微信披露：惡意注冊微信賬號團伙是如何被打掉的？

雷鋒網編者按：1 月 18 日，雷鋒網宅客頻道受邀參加騰訊安全年度媒體溝通會，騰訊安全除了宣布2019年的年度計劃外，將溝通會的下半程交給了騰訊守護者觀察計劃團隊，披露了該團隊2018年十大經典案例。其中，鮮少在媒體露面的騰訊微信安全風控中心專家楊建披露了其在 2018 年協助警方打掉的惡意注冊專案詳情。以下為楊建發言，雷鋒網編輯整理。

文|微信安全楊建  

起因

我在騰訊的工作主要是圍繞各類網絡黑產的打擊和研究。我們發現，在各類網絡黑產的背后隱藏著一群人，他們為各類網絡黑產提供源源不絕的技術和資源，如 IP 號段、手機號碼、軟硬件設備等，幫助他們更低門檻地從事各類違法犯罪活動。以下我要分享的守護者團隊協助警方破獲惡意注冊專項打擊系列案件，就是團隊過去一年里在黑產源頭治理的探索和成效。

隨著互聯網隨著時代在生活中的不斷融入，絕大多數的公民除了擁有社會屬性的身份外，還往往會擁有各個網絡平臺不同的網絡身份，這些網絡身份對應的，就是各大互聯網公司的網絡賬號。

互聯網時代流量為王。所謂流量，就是一個個賬號的聚沙成塔。因為流量的重要性，各大互聯網公司對于賬號管理都有各自的標準和要求，對于不符合使用要求的賬號，平臺通過各種線上安全治理手段，對這些賬號進行停止功能、封禁等處罰。

因此，對于各類互聯網違法犯罪行為來說，一個號被停掉部分功能或封禁，勢必對其從事違法犯罪行為產生影響，故而賬號的消耗對團伙來說是一個常態化動作，為了確保他們的違法犯罪行為持續進行，必須有源源不斷的賬號提供，這個生產賬號的過程，就是惡意注冊的現實存在依據。

在互聯網犯罪初期，由于平臺的線上治理手段相對初級，賬號的損耗不大，故這些黑產團伙一般純手工注冊，自給自足。

隨著線上手段升級，傳統的自給自足無法滿足團伙需要，專業注冊團伙登上黑產歷史舞臺，在與互聯網平臺線上策略多年的對抗中，惡意注冊模式不斷進化，技術不斷迭代，終于發展成為現如今產業鏈上中下游高度獨立，對抗技術全面，工具專業的黑色產業。用一句話總結就是：技術手段驅動產業升級，專業分工提供精準服務。

今天分享的惡意注冊專項打擊系列案件，是 2018 年騰訊配合遼寧省公安廳分別就惡意注冊上游工具軟件和惡意注冊公眾號發起的專案打擊。本次專案主要包括兩起案件，包括圍繞惡意注冊上游工具軟件XXTouch的“610”專案和惡意注冊微信公眾號以及其衍生下游詐騙犯罪鏈條的打擊案件。

XXTouch的“610”專案已有媒體報道，所以今天我給各位講講沒在新聞稿上出現的內幕。

“610”專案

在此案之前，我們已經配合了多起惡意注冊養號工作室的打擊，但因為惡意注冊軟件在黑產圈普及，導致惡意注冊工作室的開設門檻極低，一次集群行動可以打掉一個地區的一批團伙，但是很可能其他地區就有新的團伙如雨后春筍般冒出。

通過打擊，我們對惡意注冊整個產業鏈有了直觀了解。在這個黑產鏈里，技術提供者和其提供的軟件位于產業鏈最上游，它們從兩個方面體現對產業鏈的統治力：一是偽造設備硬件信息實現多開的改機工具，沒有改機工具，惡意注冊不具備實施性；二是輔助自動化操作的群控和按鍵精靈軟件，沒有自動化，惡意注冊無法擺脫高昂的人力成本。所以打擊惡意注冊，最好的辦法是能夠斬斷惡意注冊黑產鏈最上游，從生態上擠壓惡意注冊的生存空間。

于是，我們鎖定了頭部惡意注冊工具軟件數款，并嘗試尋找突破口開展行動，這里就包括了“610”專案。

“610”專案并非一帆風順。作為一款按鍵精靈軟件，它模擬人動作操作手機的行為，更容易被理解為中立性的工具，而不是電影里破壞性很強的黑客工具。在推進過程中，我們對軟件進行了精準分析，鎖定了 XXTouch 在執行模擬輸入動作時注入微信進程的證據。同時，我們對 XXTouch 的功能做整體驗證，發現其集成有 XXTfaker 模塊，該模塊可簡易化實施改機工具的功能，包括偽裝手機信息、GPS 信息功能。簡而言之，在不考慮效果的情況下，XXTouch一款軟件已經做到惡意注冊除IP更改外的所有環節技術提供，在其看似中立的偽裝下，實際上為惡意注冊黑產配備了全套武器。

最終在遼寧公安的大力推動下，打擊覆蓋“下游微信惡意注冊養號人員——中游腳本開發人員——上游軟件開發人員”的全鏈條。該案批捕嫌疑人 11 名，涉及 5 省 9 市，查獲公民個人信息 2015 萬余條，扣押、凍結涉案資金人民幣 240 余萬元。 

惡意注冊微信公眾號案件詳情

有了這一次良好合作，我們繼續配合遼寧在惡意注冊領域開展專項打擊行動，打掉了一個惡意注冊微信公眾號、販賣給下游團伙假冒客服進行詐騙的犯罪鏈條。

這個案子的作惡手法圍繞惡意注冊微信公眾號的行為，從犯罪分工上看：一是軟件開發，惡意注冊團伙委托開發了批量注冊微信公眾號的軟件。

二是批量注冊，注冊團伙先購買大量某易數字郵箱，導入軟件批量注冊公眾號，并通過購買、或者誘騙的方式，獲取個人信息進行公眾號綁定。這里要說明的是，基于注冊微信個人賬號和公眾號的邏輯不同，公眾號的批量注冊只能半自動化。

三是詐騙犯罪，公眾號被售賣至下游詐騙團伙，用以發布虛假商家客服電話，引誘用戶撥打，再實施詐騙。

大家可以看到，互聯網產品形態不同，導致實施惡意注冊的方式，以及利用惡意注冊的產出實施的犯罪也有所不同。尤其在案例中我們看到了嫌疑人購買某易數字郵箱的行為，這些郵箱就涉及到某易郵箱的惡意注冊，一類惡意注冊的產出變成另一類惡意注冊的原料。此外，還包括其他支付工具和打車軟件等，不同平臺賬號的注冊手法，以及后續跟進的互聯網犯罪，都可以單獨列出詳細研究討論。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。