2011 年底，黑產年收入已經到了 900 萬時，抗擊黑產的老畢在金山干了一年，月薪從 4500 元漲到了8000元。

老畢傻了眼。

2010 年 8 月之前，老畢（畢裕）還是沈陽小村里的“小畢”，那時月薪不到 3000 的他，夢想是在沈陽獲得一份月薪 5000 的工作。直到 8 月，在著名安全社區(qū)看雪論壇上闖出了一些名聲的小畢接到了自稱金山公司“老銘”的電話，對方邀請他到珠海工作。

那時，金山尚未遭遇勁敵 360 免費殺毒策略的無情掃蕩，在小畢心中，是現(xiàn)在 facebook 一樣的存在。

“呵呵，都說南方電信詐騙騙死人不償命，這個騙子還挺有意思的。”小畢差點掛了電話。

但是，將信將疑的他還是通過了金山的兩輪電話面試，背著包，弄了一個行李箱，坐了 40 多個小時的綠皮火車從沈陽到了廣州，再坐大巴到了珠海。

【畢裕，人稱“老畢”，安全公司威脅獵人創(chuàng)始人】

本文作者：李勤，雷鋒網網絡安全專欄主筆 | 微信號：qinqin0511

初識黑灰產

初到金山時，小畢干的屬于“苦累活”，分析病毒行為、注冊表之類。慢慢的，他接觸到了對黑灰產的數據分析。

2010 年之前，黑灰產還沒有“猛如虎”。黑灰產交易網站通過搜索引擎優(yōu)化尋找潛在受害者，比如，針對某一個關鍵詞的排名，調取目標人群。

相應的，攻防對抗的節(jié)奏沒那么快，一個黑灰產域名的有效時長都不到一天，這種交易網站延續(xù)了以前傳統(tǒng)殺毒軟件的機制，只尋找首例受害人，一個交易網站整個全網覆蓋的用戶不到 2 個人，但到達率是100%，也就是說，一定有人受害。

因此，防護工作比較簡單，小畢和同事要做的是，把這種網站識別出來，列到黑名單，再實施攔截，搞定?！绊憫蟾旁?0秒內，潛在受害者可能還沒填完身份證號、銀行卡號，我們就能返回結果，直接攔截。”小畢說。

這種愜意的日子沒有維持多久。

很快，小畢發(fā)現(xiàn)自己多了項工作。他們的注意力從圍繞網址本身做快速鑒定與響應轉移到了背后的關聯(lián)情報，比如黑灰產域名背后注冊的郵箱、IP、DNS 的解析服務過程。

對黑灰產而言，域名便宜，被打掉一個，大不了再換一個，但其掛靠的服務器屬于重資產，不會輕易變動。如果要一針見血地解決問題，除了對淺層服務器表征進行分析，最好的方法莫過于研究服務器本身的特征。就像一個擅長易容裝扮的罪犯，有時裝成耄耋老人，有時是待產孕婦，但小畢們的任務就是，發(fā)現(xiàn)他是他。

這一年里，小畢尚未有機會像同事一樣協(xié)助警方在一線將黑灰產從業(yè)者繩之以法，就遭遇了安全行業(yè)的動蕩。

2011年年初，360 宣布旗下所有基礎信息安全產品均實行免費策略，此舉導致中國信息安全行業(yè)“靠收費賺錢”的方法瞬間失去效應。

整個免費戰(zhàn)爭打完之后，老金山的整個營收和商業(yè)模式全被打穿，傅盛進來后，金山也宣布免費了，在沒有營收的環(huán)境下，金山形勢非常不好，大量員工出走。此時，360 和騰訊的“3Q”大戰(zhàn)正如火如荼。彼時的 QQ 醫(yī)生直接變成了 QQ 電腦管家，并成立了一個部門。小畢稱，騰訊一下子在安全人員上產生了巨大的缺口。

電腦管家的人給小畢打了兩個電話，心里正慌張的他接下了這個 offer，跳槽到了騰訊。

掙脫賽博世界的 0 與 1 

小畢花了四年時間成了“老畢”。

小畢在騰訊做的依舊是業(yè)務安全與數據分析，金山打開的洞悉黑灰產的大門沒有關閉，相反，由于騰訊業(yè)務眾多，場景豐富，小畢有了更多的積累空間，最重要的是，他花了兩年多的時間，協(xié)助一線警方抓捕黑灰產犯罪嫌疑人，像剝洋蔥一般，慢慢探尋到關于這個產業(yè)更多的真相。

警方的現(xiàn)場抓捕震撼了這個之前只在賽博世界的 0 與 1 之間與對手過招的他。

“砰”的一聲，海口一棟別墅門被警察踹開后，是一個 19 歲的小孩開的黑產工作室，里面有一個周末跑過來兼職的員工，一查竟然還是某大公司的技術骨干，別墅里藏了好幾把打獵的霰彈槍。小孩慌了：“別殺我，我給你錢”。再后來一看，這個黑產工作室竟還有 10 幾個不到 20 歲的年輕人，一個黑產團伙的年收入到了幾千萬。

黑灰產的成長速度讓小畢驚訝，“那時候，在技術水平上，黑灰產毫無疑問地超過了我們?！?strong>黑產從以前的小作坊、干點臟活，發(fā)展成了可逆向一些非常有深度的協(xié)議，比如自動模擬受害者的 QQ，在 QQ 群發(fā)送文件，自動傳播，期間不需要受害者進行任何操作。

黑產還有厲害的變現(xiàn)路徑，把有 Q 幣的號盜走，登陸，把Q幣充值給另外一個人，完成變現(xiàn)交易。當時，騰訊的風控策略是，如果受害者的登陸常用地在北京，突然有一天變成了在深圳登陸，而且登陸完之后馬上充值，他們將這種行為判定為異常。

沒有什么風控策略可以讓防守方一直處于上風，安全守衛(wèi)者和黑產從業(yè)者往往處于螺旋式上升的你爭我奪的狀態(tài)。

不久后，黑產不再需要盜號，而是在受害者本地種上木馬，登陸 QQ，黑產直接模擬受害者一方的協(xié)議，在本地直接發(fā)起充值行為，對受害者而言，還沒明白怎么回事，莫名其妙錢就沒了。

“從協(xié)議上看操作，就是受害者本人操作。所以這種方式對風控來講，挑戰(zhàn)是極大的?！毙‘呎f。

防守者發(fā)現(xiàn)了新的攻擊方式，只能馬上跟上。

這時，數據能力發(fā)揮出強大的效應。小畢說：“我們在 QQ上做了一個叫 Q 盾的東西，可以抓取端上的一些特征和行為，監(jiān)控第三方進入。然后，我們就能知道端上面大概發(fā)生了什么。我們還得分析這種木馬的技術路徑、特征，這樣在端上的進程中，才能做識別。到后面，無外乎就是把運營體系打通。因為整個騰訊在端上有全量用戶，只要超過一兩千個用戶中毒，絕對有用戶會落到監(jiān)控里?！?/p>

他也漸漸發(fā)現(xiàn)，在端上做了非常強的監(jiān)控，一旦出現(xiàn)一個新的木馬，及時發(fā)現(xiàn)后，防守者提取特征，及時防護，整個攻防效率非常高。小畢向老板匯報成果時，老板不再注重“你防護了多少用戶”，而是沒防住多少。守方的關注點從攻防數量轉移到了攻防效率上。

與此同時，安全人員也在經歷成長。一個明顯的變化是，風控的“黑盒子”在逐漸打開。

打開黑盒子前，一般公司的風控人員可能是這樣對話的：

A：今天我做了數據分析，發(fā)現(xiàn)有幾十萬個賬號在登陸后的立馬進行了資產查詢，奇怪的是，它們還調用了另外一個接口，我覺得這個東西不太正常?。?/p>

B：一定是惡意的嗎？我也不確定。不過，我覺得有點意思。

A：我也覺得是，咱們就封號吧，封三天行不行？

B：行，差不多封吧，就封三天，就這樣。

可能性1客服團隊反饋 ：沒有誤報，挺好的

可能性2客服團隊反饋：有誤報，趕緊改。

為什么會有這種現(xiàn)象？業(yè)務安全的客觀現(xiàn)實是，大部分早期公司的業(yè)務安全團隊都是研發(fā)出身。以前只有一個業(yè)務體系，突然之間，出現(xiàn)了一種風險，研發(fā)人員自然會被叫過來寫一個規(guī)則。然后，研發(fā)人員慢慢變成了一個規(guī)則運營工程師，在數據能力、分析能力、算法能力、畫像能力等方面就強了，技術底層的基礎素質非常高。

但是，已是中年的老畢回過頭來看當初，發(fā)現(xiàn)這樣對黑產其實是不了解的?！?strong>木馬是什么？有哪些木馬？通過什么渠道傳播？怎么到的這？到了之后又干了什么？有什么影響？我們需要從一個完整的攻防角度考慮，逆向分析這種風險?！睔v經滄桑的老畢說。

按下了暫停鍵  原來沒有白費

2013年，老畢突然不想做安全了。

他感受到了 PC 端安全正走向落寞?！拔覀冊缧┠曜霭踩珪r，大家會追求一些極致的技術，比如檢錯率。但到了2012、2013年，已經沒有人關注什么檢錯率。你說你 95%，我 96%，那個東西落地到業(yè)務上，實際產生的價值幾乎是可以忽略。大家開始在C端玩品牌、商業(yè)、渠道，這些跟安全技術人員不太相關，技術承載的價值已沒有那么大，我當時處于了一個非?？只?，被動的狀態(tài)?！?/p>

在這種焦慮的狀態(tài)下，老畢的第一個念頭是轉型。恰逢當時騰訊內部有孵化器機制，老畢提出了一個現(xiàn)在看起來匪夷所思的拼車項目。

當時老畢的領導方斌眉頭皺了皺，沒說不能做，但也不支持。于是，給已是組長的老畢一個態(tài)度：你可以折騰，鑒于和電腦管家的大方向不符合，所以你的待遇也只能維持現(xiàn)狀。

現(xiàn)在回想起來，老畢覺得，方斌其實給了自己足夠的寬容和機會試錯，沒有直接說出來：你這是在瞎搞。

老畢在這個項目上做了9個月，摔得特別重。

當時騰訊內部的孵化器每周有一個評審會，項目負責人要做個 PPT，跟產品的大佬、公司的領導去講想法、計劃、需要什么資源。老畢回憶，自己當初寫的那個 PPT，其實根本什么都沒講，就講了說，拼車出行是人類的未來。“特別虛，講的什么亂七八糟的環(huán)保、節(jié)碳。就是賊虛，講了半天，領導說，老畢，你想想，你自己要是有100萬，會花錢干這個事嗎？我義憤填膺，說我絕對干，為什么不干？一定要干。”

結局可想而知。

這個創(chuàng)業(yè)項目的失敗讓老畢反過頭來反思自己在商業(yè)上的無知：拼車本質上是一個線下的東西，線上承載的東西在當時處于早期。吃了挫折的他發(fā)誓，第一，自己以后絕對不會百分百認定當下的想法是正確的。以后去做其他的創(chuàng)業(yè)項目或新項目，一定會非常謹慎地用最好的預期思考路徑，但用最壞的打算來執(zhí)行。第二，一定要非常尊重前輩的想法。特別對于to B的創(chuàng)業(yè)者，絕對有一個什么東西成功概率大的邏輯在里面。

創(chuàng)業(yè)是有癮的，擅長總結經驗教訓的人一定不會輕易善罷甘休。

2014 年下半年，老畢在孵化器里做了第二個創(chuàng)業(yè)項目：物聯(lián)網安全?！捌窜嚒表椖渴『?，他做了兩個調整，一是發(fā)現(xiàn)自己其實是把拼車行業(yè)的專家能想到的坑重新踩了一遍，他決心回到自己擅長的領域上。二是謹慎試錯。老畢不再去做什么產品，而是先探索行業(yè)內物聯(lián)網設備存在哪些安全問題，拿著這些問題和方案去碰用戶的需求。

領導的態(tài)度依舊是不支持和不阻攔。但事實上，操作這種項目至少要買一些設備，需要支持。老畢心里有數：自己做的項目與當時部門、整個騰訊的業(yè)務發(fā)展方向不符。老板雖然沒有明說，老畢已經懂了，大家全不聽領導指揮，自己在外面搞。要再多兩三個像自己這樣的人，這個團隊還干不干了？

但第二次創(chuàng)業(yè)的老畢不甘心，覺得這事還沒搞起來不一定成不了，總要有試試的機會。于是，他選擇在 2015 年 3 月回到了金山的懷抱——獵豹。早期的獵豹重心放在了物聯(lián)網，給老畢批了預算和設備，兩方一拍即合。

這次，依舊是一個失敗的結局。

“我很快發(fā)現(xiàn)，這個其實在商業(yè)上面很難落地。這個行業(yè)有很多問題，有些在某個階段沒有商業(yè)價值。我接觸到這個行業(yè)，發(fā)現(xiàn)這個行業(yè)是很苦逼的狀態(tài)。很多公司拿了上百萬人民幣，這個產品能最終做出來，再賣那么一兩批，已經不錯了。你跟他說加一個什么安全，他覺得你瘋了。”這次創(chuàng)業(yè)又給老畢上了一課：時機和商業(yè)價值很重要。

黑產獵人  從撤退到出發(fā)

老畢不得已撤退了。

此時，獵豹在美國發(fā)布了一個安全軟件，在體量上做得不錯了，但是在安全口碑和能力提上做得還不夠。老板希望，老畢能想帶領一支團隊到臺北把整個品牌、安全能力提升上來，沖擊美國等海外市場。

老畢發(fā)現(xiàn)回到了自己的老本行：黑產獵人。

美國購物網站 12 月份也有大促，這讓騙子有了可乘之機。當時，出現(xiàn)了很多詐騙網站，謊稱某名牌鞋鞋子 2 折，LV包 1.5 折。

再往下，老畢發(fā)現(xiàn)了更大的錯綜復雜的環(huán)節(jié)，而且很多國外的黑灰產居然是中國人做的。這些人以前給大品牌做代工，失去代工后，開始賣 A 貨，然后他們又發(fā)現(xiàn)原來海外的 VISA 沒有密碼，從而產生了直接套現(xiàn)的思路。比如，這個產業(yè)在福建就相當完善，從制作釣魚網站、傳播、獲取信用卡、信用卡套現(xiàn)，整個的產業(yè)鏈居然是代工行業(yè)的延展。在這段時間里，老畢對海外黑灰產進行了詳盡的分析。

2016 年 5 月，老畢到 musical.ly（雷鋒網編者注：2017 年，今日頭條花了 10 億美元收購了這家短視頻公司）交流，后來又給嗶哩嗶哩的票務系統(tǒng)做安全咨詢后，忽然發(fā)現(xiàn)創(chuàng)業(yè)的窗口可能真的來了。

這些在移動互聯(lián)網時期崛起的企業(yè)在瘋狂生長，卻沒有同步打造互聯(lián)網公司早已積累的抗擊黑灰產的安全能力，一旦黑灰產如白蟻一般來襲，很可能遭遇滅頂之災。

2016 年底，老畢帶了 4 個人回到深圳，開始第三次創(chuàng)業(yè)，決定專心做黑產獵人。

黑灰產依舊在迅猛進化，老畢發(fā)現(xiàn)，自己面對的對手越來越多，因為整個黑灰產已經朝著低成本化發(fā)展。

比如，黑產會弄一批手機號。以前這些黑卡是這樣流動的：搞完一家后，把手機號賣給你。如果賣家在北京，買家在深圳，賣家要把設備、卡都郵到深圳。為了增強資源的流動性，提升流通效率，黑產做了一個平臺，給買家和賣家分配 SDK，直接對接到平臺，一插卡，這個卡號可以上報到平臺。買家可以在頁面上直接獲取號碼，打電話、接收短信。

黑產獲取 IP 的成本也在大幅降低，以前一個IP 要花 5 塊錢，現(xiàn)在可能 4 塊錢可以買 30 萬個 IP。通過運營商，買 1000 個帳號，弄到虛擬機上。再給黑灰產提供虛擬化啟用，黑灰產花 4 塊錢買一天的服務，就可以無限撥號。

在對手作惡的成本越來越低，這意味著攻擊隨時可能發(fā)生時，老畢覺得，數據能力可能才是黑產獵人的抗擊利器。

所謂數據能力，第一，感知對手到底是誰，用什么方法，在什么時間，攻擊了什么業(yè)務，主動把控攻防節(jié)奏。第二，建立很強的風險數據標簽。比如說手機號、IP、帳號等，從監(jiān)控黑灰產團隊、動向的方式構造黑產畫像，提供給對方除自己數據外的數據標簽能力。

2017 年 1 月，老畢以此為出發(fā)點創(chuàng)建威脅獵人公司后，在 2017 年底達到了賬面盈利、實收略虧。目前，老畢正在為敲定 Pre-A 輪融資而奔走。

2018年 3 月 2 日，他坐在雷鋒網宅客頻道（微信ID：letshome）編輯對面，回憶起了一個故事。

初中時期的老畢已經可以自己開發(fā)網頁，每個月差不多能掙 1000 塊錢，他洋洋得意，這和父親每個月掙的工資一樣多。于是，老畢覺得這樣就夠了，高中的各門功課亮起紅燈。

后來，他偶然看到一本名為《清華制造》的書，了解了五位學生如何組成團隊進行自主創(chuàng)業(yè)，最后成功創(chuàng)辦一家軟件公司的故事。這本書打碎了圍在他頭頂的泡沫，老畢突然意識到自己意識的狹隘，猶如井底之蛙，于是在高三奮起努力，考上了大學，走上了不一樣的路。

2016 年 12 月的某一天，老畢遞交了離職申請，這個曾只想要 5000 塊工資的人放棄了獵豹的 100 萬年薪，拾起年少的夢，再次出發(fā)。

本文為雷鋒網原創(chuàng)文章，未經許可，禁止轉載。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。