǎng)絡(luò)實(shí)施犯罪，為其犯罪提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲、通訊傳輸?shù)燃夹g(shù)支持，或者提供廣告推廣、支付結(jié)算等幫助的行為獨(dú)立入罪。二級用戶的派生產(chǎn)業(yè)鏈從業(yè)者或者是自己參與卡源分發(fā)的卡商都在犯罪構(gòu)成上符合了幫助信息網(wǎng)絡(luò)犯罪活動罪的構(gòu)成要件。新《刑法修正案》無疑在一定程度上符合增設(shè)了有關(guān)聯(lián)關(guān)系和原來未夠定罪量刑標(biāo)準(zhǔn)的犯罪行為的豐富。另外這次虛假領(lǐng)紅包產(chǎn)業(yè)鏈的一、二、三級用戶黑產(chǎn)從業(yè)者，無疑也存在觸犯了詐騙罪的行為，根據(jù)《中華人民共和國刑法》第266條規(guī)定：詐騙罪是指以非法占有為目的，用虛構(gòu)事實(shí)或者隱瞞真相的方法，騙取數(shù)額較大的公私財(cái)物的行為。整個鏈條的黑產(chǎn)從業(yè)者利用技術(shù)手段使D企業(yè)產(chǎn)生錯誤的認(rèn)知，即：D企業(yè)認(rèn)為活動紅包是由正常用戶獲得了，但實(shí)際都由虛擬用戶獲取了，從而處置自己的用于做活動的相關(guān)財(cái)產(chǎn)。黑產(chǎn)鏈條中的部分黑產(chǎn)從業(yè)者一個行為又觸犯數(shù)個罪名，構(gòu)成想象競合，但是由于數(shù)額不夠量刑標(biāo)準(zhǔn)，所以大多裁定為幫助信息網(wǎng)絡(luò)犯罪活動罪。

三、黑產(chǎn)的特性分析

(一)鏈條性和團(tuán)伙性

黑產(chǎn)鏈條最終是變現(xiàn)環(huán)節(jié)，所以必然具有探討的空間。對于羊毛黨來說黑產(chǎn)是可以獲利的，一旦這些人嗅到了“利潤”的味道，便會利用貓池為設(shè)備基礎(chǔ)驗(yàn)證信息，群起攻擊整個企業(yè)正常的生產(chǎn)活動。他們首先通過各種線上和線下的渠道獲取線報，繼而對整個活動進(jìn)行符合社會工程學(xué)邏輯的設(shè)計(jì)。按照黑產(chǎn)的邏輯進(jìn)行設(shè)計(jì)并且最終獲取利潤，整個行為呈現(xiàn)出的是有組織、有分工的共同犯罪。他們是由有組織的犯罪團(tuán)伙構(gòu)成的，一級、二級、三級用戶以及其他派生產(chǎn)業(yè)鏈從業(yè)者之間存在犯罪信息的溝通和交流。

(二)層次性和唯一性

黑產(chǎn)的鏈條具有層次性，每一個節(jié)點(diǎn)上的人員活動順序和工作先后順序是不可替代的，存在著上游、中游和下游各個環(huán)節(jié)，每一個節(jié)點(diǎn)的人員工作內(nèi)容有著明確的分工，就像是流水線上的產(chǎn)品，每一個環(huán)節(jié)完成自己的生產(chǎn)任務(wù)并且在到達(dá)最后一個節(jié)點(diǎn)完成最終的整合，每一個節(jié)點(diǎn)上的工作內(nèi)容對于整個鏈條來說也是不可替代、具有唯一性的。如果存在可替代性便不能形成穩(wěn)定的鏈條體系，由于黑產(chǎn)的種類各異，從邏輯上來說至少在一個鏈條上存在一個關(guān)鍵的節(jié)點(diǎn)是不可替代的，這個節(jié)點(diǎn)的存在對于黑產(chǎn)是樞紐性的，起承上啟下的作用。例如此次虛假領(lǐng)紅包事件樞紐環(huán)節(jié)就是二級用戶行為中的黑卡兌現(xiàn)環(huán)節(jié)，正是這樣的兌現(xiàn)環(huán)節(jié)既實(shí)現(xiàn)紅包注冊領(lǐng)取，又向下一級用戶進(jìn)行售賣，賺取中間商的差價。這樣的兌現(xiàn)順序是唯一的。

(三)派生性和支撐性

每一個黑產(chǎn)絕不是一個簡單的鏈條分布，如果把鏈條上的主干比作一棵大樹，那么這些派生的鏈條就是地上和地下存在著的枝枝葉葉，它們從主干吸取“養(yǎng)分”，同時也向主干提供“光合作用”和地下的土壤支持，每一個鏈條的節(jié)點(diǎn)存在有一個完整的產(chǎn)業(yè)鏈條以支持這個節(jié)點(diǎn)的活動，對于二級用戶的行為就是這樣的“光合作用”。沒有二級用戶的黑卡產(chǎn)業(yè)鏈的支撐，整個虛假領(lǐng)紅包行動就完成不了，它們是從支流派生出來的，反過來支撐整個黑產(chǎn)產(chǎn)業(yè)鏈。

四、黑產(chǎn)偵查對策探討

黑產(chǎn)作為新生事物必然給公安機(jī)關(guān)在偵查策略上帶來困難，例如查緝犯罪嫌疑人、追繳賬款存在困難比較大，無法迅速、準(zhǔn)確鎖定犯罪嫌疑人、及時實(shí)施抓捕、追繳贓款等。偵查機(jī)關(guān)可以轉(zhuǎn)變偵查思路，將偵查工作的重點(diǎn)適當(dāng)?shù)剞D(zhuǎn)移到案前的防范和預(yù)判工作上，其主要工作內(nèi)容包括采取陣地控制和主動偵查兩方面[7]。案前的預(yù)防和陣地控制可以極大地減少發(fā)案的可能性，可以通過陣地控制獲取相應(yīng)的犯罪情報，這些情報來源可以是廠商、生產(chǎn)商、企業(yè)也可以是犯罪嫌疑人本身的行為所暴露出來的蛛絲馬跡。公安機(jī)關(guān)針對黑產(chǎn)采取的技術(shù)取證、預(yù)防、分析也應(yīng)當(dāng)為習(xí)慣了傳統(tǒng)偵查手段的公安機(jī)關(guān)所重視，在體制機(jī)制上構(gòu)建以“警企合作”為基礎(chǔ)的廣泛的偵查機(jī)制。

(一)采取相應(yīng)技術(shù)措施

為了防止陷入技術(shù)升級無限循環(huán)的陷阱，“以技術(shù)對抗技術(shù)”不應(yīng)該成為打擊黑產(chǎn)的必然選擇，但是在戰(zhàn)術(shù)層面的選擇上，技術(shù)不失為一種有效的選擇。較之于“第一代規(guī)則系統(tǒng)，需要對欺詐行為有深入了解；第二代設(shè)備指紋黑名單，可能被虛擬機(jī)等逃避檢測；第三代有標(biāo)簽的機(jī)器學(xué)習(xí)系統(tǒng)，需要大量人工標(biāo)注數(shù)據(jù)訓(xùn)練檢測模型”[8]。進(jìn)行人工的標(biāo)注模型，以期實(shí)現(xiàn)對黑產(chǎn)進(jìn)行提前分析和預(yù)防。傳統(tǒng)的欺詐檢測方法，如規(guī)則引擎、設(shè)備指紋、有監(jiān)督機(jī)器學(xué)習(xí)、半監(jiān)督機(jī)器學(xué)習(xí)，都有一個共同的局限性，需要在攻擊發(fā)生后，根據(jù)已知攻擊模式和樣本，檢測未來的攻擊。吳中認(rèn)為，這就是他們提出無監(jiān)督學(xué)習(xí)系統(tǒng)的初衷之一——在沒有標(biāo)簽的情況下，提前阻止未知欺詐?，F(xiàn)有許多企業(yè)和網(wǎng)絡(luò)商業(yè)團(tuán)體都建立了自己的黑產(chǎn)對抗團(tuán)隊(duì)，例如威脅獵人就建立了自己的黑產(chǎn)情報預(yù)警團(tuán)隊(duì)用于商業(yè)用途。較之之前的傳統(tǒng)反欺詐手段，企業(yè)在安全對抗上確實(shí)更進(jìn)一步，因?yàn)樗麄兇_實(shí)是對黑產(chǎn)感受最深者也是受害最深者。

公安機(jī)關(guān)應(yīng)當(dāng)充分擔(dān)當(dāng)起為經(jīng)濟(jì)建設(shè)保駕護(hù)航的責(zé)任，充分利用現(xiàn)有的技術(shù)手段開展偵查取證，不僅僅是傳統(tǒng)的人證、物證，公安機(jī)關(guān)還應(yīng)當(dāng)充分強(qiáng)化涉及黑產(chǎn)從業(yè)者的關(guān)鍵物證，例如電子證據(jù)的搜集和整理。公安機(jī)關(guān)應(yīng)當(dāng)加強(qiáng)對活動過程的管控，對兌現(xiàn)的用戶行為模式進(jìn)行實(shí)時分析，防止黑產(chǎn)從業(yè)者乘虛而入。

(二)偵查策略的整體性

通過對上述黑產(chǎn)特性的分析可知，正是層層鏈條上的小的黑卡黑產(chǎn)支撐起了整個黑產(chǎn)鏈條。由于黑產(chǎn)人員眾多、關(guān)系復(fù)雜，我們假設(shè)在此次案件中只是簡單地抓了幾個涉案嫌疑人，追回企業(yè)損失，但是這些節(jié)點(diǎn)上的每一個小黑產(chǎn)存在一定的組合性，除了會再犯類似的案件外，還可以和其他類型黑產(chǎn)案件形成組合獲取新的生存空間。所以筆者認(rèn)為要斬?cái)喔鱾€節(jié)點(diǎn)產(chǎn)業(yè)鏈對主干產(chǎn)業(yè)鏈的支持，先剪掉其枝葉后斷其主干。另外要做到偵查打擊的突然性，即：查打一體化。

針對此次黑產(chǎn)事件帶來的影響，公安機(jī)關(guān)必須強(qiáng)化陣地控制：一是針對一級用戶而言斷其源碼渠道，碼源渠道中的企業(yè)內(nèi)部人員泄密的問題，企業(yè)應(yīng)當(dāng)加強(qiáng)內(nèi)部人員的整頓，申明紀(jì)律作風(fēng)，對泄露企業(yè)商業(yè)秘密的員工予以處理，可以減少企業(yè)內(nèi)部泄露商業(yè)秘密的風(fēng)險。二是對二級用戶而言，就其擔(dān)負(fù)的中間商的角色，主要是黑卡的產(chǎn)業(yè)鏈渠道和傳遞兌現(xiàn)信息的作用。三是從黑卡的層面來說，分析的結(jié)果來看可以從貓池廠家和卡源卡商處著手。對貓池廠家也要進(jìn)行相應(yīng)的陣地控制，一切的交易活動都要合理合法，貓池廠家的交易記錄也是犯罪情報信息的來源處。對于貓池廠家而言一切的交易記錄要登記在冊，這對于陣地控制的追查是十分有利的，即何人于何時何地購買貓池設(shè)備，用于何用途。同時對于非法生產(chǎn)貓池設(shè)備的廠家要予以依法取締，對于已經(jīng)流通到市面上的貓池設(shè)備要強(qiáng)化追繳和用途管理。對卡源卡商強(qiáng)化管控，尤其是對上述的三類卡源的管控，對物聯(lián)卡要強(qiáng)化物聯(lián)卡企業(yè)端的管控，對以虛假的企業(yè)注冊來冒領(lǐng)物聯(lián)卡的僵尸企業(yè)要予以依法取締，真正將物聯(lián)卡用在該用的地方。對于海外卡，要堅(jiān)持源頭治理，對入境的海外卡要積極與運(yùn)營公司開展合作，對相應(yīng)的號段予以取締。同時對海外卡的入境渠道加強(qiáng)管控力度，與海關(guān)和邊檢以及快遞物流行業(yè)加強(qiáng)合作，對入境的海外卡從源頭進(jìn)行斷絕。

五、結(jié)語

我們只有深刻剖析“黑產(chǎn)”才能從本質(zhì)上理解黑產(chǎn)，才能探討應(yīng)對以“黑產(chǎn)”為代表的網(wǎng)絡(luò)犯罪的偵查對策。通過黑產(chǎn)與正常行為模式之間的對比去理解黑產(chǎn)的產(chǎn)業(yè)鏈條，了解黑產(chǎn)產(chǎn)業(yè)的自然演進(jìn)和活動的規(guī)律。正常行為與黑產(chǎn)行為之間在操作模式上對比將有利于我們?nèi)グ盐蘸屠斫夂诋a(chǎn)虛擬用戶之間的行為和溝通聯(lián)系模式，進(jìn)而探討偵查的策略與方法。除此以外對于黑產(chǎn)本身的各個鏈條的渠道分析，有利于我們尋找打擊對策，由于黑產(chǎn)的鏈條是鏈?zhǔn)降?，鏈上的各個節(jié)點(diǎn)之間可能會存在不同的替代方案，但是由于黑產(chǎn)鏈條的單一性與一維性，雖然可以產(chǎn)生諸多的變種方案，但是只要堅(jiān)持以技術(shù)打擊為輔助、強(qiáng)調(diào)偵查對策整體性打擊、構(gòu)建警企業(yè)合作平臺、強(qiáng)化陣地控制和采取源頭治理就必然可以有效防治黑產(chǎn)。