阿里成立網絡特工隊 對抗40萬黑色產業鏈“從業者”

　　這里匯集了“從良”的知名黑客、網安精英、刑偵專家……

　　揭秘阿里“網絡特工隊”

　　黑色產業鏈“從業者”超40萬人，“年產值”超1100億

　　《中國經濟周刊》 記者 孫冰 | 北京報道

　　阿里巴巴集團(BABA.N)中最低調、最神秘的部門，非阿里巴巴安全部莫屬，內部稱其為阿里“神盾局”。這個從事“神秘”業務的部門一直非常低調，極少對外發聲。但是，它卻是保障全球最龐大電子商務生態系統安全的“網絡特工隊”，也是保障“雙十一”、“紅包大戰”順利進行的幕后功臣，每天都服務著數億消費者和商家。

　　“要聽與黑客進行正邪大戰的故事?那太多了，因為每天都在進行。”阿里巴巴移動安全部負責人陳樹華在接受《中國經濟周刊》記者獨家專訪時說，他是阿里聚安全、錢盾產品創始人，也是國內最早的一批移動安全專家之一。

　　在陳樹華看來，黑客并不可怕。“過去我們面臨的安全問題只是來自于一個或者幾個黑客，他們‘作惡’的動機也往往只是為了證明自己的技術能力;而今天，我們要面對的則是一個龐大的黑色產業鏈，他們受巨額利益回報所驅動。”他說。

　　“神盾局”藏龍臥虎，與淘寶等主營業務同等級別

　　阿里巴巴集團移動安全部成立于2005年，主要職責包括保護知識產權，即打假;保護賬戶安全，主要防止虛假注冊和盜號;保護交易安全，主要防止交易欺詐、惡意差評、敲詐勒索和炒信;保護信息安全和禁限售排查;保護隱私防止信息泄露;保護數據安全;大數據風控等。

　　在阿里巴巴內部，“神盾局”被視為是一個大神匯聚的存在，這里藏龍臥虎，磨鐵、蒸米、潘愛民……這些都是在安全界響當當的名字，雖然對于大眾來說比較陌生。“他們特別像金庸小說里的掃地僧，是絕頂高手但江湖無名，一般人甚至連他們的真名都不知道。”一位“神盾局”的“小特工”告訴《中國經濟周刊》記者。當然，其中也有知名黑客“從良”變身為“白帽子”，那就更為神秘了，你甚至可能都不知道他其實也是“神盾局”的。

　　此外，神盾局中還有20多位原公檢法系統的刑偵、經偵專家和網安、網監精英，比如徐平，他曾從警16年，是國內著名的刑偵專家，他加入阿里后，已協助警方打擊處理千余名網絡犯罪嫌疑人;也有法律專家，數量有數十位之多;以及外語天才，他們“潛伏”在團隊里，保護著阿里巴巴在全球各地的交易安全。

　　“阿里巴巴安全部是一個完整的集團部門，級別與天貓、淘寶屬于一個地位，在BAT當中，只有阿里巴巴是這樣的。這種組織結構就表明安全是被放在阿里巴巴戰略的最高級別來做的，和主營業務是一個高度，對于阿里來說，‘安全就是業務’。”陳樹華說。

　　攻擊短板是現在黑色產業鏈的重要思路

　　不提升整個行業的安全能力，沒有人能夠真正保護自己

　　“傳統的安全廠商主要是解決內網問題，但現在的安全問題已經沒有邊界了，沒有城墻可以守了。即使你的信息安全了，但如果其他平臺出現泄密，黑客用這個數據去撞庫，一樣會使得你的賬戶安全受到影響。這兩年大量的事件已經證明了這一點。比如某郵箱出現賬號密碼泄露，其他公司的安全問題都隨之上升。”陳樹華說。

　　因為用戶在不同的平臺，信息和數據是有關聯性的，黑色產業鏈操作者只要攻破最弱的一個環節，就可以通過“撞庫”突破其他環節。比如很多用戶是使用同一組用戶名和密碼去注冊不同互聯網平臺的，淘寶、京東、網易郵箱、微信、攜程、美團，也會有一些小網站和不太知名的App。而黑色產業鏈人員會先去攻擊那些安全防范相對薄弱的小網站，竊取賬戶信息和密碼之后，再用其去其他網站不停地嘗試登錄，這樣即使大公司的安全再嚴密，黑色產業鏈還是有機可乘。

　　再比如說，很多人以為自己不安裝、不使用支付寶，資金就安全了，其實不然。有些黑色產業鏈分子會通過手機木馬竊取你的手機驗證碼，然后幫你注冊一個支付寶，綁定你的銀行卡后，盜取你賬戶里的資金。當然，針對這種行為，支付寶已經有了應對方案。

　　但作為用戶，專家也提醒：一是務必安裝手機安全軟件，長時間收不到短信及電話，馬上檢修手機;二是不要輕易點擊來歷不明的鏈接，防止中了木馬;三是不要透露短信驗證碼，轉賬前一定要電話確認，尤其是大額轉賬。

　　“這個和木桶原理類似，攻擊短板是現在黑色產業鏈的重要思路。所以，如果不能幫助整個行業提升安全能力，沒有人能夠真正保護自己。”陳樹華透露，也正是基于此，安全不再分你我，2016年，阿里巴巴會對全行業開放和大規模輸出自己的安全能力。

　　“比如某電商算是阿里巴巴的競爭對手，但現在這家電商企業正在使用的就是阿里巴巴提供的安全服務。我們沒有任何盈利指標和KPI考核，主要還是希望全行業能夠有一個好的商業環境。”陳樹華說。

　　“黑產從業者”超過了40萬人，“年產值”超過1100億

　　在互聯網上購物、訂餐訂票，用手機支付代替銀行卡和現金，這樣的方式方便、高效、實惠，但還是會有人因為安全問題而望而卻步。把我的身份信息留存在網上會被泄露嗎?手機遺失了，“手機里的錢”會不會被偷?而事實上，類似案例不時見諸報端，甚至發生在身邊。

　　類似這樣狗血的短信你或許也曾收到過。“這是我們的聚餐照片，趕快去看哦”、“這是您小孩的成績單”、“您的銀行密碼出現異常，請盡快修改密碼”、“這是我和你老公的開房視頻”……其實這些看起來仿佛是親友、老師、銀行客服發來的“重要”短信背后隱藏的是一個個手機木馬病毒，千萬不要點擊。

　　當記者向一位安全專家請教“應該如何提示普通用戶保護自己的信息安全”時，他說：“很多媒體希望我們做一些提示，但是每當我們公布一類犯罪分子的不法行為的時候，都是一把雙刃劍。這是因為會有更多的不法分子知道，原來還可以這樣!于是，案例公布之后，反而會出現類似事件更大范圍地發生的后果，這種情況不止一次發生過。”

　　據不完全統計，目前中國網絡黑色產業鏈的“從業者”已經超過了40萬人，依托其進行網絡詐騙產業的從業人數至少有160萬人，“年產值”超過1100億元。可以說，網絡黑色產業鏈的商業化已經非常成熟，組織也相當嚴密。

　　他們虛假注冊賬號，用來發布推廣信息，很多分類信息網站充斥著大量水軍發送的這類消息，將有價值的信息淹沒其中，甚至實施詐騙和銷售假貨;他們盜取賬戶，進行刷單、炒信、惡意差評、敲詐勒索。比如，本來一兩百元的視頻網站會員，有人5元、10元在兜售;他們還盜取賬戶中的虛擬財產和真實貨幣，比如，通過手機病毒截取驗證碼，盜刷用戶銀行卡……

　　但這些還不是全部。除了黑客攻擊、盜取賬號、釣魚網站……這些典型的網絡違法犯罪行為之外，還有一些游走在法律邊緣的灰色產業也正在大規模蔓延。陳樹華舉例說，很多黑色產業鏈從業者盜取用戶信息用來注冊垃圾賬號，只是用來刷榜或者散發推廣信息，龐大的“僵尸粉”產業鏈就是一例，但根本沒有法律能夠處罰他們，或者處罰力度很小。

　　有業內人士透露，互聯網黑色產業與灰色產業相互交織特點相當明顯，產業規模保守估計過千億元，社會危害性巨大，亟待立法、執法、司法有效應對。“黑色產業鏈并不是一家或幾家公司就能夠對抗的，而是需要全行業、全社會共同努力。但至少要有人作為先行者，阿里希望做這個事情。”陳樹華說。

　　“由于強大的利益驅動，黑色產業鏈的反應速度非常快，對新技術手段的敏銳度非常高，一旦有了突破，就可能瞬間賺取大量的錢。因此，在與黑色產業鏈的斗爭中，傳統安全更多處于防守位置，都是黑色產業鏈有動作了，再進行快速反應。但現在借助大數據，我們就有能力做前置化的預防工作了。”陳樹華說，在“雙十一”之前，阿里巴巴就做了大量的模擬攻擊。

　　阿里巴巴移動安全部負責人陳樹華

　　2016年將是黑色產業鏈的“移動元年”

　　移動支付領域，作案者多為15至25歲的無業年輕人

　　隨著移動互聯網的普及，尤其是物聯網、智能化時代的到來，網絡安全正在進入全新的時代，安全專家與黑客之間“道高一尺、魔高一丈”的正邪較量也因此在不斷升級。

　　2015年年初，騰訊曾針對網絡黑色產業鏈進行了一次全面調研，并發布了首份《網絡黑色產業鏈年度報告》，該報告披露，在移動支付安全領域，目前已逐漸形成一條分工明確、作案手法專業的黑色產業鏈，犯罪團伙具有很強的區域聚集性，分布在二三線城市，主要為年齡介于15至25歲之間的無業年輕人，他們在移動互聯網領域里能夠很敏銳地察覺到斂財的機會，主要瞄準網上購物、網絡銀行、網絡游戲和聊天等用戶群體。

　　騰訊移動安全實驗室數據顯示，2015年上半年，手機支付木馬病毒新增29762個，感染用戶總數達到1145.5萬，最高峰6月平均每天6.8萬名用戶中毒。

　　有中國“黑客教父”之稱的元老級黑客、IDF實驗室創始人萬濤(網名為“黑客老鷹”)表示，網絡黑色產業鏈經歷了十余年的發展后，在社交網絡、網絡存儲、電子支付和各種基于網絡而興起的全新商業模式中無孔不入。

　　“今天，百分之七八十的業務都已經移動化了，人們的購物、出行等生活方式也大部分通過移動端來解決，黑色產業鏈也從PC往移動端轉移。所以，我們也要提前布局。”陳樹華說，于是，2014年1月，阿里巴巴移動安全部把移動安全業務變成一個完整的部門，并開始按照體系化去做移動安全業務。

　　“因為整個產業、業務都在移動化，而事實上，黑色產業鏈已經開始切換到移動端了。”陳樹華判斷，“2016年將成為黑色產業鏈的‘移動元年’。”

　　而移動安全不僅僅針對智能手機，未來會越來越復雜，比如智能穿戴設備、智能家居甚至智能汽車，很多場景可能比手機更為復雜。而且很多時候安全往往也意味著繁復和打擾，不停地進行各種驗證。陳樹華認為，未來DT時代的安全會有更多的可能，可以做到無形和零打擾。“驗證碼就是為了識別操作手機的到底是不是機主，而未來進化到智能時代，完全可以通過聲音、使用習慣、走路的頻率和速度等來完成人機識別的過程。”陳樹華說。

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。