8月2日,騰訊安全聯合實驗室(TUSL)發布《2018上半年網際網路黑產研究報告》,報告中提及目前社會上存在的7種網際網路黑色產業鏈(簡稱網絡黑產),既有存在已久的「暗扣話費黑產」「App刷量黑產」等傳統網絡黑產,也誕生了「挖礦黑產」「DD0S攻擊黑產」等新型網絡黑產。
「哪裡有流量,哪裡能夠獲利,哪裡便會有黑產聚集。」TUSL在報告中指出,過去是電腦等PC端的網絡黑產比較多,現在隨著手機等移動端的影響力漸漸增大,移動端也開始產生大量網絡黑產。
7月,北京市海澱區檢察院在其發布的《網絡安全刑事司法保護白皮書》中,針對該院辦理的利用網絡黑產實施犯罪的案件,進行了梳理,認為網絡黑產犯罪的特點是,「上遊提供工具和平臺,中遊獲取信息、清洗數據,下遊精準詐騙、盜竊財產,呈現產業化、公司化、平臺化的特徵。大大降低了犯罪成本,提高了犯罪效率。」實踐中,此類案件涉及的罪名以破壞計算機信息系統罪、非法獲取計算機信息系統數據罪、侵犯公民個人信息罪為主。
網絡黑產可以「日賺千萬元」2017年5月,湖北省武漢市警方查獲一起震動全國的「教材涉黃案」。犯罪嫌疑人魏遠畢業於某「985」名校通信工程專業,畢業後自己創業,成立了武漢雷勝科技公司,主要業務是幫別人做網站等。後來,魏遠覺得掙錢少,便和公司幾名骨幹成員一起做起了「涉黃」生意:他們從網際網路上下載網站模版,偽造了一個色情網站,首頁上掛滿了色情視頻的連結,有人想看視頻,就要支付會費成為會員,但打開這些連結後,根本沒有他們想看的色情內容。
為了吸引更多人受騙,魏遠等人甚至把一個古詩詞網站的網址篡改成他們色情網站的網址,結果正好一家教育出版社的教材引用了這個古詩詞網站的網址,導致許多學生在學習教材的時候誤入色情網站。
據武漢警方披露,這家公司共詐騙300餘萬人(後臺數據遠高於此,考慮到重複帳戶,警方暫定為300萬人),涉案資金達6億元,公司在全國設立了近萬個代理商,每天的資金流水高達300萬元。
而事實上,還有更「賺錢」的網絡黑產。比如,「暗扣話費黑產」,這類黑產通俗點說,就是一幫軟體開發人員與上遊的網絡服務提供商勾結,開發病毒軟體,並將這些軟體植入到偽裝成色情、遊戲、交友的應用中,最後通過暗扣話費牟利。據TUSL的數據,每天網絡上大約新增2750個此類黑產的變種,每天影響數百萬用戶,按人均消耗幾十元話費估算,日掠奪話費金額達到數千萬元。
「網絡黑產犯罪的特點之一,就是被害人數多、犯罪數額大、影響範圍廣。」辦案檢察官說。
2017年,浙江省紹興市檢察院辦理的「快啊」打碼案更加體現了網絡黑產犯罪的這一特點。犯罪嫌疑人楊建明是一名富二代,計算機專業畢業後,創建了一個名為「快啊答題」的網站。大家知道,在上網時,註冊或登錄網站帳戶有時需要輸入驗證碼。「快啊答題」使用國外的數據模型,引入大量驗證碼數據來對驗證碼進行識別,簡稱「打碼」。「快啊答題」聲稱「單伺服器極限每秒並發2000碼,日最高處理極限1000萬碼」,每萬條打碼收費僅為10元,而人工打碼的市場價一般為每條0.5元到2元。
這項「先進」的打碼技術很快被網絡詐騙、網絡黑彩、買賣個人信息等產業鏈利用,引發了大量刑事案件。據警方數據,2017年第一季度,「快啊答題」非法破解驗證碼次數達259億次,以「快啊答題」為源頭,紹興市公安機關在全國13個省展開抓捕,抓獲嫌疑人160餘人,涉案罪名眾多,被害人遍布全國20餘個省級行政區,涉案金額高達2000餘萬元。
更加複雜、隱蔽、完整、高效的產業鏈「網絡空間發生的犯罪行為,分為網絡黑產犯罪和網絡化的傳統犯罪。」海澱區檢察院科技檢察部檢察官提醒,要注意兩者的區別:網絡化的傳統犯罪只是犯罪主體以網絡空間為載體實施的犯罪,沒有創設新的法律關係;而網絡黑產犯罪則一般以計算機數據、程序系統等作為犯罪對象,在網絡空間形成了封閉的產業鏈。比如,日前頻發的P2P爆雷事件,部分P2P平臺涉嫌非法吸收公眾存款、集資詐騙等罪名,其犯罪手法與此前的民間金融公司涉嫌此罪的手法差不多,都是虛構投資項目,騙到錢後走人,只是犯罪從線下轉移到線上。這類犯罪應屬網絡化的傳統犯罪。其他的還有傳播淫穢物品牟利罪、開設賭場罪等。
而網絡黑產犯罪則不同,它離開了網絡就很難實施,而且通常會形成黑客行為、侵犯公民個人信息的行為與電信網絡詐騙的行為相結合的黑色產業鏈。比如,2016年的「徐玉玉案」,黑客通過網絡手段獲取準大學生徐玉玉的個人信息,對外出售牟利,獲取到個人信息的詐騙團夥從而得以實施「精準詐騙」,使得徐玉玉最終相信了詐騙團夥。總的來說,網絡黑產犯罪更加複雜、隱蔽、完整和高效。在各類網絡黑產中,一般都有上遊、中遊、下遊之分,「各司其職,相得益彰」。
首先是深藏不露的上遊,包括網絡平臺提供者、技術工具提供者以及信息傳播服務者等。網絡平臺提供者為實施犯罪,專門架設非法網站,比如一些網站以色情、盈利等為引誘,誘使網絡用戶註冊,以獲取個人信息、社交信息等。還有一些黑客類網站,也成為犯罪方法、犯罪工具、違法信息的發源地。
技術工具提供者為提供非法侵入、控制計算機信息系統程序、工具的人。這部分人一般是計算機相關專業的專業人才,掌握較高的計算機技術,在運用計算機技術的過程中,有意或無意地發現程序漏洞,從而客觀上為他人犯罪提供了技術工具。
前面提到的「教材涉黃案」即屬於網絡平臺提供者,而「快啊答題」則屬於技術工具提供者。值得警惕的是,隨著各種智能設備的迅速發展,電腦和手機不再是「唯二」能實施網絡黑產犯罪的載體。2017年,北京、浙江等地陸續查辦了「家庭攝像頭黑客案」,有黑客自製破解軟體,遠程破解了部分家用攝像頭,從而可以觀看這些攝像頭所攝影像,更有人將非法獲取的侵犯個人隱私的這些影像在網上傳播、售賣。
此外,還有信息傳播服務者,指的是使用「偽基站」設備發送帶有木馬病毒、釣魚網站的手機簡訊,誘使公眾點擊,以獲取個人信息、銀行帳號密碼、社交信息等,進而實施下遊犯罪。
然後是狡兔三窟的中遊。「網絡黑產的中遊,主要功能在於依靠犯罪行為獲取具有變現價值的生產要素,而生產要素的具體內容和價值取決於其使用的場景。」海澱區檢察院科技檢察部檢察官說。
比如「撞庫」的行為。撞庫,本質上是利用用戶在不同場景中傾向使用同一帳戶與密碼的行為習慣,以洩露的用戶個人信息為數據樣本,通過計算機系統批量嘗試登錄其他網站,從而獲取其他網站帳戶信息的行為。「撞庫」相較於傳統的密碼窮舉方法更為高效,是網絡黑產中遊最為重要也最為常見的一種犯罪形態。
還有的中遊是內部人員勾結作案。一些政府機構、銀行、企業的內部人員相較於外部人員,具有更高的內部權限,了解更多有助於實施犯罪行為的信息,天然具有適宜的犯罪機會,犯罪行為更隱蔽,成本更低,影響也更為嚴重。比如,2016年,四川省綿陽市警方查獲一起侵犯公民個人信息案,當地一家農商銀行的副行長用非法手段獲取該行用戶的銀行徵信查詢帳號後,在網上售賣,導致這些銀行帳號被小額貸款公司、詐騙團夥利用,滋生犯罪。
最後是百花齊放的下遊。談到網絡黑產的下遊,許多人就比較熟悉了,這階段的犯罪類型豐富多樣,不一而足,包括盜竊、電信網絡詐騙、侵犯公民個人信息、敲詐勒索等形式。這裡的盜竊主要指的是行為人通過上遊釣魚網站、木馬病毒獲取銀行帳號、密碼等財產信息,使用該帳號和密碼盜取帳戶存款。電信網絡詐騙是指行為人通過上、中遊的犯罪行為或數據平臺獲取了精確的公民個人信息,如姓名、職業、電話號碼、身份證信息等,通過打電話進行精準詐騙。在電信網絡詐騙犯罪案件中,為逃避錢款被追蹤,還會形成專門的洗錢團夥。
還有一種是敲詐勒索,行為人通過勒索病毒或者運用DDOS手段進行網絡攻擊,使企業陷於癱瘓;另一種是通過侵入公司伺服器竊取企業信息資料,在「劫持」目標企業後實施敲詐勒索。比如,2017年10月,海澱區檢察院查辦了一起「比特幣敲詐勒索案」,嫌疑人僱用俄羅斯黑客進行DDOS攻擊,導致被攻擊網站陷入癱瘓,不得不向其支付贖金來換取停止攻擊。該案中,嫌疑人敲詐勒索使用了比特幣支付的方式,使得這種犯罪方式更加「網絡化」。
另外一件令人哭笑不得的事是,網絡黑產的敲詐勒索甚至還延伸出「勒索病毒解密產業鏈」。一些企業在受到勒索病毒攻擊後,又不肯支付高價贖金,便會尋求別的幫助。因此,網絡上出現了許多勒索病毒解密的服務商,提供病毒解密、數據恢復等服務。然而,因為勒索病毒的加密技術是高強度的非對稱加密,這意味著除非得到密鑰,否則理論上不可能解密。因此,解密的服務商有一部分其實是詐騙團夥,而另一部分成功解密的服務商,TUSL認為,「不能排除和勒索病毒傳播者之間存在某些聯繫」。
治理網絡黑產的複雜性「(網絡黑產)整個鏈條已經形成了完整的流水化作業。」奇虎360法務部專家趙軍、張建肖表示,「治理的複雜性在於,鏈條的各個階段都有犯罪的可能,而它們彼此又存在相互合作、相互依存的關係。」
對於上遊的網絡平臺提供者、技術工具提供者等來說,除了以犯罪為目的進行網絡平臺、技術工具開發的以外,還有大量從業者是因為缺乏網絡安全防護意識,導致信息或者技術遭到洩露和濫用。
趙軍認為,就上遊出現的問題,目前可從兩方面入手進行規制:一方面,對以犯罪為目的進行網絡平臺、技術工具開發的從業者加大打擊力度,對其他相關企業及人員進行普法教育。《刑法修正案(九)》增設了拒不履行信息網絡安全管理義務罪,以及《網絡安全法》中涉及的合規義務等,都是規制網絡從業人員的有力武器。如果沒有盡到建設關鍵信息基礎設施的義務,從業者需承擔相應的法律責任。
另一方面,應當加大對「白帽子」的正向激勵和保護措施。所謂「白帽子」,是指從事挖掘網絡漏洞、打擊網絡黑產的民間力量。在很長的時間裡,「白帽子」都遊走於灰色地帶。雖然「白帽子」與黑客做的事情有時大同小異,但二者的目的不同。「白帽子」是通過挖掘漏洞來及時提醒相關人員做好系統的防護工作,而後者則是通過挖掘漏洞進行非法買賣,攫取利益。
在缺乏正向的激勵和保護措施的情況下,當「白帽子」挖掘到重要漏洞時,很有可能抵擋不了網絡黑產中巨額利益的誘惑,走錯誤的道路。比如,2017年引起巨大爭議的「袁煒案」,袁煒通過攻擊某交友網站獲取該網站信息的方式提交了針對該網站的漏洞報告,該網站隨後修復了漏洞,一個月後,該網站以袁煒非法竊取網站數據為由報警。許多「白帽子」並不清楚這一點,以為自己的行為是合理合法的。但是企業一旦較真,「白帽子」的行為是不受法律保護的。因此,從法律和政策上進行正向引導,對於規範「白帽子」的行為是大勢所趨。
有的網絡平臺提供者和技術工具提供者以「技術中立」為由試圖免除法律責任,浙江大學光華法學院網際網路法律研究中心副主任李世陽認為,「惡意軟體沒有中立一說」。「對於軟體而言,其功能與價值是由軟體開發者通過編程賦予的,當軟體開發者在開發某個軟體時,如果專門賦予該軟體實施違法犯罪行為的功能,該軟體就帶上了開發者的『惡意』。比如微信搶紅包外掛軟體被專門用於迅速搶紅包,盜號軟體被專門用於盜取他人網際網路帳號等。」
李世陽表示,惡意軟體在客觀上為軟體利用者實施的盜竊、詐騙、破壞計算機信息系統等違法犯罪行為提供了物理上的幫助,從因果共犯論出發,軟體開發者應該認定為軟體利用者所實施的犯罪的參與人。
網絡黑產的中遊主要是進行信息、技術等流轉、分配的過程。但在此階段,並非所有惡意的技術和洩露的信息都必然只能成為下遊犯罪的工具。
「以『社工庫』為例,『社工庫』是網絡黑客把洩露的用戶註冊信息整理入庫、並做成一個通過查詢用戶名就能顯示密碼的查詢網站,這種網站的存在的確為某些想要從事非法活動的人員提供了途徑,但是其也能夠發揮正向作用。比如,當銀行系統被盜後,在採取及時的防護措施的同時,銀行也可以告知用戶相關情況,讓用戶利用社工庫來檢查自己的銀行信息是否遭到洩露,從而達到銀行和用戶信息共享、共同抵禦風險的目的。」趙軍說。
網絡黑產的下遊是利用現成的手段和信息實施犯罪的階段。在這一階段,司法機關打擊犯罪是最為重要的工作,同時,還可以通過打擊下遊犯罪,追根溯源查到中遊和上遊犯罪。
「對於提供網絡安全產品和服務的行業而言,目前缺乏相關的法律保護和機制是從業者所共同面臨的法律風險。」趙軍認為,已經頒布並實施的《網絡安全法》僅規定了眾多合規義務和禁止性規定,但是缺少對網絡安全服務提供者的正向引導和激勵、保護機制。這種不足會導致很多問題,比如《關鍵信息基礎設施安全保護條例》規定,「任何個人和組織未經授權不得對關鍵信息基礎設施開展滲透性、攻擊性掃描探測」。這一方面明確了網絡安全服務提供者在法律上沒有特權,限制並阻礙其對系統漏洞和風險做出及時檢測和評估;另一方面又無法從法律上對黑客行為進行約束,致使該群體更加肆無忌憚地對關鍵信息基礎設施進行掃描探測、危害網絡安全。事實上,各種新型網絡黑產的出現導致法律很難在鼓勵合法從業者和打擊網絡犯罪者之間建立平衡。
對於普通群眾如何防範網絡黑產,TUSL發布的報告中,騰訊安全專家李鐵軍做出提示,防範移動端黑產,用戶應儘可能在大的應用市場下載軟體,避免通過網頁廣告或手機簡訊連結下載軟體;可以使用手機殺毒軟體過濾惡意軟體;如果發現手機有異常廣告彈出或流量、資費消耗異常,可以請求安全廠商協助分析。
「對於電腦端的黑產,企業要做好伺服器安全的防範工作,避免黑客入侵。包括打好補丁、用複雜密碼等;個人用戶應儘量避免使用盜版破解工具,不使用遊戲外掛等,因為這些工具最容易攜帶病毒;再就是使用殺毒軟體,及時修補系統安全漏洞。」李鐵軍說。
「治理網絡黑產,在重視法律規制的同時,應對從事網絡安全的企業和個人給予更多的法律保護,促使網絡產業發展形成良性循環。」趙軍總結說。(文中涉案人物均為化名)
(原題為《想學習古詩詞,卻誤入色情網站!涉案6億網絡黑產業曝光》)
(本文來自澎湃新聞,更多原創資訊請下載「澎湃新聞」APP)