微信披露:恶意注册微信账号团伙是如何被打掉的?
雷锋网编者按:1 月 18 日,雷锋网宅客频道受邀参加腾讯安全年度媒体沟通会,腾讯安全除了宣布2019年的年度计划外,将沟通会的下半程交给了腾讯守护者观察计划团队,披露了该团队2018年十大经典案例。其中,鲜少在媒体露面的腾讯微信安全风控中心专家杨建披露了其在 2018 年协助警方打掉的恶意注册专案详情。以下为杨建发言,雷锋网 (公众号:雷锋网) 编辑整理。
文|微信安全杨建
起因
我在腾讯的工作主要是围绕各类网络黑产的打击和研究。我们发现,在各类网络黑产的背后隐藏着一群人,他们为各类网络黑产提供源源不绝的技术和资源,如 IP 号段、手机号码、软硬件设备等,帮助他们更低门槛地从事各类违法犯罪活动。以下我要分享的守护者团队协助警方破获恶意注册专项打击系列案件,就是团队过去一年里在黑产源头治理的探索和成效。
随着互联网随着时代在生活中的不断融入,绝大多数的公民除了拥有社会属性的身份外,还往往会拥有各个网络平台不同的网络身份,这些网络身份对应的,就是各大互联网公司的网络账号。
互联网时代流量为王。所谓流量,就是一个个账号的聚沙成塔。因为流量的重要性,各大互联网公司对于账号管理都有各自的标准和要求,对于不符合使用要求的账号,平台通过各种线上安全治理手段,对这些账号进行停止功能、封禁等处罚。
因此,对于各类互联网违法犯罪行为来说,一个号被停掉部分功能或封禁,势必对其从事违法犯罪行为产生影响,故而账号的消耗对团伙来说是一个常态化动作,为了确保他们的违法犯罪行为持续进行,必须有源源不断的账号提供,这个生产账号的过程,就是恶意注册的现实存在依据。
在互联网犯罪初期,由于平台的线上治理手段相对初级,账号的损耗不大,故这些黑产团伙一般纯手工注册,自给自足。
随着线上手段升级,传统的自给自足无法满足团伙需要,专业注册团伙登上黑产历史舞台,在与互联网平台线上策略多年的对抗中,恶意注册模式不断进化,技术不断迭代,终于发展成为现如今产业链上中下游高度独立,对抗技术全面,工具专业的黑色产业。用一句话总结就是: 技术手段驱动产业升级,专业分工提供精准服务。
今天分享的恶意注册专项打击系列案件,是 2018 年腾讯配合辽宁省公安厅分别就恶意注册上游工具软件和恶意注册公众号发起的专案打击。 本次专案主要包括两起案件,包括围绕恶意注册上游工具软件XXTouch的“610”专案和恶意注册微信公众号以及其衍生下游诈骗犯罪链条的打击案件。
XXTouch的“610”专案已有媒体报道,所以今天我给各位讲讲没在新闻稿上出现的内幕。
“610”专案
在此案之前,我们已经配合了多起恶意注册养号工作室的打击,但因为恶意注册软件在黑产圈普及,导致恶意注册工作室的开设门槛极低,一次集群行动可以打掉一个地区的一批团伙,但是很可能其他地区就有新的团伙如雨后春笋般冒出。
通过打击,我们对恶意注册整个产业链有了直观了解。在这个黑产链里,技术提供者和其提供的软件位于产业链最上游,它们从两个方面体现对产业链的统治力: 一是伪造设备硬件信息实现多开的改机工具,没有改机工具,恶意注册不具备实施性;二是辅助自动化操作的群控和按键精灵软件,没有自动化,恶意注册无法摆脱高昂的人力成本。 所以打击恶意注册,最好的办法是能够斩断恶意注册黑产链最上游,从生态上挤压恶意注册的生存空间。
于是,我们锁定了头部恶意注册工具软件数款,并尝试寻找突破口开展行动,这里就包括了“610”专案。
“610”专案并非一帆风顺。作为一款按键精灵软件,它模拟人动作操作手机的行为,更容易被理解为中立性的工具,而不是电影里破坏性很强的黑客工具。在推进过程中,我们对软件进行了精准分析,锁定了 XXTouch 在执行模拟输入动作时注入微信进程的证据。同时,我们对 XXTouch 的功能做整体验证,发现其集成有 XXTfaker 模块,该模块可简易化实施改机工具的功能,包括伪装手机信息、GPS 信息功能。简而言之,在不考虑效果的情况下,XXTouch一款软件已经做到恶意注册除IP更改外的所有环节技术提供,在其看似中立的伪装下,实际上为恶意注册黑产配备了全套武器。
最终在辽宁公安的大力推动下,打击覆盖“下游微信恶意注册养号人员——中游脚本开发人员——上游软件开发人员”的全链条。该案批捕嫌疑人 11 名,涉及 5 省 9 市,查获公民个人信息 2015 万余条,扣押、冻结涉案资金人民币 240 余万元。
恶意注册微信公众号案件详情
有了这一次良好合作,我们继续配合辽宁在恶意注册领域开展专项打击行动,打掉了一个恶意注册微信公众号、贩卖给下游团伙假冒客服进行诈骗的犯罪链条。
这个案子的作恶手法围绕恶意注册微信公众号的行为,从犯罪分工上看:一是软件开发,恶意注册团伙委托开发了批量注册微信公众号的软件。
二是批量注册, 注册团伙先购买大量某易数字邮箱, 导入软件批量注册公众号,并通过购买、或者诱骗的方式,获取个人信息进行公众号绑定。这里要说明的是,基于注册微信个人账号和公众号的逻辑不同,公众号的批量注册只能半自动化。
三是诈骗犯罪,公众号被售卖至下游诈骗团伙,用以发布虚假商家客服电话,引诱用户拨打,再实施诈骗。
大家可以看到,互联网产品形态不同,导致实施恶意注册的方式,以及利用恶意注册的产出实施的犯罪也有所不同。尤其在案例中我们看到了嫌疑人购买某易数字邮箱的行为,这些邮箱就涉及到某易邮箱的恶意注册,一类恶意注册的产出变成另一类恶意注册的原料。此外还包括其他诸如某宝、某滴注册等,不同平台账号的注册手法,以及后续跟进的互联网犯罪,都可以单独列出详细研究讨论。
。