马某几个月时间获利2800多万元，他看着买来的一辆辆宾利、保时捷，终于有种扬眉吐气的感觉。

时间：12月18日

地点：上海

事件：上海警方抓获马某及相关犯罪分子6人

阿培和阿辉共同经营着一家代充工作室，日营业额高达20万元，年入超500万的躺赚，因为他们“上面有人”。

时间：12月

地点：浙江嘉兴

事件：浙江警方破获代充网络黑客案，抓获犯罪分子69人

这两起案件一个在上海，一个在嘉兴，看起来并无瓜葛，但深入研究下来，我们发现它们之间有一丝微妙的关系。甚至，通过这两起案件，可以一窥黑产利益链网络，各方势力盘根错节，利益环环相扣，令人唏嘘。

名表、豪车和82年的拉菲

马某是一名“黑客”，他的主要工作就是在网上寻找各大银行，金融机构的网络安全漏洞。从今年5月以来，马某变得特别豪，开始大肆的购买豪车、名表、奢侈品。

原来，他发现了某银行APP的质押贷款业务存在重大漏洞——可以通过技术手段修改定期存款的额度。什么意思呢？意思就是他只存了500块到银行卡里面，然后可以改成5千，5万，甚至更多。

这里的漏洞是专门针对质押贷款的，这些钱是定期存款，因为有定期存款作为质押，用户可以向银行申请贷款，定期存款的额度越大，可以申请的贷款金额也就越多。一般贷款额度不能超过存款的90%。

于是，马某通过黑产渠道购买了五张银行卡，并往每张银行卡中存入一定的定期存款，然后篡改金额，再通过质押贷款套现。

我们来算一笔账：

所以短短几个月，该团伙便获利2800多万元。

根据新民晚报披露，马某在套现过程中为了躲避侦查和监管，将非法获利的账户存款余额，在某网络直播平台上全部购成点数卡，再折价卖给其他用户。

拿到钱后，马某开始了纸醉金迷的生活。豪车、名表、82年的拉菲，觥筹交错间，他也许预感到，好日子马上就要到头了……

而这件案子最值得人深究和玩味的，就是上面提到的马某是如何躲避侦查和监管，通过购买直播平台点数卡“洗钱”的。

日营业额20万元的代充工作室

这是我们开头提到的另一起案件。

12月20日，浙江在线刊登了一则报道，说浙江嘉兴嘉善警方披露了一起非法获取计算机信息系统数据的特大“网络黑客”案件。该案件在全省尚属首例，在全国范围内也仅仅是第二例。

该黑产团伙是一家名为“小玖”的手游代充工作室。

手游代充、直播礼物代充以及会员代充，我们都不陌生。

专门的代充网站

某宝的代充店铺

用户为什么选择代充？因为比官方便宜。有的甚至便宜特别多！比如爱奇艺会员半价，比如直播点券7折等等。

虽然不知道其他店铺或者网站的资源廉价是因为什么，但是这个小玖工作室的廉价，却大有来头，甚至有一定的技术含量。

小玖工作室从一家做软件开发的“科技公司”购买了一款叫做IOS666库存的入库插件。该插件的作用是，在充值各种热门游戏的游戏币、直播的礼物、视频平台的会员权益时，可以将充值成功的凭证进行拦截，并且自动入库保存。

网上搜到的相关资源

于是小玖工作室养了大批的苹果手机，并充值了大量的游戏、直播、视频等平台的虚拟物资，然后将这些支付成功的凭证拦截保存起来。

图片来源于警方

当有用户通过小玖工作室充值的时候，他们并不真的付钱帮用户充值，而是拦截了服务商返回的支付失败信息，修改成支付成功，并将之前保留在库存中的支付成功凭证一并发给客户端。客户端收到支付凭证，便给用户发放产品。

正常的充值成功流程：

小玖工作室的充值流程：

看到这里，用户肯定就有疑问了。这小玖工作室自己掏钱充值，然后把凭证囤起来，再转卖给别人，并看不出什么不妥之处，而且还是折价卖给用户，这是什么神操作？

偷天换日之“洗钱”

正如上面所说，小玖工作室这种囤货倒卖好像并没有什么问题。其实，问题的关键在于购买库存的钱是什么钱。

两个案件的关联之处想必大家心中已经有些眉目了。

马某质押贷款的钱到账之后，就用这些钱去类似于小玖这样的代充工作室原价大量充值虚拟资产。然后，代充值工作室将凭证用IOS666库存插件囤起来，再低价售卖给用户。

这样钱看起来好像是亏了，但是用户付给工作室的钱都是“干净”的钱。马某联系的洗钱渠道可能不是小玖工作室，但是其中的具体操作可能都差不多。

当然，洗钱的可能不止是马某案件这一种，还有之前我们文章中提到的信用卡盗刷、勒索诈骗得来的黑钱，都可以通过这种渠道洗白。

从警方透露的细节来看，小玖工作室日营业额就高达20万元，不到一年的时间，工作室营业额就超过500万元。沿着IOS666库存插件这条线，警方摸排抓捕了69人，整个案件涉及的金额高达2500万余元。

而这，恐怕也只是网络洗钱的冰山一角。

黑色网络围攻受害者

通过这两起案件，隐隐约约的我们可以感受到黑产利益链条千丝万缕，错综复杂，仿佛一个巨大的网络，一起捕食受害者。

实际上，这只是上述两个案子中涉及到的黑产网络。我粗浅的画了一个网络图，不难发现，黑产团伙之间的交易都是你来我往的，最终的损失都落到了企业、金融平台身上。

像利用银行漏洞，盗刷信用卡等得到的资金，往往不久就会被发现问题。充值苹果手机虚拟物资，50天以内，会因结算异常而终止交易，苹果账户内的充值金额就会被追回，那么已经给用户发放了虚拟资产的企业将出现大量的坏账，蒙受巨大的损失。

同时，案件一中的马某，将钱财使劲挥霍，那么金融平台也会面临部分损失难以回收的情况。2016年，上海男子叶某利用国内某著名金融平台的网络漏洞，获利1125万余元，被警方发现后，最终只追回了800多万元，平台损失200多万元。

当然，普通用户也不会占到所谓的便宜，企业一旦发现账户的充值出现异常，就会封禁账号。明明花了钱，买来的却是账号被封。所以，尽量不要贪小便宜。

亡羊补牢与未雨绸缪

上面两个案件，警方的介入，确实是能够帮助企业追回一部分损失。但是亡羊补牢终究不是一个好的策略。在我们之前的一些安全从业人员专访中，大家都有谈到一个问题——很多企业并不重视业务安全，总是在事情发生了，才后知后觉的想到还有这种风险。

当然，重视业务安全是一方面，另一方面要真正实现未雨绸缪还是很难的。

我也请教了极验的风控安全专家，他认为：

很难，但未必不能做。上述两个案件中都涉及了异常账户，一是马某用于质押贷款的五个银行账户，二是小玖工作室用于充值大量平台虚拟资源的账户。如果能够通过技术手段，找出这些账户的异常，并根据异常追根朔源，发现其背后的动机，那么我们的企业是可以做到未雨绸缪的。

对于异常账户的检测，一直是做安全、做风控的研究重点。一直以来都有很多安全人在为之努力。像传统的有评分卡、规则类模型等方法，随着机器学习的发展，这两年复杂网络、GCN逐渐崛起，在技术上实现新的突破还是可期的。

相关的技术内容可以参考《浅析图卷积神经网络》《复杂网络在风控领域的应用》。

两个案件，涉及金额动辄上千万元，足见企业蒙受的损失之高。虽然，亡羊补牢长久以来成为网络安全防御的策略，但是我们都在努力往未雨绸缪的路上前进，而这一天近在咫尺。

相关新闻源链接：

http://www.nsoad.com/news/security/20181218/b1f2b7a2b848f9050744aaf073476aa9.html

http://zjnews.zjol.com.cn/zjnews/jxnews/201812/t20181220_9032178.shtml

原文链接：https://www.anquanke.com/post/id/168746