今年以來,嘉興警方嚴打製作病毒惡意軟體、倒賣網絡流量、倒賣網站權限以及為網絡犯罪提供技術支持、廣告推廣等服務的平臺和團夥,斬斷黑產利益鏈,共偵破網絡黑產違法犯罪案件623起,抓獲犯罪嫌疑人1663人。
嘉興警方公布的典型案例中,有這麼一起案子,是非法獲得大家定位信息的。
而想定位結果被騙的人群中,有查老婆老公的;有找室友的,因為合租的室友捲鋪蓋跑路欠租金的;找孩子的,因為孩子離家出走去網吧了……
夏女士遇到件鬱悶的事,「有個人跟我在經濟上有糾紛,可最近他失蹤了」。
她想找這個人,在網上搜索「定位軟體」後,有大量網站跳了出來。
她看到一家網站宣稱,只要用他們的軟體發送一條簡訊,就能知道對方手機的位置。
發一條簡訊就能定位對方的位置?好奇之下,夏女士在手機上下載了名為「定位寶」的APP,在充值199元成為會員後,她按操作流程,向要找之人的手機號碼發送了一條簡訊。可是等了半天,原本應該取得對方位置定位的她卻沒有得到任何反饋信息。
「這不是騙人的嘛?」本來就憋了一肚子氣的夏女士,頓時火冒三丈,當即報了警。
海寧市公安局網絡安全保衛大隊展開調查。
辦案民警凌志遠開始調查。「一開始我們有兩種看法,一種認為這是新型的電信詐騙,畢竟發一條簡訊就能定位對方位置,聽起來太玄乎了;另一種看法是,不排除這裡面可能涉及我們尚未掌握的新型黑客技術。」
但很快,民警發現事情的真相與分析的不太一樣。
通過使用,民警發現,用戶在「定位寶」中可以向指定的手機號碼發送簡訊,內容包含一條具有定位功能的連結。當用戶點擊這條具有定位功能的連結後,「定位寶」通過使用手機GPS的API接口,獲得指定手機號碼當前的位置信息並上傳到「定位寶」伺服器,之後由伺服器發送到用戶的「定位寶」APP上。
「APP要獲得手機的API接口,必須得到手機用戶的同意。」凌志遠解釋,「就像微信、支付寶、美團這些我們常用的APP,都可以獲取用戶的位置信息,只不過每次請求獲取位置信息時,都會彈出一個窗口,詢問用戶是否『同意』。」
「這個『定位寶』正是利用了這個功能非法獲取個人信息」,凌警官說,「『定位寶』向受害者發送的簡訊連結和內容含有欺騙性質,受害者點開簡訊時,往往還沒深究內容,就隨手點擊了彈出的『同意』按鍵,導致當前的位置信息被洩露。」
如果接到簡訊的人並不會點開簡訊連結或者點「同意」,這樣購買定位服務的會員當然也無法獲得定位信息。
報案人夏女士遇到的就是這樣一個情況。
這是一起侵犯公民個人信息案,海寧警方成立專案組,開展偵查工作。
經過大量的網絡偵查和分析研判,海寧警方查到了網站的運營方,並順藤摸瓜找到了該網站最初的註冊人馬某。
馬某大學裡是學計算機專業的, 「定位寶」的原始碼就是他所寫。
他還有個合伙人,是大學同學,姓朱,朱某是網站的實際運維者。
兩人的分工比較明確,馬某負責技術支撐,朱某負責運營推廣。
辦案民警經過進一步調查,又在網上發現了兩個類似「定位寶」的APP,這兩個APP和「定位寶」用的是同一組原始碼,連界面都沒換,只是披著不同「馬甲」,換了個名字而已。
原來,馬某和朱某雖是老同學加合作夥伴,卻各有各的心思。朱某瞞著馬某,另外找了個投資人付某,新開了一組伺服器;馬某也瞞著朱某,偷偷留了後手……
經查,截至今年5月,馬某、朱某、付某3人經營的「定位寶」APP,總計註冊量達2.6萬多人,開通會員人數近5000人,為會員發送定位近10萬次,非法所得達200多萬元。
5月30日,經過前期經營和周密部署,海寧警方分赴重慶、武漢兩地,將馬某、朱某、付某3人同時抓獲。
據他們交代,他們做好網站後,在搜尋引擎上做了推廣,為了不讓自己搜索排名下降,到被抓前,前後已經花了170萬廣告宣傳費了。
警方還發現,90%收到簡訊的人都沒有點開簡訊或者點同意,這樣原本想定位的會員無法獲得他們想要的定位信息。
目前,3名犯罪嫌疑人已移交檢察機關起訴。
首席記者 楊麗
通訊員 李繼升