电影“孤注一掷”揭露了灰产圈的黑暗

最近,以缅北为背景的「反诈宣传片」《孤注一掷》上映,也带火了片中提到的科太币,同时让人将目光聚焦于 Crypto 与黑产的联系,这并不是新鲜事,早在多年之前「USDT 跑分洗钱」就成为了警方的重点打击对象,本文带你回顾 2020 年深潮 TechFlow 的深度调查文章,走进 USDT 的隐秘角落。

USDT 等加密货币,正在变成收取毒资的「绿色通道」。

「相比于微信支付宝转账,加密货币的流动没有可完全证实的信息可查。买卖双方都安全。」一涉毒人士在自建博客网站上写道。

加密货币,金融史上的一个伟大实验。它的发明始于 2009 年名为「中本聪」的账号写的一篇论文《比特币:一种点对点的电子现金系统》,天生带着去杠杆和硬通货的使命,也埋下了一颗定时炸弹——由于匿名化特点,如今逐渐沦为犯罪分子的最爱,其中 USDT(泰达币)最受欢迎。

不只限于买卖毒品,USDT 还被应用至网络赌博、洗钱、资金外逃等黑色产业。

深潮 TechFlow 采访、调研加密货币黑色产业链当事人,试图呈现 USDT 隐秘的角落。

用 USDT 买大麻

「相比于微信支付宝转账,加密货币的流动没有可完全证实的信息可查。买卖双方都安全。」周晓(化名)在自建的博客网站上写道。

周晓称,因为比特币,找自己买「飞叶子」的人不用担心,在交易所购买比特币需要实名认证,但这只能证明你买过比特币(投资过比特币),至于比特币去了哪儿,为什么去哪里,「你不主动说,没人知道」。

「你可以说自己看比特币今年涨势喜人,投资了一些比特币玩。然后转去自己另外的比特币钱包了。另外的钱包密码啥的我写在纸上,不见了,这几天我还在找呢。」他介绍。

周晓经营着一家毒品线上交易平台,主要帮国内玩家代购大麻、LSD 等新型毒品。

像周晓这样用加密货币买卖毒品、「拿命赚钱」的人不在少数。

据正义网报道,长春市一夫妻用比特币地址来收取、转移毒资。

妻子刘某将自己的比特币账号交给了丈夫马某。马某利用该账户收取毒资,并提现至刘某银行卡转移毒资,共计 10 万余元。

检察官审查案件后认为,刘某在明知马某贩卖毒品的情况下,仍将比特币账户提供给马某用于收取毒资并提供银行卡转移毒资,行为符合洗钱罪的构成要件。

今年 1 月 20 日,法院当庭采纳检察机关的量刑建议,马某构成贩卖毒品罪,被判处有期徒刑三年二个月,刘某构成洗钱罪,被判处有期徒刑六个月。

周晓之所以逍遥法外,是因为其比特币地址难以被追踪。他表示,自己的比特币地址通过椭圆加密算法批量离线生成,随意生成地址和相应密钥,无限制随便生成。

周晓曾选择 3 种加密货币用于转账:比特币、USDT 和其自己发行的 E-RMB。

他一开始选择比特币,后来,因为遭遇熊市 BTC 价格下跌,卖家要求保值交易,于是采用稳定币 USDT 转账。

USDT 是 Tether 公司推出的一种与法定货币美元挂钩的加密货币,1USDT=1 美元,即每发行 1 个 USDT 代币,其银行账户都会有 1 美元的资金保障。

近期他还预备推出电子人民币 E-RMB。他介绍,该币安全、隐私度高度提高,币值稳定,始终与人民币 1:1 价格锚定,仅限于买过的老用户使用。

像周晓这样精通加密货币并灵活运用的人,在灰产世界越来越多。他们游走在法律边缘,在加密货币的隐匿之下,用命赚钱。

加密货币的灰色世界

「我账户上有九十万 U(USDT)。」艾巴(化名)在缅甸勐拉经营一家线下赌场,他告诉笔者,每天需要将现金换成现汇或者 USDT。

Chainalysis 报告数据显示,从 2019 年 7 月到 2020 年 6 月,有超过 500 亿美元加密货币从位于东亚地址转移到海外地址。其中超过 180 亿美元是 USDT。

加密货币在灰色产业主要呈现 3 种用途:贩毒、网赌和资金外逃。这是一条隐秘的灰色产业链,鱼龙混杂。

以跨境转账为例,一知乎用户在 2016 年介绍自己跨境转账的操作:在国内交易所购买比特币,转移至 Bitfinex,提现之前,平台要认证个人信息,按照提示填上身份证,护照,住址证明。在提现后,平台会收取 0.1% 的手续费,最低 20 美金。这样整个比特币跨境汇款流程完成。

知情人士告诉深潮 TechFlow,以上具备实操性,自己试过将中国地址打到美国交易所,兑换美元转到美国账户,「但这只是个例」。

如果上述操作仅限于个人摸索,需要自己承担风险,那随着数字货币的普及和发展,如今已经出现用加密货币跨境汇款的产业链。

「我们做美元和澳元。」纪楠(化名)称,自己提供收 U(USDT)出法币(现汇)服务,只需要「告知我们收款银行,是私户还是公户,是哪个银行注册,在哪个地区注册的,一个工作日即可到账」。如果客户是个户,就以借款、欠款名义,如果客户是公户,就以劳务报酬名义。

纪楠介绍,相比于传统银行电汇长至数周、高达 5% 的手续费,USDT 转账的手续费更低(接近 0)、转账即时到账。

「最低 5000(USDT),上不封顶,单笔超过 100 万(USDT),提前告诉我就好。「纪楠称,客户转账用途一般是做美股交易或者买房、移民。

相比起上述用于跨境转账的「简单」操作,加密货币的专业跑分团伙则更加隐秘而庞大。

「跑分」这个词,源于电脑或者手机的性能检测,但支付领域的跑分,却有新的含义。

以往,网络博彩平台会收购大量银行卡来收钱。但这样做,成本很高——收一张银行卡,成本成百上千。一旦银行卡被封,这些钱就打了水漂。

2018 年后,跑分模式开始兴起。市场上出现了很多跑分平台,它们用众包的方式,让洗钱成本大大降低。这些跑分平台宣称「只要一张二维码,在家躺着都能赚钱」。

跑分玩家在跑分平台缴纳押金(比如说 1 万元),并上传自己的微信和支付宝收款二维码。而充值玩家通过支付方的对接,将钱打给跑分玩家,收满 1 万元后,跑分结束。跑分平台会给跑分玩家一定比例的收款佣金,并将一万元押金转给博彩平台。

「类似于运送资金的滴滴打车,滴滴打车运的是人,我们运的是钱。」跑分人士介绍,整个过程中,博彩平台不参与资金流动,跑分玩家们成了洗钱工具。

USDT 跑分是用数字货币跑分支付的新模式。传统跑分,跑的是人民币;USDT 跑分,跑的则是 USDT。

上述跑分人士介绍,USDT 跑分最大的优势是去中心化交易,「都是客户与我们的司机(承兑商)在发生交易,中间没有资金池,有效的防止资金被大面积冻结。而且中间有 USDT 作为阻断,整个过程都是无痕交易,不会被追踪到去向。我们的交易量够大够分散」。

「我们是为博彩平台提供出入金服务的。」QQ 上一跑分人士称,以加密货币 USDT 交易,「用本金赚取佣金,一单一结,一万本金挣 150~200 元佣金,直接回你银行卡上」。

据深潮 TechFlow 了解,这类跑分团伙在 QQ 群、百度贴吧、闲鱼等平台引流,然后于蝙蝠、电报、纸飞机等通讯软件沟通交易细节,并于交易所买入加密货币,最后将币转入跑分平台,最常用的加密货币是 USDT。

「跑 U 的有是有,U 进 Y(人民币)出。那种特别少,90% 以上都是坑人的资金盘或者骗子。」艾巴表示,就算见面交易,也有突然消失的。

法网恢恢,疏而不漏,一场针对加密货币洗钱的严打正在来袭。

严打来袭

「不能像以前那么猖狂了。」艾巴介绍,最近风声紧了,他不再接受 USDT 业务,而是采用现金换现汇,比例是 100:105。

9 月 24 日,在北京举行的第九届中国支付清算论坛上,公安部国际合作局局长廖进荣指出,每年自中国境内流出涉赌资金超出一万亿元,特别点名加密货币被用于转移赌资。

「在近期的案件当中,发现部分涉赌团伙利用虚拟货币收集转移赌资,甚至在缅甸部分地区以虚拟货币投资为由,行网络赌博之实。这类新型的数字货币通道不可冻结,匿名难以溯源,给我们打击治理工作带来了很大的挑战。」

今年以来,全国上下开展了如火如荼的「反洗钱」和断卡行动。

10 月 10 日,国务院打击治理电信网络新型违法犯罪工作部际联席会议部署在全国范围内开展「断卡」行动,严厉打击整治非法开办贩卖电话卡、银行卡违法犯罪。

而加密货币毫无疑问是打击的重点区域。部分加密货币 OTC 商也受此波及,被冻卡甚至调查。

根据刑法关于洗钱罪立案标准,为洗钱行为「提供资金账户」,提供账户的人会被立案追诉,最高刑罚是「」处五年以上十年以下有期徒刑,并处洗钱数额百分之五以上百分之二十以下罚金」。

今年 6 月 8 日,惠州警方打掉了一个利用 USDT 数字货币经营第四方支付平台的犯罪团伙,共抓获涉案犯罪嫌疑人 76 名,查处涉案网络支付工作室 4 家,捣毁网络赌博团伙 2 个。

该案是全国侦破的首例利用 USDT 数字货币为违法犯罪活动提供网络支付服务的案件。经初步核实,该平台运营近 15 个月,为境外 120 个赌博网站以及 70 家投资诈骗平台提供资金结算服务,涉案金额达 1.2 亿元。

深潮 TechFlow 发现,USDT 因为价值稳定、同样具备隐匿性,越来越受到犯罪分子的喜爱。上述的无论贩毒、网赌还是跨境转账,所使用的,无一例外皆是 USDT。

USDT 成罪魁祸首?

与大众观念不太一样的是,最受中国人欢迎的加密货币不是比特币,而是 USDT。

根据 Chainalysis 报告,USDT 在今年 6 月击败比特币,成为东亚最受欢迎的加密货币。而其中,中国所占比例最高。报告称,「Tether 已成为中国加密货币用户事实上的法币替代品,并且是向比特币和其他标准加密货币过渡的主要手段」

当前USDT 的总市值超过 191 亿美元,但 2017 年,这个数字也就差不多 1 亿的规模。短短 3 年,USDT 市值实现了 191 倍的跨越式增长。

这些被迅速增发的 USDT 应用场景在哪里呢?

早在 2019 年 7 月,Coindesk 就报道过 USDT 被用于俄罗斯跨境贸易的案例,「销售额里 20% 是比特币,80% 是 USDT」,一位俄罗斯 OTC 商人表示,「中国企业购买的 USDT 一天购买的总量可达到 1000 万至 3000 万美元」。

事实上,USDT 已成为最「出圈」的加密货币,和灰产联系也最紧密。围绕 USDT 的犯罪事件愈演愈烈。中国检察网数据显示,今年来已经有 85 例 USDT 关联犯罪案件,而在 2020 年之前,只有 5 例。

这一趋势已为各国监管所察觉,立法正在逼近。

欧盟在 9 月正式提出加密资产和稳定币的监管框架,明确表示将欧盟现有金融类法律未涵盖的所有加密资产纳入监管中。

日前英国财政部发表声明,正在起草规范私人稳定币,也在研究央行数字货币作为现金替代品的可能性。

回到国内,2020 年 10 月 23 日公示的《中国人民银行法》修订意见稿第二十二条规定:「任何单位和个人不得制作、发售代币票券和数字代币,以代替人民币在市场上流通。」

据上文所述,USDT 在跨境转账、洗钱灰产等领域已经取代人民币法币的地位,并且还是中国加密货币用户事实上的法币替代品。

USDT 会暴雷吗?何时暴雷?这恐怕是悬在每个加密货币用户头顶的问题。

在一些极客眼里,技术是无罪的,只是为不怀好意的人所用。但越来越多的加密货币犯罪案件出现也在提醒我们,技术并不能为人性之恶完全洗脱责任。

「The Genie is out of the Bottle」(妖怪已经放出了瓶子)。比特币钱包公司 Xapo 总裁 Ted Rogers 这样形容 BCH 分叉内战。这句谚语源自《一千零一夜》里阿拉丁神灯的故事,意思是妖怪一旦放出瓶子,就会对世界产生不可逆的负面影响。如今这句话依然可以用在 USDT 等加密货币身上。

作者:深潮

世界币World Coin为何备受争议

2021 年 12 月一个阳光明媚的早晨,印度尼西亚 Gunungguruh 村 35 岁家具制造商 Iyus Ruswandi 被母亲早早地叫醒。她说,一家科技公司正在当地的伊斯兰小学举办一个「社会援助赠品活动」,让他去参加。

Ruswandi 加入了居民的长队,其中大多数是女性,一些人从早上 6 点就开始排队。在大流行肆虐的经济环境下,任何形式的援助都是受欢迎的。

在队伍的最前面,印度尼西亚 Worldcoin 的代表正在收集电子邮件和电话号码,或者将一个未来风格的金属球对准村民的面部,扫描他们的虹膜和其他生物识别数据。村干部也在场,向排队的居民发放编号票,以帮助维持秩序。

Worldcoin 用于收集人们生物数据的识别器,文中称为「球体」(Orb)

Ruswandi 询问一位 Worldcoin 的代表这是什么慈善机构,但没有了解到任何新的信息:如他母亲说的一样,他们正在捐款。

Gunungguruh 并不是 Worldcoin 拜访的唯一一个村子。在印度尼西亚西爪哇(West Java)的村庄,以及 20 多个国家(其中大多数是发展中国家)的大学校园、地铁站、商场和城市中心,Worldcoin 的代表们会出现一两天,收集生物识别数据。据了解,他们提供从免费现金(通常是当地货币以及 Worldcoin 代币)到 Airpods,再到未来财富的承诺等各种东西作为回报。在某些情况下,他们还向当地政府官员付款。但他们并没有提供太多有关其真实意图的信息。

这让包括 Ruswandi 在内的许多人感到困惑:Worldcoin 扫描虹膜到底要做什么?

为了回答这个问题,并更好地了解 Worldcoin 的注册和分发流程,MIT 科技评论(MIT Technology Review)采访了来自印度尼西亚、肯尼亚、苏丹、加纳、智利和挪威 6 个国家的超过 35 人,他们要么为 Worldcoin 工作,要么代表 Worldcoin,要么曾被扫描,要么参与了但未被成功招募。

我们在印度尼西亚的一次注册活动中观察了扫描情况,阅读了社交媒体和移动聊天群组中的对话,并查阅了 Google Play 和 Apple 商店中对 Worldcoin 钱包的评论。我们采访了 Worldcoin 首席执行官 Alex Blania,并向该公司提交了一份详细的调查结果和问题清单,以征求评论。

我们的调查显示,Worldcoin 在公开信息中强调保护隐私,但用户的实际经历却与之大相径庭。我们发现该公司的代表使用欺骗性的营销手段,收集了比其所承认的更多的个人数据,而且没有获得有效的知情同意。这些做法可能违反欧盟的《通用数据保护条例》(GDPR)——该公司自己的数据同意条款(Data Consent Form)承认了这种可能性,并要求用户接受这些条款,也可能违反了当地法律。

3 月初,在该公司生产球体的德国埃朗根(Erlangen)进行的一次视频采访中,Blania 承认存在一些「摩擦」。但他将此归因于公司还在初创阶段。

我不确定你是否意识到这一点,」他说,「但你看过 A 轮公司的测试运作。这是一些人试图将某些理想付诸现实。它不像 Uber,有数百人做了很多次。

身份证明

在 Worldcoin 出现在 Ruswandi 村子的两个月前,这家位于旧金山名为 Tools for Humanity 的公司从隐秘模式中脱颖而出。Worldcoin 就是它的产品。

该公司的网站将 Worldcoin 描述为一种基于以太坊的「新的、集体所有的全球货币,将公平地分配给尽可能多的人」。该公司建议,世界上的每个人都将获得免费份额,只要他们同意使用专门的设备进行虹膜扫描,该设备类似于一个被斩首的机器人头部,公司将其称为「铬球」(Chrome Orb)。

该网站继续讲道,这个球体是必要的,因为 Worldcoin 对公平的承诺:每个人都应该得到为他(她)分配的数字货币份额——仅此而已。为了确保不存在双重浸透(Double-dipping),铬球将扫描参与者的虹膜和其他几个生物识别数据点,然后使用该公司正在开发的专门算法,以加密方式确认他们是人类,并且在 Worldcoin 数据库中是独一无二的。

彭博社去年(编者按:2021年)夏天首次报道了该公司。Worldcoin 联合创始人、硅谷加速器 Y Combinator 前总裁 Sam Altman 告诉彭博社:「我对全民基本收入以及全球财富再分配等事情非常感兴趣」,Worldcoin 的目标是回答「我们有没有办法通过技术在全球范围内实现这一点」 。

「该公司才刚刚起步,其目标是到 2023 年获得 10 亿注册用户。」

在同一篇文章中,当时 27 岁的 Blania(他从加州理工学院物理学硕士毕业后直接加入了 Worldcoin)补充道,「世界上还有许多人无法使用金融系统。加密货币有机会帮助我们实现这一目标。」 (Blania 和其他人使用「Worldcoin」来指代公司和货币;本文也这样做。)

但除了这些善意,Worldcoin 还将解决 Web3 的关键技术问题。Web3 是被大肆宣传的、由区块链驱动的第三代互联网,在 Web3 中,数据和内容可以去中心化,由个人和团体而不是由少数技术公司控制。

Blania 在接受 MIT 科技评论采访时表示,「让每个人都拥有这个新协议」将是迄今为止「最快」和「最大规模的进入加密货币和 Web3」,解决 Web3 的主要挑战之一:用户相对匮乏。

此外,根据 Blania 的说法,通过生物识别确认对方是人类,这将解决去中心化技术的另一个「非常基本的问题」:所谓的女巫攻击风险,当网络中的一个实体创建并控制多个虚假账户时,就会发生这种攻击。这在需要假名的去中心化网络中尤其危险。迄今为止,提出一个真正能抵抗女巫攻击的身份证明还很困难,这被视为 Web3 大规模应用的另一个障碍。

Worldcoin 已在24个国家进行了现场测试;(从左到右)这些宣传图片拍摄于苏丹、印度尼西亚、智利和肯尼亚。

Blania 说,有了这两个解决方案,Worldcoin 就可以成为「一个人人都可以使用的开放平台,无论是用来进行身份证明还是分发」。这就是 Worldcoin 的承诺:如果成功,该协议可能成为全新一代互联网的通用身份验证方法。如果这一点实现了,货币本身可能会变得更有价值。该公司在一份电子邮件声明中表示:「投资者希望 Worldcoin 项目为世界带来价值,从而使这些股权或代币升值。」

这可能就是 Altman 及硅谷的一些大腕都向 Worldcoin 投入巨资的原因;Andreessen Horowitz 最近领投了一轮 1 亿美元的融资,使这家初创公司的估值增加了两倍,从 10 亿美元增至 30 亿美元。

窥视球体

截至 3 月份我们采访 Blania 时,Worldcoin 已经扫描了 24 个国家的 450,000 个眼睛、面孔和身体。其中 14 个是发展中国家(根据世界银行标准),8 个位于非洲。但该公司才刚刚起步,其目标是到 2023 年获得 10 亿注册用户。

根据该公司在博客文章中的描述, Worldcoin 发行的核心是高科技球体本身,它配备了先进的摄像头和传感器,不仅可以扫描虹膜,还可以拍摄「用户的身体、面部和眼睛,包括用户虹膜」的高分辨率图像。此外,其数据同意条款指出,该公司还进行「非接触式多普勒雷达检测您的心跳、呼吸和其他生命体征」。在回答我们的问题时, Worldcoin 表示,它从未实施过生命体征检测技术,并且将从其数据同意条款中删除这种表述。(截至发稿时,该表述仍然存在。)

生物识别信息用于生成「虹膜哈希」(IrisHash)——一种存储在球体本地的代码。根据 Worldcoin 的说法,该代码永远不会共享,而是用于检查 Worldcoin 的数据库中是否已存在虹膜哈希。该公司表示,为了做到这一点,它使用了一种新颖的隐私保护加密方法,称为零知识证明。如果算法找到匹配项,则表明有人已经尝试过注册。如果没有匹配,用户就会通过唯一性检查,可以继续使用电子邮件地址、电话号码或二维码注册,以访问 Worldcoin 钱包。所有这一切都将在几秒钟内完成。

Worldcoin 表示,生物识别信息保留在球体上,一旦上传后就会被删除,或者至少有一天,一旦公司完成识别虹膜和检测欺诈的 AI 神经网络训练,就会被删除。在那之前,除了诸如「个人数据……通过安全、加密的通道发送」之类的模糊描述,还不清楚这些数据是被如何处理的。「在现场测试阶段,我们收集和安全存储的数据比完成时要多,」博客文章指出,「一旦我们的算法得到充分训练,我们将删除在现场测试期间收集的所有生物识别数据。」

在本文发布前, Worldcoin 在回答我们的问题时表示,其系统的公开版本将很快消除新用户与公司共享任何生物识别数据的需求,尽管它没有解释这是如何运作的。

没用的欠条

但是,我们知道注册流程是如何进行的。为了让 Worldcoin 进入新用户的智能手机,该公司与当地的「球体运营商」签订合同,由他们管理所在国家或地区的注册工作。

运营商申请这份工作,并接受 Worldcoin 团队的面试和批准,尽管公司发言人 Anastasia Golovina 在一封电子邮件中强调,运营商「是独立承包商,而不是 Worldcoin 雇员」。因此,他们的工作没有合同或付款保证,而是根据他们收集的用户生物识别数据获得佣金。然而, Golovina 补充说,他们必须「遵守当地法律法规,包括当地劳动法。」

这些国家级运营商通过稳定币 Tether 收取佣金。稳定币是一种加密货币,其价值与传统货币(通常是美元)挂钩。由他们决定向分包商支付的费用(通常以当地货币)以及工作条件(全职、兼职或临时零工)。国家级运营商和分包商都受到基于佣金的支付结构的激励,以尽快、尽可能多地注册用户。

另一方面,目前新用户通过提交生物识别扫描至少可赚取价值 15 美元的 Worldcoin ,登录 Worldcoin 钱包还可再获 5 美元,后来招募的新用户可获得的 Worldcoin 总价值变更为 25 美元。

一些用户会一次性收到这笔款项,另一些则以每周 2.5 美元分批到账。Blania 表示,这种差异是为了检验哪种激励措施最有效。不管怎样, Worldcoin 不是稳定币,而且由于该代币(当时,编者注)尚未推出,该公司「还不知道 20 美元等值于多少 WLD 代币 」,它在一份书面声明中指出。

为了了解用户的动机,一些人可以选择接收价值 20 美元的比特币,以方便兑现。Worldcoin 表示,它发现「最活跃的用户选择保留他们的 WLD」,尽管我们的大多数受访者都持相反观点。

但随着 2021 年秋天兑现功能终止,目前,承诺的价值 20 或 25 美元的 Worldcoin 相当于该公司的欠条。无论出于何种意图和目的,用户在数字钱包中的所有代币都是毫无价值的。

抓住机会

Worldcoin 的用户加入的原因有很多。

「出于好奇」是一种常见的说法。还有一种说法是,因为球体运营商「看起来 nice 」,或者恰好是他们的兄弟、表亲或同学。有人希望尽早参与可能成为下一个比特币的时代,有人在大流行期间失去了工作或收入,有人因为内战卷土重来的威胁而感到绝望。

大多数人只是想要免费的钱——有人只想买午餐。许多人怀疑这是一个骗局,但很少有人愿意放弃尝试,万一事实并非如此呢?

Ruswandi 就出于上述几个原因。在大流行期间,他失去了大部分家具制造商的工作,并利用业余时间交易股票和加密货币,经常光顾与加密货币相关的留言板和交易所。

「我很好奇,觉得尝试一下也无妨,」他回忆道,考虑到收入减少了,这笔钱很有吸引力。

但他很快就产生了怀疑。现场的公司代表和村官都无法回答有关 Worldcoin 的基本问题。他在网上做了更多调查,却无一所获,于是他得出结论,这是一场骗局。他认为,神秘的赠品是一次大规模的数据收集活动,伪装成某种秘密的线下空投——加密货币项目发布免费代币以吸引用户的策略。

毕竟,他的许多乡亲们对互联网的了解仅限于智能手机上预装的 Facebook App,因此在潜在用户能够接收新货币之前, Worldcoin 代表「首先必须帮助许多居民设置电子邮件并登录网络,」Ruswandi 回忆说。他想知道,如果是为了吸引用户使用新的加密货币,「为什么 Worldcoin 一开始就瞄准了低收入社区,而不是加密货币爱好者或社区?」

图为 Iyus Ruswandi 在西爪哇 Gunungguruh 的 Worldcoin 招募现场,他对公司为什么需要虹膜扫描有很多疑问,但都没有得到解答。(Muhammad Fadli 拍摄)

生物识别问题

2021 年 10 月,当 Worldcoin 宣布「我们来了!」时,立即遭到强烈质疑。

正如美国国家安全局吹哨人斯诺登(Edward Snowden)在推文中所说的,「不要对眼球进行分类。不要将生物识别技术用于反欺诈。事实上,不要将生物识别技术用于任何用途。人体不是检票口。」

许多人对 Worldcoin 的隐私协议表示怀疑,特别是因为该公司尚未发布白皮书或开放其代码以供外界评估。『这看起来像是生成了一个人们虹膜扫描的全球(哈希)数据库(以「公平」的名义)」,并通过宣布「我们删除了扫描」来消除影响。是删除了,但你们保存了扫描生成的*哈希*,以及与*未来*扫描匹配的哈希值,』斯诺登在推文中说。

还有硬件安全的问题。Jeremy Clark,Concordia 信息系统工程研究所专注于应用密码学的副教授,他对球体的安全性提出了质疑:「机器本身会有一些安全保护措施,」他说,「但没有一项技术是绝对安全的。所以这通常是一个经济问题……如果这个项目如他们所愿取得成功,那么尝试解决这个问题就会变得更有利可图。」

其他人则对该公司所谓的公平性提出质疑,因为 20% 的代币已经分配了:10% 分配给 Worldcoin 的全职员工,另外 10% 分配给 Andreessen Horowitz 等投资者。

此外,区块链领域的许多人不同意 Worldcoin 试图构建的基本前提:在 Web3 上创建一个身份,这对于一场转向区块链、DeFi 和 DAO(「去中心化自治组织」)的运动来说是一种诅咒,这种运动的明确目的就是匿名。

其他人仍然不相信 Worldcoin 实际上能够真正惠及世界上的每一个人,相反,它会分散人们对正在进行的创建新身份范式工作的注意力。身份专家 Kaliya Young 虽然拒绝对 Worldcoin 发表具体评论,但他表示,『在网络身份识别方面,公司通常会声称「如果世界上的每个人都在我们的系统中,那么一切都会好起来。」 新消息是:每个人都不会出现在你的系统中,所以让我们继续讨论如何解决问题。』

Blania 和他的团队认为,这种批评不正确。「我们团队的大部分人都有加密货币背景……所以我们非常关心这个(隐私),」他告诉 MIT 技术评论。「我完全理解这种担忧,」他说,但他认为这更多的是「情绪化的直觉反应」,而不是「客观的批评」。他补充说,批评者们所忽略的是,Worldcoin 协议一旦完成,在保护隐私方面将会有多么出色。

Clarkson 大学身份识别技术研究中心主任 Stephanie Schuckers 表示,这并非不可能,因为生物识别技术最近取得了许多进展。最新趋势之一是「样本安全」(Template Security),它使用加密技术来对生物识别数据进行转换。「当你存储这些数据后,如果它被盗,就无法通过逆向工程恢复到原始的生物识别信息,」她说。

但她补充道,这种技术尚未商业化的原因是,加密转换往往会导致「性能下降」。样本安全不是将新的生物识别数据与现有的生物识别样本进行匹配,而是通过某种哈希或代码将计算机算法对数据的解释与另一个存储的代码进行匹配。Schucker 说,这增加了出错的空间,使得「在这个加密空间中匹配生物数据变得更加困难」。不过她补充说,最近在样本安全方面的一些进步已经解决了其中一些缺陷。

样本安全听起来像是 Worldcoin 可能正在做的事情——不过 Schucker 警告说,如果没有看到他们的代码,或者除 Worldcoin 博客文章之外的更多信息,还很难确定。

自从我们 2 月份第一次联系该公司以来, Worldcoin 已承诺开源其代码,包括在多个场合向 MIT 技术评论反复强调,这将在「未来几周内」实现。

此外,该公司在一份声明中补充道:「需要强调的是,我们收集数据的目的不是为了从中获利或者像许多其他科技公司那样监视我们的用户。相反,我们的目标仅仅是将这些数据用于开发算法,以最大限度地减少欺诈并增强用户隐私。」

让他们加入

据 MIT 科技评论采访的许多人士透露, Worldcoin 的代表使用了一系列可疑的策略和诱惑来吸引新用户。

苏丹的 4 位前球体运营商之一,Mohammad Ahmed Abdalbagee 表示,2021 年 3 月在苏丹开始运营时,运营人员发现很难「向那些连电子邮件都没有的人解释数字货币的概念」。因此,他们举办了一场 AirPod 有奖竞赛来鼓励注册,最终吸引了大约 20,000 名注册者。

在印度尼西亚西爪哇省的一所伊斯兰高中, Worldcoin 申请举办一场加密货币研讨会。学校的学生活动协调员 Muhammad Hilham Zein 阅读该申请后建议批准,但前提是该申请是「分享加密知识……而不是鼓励学生投资数字货币」。

「为什么 Worldcoin 一开始瞄准的是低收入社区,而不是加密货币爱好者或社区?」

但参加者(其中至少有一名年满 15 岁,这违反了 Worldcoin 自己的使用条款)以及我们记者的第一手观察结果却讲述了一个不同的故事。在 45 分钟的会议中, Worldcoin 工作人员忙于为十几名学生注册、帮助他们下载 App 并注册电子邮件,最后还要扫描他们的生物特征,以提供有关加密货币、Worldcoin 本身,或指导他们如何同意或撤销同意。(学生们至少收到了他们分配的 Worldcoin ,这些币按周分发)。

最近,在西爪哇大约 20 个村庄举办的招募活动中,许多像 Iyus Ruswandi 这样的新用户都被赠品吸引了。

「这是在大流行期间举行的,那时候政府通常会发放社会援助包,」Ece Mulyana 解释道,他是一所伊斯兰小学的校长,他在前一天晚上被告知,他的学校将被用作 Worldcoin 注册站点。「我无法拒绝这个请求,」 Mulyana 说,因为指示来自更高级别的官员——街道管理负责人 Ade Irma,他正在帮助 Worldcoin 协调村庄登记工作。

Mulyana 说,Irma 为每个成功扫描的人支付了 2,000 印尼盾(在撰写本文时约合 14 美分)的费用。Mulyana 估计有 170 人参加了,总计 340,000 印尼盾(约合 23.8 美元)。

Irma 的上司、批准这些活动的街道领导 Heni Mulyani 表示,这笔钱是用来「买咖啡和香烟」的,这是给政府官员酬金的委婉说法,以协助他们所请求的活动。她说,所支付的钱都没有用于场地租金,但她补充说,「我们向你保证,这笔钱不是来自村庄基金或预算。」

Gunungguruh 夜景,这是 Worldcoin 公司为招募活动而走访的大约 20 个村庄之一。(Muhammad Fadli 拍摄)

相反,这笔钱来自一家名为 PT Sandina Abadi Nusantara 的公司,该公司由一个名叫 Muhammad Reza Ichsan 的人和他的母亲共同创立,Muhammad Reza Ichsan 恰好是 Worldcoin 的「表现最佳运营商」(根据 Worldcoin 发布的博客文章)。该公司是 Worldcoin 印度尼西亚开展活动的法人实体;他母亲的工作则是联系当地政府官员协调招募活动。

Ichsan 告诉 MIT 科技评论,「我们不向村庄支付费用,但我们为那些帮助我们在现场召集公众的人提供了一项运营基金。」

即使 Mulyani 没有滥用乡村资金,根据印度尼西亚的反腐败和反贿赂法,这些小费(除了极少数例外)也是非法的,给予者和接受者都可能受到刑事处罚。

在回答有关向村官付款的问题时, Worldcoin 代表表示,他们不知道这件事,称其为「孤立事件」,并表示他们已启动调查以了解更多情况。虽然他们还无法得出结论,但 Golovina 写道,「这些付款中的大部分或全部可能是真正的运营费用,例如,在学校或其他设施中开展业务所需的费用,或支付在某些地方运营所需的许可证或执照的费用。」 这与官方及其运营人员的描述相矛盾。

Worldcoin 还将我们向他们提供的其他例子称为「当地球体运营商独立且孤立的工作」,包括苏丹的 AirPod 赠品和在印度尼西亚欺骗学校的行为,并补充说,「我们完全专注于激励运营商注册那些对使用 Worldcoin 感到兴奋的活跃用户。」

就村民而言,他们并没有被告知至少有一些官员正在接受报酬以推广 Worldcoin ;事实上,正如学校校长 Mulyana 回忆的那样,许多人认为该活动是由政府举办的。「我们必须向他们解释,这不是一个政府项目,」他说,「 Worldcoin 是一家外国公司,他们来了之后需要村里工作人员的协助。」

现在,一些村民怀疑他们能否收到钱,因为他们被告知 Worldcoin 代表将于 2022 年 1 月下旬返回村庄发放资金,这个时间已经过了(WEEX 注:本文发布时间为 2022 年 4 月)。对于那些精通数字技术的人来说,也没有看到在钱包中交易 Worldcoin 的功能。

运营盲区

混杂和错误信息不一定是故意的。我们采访的球体运营商经常提到,他们从招募他们的 Worldcoin 代表那里收到的信息少之又少,即使他们清楚地意识到,他们的报酬与他们完成注册的人数挂钩。(Worldcoin 表示,它为其国家级球体运营商提供了行为准则,次级运营商也必须遵守该行为准则,并且他们正在摒弃根据注册人数支付佣金的做法。)

Bryan Mtembei 就是一位这样的运营人员,他是一名土木工程师,最近刚从肯尼亚第四大城市纳库鲁(Nakuru)的一所大学毕业,去年 9 月在校园接受扫描后,他成为了 Worldcoin 的自由职业者。

他希望自己能接受「关于 Worldcoin 的简短培训或基础知识」。相反,他得到的唯一指示是「让更多人参与进来,为自己赚更多钱,」他说,「剩下的就取决于我的社交营销技巧了。」

因此,他尽力回答新用户的问题,其中最常见的是有关隐私的问题:Mtembei 估计,在他接触的人中,大约 40% 的人对于分享其生物识别数据表示担忧。

当他最初表达类似的担忧时,一位代表向他保证,他的所有问题都已在 Worldcoin 「白皮书」中得到解决。但实际上并没有这样的文档。据该公司称,这是出于设计考虑——人们不太可能阅读「冗长的、技术性很强的学术风格的论文」,他们较短的博客文章可以视为白皮书。

最终,Mtembei 对金钱的需求战胜了他的担忧。他注册了 150 到 200 人,每个人扫描的佣金为 50 KS(肯尼亚先令,合 44 美分)。

Bryan Mtembei 第一次见到 Worldcoin 代表是在肯尼亚纳库鲁的大学校园里。他接受了扫描,后来成为了一名运营人员。(Brian Otieno 拍摄)

Mtembei 并不是孤例。Willis Okach 是内罗毕的一名大学生,他和 Mtembei 一样,在参加扫描后被招募成为一名运营人员,他参与进来也是为了钱。「你没有(钱),有人给你一些,」他解释道,他认为 Worldcoin 「感觉学生不怎么有钱,所以他们会注册。」 在两天的工作中,Okach 注册了 50 个人,每带来一组生物识别数据,他就能赚到 100KS (0.88 美元)。

Worldcoin 发言人 Golovina 表示,「所有在现场测试期间注册的用户都会被充分告知我们将收集哪些数据,以及如何使用这些数据,并要求他们在注册之前表示同意。任何同意我们收集和使用其生物识别数据的个人都可以随时撤销他们的同意,并且这些数据将被删除。」

但在我们采访的人中,没有人被明确告知(或者运营人员没有告诉其他人)他们是「测试用户」,他们的脸部照片和视频以及 3D 人体图被拍了下来,并用于训练球体的「反欺诈算法」以「区分不同的人」,对他们的数据处理方式与后面其他人的数据处理方式不同,或者他们可以要求删除自己的数据 。

智利圣地亚哥的地铁保安 Ángel Rodriguez 回忆说,他在 Worldcoin App 中选中了一个方框,表示同意服务条款,说明是英文的,而他不懂英文。此外,根据 Worldcoin 的说法,其 App 及数据同意条款的链接直到「2021 年末」才可用,彼时现场测试已经进行了至少一年。

有时,新用户会被要求提供额外的个人数据,但 Worldcoin 声称他们从未有这样的要求。几乎所有我们采访过的人都被要求提供 email 地址来登录他们的钱包(即使在 Worldcoin 推出二维码登录之后)。有些人还被要求提供电话号码。

Golovina 在多封电子邮件声明中否认注册需要电子邮件或电话号码,但「我们确实为选择提供电话号码或电子邮件地址的用户提供了某些功能,例如发送和接收 Worldcoin 的功能。但这样的事情永远是可选的。」 Worldcoin 没有解释用户在无法发送或接收代币的情况下还可以用其代币来做什么。

与此同时,在内罗毕,几名学生表示,球体运营人员拍摄了他们的身份证照片,据 Okach 回忆,这样做的目的是确认他「不是……机器人」。Worldcoin 表示,他们从未要求用户提供国家身份证明文件,只要求球体运营商提供。

当我们与受访者分享这些回应时,他们并不认同。Mtembei 强调,个人信息从来都不是可选项,如果没有电子邮件和电话,就无法在他的球体上注册。「他在撒谎,」他说。

Mohammad Ahmed Abdalbagee 是 Worldcoin 在苏丹雇佣的 4 名球体运营人员之一,他补充说,正是他的团队的努力说服了 Worldcoin 添加电话号码作为首选登录方式。「他们在苏丹运营之前,使用电子邮箱作为主要标识符,但我们告诉他们这在苏丹行不通。许多大学生甚至没有电子邮箱,他们用手机在社交媒体上注册,」他说。

隐性殖民主义

一些专门研究科技行业与南半球国家关系的学者对 Worldcoin 的行为感到担忧,但并不惊讶。

数字人类学家、 《下一个十亿用户:超越西方的数字生活(The Next Billion Users: Digital Life Beyond the West)》一书作者 Payal Arora 表示:「这是一场看谁在这场 AI 驱动的经济中获得最多数据的竞赛。」 她说,欧洲和美国更严格的数据保护法意味着,这些地区雄心勃勃的企业家无法从本国民众那里获得所需的训练数据,因此他们必须将目光投向发展中国家。

事实上,根据 Worldcoin 发布的博客文章,由于监管限制,Worldcoin 在美国和中国均无法使用。而彭博社报道称,出于类似原因,该公司还停止了包括土耳其和苏丹在内的其他国家的现场测试。然而,Worldcoin 已经在加密货币会议上举行的演示中注册了许多美国用户,尽管该公司并不认为其在美国的活动是一种现场测试。

「在资金匮乏、法律保护薄弱的地方开展这种数据收集行动,成本更低,也更容易。」

Pete Howson,诺森比亚大学研究加密货币国际发展的高级讲师,他将 Worldcoin 的行为归类为一种加密殖民主义,其中「区块链和加密货币实验被强加于弱势社区,本质上是因为……这些人无法反击,」他在一封电子邮件中告诉 MIT 科技评论。

Howson 解释说,与其他形式的数字殖民主义相比,加密殖民主义更具危害性,因为区块链的核心原则——去中心化使得「当出现问题时……责任非常有限」。「你会经常听到 DYOR 这个词,因为这些人不太关心规则和规定。」

但是,信息和互联网接入方面的不平等使得「DYOR」精神对于发展中地区的许多人来说几乎不切实际。同样,巨大的经济差距也意味着,比如说,在肯尼亚,不到半美元的许诺就能让人们放弃生物识别数据,而在挪威或美国,这样的许诺不会有太大效果。

简而言之,在资金匮乏、法律保护薄弱的地方开展这种数据收集行动,成本更低,也更容易。

数据失误和政策漏洞

尽管 Worldcoin 的大部分现场测试是在发展中国家进行的,但该公司强调,它在发达国家也很活跃,包括欧洲的几个国家。该公司告诉我们:「Worldcoin 一直试图在全球具有代表性的国家进行现场测试。」

这代表了其自身的挑战。在收集、控制和处理欧盟定义的「数据主体」(即欧盟境内的任何人,包括被收集数据的公民、居民和潜在访客)的个人数据时,Worldcoin 受欧盟 GDPR 的约束。

GDPR 于 2018 年颁布,要求数据主体要被充分告知为何收集他们的数据、数据将如何使用、谁将处理这些数据、数据将传输到哪里、如何删除数据以及如何停止数据处理。未能充分保护数据可能会导致高达全球收入 4% 的或 2,000 万欧元的罚款,具体取决于违规的严重程度。

此外,如果欧洲以外的公司收集或处理欧洲数据主体的个人数据,也适用于 GDPR。因此,像 Worldcoin 这样在德拉威尔州注册、总部位于旧金山的公司不一定能得到豁免。

然而,这正是 Worldcoin 在其数据同意条款中所提到的,在 MIT 技术评论提交问题清单之前,该公司要求用户接受以下声明:

「我们 [Worldcoin] 自愿遵守 GDPR 政策」

「我们尚未采用董事会批准的数据隐私和安全政策,来描述我们计划保护您的数据以满足 GDPR 中普遍标准的手段和方法」

「我们的政策和程序可能不足以满足 GDPR 要求」

「如果我们不遵守规定,在美国法庭上维护您的隐私权可能会更加困难」

斯坦福大学网络政策中心国际政策主任、欧洲议会前议员 Marietje Schaake 审阅了这份文件,她表示,这项政策试图创造「例外」。但根据 GDPR,是没有例外的。而且,Worldcoin 拥有一家德国子公司这一事实已经使其受到 GDPR 的约束。

「作为欧盟公民,你有权对其提出质疑,」Schaake 说,他指的是任何潜在的违规行为。这些质疑将由欧洲数据保护机构进行审查,并最终在欧洲法院而不是像 Worldcoin 所说的在美国法院进行辩论。

Worldcoin 表示,它完全遵守 GDPR,并已在巴伐利亚数据保护局注册。他们雇佣了一名数据保护官,并且已经进行了数据隐私影响评估,尽管他们拒绝将数据保护官或评估结果公之于众。Worldcoin 补充说,他们的同意条款中的声明「之前包含了大量的警告……它们不再出现在我们最新版本的数据同意条款中。」 然而,截至文章发布时,该表述仍然保留在网上。

Aida Ponce del Castillo,欧盟贸易研究所研究员,负责研究新兴技术的法规,同时担任其组织数据保护官员一职,对她来说,缺乏透明度是不合理的。「DPIA 不是机密商业信息,」她告诉 MIT 科技评论——虽然发布不是强制性的,但她指出欧盟委员会建议企业「考虑至少发布部分内容,例如摘要或结论」。

巴伐利亚数据保护局尚未回应 MIT 技术评论就确认该公司注册请求的采访。

「这是操纵」

除了道德问题,还存在更实际的问题,例如:Worldcoin 实际运行情况如何?

对于一些测试用户和球体现场运营人员来说,答案是, 一点也不好。

有时,这是由球体的问题造成的。在苏丹,当地的虹膜识别器操作员 Abdalbargee 表示,虹膜识别器需要多达 6 次尝试才能识别一个人的面部。「实际上,我的朋友花了整整一周的时间,设备才识别出他的虹膜,」他补充道。

球体还容易出故障,从而减慢招募进程,而维修需要在德国进行。当 Buzzfeed News 在最近的一项调查中发现类似的球体故障时,Worldcoin 使用了它向我们重复过的表述:将一个特别严重的案例称为「孤立的异常现象」。

与此同时,从网络钱包向 App 钱包的升级过程中,一些用户丢失了他们的整个帐户或所有代币。对于其他人来说,该应用程序已被证明存在缺陷,会耗尽电池寿命或导致他们陷入加载和重新加载的恶性循环。

Rodriguez,前文提到的智利地铁保安,在被扫描后不久就一直在努力解决他的钱包问题。在 2 月份注册后,App 要求他输入他的电子邮箱、电话号码并使用二维码,但该 App 给他的手机带来了性能问题,因此他彻底卸载了 App。当他尝试重新下载 App 时,发现他的用户名已不存在了。

当地的球体运营人员告诉他,为了解决这个问题,他必须找到球体并重新扫描生物识别数据。但如果 Worldcoin 真如其声称的那样,重新扫描只会将他的虹膜与已有的虹膜哈希进行匹配。换句话说,一旦账户丢失,就无法恢复,Worldcoin 随后也证实了这一点。

还有一些身份欺骗的情况是球体无法检测到的。2021 年年中,印度尼西亚的一名商人能够注册和访问 200 多名已经完成扫描和身份验证的用户的钱包,并转出当时以比特币形式保存的资产。Worldcoin 表示,这种情况发生在早期通过 Web 端而不是 App 访问钱包的情况下,并且「自升级以来……我们尚未发现类似的欺诈行为。」

与此同时,那些担心整件事可能是一场骗局的人们想知道他们失去了什么。「50 KS 还不足以吸引眼球,」内罗毕的大学生 Okach 说,他花了一个周末招募其他人加入 Worldcoin。「这是操纵,在没有明确说明他们在做什么或想要什么的情况下把学生利用了。」

忘记早期用户

当我们开始报道这个故事时,我们注意到最初被引用为成功现场测试案例研究的 5 个国家中的 3 个——印度尼西亚、苏丹和肯尼亚——被世界银行列为低收入或中低收入国家。权力和经济差异似乎在伦理上令人担忧,所以我们开始挖掘。

我们想知道:作为这个全球加密实验的早期用户,是什么感觉?对于加密货币、Worldcoin 以及放弃生物识别数据的后果,参与者实际上了解吗?或者他们被告知了什么?他们是否提供了知情同意书——在这种情况下,知情同意又是什么意思?最后,我们的许多受访者都提出了同样的问题——虹膜扫描的真正目的是什么?

从左到右:Ruswandi 的邻居 Sadili、Solihin(社区领袖)和 Eli 均在接受扫描的 170 名村民之列。

最后,正是 Blania 在 3 月初接受采访时顺便说的一句话,让我们开始了解了 Worldcoin。

他在回答 2021 年秋季有关隐私的强烈质疑时表示:「在实际大规模部署系统之前,我们会让隐私专家一遍又一遍地拆解系统。」

Blania 刚刚分享了他的公司如何让 450,000 人加入 Worldcoin,这意味着它的球体扫描了 450,000 组眼睛、面部和身体,存储所有数据来训练其神经网络。该公司认识到这种数据收集存在问题,并打算停止这样做。然而他们并没有为这些早期用户提供同样的隐私保护。

我们对这种看似矛盾的现象感到困惑:是我们缺乏远见和大局观吗?毕竟,与该公司宣称的 10 亿注册用户的目标相比,45 万或许还很小。

但这 45 万人中的每一个都是一个独立的人,有自己的希望、生活和权利,但这一切都与硅谷初创公司的野心无关。

与 Blania 的交谈澄清了我们一直难以理解的事情:一家公司怎么会如此热衷于谈论其隐私保护协议,同时又明显侵犯了如此多的人的隐私?

通过采访我们看到,对于 Worldcoin 来说, 这些大量的测试用户在很大程度上并不是他们的最终目标用户。相反,他们的眼睛、身体和生活模式只是 Worldcoin 神经网络的原材料。与此同时,他们只需要支付那些较低级别的球体运营人员少量的钱,来给他们的算法喂料,而这些运营人员私下里却经常需要与自己的道德疑虑作斗争。讽刺的是,对那些为教会 Worldcoin 的 AI 识别谁或什么是人类而付出努力的人,这个项目是如此的没有人性。

当我们把长达 7 页的报告调查结果和问题提交给 Worldcoin 时,该公司的回应是,我们发现的几乎所有负面问题都只是「孤立事件」,最终都无关紧要,因为下一次(公开)迭代会更好。该公司写道:「我们相信隐私权和匿名权至关重要,这就是为什么在接下来的几周内,每个注册 Worldcoin 的人都将能够在不与我们分享任何生物识别数据的情况下这样做。」 近 50 万人已经接受了检测,这似乎并不重要。

而真正重要的是结果:Worldcoin 将拥有可观的用户数量,以支持其作为 Web3 首选身份解决方案的销售宣传。而当真正的、可货币化的产品——无论是球体、Web3 护照、货币本身,还是以上所有——向其目标用户推出时,一切都会准备就绪,不会有任何混乱的人工迹象或背后的人体器官。

作者:碳链价值

主流黑灰产盘点

据不完全统计,全球每3起网络攻击就有1起发生在中国,中国电信诈骗案每年以20%-30%速度快速增长,每一年国内数亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算多达数百亿元。目前网络黑灰产的规模已经超过千亿人民币,并已发展到高度社会化分工协同的水平,很多方面已经超越合法产业,且屡禁不绝,尾大不掉。

网络黑灰产已经成为互联网行业的“毒瘤”。然而魔高一尺可以道高一丈。面对黑灰产不断呈现出的新变化,我们相信,通过创新监管手段与打击措施,可以合力消弭网络灰黑产所带来的危害,从而不断优化网络生态环境。

知己知彼百战百胜。究竟网络黑灰产从何发展而来?包括哪些细分产业?可造成哪些危害?为何禁而不绝?如何才能够更有效地打击网络黑灰产?政府、企业还有个人在这场声势浩大的群防群治行动中各自担负什么责任?司法者可以从哪些方面贡献一份力量?为此,中国知识产权杂志特别联合上海融力天闻律师事务所孙黎卿律师策划了《网络黑灰产的前世今生》,为您揭开这一神秘产业的层层“面纱”。
 

经过多年的“猥琐发育”,网络黑灰产已经形成了一个平台化、专业化、精细化、相互独立、紧密协作的产业链。规模达千亿级的网络黑灰产市场,更是发展出惊人的细分,其中主流领域包括木马病毒、养号刷单、薅羊毛、电信金融诈骗、网络私彩、知识盗版、流量劫持、大流量DDoS攻击八大类。在这八大类下,又延伸细分出更多领域。

所谓网络黑灰产,是指网络黑色、灰色两条产业链,包括电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是,“黑产”指的是直接触犯国家法律的网络犯罪,2015年,国家互联网应急中心对“黑产”的范围进行了界定,包括三类:一是发动涉嫌拒绝服务式攻击的黑客团伙,二是盗取个人信息和财产账号的盗号团伙,三是针对金融、政府类网站的仿冒制作团伙,业内分别称之为“黑客攻击”“盗取账号”“钓鱼网站”,这些都是人们已经非常熟悉的典型网络违法犯罪行为。而“ 灰产”主要是指处于法律灰色地带的“恶意注册和虚假认证”等行为,这些行为游走在法律边缘,往往为“黑产”提供辅助。

经过多年的“猥琐发育”,网络黑灰产已经形成了一个平台化、专业化、精细化、相互独立、紧密协作的产业链。当前网络黑灰产业链有四大类型,分别是技术类黑灰产、包括虚假账号注册等在内的源头性黑灰产、用于进行非法交易交流的平台类黑灰产、实施各类违法犯罪行为的黑灰产。现阶段,灰产与黑产相互依附、交织,已发展为跨平台、跨行业的集团犯罪链条。以身份信息的非法买卖为例,这看似是灰色产业,实则背后潜藏着网络诈骗、盗窃、攻击等各类黑产的巨大风险。庞大的网络用户群体,是互联网黑灰产业违法犯罪的目标。目前,网络黑灰产业已开始呈现趋利化、集团化、跨境化趋势。

从近两年发生的多起重大网络安全事件来看,网络黑灰产早已不局限于半公开化的纯攻击模式,而是进一步转化成为敛财工具和商业竞争的不良手段,其非法利润之高令人咂舌——相关统计数据显示,网络黑灰产业“年产值”已逾千亿元。

规模达千亿级的网络黑灰产市场,更是发展出惊人的细分,其中主流领域包括木马病毒、养号刷单、薅羊毛、电信金融诈骗、网络私彩、知识盗版、流量劫持、大流量DDoS攻击八大类。在这八大类下,又延伸细分出更多领域。


木马病毒产业链
木马病毒产业链历史悠久,并伴随着电脑病毒的社会化而逐渐成熟,从最早的无意制造病毒开始,该产业链已逐渐演化出从设计制造木马病毒,到交易买入流量推广、传播扩散木马病毒、对中毒用户进行信息窃取、对信息及虚拟财产套现等多个链条环节,借此获取暴利。该产业链的发展可分为四个阶段:

第一阶段,最早的制造者开发并制作具有盗号、远程控制、自动传播等功能的木马病毒,并根据时事热点设计这类木马的传播方式、触发环境,且及时针对杀毒软件开发出免杀功能,还对木马病毒进行其他更新维护。

第二阶段,网络行业的内鬼、无良站长、黑客等提供流量交易环节者,通过各种手段实施“挂马”,为木马病毒提供传播与存在的平台及流量。

第三阶段,“包马人”是木马病毒产业链的核心,他们对上购买木马病毒,对下采购网络流量,实施网络“挂马”之后,开始从中窃取各类有用信息并进行整理,主要是各种实名信息、隐私信息,以及各类网络帐号和其中的虚拟财产。

第四阶段,即最终的变现环节。实际上,许多正规企业以及互联网品牌都有可能涉及这一阶段,即以“大数据分析”为由,采购各类非法获取的个人隐私信息。更多情况下,一些诈骗团队甚至犯罪团伙会采购此类信息,然后进行各种诈骗活动或者是欺骗式营销。

随着互联网的发展,木马病毒产业链的上下游也在不断进行变种和异化。比如,在具体的木马病毒之外,通过人工网上钓鱼或者是设计的程序进行撞库尝试等手法,同样进行各类盗取帐号的行为,然后再进行整理、“洗号”等,最后出售变现。


养号刷单产业链
这一产业链包括养号、刷单与利益变现这三个主要环节。

养号产业参与者主要有两个来源:一是通过网络招募人员参加。只是这类养号平台的来源非常分散、质量参差不齐、难以统一调度,因此越来越不被重视。二是通过定制开发的程序甚至是专门设备,操作大批的手机号、指定系统的帐号甚至拥有一定权限与层别的帐号,然后以这些帐号按照指定规则去生成所需要的相关数据与指标,以此兑换最终的收益。这也是目前真正能够形成市场的一种养号方式。

刷单行为在具体的实施操作中,可根据其目的分为数据刷量服务、奖励补贴盈利以及敲诈勒索等多种方向:

第一种是数据刷量服务。这类行为者多服务于淘宝卖家、APP或自媒体号运营者以及投票评选活动参加者等意欲提升自已的排名、名次、形象,或者需要一定的对外展示数据的对象。根据不同平台对于反刷量的技术限制,数据刷量服务都会有对应的解决方案,其收费标准也不尽相同。

第二种是奖励补贴盈利。这类行为者也称“羊毛党”,主要是针对电商平台、商家促销、媒体自身有奖推广等活动,研究其规则漏洞或规律,以大量的养号、密集的操作以及快速的技术应对,从中赚取大量的奖品、兑换券、优惠券甚至是直接的返利金额,再将不同收益通过相关渠道进行变现。

第三种是敲诈勒索。这类行为的最早案例是电商平台上的职业差评师,他们会把手中的用户账号“养成”非常具有说服力的帐号,然后再研究各个大型平台的管理规则,有针对性地利用这些平台的惩罚机制,大规模发起各种差评、投诉以及恶意评价行为,借此逼迫被差评对象支付相应的赔偿或费用,并从中盈利。


薅羊毛产业链


“薅羊毛”是随着电子商务快速发展而新兴的一类网络黑灰产行为。简单说,就是利用一些企业促销或者站点设计中的逻辑漏洞,通过批量注册、模拟用户真实行为、抢购、七日无条件退货等方式赚取利润。随着网络商品交易日益发达,“薅羊毛”现象越来越常见。此外,“薅羊毛”现象也不只存在于电商平台,通常情况下,在涉及卡券优惠、优惠码、现金红包类等情况时,都可能会产生“薅羊毛”现象。


早在“羊毛党”这个名词出现之前,网络上就已经存在一些“薅羊毛”的行为,这类行为者主要是热衷于电商优惠活动的“淘宝客”,或热衷于网络调查、打码、答题的“网赚群体”。2014年起,一些电商、团购平台开始通过微信进行推广促销,由于电商平台本身根基雄厚,且其活动形式简单、门槛低,微信红包、优惠券、满减、免单之类的推广活动迅速受到“羊毛党”的关注,使得“羊毛党”人数爆发式增长。


此外,“网赚群体”中的小部分人,通过建立博客、工作室,组建起具有一定规模的QQ群、微信群、YY频道等,为“羊毛党”提供活动线报、经验,积累了大量的下线。这些渠道成为了日后CPS推广平台的主力。各大网站、论坛、公众号、QQ群、CPS推广等,都是“薅羊毛”产业链中的重要环节。
过去的几年间,“羊毛党”已经发展成为一支庞大的力量。“薅羊毛”过程中需要的各种资料、手段、工具,促生了上游的各种灰色产业,比如接码平台、商业化的注册机、群控系统、代理平台、资料商人和账号商人等。


电信金融诈骗产业链


电信金融诈骗最早主要基于电话、手机进行,之后又随着QQ、微信的普及而开始在互联网上蔓延,其模式主要包括群发信息撒网、客服接听收线、钓鱼诱导或直接诈骗、钱款到帐后快速转移等多个密切配合的环节。
电信金融诈骗产业链的手法不断更新换代,其核心是利用人的贪念、色欲、胆小及人情弱点,冒充公检法警、家人亲友、领导客户、名人大腕等身份,虽然花样百出,但总的来说均属同一类型。


网络私彩产业链


由于我国国内至今为止都未对网络彩票开放牌照申请,因此,凡是在中国网络上开展彩票业务的“网络私彩”,均属于黑色产业。
简单来说,网络私彩的开彩数据,无论是其声称来源于国内的福彩体彩,还是与国外的知名彩票网站同步,事实上都不具备任何技术监控与公平保证。更多情况下,盘口则由开设私彩方自己提供。
网络私彩最大的问题就在于其没有得到任何部门的授权许可及监管。比如,某些自称同步于国内体彩与福彩数据的站点,根本不会真实出票,这种行为被称为“吃票”;万一有购彩者在网络私彩平台上中了大奖金,私彩站往往直接卷钱跑路,并改头换面继续经营网络私彩。
稍微正规的私彩站,实际采取的是非法赌场的经营思路,它们看起来似乎更讲究信用,实际上不过是“放长钱钓大鱼”,旨在培养重度用户。这些私彩站起初分析并发现有价值的用户,然后通过小奖诱惑,让他们步步入局,但事实上在整个过程之中,所有的中奖率都是被私彩站完全控制的。


知识盗版产业链


知识产权盗版黑色产业链的历史颇为悠久,其衍生发展形式也非常之多,主要包括盗版影视网站、盗版书籍阅读、盗版论文检索服务、游戏私服(盗版游戏)等,其主要参与环节则包括源数据窃取(非法翻录、盗窃、复制、破解),非法站点建立及维护、收费或流量变现等。
知识产权盗版站点起初在互联网上极为常见,经过整治后,目前往往采取各种躲躲藏藏的形式继续生存。不过,知识产权盗版产业链背后的利润率,依然始终随着知识产权价值的水涨船高而变得越来越丰厚。

流量劫持产业链


流量劫持产业链是最具互联网特质的黑色产业链。网络企业大多都离不开流量,无论哪个行业、哪个品牌,都需要各种访问量、展示量,而依赖于广告营收的行业更是离不开高流量的支撑。因此,除了常规的广告推广与各种引导之外,通过一些不光彩的技术手段,对正常网民上网的访问流量进行劫持、误导甚至是替换,就存在非常大的潜在需求。一些流量劫持者是不同电信服务商内部的员工与技术人员,他们私自进行网络协议层面的恶意解析,在确保劫持概率在正常人不易发觉的前提下,将原本是访问A的流量故意解析劫持到B处去,再向B收取高额的流量推广费用。一些黑客或木马病毒的制造者,则通过攻击用户家里的路由器或者某些小区、单位里的相关网络设备,从而掌握一大批能够被自己所控制的“肉机”设备,然后针对具体需求,直接将一定流量进行劫持后出卖。还有一些小品牌路由器厂家、各类杂牌电脑、山寨手机等,会在其硬件设备内部留有后门,又或在产品内加入一些软件层面的误导与诱导,从而可以根据需求随时开关、启动流量的劫持功能。


在流量劫持产业中也存在着一些灰色地带。比如,某些打着安全监控名义的软件、某些打着网址导航旗号的产品,甚至一些浏览器、搜索引擎的软件方,会以各种“擦边球”方式,诱导用户在指定情况下进入其页面,这本质上仍然是一种流量劫持,而通过这种方式劫持下来的流量,也往往会被变卖给出价的一方。

大流量DDoS攻击


DDoS(Distributed Denial of Service),全称“分布式拒绝服务”,即借助多台计算机作为平台来攻击服务器的一种方式的统称。DDoS攻击包括CC攻击、NTP攻击、SYN攻击、DNS攻击等。遭受DDoS攻击的网站会出现网站无法访问、访问提示“server unavailable”、服务器CPU使用率100%、内存高占用率等情况。DDoS攻击可类比于现实中的社会黑势力为了获取保护费,组织大量社会闲散人员恶意占座,导致个体商户无法正常经营的非法行为。对受攻击企业来说,DDoS攻击的危害可能是毁灭性的,也是目前最强大、最难防御的网络攻击方式之一。

作者:中国知识产权