目前,網際網路黑灰產業鏈日益成熟,黑色產業與灰色產業相互交織特點明顯,並多處於無管理狀態,從而在網上滋生了大量的詐騙、制假售假、販毒等違法犯罪活動。
與其造成的巨大危害相比,黑灰產業鏈的門檻卻很低,除編寫軟體外,「技術小白」幾乎都可以做。
近日,南都記者嘗試了近10個黑灰產業鏈中的軟體,逐步揭開其技術特性和非法性所在,並在網上成功買到了記者本人的通話記錄、開房信息及其他身份數據信息,用實踐證明一條巨大的網際網路黑灰產業鏈猖獗卻未得到有效遏制。(詳情 → 我們都「裸奔」了!南都記者700元買到同事航班/列車/銀行卡等10項信息,開房記錄精確到秒)
隨後,南都記者一一將售賣這些軟體和信息的平臺舉報,並向服務商和平臺所在地的公安機關和相關部門進行舉報。
撞庫類軟體
300元可檢存微博帳號
2015年,國家網際網路應急中心發起了重點打擊三類網絡黑色產業專項行動。這三類分別是:發動涉嫌拒絕服務式攻擊的黑客團夥,盜取個人信息和財產帳號的盜號團夥,以及針對金融、政府類網站的仿冒製作團夥。
近日,一個12G的數據包再次攪動了黑產市場。(詳情→ 網曝京東12G帳戶信息遭洩露,有京東帳戶的記住這三句話!)
數據外洩後,黑客會怎麼利用這些數據呢?業內人士告訴南都記者,一般黑客會登錄帳戶,將有價值的內容先清洗一遍,然後將數據出售,市面上的人買到這些數據後,可進行撞庫操作。
撞庫類的軟體,是網絡黑灰產業鏈的主要組成部分之一,其產生的價值也最大。如果用戶在不同網站使用的是相同的帳號密碼,黑客就可以通過獲取用戶在A網站的帳戶從而嘗試登錄B網站,這叫做撞庫攻擊。這些帳密對一旦落入了不法分子手裡,便會被用作進行詐騙與獲利。
然而,上萬條數據信息,不法分子是如何一條條「撞」的呢?南都記者調查發現,針對不同的網站,存在不同的撞庫軟體,又稱檢存軟體。在某些論壇上,有專門定製這方面軟體的平臺,並提供「下單」、「接單」和「第三方支付」等功能。
南都記者登錄精某論壇,論壇教程稱,只要發出軟體的要求、價錢,很快便會有人「接單」。南都記者在該論壇上看到,很多人公然發出「百度檢存軟體」、「ZFB檢存」等任務,要求「帶撥號功能」,「時速5萬到10萬」,「有成品」等,出價200- 300元至上千元不等。在帖子下方,不少人跟帖表示自己能按要求編寫軟體,進行接單,有的人還留下了自己的QQ號。
南都記者在一則定製新浪微博檢存軟體的帖子下,找到了一名軟體寫手,通過QQ與之進行聯繫。「綁機器300元,不綁機器1000元」,這名寫手向南都記者熟練地介紹,稱自己擁有不同功能的檢存軟體。
「有跑米正的,也有跑檢存的」——米正,即測試帳號密碼能否在網站上順利登錄,檢存則是只能檢測帳號是否曾在網站上註冊,不能檢測密碼正確與否。
在南都記者與多名軟體寫手聯繫的過程中,「米正」和「檢存」配合使用是寫手們最推薦的方式。「米正」是代指「密碼正確」的行話,一名「返利網」軟體寫手解釋,「米正」檢測速度較慢,一般1-2秒檢測一個數據,如果導入幾萬個數據,則需要花費幾個小時。「如果先用檢存篩選出來,一萬個數據裡面也就幾千個註冊的,再用米正就快了。」這位寫手稱。
這名跟南都記者聯繫上的新浪微博檢存軟體寫手稱,他寫的軟體「跑起來很快」,直接用「米正」就可以。通過QQ遠程,他向記者演示了軟體的運行。
通過演示可以看到,這款軟體運行的速度確實很快,僅耗時20秒就檢測了105個數據 ,以「 帳號——密碼——檢驗結果」的形式顯示出來。運行結束後,軟體自動生成txt文檔,分別將「密碼錯誤」和「密碼正確」分類。結果顯示,在400多個帳密對中,可檢測出100多個正確帳號。
南都記者隨後嘗試以寫手提供的、檢測後的正確帳號密碼登錄新浪微博,發現果然存在帳號。不過,該帳號因多次被不正常登錄已被暫時凍結。
隨後,南都記者又通過論壇聯繫上幾名軟體寫手,分別測試了豆瓣、快手、返利網和唯品會的檢存軟體。
有的需要代理,有的需要連接打碼平臺,操作方法都大同小異:填寫好相關帳號後,導入需要檢存的數據,軟體自動運行,結束後自動導出帳號、密碼正確的數據,就大功告成了——這些數據可以二次出售,也可以自己登錄去從事不法行為。
今年8月,多名百度雲用戶發現自己的帳號被盜,一夜間網盤內所存的大量文件消失,有的甚至被塞滿黃片。北京市海澱區警方偵查發現,以賣漁具為生的胡某兼職做「黑客」,一年間購買和免費獲取帳戶密碼信息近3000萬條,網購撞庫軟體將這些信息批量登錄百度帳戶,篩出正確帳號密碼50餘萬條,並將有現金的帳號在網上出售,獲利5萬餘元。
批量註冊類
為刷單搶紅包提供便利
南都記者調查發現,無論電商還是社交、遊戲平臺,都有人在網上註冊並倒賣垃圾帳號。一個垃圾帳號從幾毛錢到幾元錢不等,批量起售,數量驚人。
一名曾參與「社工網站」,也就是專門從事各類帳號註冊買賣的網站工作人員透露,他們會購買大量手機黑卡、身份信息,然後用軟體批量註冊,「幹我們這一行的,沒幾個人認為自己是違法的。」南都記者獲悉,購買這些垃圾帳號的人,可以用以詐騙、虛假交易、發放垃圾廣告、刷信譽、刷人氣、紅包套現等。
有些網絡黑灰產業需要真實的帳號和密碼,有些則只需要大量空白帳號即可。如最常見的「刷粉」、「刷單」、「搶紅包」等,用大量空白帳號就可實現。那麼,不法分子又是怎麼得到大量空白帳號的呢?
實際上,在一些交易平臺、QQ群,都有購買渠道。
南都記者在網上找到多種網站的批量註冊軟體,發現很多已不可用。一名編寫過多種批量註冊軟體的寫手告訴記者,「已經很難註冊了,不好出號」。
其解釋,現在網站對註冊要求提高了,「要有郵箱、有手機卡對接,還要買VPS(Virtual Private Server虛擬專用伺服器)」。雖然郵箱與手機卡都有對應平臺,「但公用的卡大都不能用,要卡商專門對接的才比較好用」。
該寫手告訴南都記者,這樣就使得成本大大提高,「二毛五賣出去的話,你自己刷也要一毛七左右」。
儘管如此,批量註冊軟體仍然有其市場。南都記者拿得了B站和返利網的批量註冊軟體進行測試,這兩個註冊軟體每個僅需要100元。由於B站註冊需要識別驗證碼,軟體需要先連接付費的「打碼平臺」,讓其自動讀取識別驗證碼。如果不願付費,也可人工識別輸入驗證碼,除此之外,批量註冊沒有任何成本。
運行起來後,軟體自動創建隨機的帳號和密碼,四位驗證碼圖片出現在軟體上,南都記者輸入打碼平臺的帳號密碼後,軟體迅速自動將圖片翻譯成文字,幾秒後便出現「註冊成功」字樣。寫手提醒記者,大批量通過軟體註冊帳號會引起平臺注意,因此,註冊一定數量的帳號後,就需要更換IP。如果平臺沒有察覺到軟體的運行,那麼軟體可以一直註冊下去,需要多少帳號就能產生多少。
目前,絕大多數利用惡意手機註冊產生的帳號,主要分布於網絡打車、網際網路金融、垂直電商、網路遊戲等。典型作案方式是用惡意註冊的打車軟體帳號獲得打車紅包,或者利用惡意帳號進行非法理財、借貸等。
如果說撞庫軟體更多是洩露個人信息安全,那麼批量註冊軟體,侵害的則是個人和企業的利益。日前,阿里巴巴就向法院起訴狀告刷單平臺「傻推網」涉嫌嚴重危害市場競爭秩序,該案成為全國首例電商平臺狀告刷單團夥案。
90後楊某成立的「傻推網」刷單業務覆蓋所有電商平臺,開業僅一年就賺得盆滿缽滿,除楊某本人獲利36萬元外,其餘數名刷手合計獲利超過180萬元。
阿里平臺治理部相關負責人表示,「傻推網」組織刷單非法牟利200多萬元,而在現有法律下只被處以10萬元左右的行政罰款,可謂毫髮無損。
「惡意註冊是網絡犯罪的源頭性問題,每個企業都是惡意註冊的受害人。」最高人民法院中國應用法學研究所研究團隊認為,除了要完善平臺管理規則,建議相關部門聯合落實專項行動,並在行政和刑事立法及司法解釋中予以規範,從而遏制惡意註冊產業鏈的壯大。
打碼、交易平臺類
識別驗證碼,第三方擔保交易
在網絡黑灰產業鏈的發展過程中,不法分子形成了大量非法網站、聊天群組,這些平臺有很強的組織能力、聚眾能力和影響力,曾一度出現線上組織攻擊競爭對手,線下聚眾鬧事等嚴重影響網絡秩序和社會穩定的事件。
在測試軟體的過程中,南都記者也發現,很多網站在註冊、登錄時要求輸入驗證碼,以防止機器登錄。由此,也滋生出了一些打碼平臺,這些平臺可以提供識別服務,從而識別驗證碼。
這些打碼平臺會按照驗證碼的類型收費,10位以內的數字、英文、漢字混合驗證碼都可以識別,在南都記者測試的豆瓣批量註冊、返利網檢存的軟體上,只需要填寫打碼平臺的帳號密碼,便可直接使用了。
除此之外,數據銷售平臺也為網絡黑灰產業鏈提供了便利。無論批量註冊還是檢存,最終生成的都是同一產物:數據。那麼,這些數據會如何處理呢?
最有效的推廣方法,是通過QQ群、YY群進行直接銷售。南都記者在QQ上以「數據」等關鍵字進行搜索,發現有若干數據買賣的群,群內有人叫賣、收購各類數據。除此之外,南都記者還發現,數據買賣也有第三方平臺。
「很多人交易數據的時候也擔心遇到騙子,於是就會出現類似淘寶一樣的網頁,但裡面買賣的都是數據」。一名業內人士告訴南都記者,在「某卡街」、「虛某街」等網站上,各種數據明碼標價,一旦支付購買,數據就會自動發到購買人的郵箱,庫存也會相應減少。
除此之外,一些「社工庫」平臺也依然活躍在網上。「社工庫」平臺上收集了大量市面上洩露出來的原始資料庫。然而,這些數據由於曝光率高,通常已被人使用過多次。
一個真實的違法案例是,珠海市的尹某飛從2014年開始,為實現盜竊他人支付寶款項,通過網際網路購買數據包,花了2000餘元獲得包含有他人在學信網、智聯招聘網等網絡帳戶名稱和密碼的數據32萬餘條,他人在各大網絡論壇和第三方支付平臺的帳戶和密碼數據,數據包中含有500萬餘條信息,支付寶帳戶名稱和密碼的數據400萬餘條。
尹某飛在取得這些數據後,逐個輸入支付寶客戶端進行驗證,登錄成功後以「發紅包」的方式直接盜走該帳戶的錢款,或者以購買充值話費、遊戲卡後再低價轉賣的方式套取現金,共套取了現金12萬餘元。
2016年9月,尹某飛被判處有期徒刑四年,並處罰金人民幣12萬元。
舉報
向警方、監管部門舉報後至今無人管
隨後,南都記者根據這些交易軟體、數據信息的平臺和個人所屬的歸屬地,向有關部門和當地警方進行舉報。
對於撞庫、批量註冊軟體定製平臺精某論壇,網站本身並沒有舉報電話,論壇指示,可以在違規帖下方通過舉報按鈕舉報。南都記者以論壇會員身份,在數個出售、求購檢存軟體、註冊軟體的帖子下進行了舉報,論壇提示,管理人員在後臺會收到舉報提醒,處理後,舉報者會獲得相應的獎勵。至截稿前,論壇並沒有進行通知。
精某論壇的註冊公司為廣東揭陽市揭東區精某科技有限公司,昨日,南都記者聯繫揭陽公安網警處,工作人員表示,可通過警方網絡渠道(官方微博微信)舉報,會進行核實和調查,依據情況作出相應的處理。對於註冊地在重慶的數據交易平臺某卡街,重慶公安告知只能在自己的所在地警方報案,重慶警方不予處理。
此外,不少軟體、信息交易均通過QQ平臺實現。昨日,騰訊相關負責人回復稱,騰訊堅決打擊利用QQ群進行個人信息販賣的違規違法行為。用戶若發現QQ平臺上有個人信息販賣的情況發生,可以通過產品端舉報入口和騰訊客服等通道進行舉報,一般情況下將在7天內進行反饋,按情節嚴重程度進行封號封群或移交執法機關,並配合偵辦。
此外在11日中午,南都記者通過工信部舉報平臺12321,以涉嫌非法獲取信息並提供相關交易擔保服務等問題,將上述網站一一舉報,並留下記者聯繫電話和郵箱,至截稿前,尚未取得聯絡或回復。
業內人士:
為盜號軟體找主管
部門找了一圈都沒人管
上述黑灰產業鏈條環環相扣、相互交織,為網絡違法犯罪提供全方位、全鏈條的幫助,是網際網路犯罪的源頭性問題。然而,這些製作軟體、售賣軟體的人和平臺,卻遊走在法律的邊緣,並沒有背負應有的責任。
目前,依附於網際網路的黑灰產業主要有這4類——
● 惡意軟體類:盜號功能軟體,釣魚木馬軟體,批量註冊功能軟體,帳號數據、信息、狀態檢測軟體,刷單軟體,偽裝/更改環境工具等;
● 非法硬體類:偽基站,貓池(養非實名手機卡、用以批量收發信息);
● 非法信息、數據買賣類:社工庫(數據集市)、手機黑卡、銀行卡、身份證信息買賣等;
● 惡意群組、平臺類:惡意交流群組、惡意平臺等。
抓的多是孩子,犯罪上遊監管缺失
在公安部部署的「8.14」非法獲取計算機信息系統數據專案中,作案團夥利用軟體進行掃號、盜竊、數據買賣,等到警方抓獲團夥成員時,發現團隊竟是由一個未成年人帶領老家不懂技術的親戚組成的。
2016年上半年,阿里巴巴安全部門便協助警方抓獲網絡犯罪嫌疑人4300餘人。阿里巴巴副總裁餘偉明表示,很多都是十七八歲的孩子。
「被抓到的網絡犯罪分子大多是下遊人員,是拿被盜帳號去騙的人。那他們是怎麼拿到帳號的?難道所有犯罪分子都能夠潛伏進別人的網站?都能製作釣魚軟體?」餘偉明表示,在電信詐騙案的背後,是大量從事編寫詐騙軟體和售賣詐騙信息的網絡黑灰產業團夥。
惡意註冊軟體、釣魚軟體、爬蟲軟體、刷單軟體等等網絡黑灰產軟體,通過各種社交軟體、論壇、網站大量販賣,而這些用於網絡犯罪的軟體,目前無人監管,由誰來監管也暫無定論。「我們不僅要打擊網絡黑灰產業的下遊,還要將那些去進行撞庫盜號、編寫詐騙軟體的群體挖出來進行打擊。」餘偉明說。
「沒有軟體的作者,他就侵入不了你。」餘偉明說,除了打擊這些網絡黑灰產業鏈的上遊,還應該明確責任,加強監管,「誰在買,誰在叫售,打開電腦都可以看到,都在論壇、貼吧、各個群裡進行信息交互。」
「這些信息的交互誰來監控?為什麼一定要到線下來破案,把它管了,不讓它傳播了,不讓它信息交互了,不是更好嗎?」餘偉明說,各個企業對自己的群,對自己網站上面各種違法犯罪,需要自行管理,「那麼又是誰來監督企業,有沒有盡到自己的責任?」
工商、經信委、通管局、公安都管不到?
一名網絡公司的安全部總監告訴記者,他曾經為了一個盜號軟體去找主管部門,結果找了一圈都沒有找到。「第一個,我找了工商,畢竟它是流通領域的事情,軟體和軟體服務作為一種特殊商品,工商也許能管。工商部門說,我只是在流通領域的監管,但是這個行業的主管單位不是我,你去找經信委,經信委有個軟體處。」其說。
「我就去找經信委,經信委主任告訴我,他們軟體處主要任務是軟體行業發展、規劃、政策、鼓勵措施等方面的制定,至於軟體行業違法,沒有執法處,網站是通管局管。我又去找通管局,通管局說,他們只管發證和吊證。」
其表示,通管局告訴他,應由主管部門出具一個合法性、違法性的認定依據和處罰標準。而公安主管信息安全的十一局又只管信息安全、涉恐涉暴等,「所以最大問題首先是職責要分明,這種軟體行業的違法行為究竟誰管?」
除了敦促打擊網絡黑產,南都君也要提醒各位對自己的信息安全多加保護,面對黑客肆意挖掘個人信息,又因各種無密支付、便捷支付的流行,最終受到財產等信息損害的很可能就是普通用戶。
面對可能的帳號密碼洩露,至少記住以下四點——
1、在得知某網站被撞庫成功、帳號信息洩露後,立刻改密碼!不是一個,是全部!
2、對所有常用網站定期改密碼!不是一個,是全部!
3、不要用同一個密碼!
4、儘量不使用無密支付等不需二次驗證的支付方式!
如何設置密碼 ↓↓
漲姿勢 | 怎樣設置一個讓別人猜不到的密碼
統籌:南都記者 王佳
採寫:南都記者 饒麗冬 李玲 實習生 向治霖 楊安平 王琦
* 公眾號如需轉載南都君原創內容,請後臺聯繫授權;未經授權,不得轉載。