2011 年底,黑產年收入已經到了 900 萬時,抗擊黑產的老畢在金山網絡幹了一年,月薪從 4500 元漲到了8000元。
老畢傻了眼。
2010 年 8 月之前,老畢(畢裕)還是瀋陽小村裏的“小畢”,那時月薪不到 3000 的他,夢想是在瀋陽獲得一份月薪 5000 的工作。直到 8 月,在著名安全社區看雪論壇上闖出了一些名聲的小畢接到了自稱金山公司“老銘”的電話,對方邀請他到珠海工作。
那時,金山尚未遭遇勁敵 360 免費殺毒策略的無情掃蕩,在小畢心中,是現在 facebook 一樣的存在。
“呵呵,都說南方電信詐騙騙死人不償命,這個騙子還挺有意思的。”小畢差點掛了電話。
但是,將信將疑的他還是通過了金山的兩輪電話面試,揹着包,弄了一個行李箱,坐了 40 多個小時的綠皮火車從瀋陽到了廣州,再坐大巴到了珠海。
▲畢裕,人稱“老畢”,安全公司威脅獵人創始人
本文作者:李勤 | 微信:qinqin0511
初識黑灰產
初到金山時,小畢乾的屬於“苦累活”,分析病毒行爲、註冊表之類。慢慢的,他接觸到了對黑灰產的數據分析。
2010 年之前,黑灰產還沒有“猛如虎”。黑灰產交易網站通過搜索引擎優化尋找潛在受害者,比如,針對某一個關鍵詞的排名,調取目標人羣。
相應的,***對抗的節奏沒那麼快,一個黑灰產域名的有效時長都不到一天,這種交易網站延續了以前傳統殺毒軟件的機制,只尋找首例受害人,一個交易網站整個全網覆蓋的用戶不到 2 個人,但到達率是100%,也就是說,一定有人受害。
因此,防護工作比較簡單,小畢和同事要做的是,把這種網站識別出來,列到黑名單,再實施攔截,搞定。“響應大概在10秒內,潛在受害者可能還沒填完×××號、銀行卡號,我們就能返回結果,直接攔截。”小畢說。
這種愜意的日子沒有維持多久。
很快,小畢發現自己多了項工作。他們的注意力從圍繞網址本身做快速鑑定與響應轉移到了背後的關聯情報,比如黑灰產域名背後註冊的郵箱、IP、DNS 的解析服務過程。
對黑灰產而言,域名便宜,被打掉一個,大不了再換一個,但其掛靠的服務器屬於重資產,不會輕易變動。如果要一針見血地解決問題,除了對淺層服務器表徵進行分析,最好的方法莫過於研究服務器本身的特徵。就像一個擅長易容裝扮的罪犯,有時裝成耄耋老人,有時是待產孕婦,但小畢們的任務就是,發現他是他。
這一年裏,小畢尚未有機會像同事一樣協助警方在一線將黑灰產從業者繩之以法,就遭遇了安全行業的動盪。
2011年年初,360 宣佈旗下所有基礎信息安全產品均實行免費策略,此舉導致中國信息安全行業“靠收費賺錢”的方法瞬間失去效應。
整個免費戰爭打完之後,老金山的營收和商業模式全被打穿,傅盛進來後,金山也宣佈免費了,在沒有營收的環境下,整個金山形勢非常不好,大量員工出走。此時,360 和騰訊的“3Q”大戰正如火如荼。彼時的 QQ 醫生直接變成了 QQ 電腦管家,併成立了一個部門。小畢稱,騰訊一下子在安全人員上產生了巨大的缺口。
電腦管家的人給小畢打了兩個電話,心裏正慌張的他接下了這個 offer,跳槽到了騰訊。
掙脫賽博世界的 0 與 1
小畢花了四年時間成了“老畢”。
小畢在騰訊做的依舊是業務安全與數據分析,金山打開的洞悉黑灰產的大門沒有關閉,相反,由於騰訊業務衆多,場景豐富,小畢有了更多的積累空間,最重要的是,他花了兩年多的時間,協助一線警方抓捕黑灰產犯罪嫌疑人,像剝洋蔥一般,慢慢探尋到關於這個產業更多的真相。
警方的現場抓捕震撼了這個之前只在賽博世界的 0 與 1 之間與對手過招的他。
“砰”的一聲,海口一棟別墅門被警察踹開後,是一個 19 歲的小孩開的黑產工作室,裏面有一個週末跑過來兼職的員工,一查竟然還是某大公司的技術骨幹,別墅裏藏了好幾把打獵的霰彈槍。小孩慌了:“別殺我,我給你錢”。再後來一看,這個黑產工作室竟還有 10 幾個不到 20 歲的年輕人,一個黑產團伙的年收入到了幾千萬。
黑灰產的成長速度讓小畢驚訝,“那時候,在技術水平上,黑灰產毫無疑問地超過了我們。”黑產從以前的小作坊、乾點髒活,發展成了可逆向一些非常有深度的協議,比如自動模擬受害者的 QQ,在 QQ 羣發送文件,自動傳播,期間不需要受害者進行任何操作。
黑產還有厲害的變現路徑,把有 Q 幣的號盜走,登陸,把Q幣充值給另外一個人,完成變現交易。當時,騰訊的風控策略是,如果受害者的登陸常用地在北京,突然有一天變成了在深圳登陸,而且登陸完之後馬上充值,他們將這種行爲判定爲異常。
沒有什麼風控策略可以讓防守方一直處於上風,安全守衛者和黑產從業者往往處於螺旋式上升的你爭我奪的狀態。
不久後,黑產不再需要盜號,而是在受害者本地種上***,登陸 QQ,黑產直接模擬受害者一方的協議,在本地直接發起充值行爲,對受害者而言,還沒明白怎麼回事,莫名其妙錢就沒了。
“從協議上看操作,就是受害者本人操作。所以這種方式對風控來講,挑戰是極大的。”小畢說。
防守者發現了新的***方式,只能馬上跟上。
這時,數據能力發揮出強大的效應。小畢說:“我們在 QQ上做了一個叫 Q 盾的東西,可以抓取端上的一些特徵和行爲,監控第三方進入。然後,我們就能知道端上面大概發生了什麼。我們還得分析這種***的技術路徑、特徵,這樣在端上的進程中,才能做識別。到後面,無外乎就是把運營體系打通。因爲整個騰訊在端上有全量用戶,只要超過一兩千個用戶中毒,絕對有用戶會落到監控裏。”
他也漸漸發現,在端上做了非常強的監控,一旦出現一個新的***,及時發現後,防守者提取特徵,及時防護,整個***效率非常高。小畢向老闆彙報成果時,老闆不再注重“你防護了多少用戶”,而是沒防住多少。守方的關注點從***數量轉移到了***效率上。
與此同時,安全人員也在經歷成長。一個明顯的變化是,風控的“黑盒子”在逐漸打開。
打開黑盒子前,一般公司的風控人員可能是這樣對話的:
A:今天我做了數據分析,發現有幾十萬個賬號在登陸後的立馬進行了資產查詢,奇怪的是,它們還調用了另外一個接口,我覺得這個東西不太正常啊!
B:一定是惡意的嗎?我也不確定。不過,我覺得有點意思。
A:我也覺得是,咱們就封號吧,封三天行不行?
B:行,差不多封吧,就封三天,就這樣。
可能性1客服團隊反饋 :沒有誤報,挺好的
可能性2客服團隊反饋:有誤報,趕緊改。
爲什麼會有這種現象?業務安全的客觀現實是,大部分早期公司的業務安全團隊都是研發出身。以前只有一個業務體系,突然之間,出現了一種風險,研發人員自然會被叫過來寫一個規則。然後,研發人員慢慢變成了一個規則運營工程師,在數據能力、分析能力、算法能力、畫像能力等方面就強了,技術底層的基礎素質非常高。
但是,已是中年的老畢回過頭來看當初,發現這樣對黑產其實是不瞭解的。“***是什麼?有哪些***?通過什麼渠道傳播?怎麼到的這?到了之後又幹了什麼?有什麼影響?我們需要從一個完整的***角度考慮,逆向分析這種風險。”歷經滄桑的老畢說。
按下了暫停鍵 原來沒有白費
2013年,老畢突然不想做安全了。
他感受到了 PC 端安全正走向落寞。“我們早些年做安全時,大家會追求一些極致的技術,比如檢錯率。但到了2012、2013年,已經沒有人關注什麼檢錯率。你說你 95%,我 96%,那個東西落地到業務上,實際產生的價值幾乎是可以忽略。大家開始在C端玩品牌、商業、渠道,這些跟安全技術人員不太相關,技術承載的價值已沒有那麼大,我當時處於了一個非常恐慌,被動的狀態。”
在這種焦慮的狀態下,老畢的第一個念頭是轉型。恰逢當時騰訊內部有孵化器機制,老畢提出了一個現在看起來匪夷所思的拼車項目。
當時老畢的領導方斌眉頭皺了皺,沒說不能做,但也不支持。於是,給已是組長的老畢一個態度:你可以折騰,鑑於和電腦管家的大方向不符合,所以你的待遇也只能維持現狀。
現在回想起來,老畢覺得,方斌其實給了自己足夠的寬容和機會試錯,沒有直接說出來:你這是在瞎搞。
老畢在這個項目上做了9個月,摔得特別重。
當時騰訊內部的孵化器每週有一個評審會,項目負責人要做個 PPT,跟產品的大佬、公司的領導去講想法、計劃、需要什麼資源。老畢回憶,自己當初寫的那個 PPT,其實根本什麼都沒講,就講了說,拼車出行是人類的未來。“特別虛,講的什麼亂七八糟的環保、節碳。就是賊虛,講了半天,領導說,老畢,你想想,你自己要是有100萬,會花錢幹這個事嗎?我義憤填膺,說我絕對幹,爲什麼不幹?一定要幹。”
結局可想而知。
這個創業項目的失敗讓老畢反過頭來反思自己在商業上的無知:拼車本質上是一個線下的東西,線上承載的東西在當時處於早期。吃了挫折的他發誓,第一,自己以後絕對不會百分百認定當下的想法是正確的。以後去做其他的創業項目或新項目,一定會非常謹慎地用最好的預期思考路徑,但用最壞的打算來執行。第二,一定要非常尊重前輩的想法。特別對於to B的創業者,絕對有一個什麼東西成功概率大的邏輯在裏面。
創業是有癮的,擅長總結經驗教訓的人一定不會輕易善罷甘休。
2014 年下半年,老畢在孵化器裏做了第二個創業項目:物聯網安全。“拼車”項目失敗後,他做了兩個調整,一是發現自己其實是把拼車行業的專家能想到的坑重新踩了一遍,他決心回到自己擅長的領域上。二是謹慎試錯。老畢不再去做什麼產品,而是先探索行業內物聯網設備存在哪些安全問題,拿着這些問題和方案去碰用戶的需求。
領導的態度依舊是不支持和不阻攔。但事實上,操作這種項目至少要買一些設備,需要支持。老畢心裏有數:自己做的項目與當時部門、整個騰訊的業務發展方向不符。老闆雖然沒有明說,老畢已經懂了,大家全不聽領導指揮,自己在外面搞。要再多兩三個像自己這樣的人,這個團隊還幹不幹了?
但第二次創業的老畢不甘心,覺得這事還沒搞起來不一定成不了,總要有試試的機會。於是,他選擇在 2015 年 3 月回到了金山的懷抱——獵豹。早期的獵豹重心放在了物聯網,給老畢批了預算和設備,兩方一拍即合。
這次,依舊是一個失敗的結局。
“我很快發現,這個其實在商業上面很難落地。這個行業有很多問題,有些在某個階段沒有商業價值。我接觸到這個行業,發現這個行業是很苦逼的狀態。很多公司拿了上百萬人民幣,這個產品能最終做出來,再賣那麼一兩批,已經不錯了。你跟他說加一個什麼安全,他覺得你瘋了。”這次創業又給老畢上了一課:時機和商業價值很重要。
黑產獵人 從撤退到出發
老畢不得已撤退了。
此時,獵豹在美國發布了一個安全軟件,在體量上做得不錯了,但是在安全口碑和能力提上做得還不夠。老闆希望,老畢能想帶領一支團隊到臺北把整個品牌、安全能力提升上來,衝擊美國等海外市場。
老畢發現回到了自己的老本行:黑產獵人。
美國購物網站 12 月份也有大促,這讓騙子有了可乘之機。當時,出現了很多詐騙網站,謊稱某名牌鞋鞋子 2 折,LV包 1.5 折。
再往下,老畢發現了更大的錯綜複雜的環節,而且很多國外的黑灰產居然是中國人做的。這些人以前給大品牌做代工,失去代工後,開始賣 A 貨,然後他們又發現原來海外的 VISA 沒有密碼,從而產生了直接套現的思路。比如,這個產業在福建就相當完善,從製作釣魚網站、傳播、獲取信用卡、信用卡套現,整個的產業鏈居然是代工行業的延展。在這段時間裏,老畢對海外黑灰產進行了詳盡的分析。
2016 年 5 月,老畢到 musical.ly(宅客頻道編者注:2017 年,今日頭條花了 10 億美元收購了這家短視頻公司)交流,後來又給嗶哩嗶哩的票務系統做安全諮詢後,忽然發現創業的窗口可能真的來了。
這些在移動互聯網時期崛起的企業在瘋狂生長,卻沒有同步打造互聯網公司早已積累的抗擊黑灰產的安全能力,一旦黑灰產如白蟻一般來襲,很可能遭遇滅頂之災。
2016 年底,老畢帶了 4 個人回到深圳,開始第三次創業,決定專心做黑產獵人。
黑灰產依舊在迅猛進化,老畢發現,自己面對的對手越來越多,因爲整個黑灰產已經朝着低成本化發展。
比如,黑產會弄一批手機號。以前這些×××是這樣流動的:搞完一家後,把手機號賣給你。如果賣家在北京,買家在深圳,賣家要把設備、卡都郵到深圳。爲了增強資源的流動性,提升流通效率,黑產做了一個平臺,給買家和賣家分配 SDK,直接對接到平臺,一插卡,這個卡號可以上報到平臺。買家可以在頁面上直接獲取號碼,打電話、接收短信。
黑產獲取 IP 的成本也在大幅降低,以前一個IP 要花 5 塊錢,現在可能 4 塊錢可以買 30 萬個 IP。通過運營商,買 1000 個帳號,弄到虛擬機上。再給黑灰產提供虛擬化啓用,黑灰產花 4 塊錢買一天的服務,就可以無限撥號。
在對手作惡的成本越來越低,這意味着***隨時可能發生時,老畢覺得,數據能力可能纔是黑產獵人的抗擊利器。
所謂數據能力,第一,感知對手到底是誰,用什麼方法,在什麼時間,***了什麼業務,主動把控***節奏。第二,建立很強的風險數據標籤。比如說手機號、IP、帳號等,從監控黑灰產團隊、動向的方式構造黑產畫像,提供給對方除自己數據外的數據標籤能力。
2017 年 1 月,老畢以此爲出發點創建威脅獵人公司後,在 2017 年底達到了賬面盈利、實收略虧。目前,老畢正在爲敲定 Pre-A 輪融資而奔走。
2018年 3 月 2 日,他坐在宅客頻道編輯對面,回憶起了一個故事。
初中時期的老畢已經可以自己開發網頁,每個月差不多能掙 1000 塊錢,他洋洋得意,這和父親每個月掙的工資一樣多。於是,老畢覺得這樣就夠了,高中的各門功課亮起紅燈。
後來,他偶然看到一本名爲《清華製造》的書,瞭解了五位學生如何組成團隊進行自主創業,最後成功創辦一家軟件公司的故事。這本書打碎了圍在他頭頂的泡沫,老畢突然意識到自己意識的狹隘,猶如井底之蛙,於是在高三奮起努力,考上了大學,走上了不一樣的路。
2016 年 12 月的某一天,老畢遞交了離職申請,這個曾只想要 5000 塊工資的人放棄了獵豹的 100 萬年薪,拾起年少的夢,再次出發。
