涉案6亿网络黑产业曝光:想学古诗词,却误入色情网站
2018-09-05 17:28:00 来源: 《方圆》杂志微信公众号
  靖力/《方圆》杂志微信公众号 8月2日,腾讯安全联合实验室(TUSL)发布《2018上半年互联网黑产研究报告》,报告中提及目前社会上存在的7种互联网黑色产业链(简称网络黑产),既有存在已久的“暗扣话费黑产”“App刷量黑产”等传统网络黑产,也诞生了“挖矿黑产”“DD0S攻击黑产”等新型网络黑产。
  “哪里有流量,哪里能够获利,哪里便会有黑产聚集。”TUSL在报告中指出,过去是电脑等PC端的网络黑产比较多,现在随着手机等移动端的影响力渐渐增大,移动端也开始产生大量网络黑产。
  7月,北京市海淀区检察院在其发布的《网络安全刑事司法保护白皮书》中,针对该院办理的利用网络黑产实施犯罪的案件,进行了梳理,认为网络黑产犯罪的特点是,“上游提供工具和平台,中游获取信息、清洗数据,下游精准诈骗、盗窃财产,呈现产业化、公司化、平台化的特征。大大降低了犯罪成本,提高了犯罪效率。”实践中,此类案件涉及的罪名以破坏计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯公民个人信息罪为主。
  网络黑产可以“日赚千万元”
  2017年5月,湖北省武汉市警方查获一起震动全国的“教材涉黄案”。犯罪嫌疑人魏远毕业于某“985”名校通信工程专业,毕业后自己创业,成立了武汉雷胜科技公司,主要业务是帮别人做网站等。后来,魏远觉得挣钱少,便和公司几名骨干成员一起做起了“涉黄”生意:他们从互联网上下载网站模版,伪造了一个色情网站,首页上挂满了色情视频的链接,有人想看视频,就要支付会费成为会员,但打开这些链接后,根本没有他们想看的色情内容。
  为了吸引更多人受骗,魏远等人甚至把一个古诗词网站的网址篡改成他们色情网站的网址,结果正好一家教育出版社的教材引用了这个古诗词网站的网址,导致许多学生在学习教材的时候误入色情网站。
  据武汉警方披露,这家公司共诈骗300余万人(后台数据远高于此,考虑到重复账户,警方暂定为300万人),涉案资金达6亿元,公司在全国设立了近万个代理商,每天的资金流水高达300万元。
  而事实上,还有更“赚钱”的网络黑产。比如,“暗扣话费黑产”,这类黑产通俗点说,就是一帮软件开发人员与上游的网络服务提供商勾结,开发病毒软件,并将这些软件植入到伪装成色情、游戏、交友的应用中,最后通过暗扣话费牟利。据TUSL的数据,每天网络上大约新增2750个此类黑产的变种,每天影响数百万用户,按人均消耗几十元话费估算,日掠夺话费金额达到数千万元。
  “网络黑产犯罪的特点之一,就是被害人数多、犯罪数额大、影响范围广。”办案检察官说。


  2017年,浙江省绍兴市检察院办理的“快啊”打码案更加体现了网络黑产犯罪的这一特点。犯罪嫌疑人杨建明是一名富二代,计算机专业毕业后,创建了一个名为“快啊答题”的网站。大家知道,在上网时,注册或登录网站账户有时需要输入验证码。“快啊答题”使用国外的数据模型,引入大量验证码数据来对验证码进行识别,简称“打码”。“快啊答题”声称“单服务器极限每秒并发2000码,日最高处理极限1000万码”,每万条打码收费仅为10元,而人工打码的市场价一般为每条0.5元到2元。
  这项“先进”的打码技术很快被网络诈骗、网络黑彩、买卖个人信息等产业链利用,引发了大量刑事案件。据警方数据,2017年第一季度,“快啊答题”非法破解验证码次数达259亿次,以“快啊答题”为源头,绍兴市公安机关在全国13个省展开抓捕,抓获嫌疑人160余人,涉案罪名众多,被害人遍布全国20余个省级行政区,涉案金额高达2000余万元。
  更加复杂、隐蔽、完整、高效的产业链
  “网络空间发生的犯罪行为,分为网络黑产犯罪和网络化的传统犯罪。”海淀区检察院科技检察部检察官提醒,要注意两者的区别:网络化的传统犯罪只是犯罪主体以网络空间为载体实施的犯罪,没有创设新的法律关系;而网络黑产犯罪则一般以计算机数据、程序系统等作为犯罪对象,在网络空间形成了封闭的产业链。比如,日前频发的P2P爆雷事件,部分P2P平台涉嫌非法吸收公众存款、集资诈骗等罪名,其犯罪手法与此前的民间金融公司涉嫌此罪的手法差不多,都是虚构投资项目,骗到钱后走人,只是犯罪从线下转移到线上。这类犯罪应属网络化的传统犯罪。其他的还有传播淫秽物品牟利罪、开设赌场罪等。
  而网络黑产犯罪则不同,它离开了网络就很难实施,而且通常会形成黑客行为、侵犯公民个人信息的行为与电信网络诈骗的行为相结合的黑色产业链。比如,2016年的“徐玉玉案”,黑客通过网络手段获取准大学生徐玉玉的个人信息,对外出售牟利,获取到个人信息的诈骗团伙从而得以实施“精准诈骗”,使得徐玉玉最终相信了诈骗团伙。总的来说,网络黑产犯罪更加复杂、隐蔽、完整和高效。在各类网络黑产中,一般都有上游、中游、下游之分,“各司其职,相得益彰”。
  首先是深藏不露的上游,包括网络平台提供者、技术工具提供者以及信息传播服务者等。网络平台提供者为实施犯罪,专门架设非法网站,比如一些网站以色情、盈利等为引诱,诱使网络用户注册,以获取个人信息、社交信息等。还有一些黑客类网站,也成为犯罪方法、犯罪工具、违法信息的发源地。
  技术工具提供者为提供非法侵入、控制计算机信息系统程序、工具的人。这部分人一般是计算机相关专业的专业人才,掌握较高的计算机技术,在运用计算机技术的过程中,有意或无意地发现程序漏洞,从而客观上为他人犯罪提供了技术工具。
  前面提到的“教材涉黄案”即属于网络平台提供者,而“快啊答题”则属于技术工具提供者。值得警惕的是,随着各种智能设备的迅速发展,电脑和手机不再是“唯二”能实施网络黑产犯罪的载体。2017年,北京、浙江等地陆续查办了“家庭摄像头黑客案”,有黑客自制破解软件,远程破解了部分家用摄像头,从而可以观看这些摄像头所摄影像,更有人将非法获取的侵犯个人隐私的这些影像在网上传播、售卖。
  此外,还有信息传播服务者,指的是使用“伪基站”设备发送带有木马病毒、钓鱼网站的手机短信,诱使公众点击,以获取个人信息、银行账号密码、社交信息等,进而实施下游犯罪。
  然后是狡兔三窟的中游。“网络黑产的中游,主要功能在于依靠犯罪行为获取具有变现价值的生产要素,而生产要素的具体内容和价值取决于其使用的场景。”海淀区检察院科技检察部检察官说。
  比如“撞库”的行为。撞库,本质上是利用用户在不同场景中倾向使用同一账户与密码的行为习惯,以泄露的用户个人信息为数据样本,通过计算机系统批量尝试登录其他网站,从而获取其他网站账户信息的行为。“撞库”相较于传统的密码穷举方法更为高效,是网络黑产中游最为重要也最为常见的一种犯罪形态。
  还有的中游是内部人员勾结作案。一些政府机构、银行、企业的内部人员相较于外部人员,具有更高的内部权限,了解更多有助于实施犯罪行为的信息,天然具有适宜的犯罪机会,犯罪行为更隐蔽,成本更低,影响也更为严重。比如,2016年,四川省绵阳市警方查获一起侵犯公民个人信息案,当地一家农商银行的副行长用非法手段获取该行用户的银行征信查询账号后,在网上售卖,导致这些银行账号被小额贷款公司、诈骗团伙利用,滋生犯罪。
  最后是百花齐放的下游。谈到网络黑产的下游,许多人就比较熟悉了,这阶段的犯罪类型丰富多样,不一而足,包括盗窃、电信网络诈骗、侵犯公民个人信息、敲诈勒索等形式。这里的盗窃主要指的是行为人通过上游钓鱼网站、木马病毒获取银行账号、密码等财产信息,使用该账号和密码盗取账户存款。电信网络诈骗是指行为人通过上、中游的犯罪行为或数据平台获取了精确的公民个人信息,如姓名、职业、电话号码、身份证信息等,通过打电话进行精准诈骗。在电信网络诈骗犯罪案件中,为逃避钱款被追踪,还会形成专门的洗钱团伙。
  还有一种是敲诈勒索,行为人通过勒索病毒或者运用DDOS手段进行网络攻击,使企业陷于瘫痪;另一种是通过侵入公司服务器窃取企业信息资料,在“劫持”目标企业后实施敲诈勒索。比如,2017年10月,海淀区检察院查办了一起“比特币敲诈勒索案”,嫌疑人雇用俄罗斯黑客进行DDOS攻击,导致被攻击网站陷入瘫痪,不得不向其支付赎金来换取停止攻击。该案中,嫌疑人敲诈勒索使用了比特币支付的方式,使得这种犯罪方式更加“网络化”。
  另外一件令人哭笑不得的事是,网络黑产的敲诈勒索甚至还延伸出“勒索病毒解密产业链”。一些企业在受到勒索病毒攻击后,又不肯支付高价赎金,便会寻求别的帮助。因此,网络上出现了许多勒索病毒解密的服务商,提供病毒解密、数据恢复等服务。然而,因为勒索病毒的加密技术是高强度的非对称加密,这意味着除非得到密钥,否则理论上不可能解密。因此,解密的服务商有一部分其实是诈骗团伙,而另一部分成功解密的服务商,TUSL认为,“不能排除和勒索病毒传播者之间存在某些联系”。
  治理网络黑产的复杂性
  “(网络黑产)整个链条已经形成了完整的流水化作业。”奇虎360法务部专家赵军、张建肖表示,“治理的复杂性在于,链条的各个阶段都有犯罪的可能,而它们彼此又存在相互合作、相互依存的关系。”
  对于上游的网络平台提供者、技术工具提供者等来说,除了以犯罪为目的进行网络平台、技术工具开发的以外,还有大量从业者是因为缺乏网络安全防护意识,导致信息或者技术遭到泄露和滥用。
  赵军认为,就上游出现的问题,目前可从两方面入手进行规制:一方面,对以犯罪为目的进行网络平台、技术工具开发的从业者加大打击力度,对其他相关企业及人员进行普法教育。《刑法修正案(九)》增设了拒不履行信息网络安全管理义务罪,以及《网络安全法》中涉及的合规义务等,都是规制网络从业人员的有力武器。如果没有尽到建设关键信息基础设施的义务,从业者需承担相应的法律责任。
  另一方面,应当加大对“白帽子”的正向激励和保护措施。所谓“白帽子”,是指从事挖掘网络漏洞、打击网络黑产的民间力量。在很长的时间里,“白帽子”都游走于灰色地带。虽然“白帽子”与黑客做的事情有时大同小异,但二者的目的不同。“白帽子”是通过挖掘漏洞来及时提醒相关人员做好系统的防护工作,而后者则是通过挖掘漏洞进行非法买卖,攫取利益。
  在缺乏正向的激励和保护措施的情况下,当“白帽子”挖掘到重要漏洞时,很有可能抵挡不了网络黑产中巨额利益的诱惑,走错误的道路。比如,2017年引起巨大争议的“袁炜案”,袁炜通过攻击某交友网站获取该网站信息的方式提交了针对该网站的漏洞报告,该网站随后修复了漏洞,一个月后,该网站以袁炜非法窃取网站数据为由报警。许多“白帽子”并不清楚这一点,以为自己的行为是合理合法的。但是企业一旦较真,“白帽子”的行为是不受法律保护的。因此,从法律和政策上进行正向引导,对于规范“白帽子”的行为是大势所趋。
  有的网络平台提供者和技术工具提供者以“技术中立”为由试图免除法律责任,浙江大学光华法学院互联网法律研究中心副主任李世阳认为,“恶意软件没有中立一说”。“对于软件而言,其功能与价值是由软件开发者通过编程赋予的,当软件开发者在开发某个软件时,如果专门赋予该软件实施违法犯罪行为的功能,该软件就带上了开发者的‘恶意’。比如微信抢红包外挂软件被专门用于迅速抢红包,盗号软件被专门用于盗取他人互联网账号等。”
  李世阳表示,恶意软件在客观上为软件利用者实施的盗窃、诈骗、破坏计算机信息系统等违法犯罪行为提供了物理上的帮助,从因果共犯论出发,软件开发者应该认定为软件利用者所实施的犯罪的参与人。
  网络黑产的中游主要是进行信息、技术等流转、分配的过程。但在此阶段,并非所有恶意的技术和泄露的信息都必然只能成为下游犯罪的工具。
  “以‘社工库’为例,‘社工库’是网络黑客把泄露的用户注册信息整理入库、并做成一个通过查询用户名就能显示密码的查询网站,这种网站的存在的确为某些想要从事非法活动的人员提供了途径,但是其也能够发挥正向作用。比如,当银行系统被盗后,在采取及时的防护措施的同时,银行也可以告知用户相关情况,让用户利用社工库来检查自己的银行信息是否遭到泄露,从而达到银行和用户信息共享、共同抵御风险的目的。”赵军说。
  网络黑产的下游是利用现成的手段和信息实施犯罪的阶段。在这一阶段,司法机关打击犯罪是最为重要的工作,同时,还可以通过打击下游犯罪,追根溯源查到中游和上游犯罪。
  “对于提供网络安全产品和服务的行业而言,目前缺乏相关的法律保护和机制是从业者所共同面临的法律风险。”赵军认为,已经颁布并实施的《网络安全法》仅规定了众多合规义务和禁止性规定,但是缺少对网络安全服务提供者的正向引导和激励、保护机制。这种不足会导致很多问题,比如《关键信息基础设施安全保护条例》规定,“任何个人和组织未经授权不得对关键信息基础设施开展渗透性、攻击性扫描探测”。这一方面明确了网络安全服务提供者在法律上没有特权,限制并阻碍其对系统漏洞和风险做出及时检测和评估;另一方面又无法从法律上对黑客行为进行约束,致使该群体更加肆无忌惮地对关键信息基础设施进行扫描探测、危害网络安全。事实上,各种新型网络黑产的出现导致法律很难在鼓励合法从业者和打击网络犯罪者之间建立平衡。
  对于普通群众如何防范网络黑产,TUSL发布的报告中,腾讯安全专家李铁军做出提示,防范移动端黑产,用户应尽可能在大的应用市场下载软件,避免通过网页广告或手机短信链接下载软件;可以使用手机杀毒软件过滤恶意软件;如果发现手机有异常广告弹出或流量、资费消耗异常,可以请求安全厂商协助分析。
  “对于电脑端的黑产,企业要做好服务器安全的防范工作,避免黑客入侵。包括打好补丁、用复杂密码等;个人用户应尽量避免使用盗版破解工具,不使用游戏外挂等,因为这些工具最容易携带病毒;再就是使用杀毒软件,及时修补系统安全漏洞。”李铁军说。
  “治理网络黑产,在重视法律规制的同时,应对从事网络安全的企业和个人给予更多的法律保护,促使网络产业发展形成良性循环。”赵军总结说。(文中涉案人物均为化名)
  【编辑:叶圣凡】
  • 为你推荐
  • 公益播报
  • 公益汇
  • 进社区

热点推荐

即时新闻

武汉