黑色產業鏈：網路詐騙技術首度現場公開及防範

前言

從2018 年開始，我和高岳、孫奇一起從事業務安全產品設計、研發的工作。在此之前，高岳是行動安全方面的專家，孫奇是資深的Java 架構師，而我則是從事駭客攻防對抗的工程師。於我們而言，這是一段非常美好的經歷，非常感謝命運的安排。

因為個人興趣和工作需要，我們和很多朋友就網際網路業務安全進行了深入交流。他們有的是網際網路公司的產品研發人員和營運人員，有的是傳統金融機構網際網路線上業務擴充推廣人員，也有的是專業風控和安全從業者。從與他們的溝通交流中，我們學到了很多業務領域的知識，同時也發現大家對網際網路駭客產業及網際網路業務安全系統建置缺乏深入了解。我們常常聽到這樣的話：「投入了很多資源建置網際網路業務安全系統，購買了專業公司的風控產品和服務，但是依然無法阻止網路駭客產業無情的攻擊。」

在實際專案中，我們也遇到了一些困擾：產品PoC 測試嚴重脫離業務場景實際需求，錯誤的策略部署導致產品無法正常發揮防禦能力。我們在重現時常常反思這些問題，是不是可以透過某些方式幫助客戶更全面地了解業務風險的脈絡和駭客產業攻擊的策略。很多問題的產生並不是因為駭客產業團夥的技術有多麼高明，而是因為防禦方不能夠極佳地幫助客戶了解業務風險。

2019 年3 月的某一天，高嶽提議寫一本全面介紹網際網路業務反詐騙系統建置和實作經驗的書籍，這個建議點燃了我們心中的火焰。我們立即開始整理資料並寫作，經過8 個多月的努力，我們在2020 年的春節前完成了這本書稿。

本書主要分為洞察駭客產業、系統建置、實戰教學和新的戰場4 個部分。第1部分介紹了駭客產業詐騙團夥的運作策略和攻擊方法；第2 部分歸納了我們在建置反詐騙技術系統過程中沉澱的實作經驗；第3 部分分享了我們和駭客產業對抗的多個實戰案例，以及機器學習演算法的綜合運用；第4 部分介紹了我們在物聯網、內容安全、隱私符合規範等方面的實作和對海外廠商的觀察。

希望讀者透過閱讀本書，可以對網際網路反詐騙的企業現狀有一個系統而實際的認識。業務安全的真正力量是內生的，專業的安全風控公司可以提供工具、平台和策略建議，但是只有業務方真正了解風險和防控想法，才能在與駭客產業的對抗中設計好業務規則、營運好安全性原則，取得較好的效果。如果讀者正在關注該領域或從事相關工作，我們相信本書一定能夠為您提供幫助。

我們相信本書將成為網際網路歷史中一個微小但堅硬的符號。以目前網際網路的進化速度，許多年後本書介紹的風控系統可能會被新技術完全重構，企業局勢也會有很大的不同。後來者可以透過本書觀察和體會企業與技術的演進軌跡，進而把握未來的發展趨勢。

用工作之外的時間把自己的想法變成數十萬字的圖書，是一件非常考驗耐心的事情。除了三位主要作者，還有以下幾位同學堅持參與撰寫本書的部分內容。

■ 李克勤、章嵐撰寫了「第 2 章 駭客產業武器倉庫概覽」、「第 10 章 風險資料名單系統」和「第11 章 詐騙情報系統」章節的初稿。

■ 郭嵩、彭亮撰寫了「第 4 章 風控核心元件裝置指紋」中 Web 裝置指紋和 JS混淆相關內容的初稿。

■ 趙峰撰寫了「第 5 章 以使用者行為為基礎的生物探針」章節的初稿。

■ 江傑撰寫了「第 6 章 智慧驗證碼的前世今生」章節的初稿。

■ 賀海軍、王明英撰寫了「第 12 章 機器學習演算法的使用」實戰案例相關的內容。

■ 劉瑩撰寫了「第 13 章 網際網路反詐騙實戰」章節的初稿。

在稿件完成之際，有特別多想感謝的朋友。在過去的一年中，羅小果等同事運作的專案，促使我們對業務安全防禦系統有了更深入的思考，使得本書的整體架構更具有邏輯性。在完成初稿後，陳鈞衍等多位技術同事列出了很多非常好的修改建議。感謝電子工業出版社的策劃編輯符隆美，感謝我們的同事韜哥、偉哥、藝嚴等，感謝「藍星技術群」的網際網路安全同行，沒有你們的鼓勵和幫助，也許就不會有這本書的面世。

作為網際網路安全從業者，回顧這幾年走過的路，駭客產業的技術發展和規模膨脹所帶來了很大的壓力，同時也讓我們有了更大的動力去建置更加有效的安全防禦產品系統。在此我們向網際網路安全企業中諸多提攜我們成長的前輩和守望相助的朋友們致敬，他們是alert7、binw、cnhawk、coolc、cy07、flashsky、huiwang、instruder、kevin1986、lake2、lenx、linkboy、marcohp、mkliu、oldjun、pix、rozero、scz、tb、xi4oyu、xundi、方斌、丁麗萍、顧孔希、高亮、何藝、劉進、林鵬、馬坤、聶君、秦波、王彬、王任飛、王英健、閻文斌、楊珉、趙弼政等等（排名不分前後），還有很多很多企業拓荒者和同行者，在此難以一一列舉。

由於作者寫作水準有限，書中難免存在疏漏與不足之處，懇請讀者批評指正。就本書覆蓋的內容而言，在反爬蟲、反洗錢、業務生態秩序安全治理及使用者安全心智建設等深水區沒有進行深入說明，我們也是心有遺憾並且希望能夠在下一本書中彌補，敬請期待。

馬傳雷