2018年1月14日,主题为“开放共享 携手共治”的2018守护者计划大会在北京举行。“守护者计划”负责人朱劲松在大会上公布了“守护者计划”2017年十大典型案件。这些案件均是从“守护者计划”2017年协助警方所破获的系列网络黑产案件中,根据案件特点和规模等,选出了十大最有代表性的案例,其规模之大,案情之复杂,策划之周密,足以反映当前黑产逐渐走向头部犯罪的趋势。究竟从这十大案件所折射出的网络黑产特点和趋势,有什么元素让人感受到构建“网络安全共同体”、网络黑产源头治理迫在眉睫?
“守护者计划”2017打击网络黑产十大案件视频
被精选出来的这十大案例,分别是入侵多家公司服务器盗取用户资料的“9.27特大窃取贩卖公民个人信息专案”、“善心汇”特大传销团伙案、“暗夜攻击小组”等DDoS攻击系列案、通过AI技术破解验证码的打码平台非法获取贩卖公民信息案、非法提供“秒拨”动态IP服务案、黑客攻击政府网站制售虚假职称证书案、“月光宝盒”直播平台传播淫秽信息牟利案、“雷胜科技”等色情诱导诈骗系列案件、帮助解绑“腾讯游戏成长守护平台”诈骗案,以及首例微信木马刷公众号流量案。
“黑客渗透”、“AI技术”、“DDoS”、“直播”、“刷流量”、“薅羊毛”这些近年来的热门关键词,并不足够描绘这十大案件的最新特色。这十大案件之所以能够成为去年网络罪案的典型案例,是因为它们都有着以下这些共性。
“亿”级规模:网络黑产势力指数蔓延
以“亿”这个天量级的数字单位来描述这些罪案的规模和影响,是这十大案件的一大特点。在这十大案件中,有好几例个案所涉及的影响范围,是数亿乃至数十亿级别的数据。
其中当数“9.27特大窃取贩卖公民个人信息专案”的公民个人信息泄露规模最大,涉及互联网、物流、医疗、社交、银行等各类被盗公民个人信息超过50亿条;“善心汇”特大传销团伙案的涉案金额超过百亿元;“快啊答题”打码平台非法获取贩卖公民信息案仅在2017年一季度破解验证码已经达259亿次,累计破解验证码1204亿次;“雷胜科技”色情诱导系列诈骗案查明涉案金额超过6亿元。
案件规模的“亿”级,背后是作案人数的众多。从“守护者计划”协助警方所查获的这几个大案来看:在“9.27特大窃取贩卖公民个人信息专案”中,警方抓获犯罪分子96人;在“善心汇”特大传销团伙案中,警方抓获头目张天明和骨干成员超600人;在“快啊答题”打码平台案中,警方抓获犯罪嫌疑人42人;在“雷胜科技”诈骗案中,警方抓获犯罪嫌疑人100余名。
这些大案还有一个特点,是犯罪嫌疑人为了逃避警方抓捕,分布在全国各地乃至海外,为警方的侦查抓捕带来困难,如“9.27特大窃取贩卖公民个人信息专案”的犯罪分子分散在安徽、北京、辽宁、河南、重庆等地,警方在公安部刑侦局的统一部署下,通过“守护者计划”的提供的线索,逐一收网抓捕。而“暗夜攻击小组”DDoS攻击案部分犯罪嫌疑人甚至深居境外柬埔寨。由此可见,黑产团伙在提升网络攻击技术的同时,也愈发注重提高机动性,躲避警方的追查。
互联网技术的发展一方面给人们的生活带来了便利,另一方面也滋生了网络罪案规模和黑产团伙的扩大,与互联网技术的发展不无关系。数据显示截至2017年11月,国内互联网宽带接入用户总数超过3.3亿户;移动互联网用户总数超过12.3亿户,海量用户和大带宽的发展,一方面推动了智慧社会的建设,但也令黑产业分子变得更为“眼红”,部分掌握网络技术和漏洞的技术人士,已经不满足电话或网络诈骗的传统做法,而是“抱团”研究把各种网络漏洞和人性弱点结合起来,通过建立黑产团伙,来全面影响网络生活。从反诈骗升级到反黑产,是当前警方和网络安全业者的重要课题。
机关重重:网络黑产分子在威胁源头肆虐
2017年的网络犯罪团伙从过往的诈骗,升级为诈骗、攻击、造假、盗窃一条龙,也令黑产团伙的作业模式出现了变化。“守护者计划”安全专家指出,当今黑产之复杂,已经远离个别黑客或小组团伙单兵作战的年代,黑客已经走出了自己的小圈子,与传销人员、假证制造者和贩卖者、色情公司、APP运营商等联手。
当前黑客只是隐藏在整条黑产幕后的其中一个环节,但由于黑客掌握了不少网络核心技术,因此黑客在整条黑产业链中往往处于黑产作案的威胁源头部,在作案的手法设计、机关设置等方面相当于核心“智囊”的角色,这在十大案件中表现得淋漓尽致。
在“暗夜攻击小组”DDoS攻击系列案件中,整个黑产团伙有着高度的专业化分工,处于源头的“发单人”高度隐蔽,通过各种途径发指令给下游的“攻击实施人”、“肉鸡商”和“高带宽服务器租售者/控制者”等,每个黑客团队都只负责其中一部分。
在攻击政府网站制售虚假职称证书案中,黑产分子与销售和制作虚假职称证书的犯罪团伙,以及网上非法培训机构勾结,从而令传统的售假过程变得更“现代化”——这些团伙已经不是单单售出一纸虚假证书这么简单,而是通过前端培训,后端造假,修改网络信用资料等层层铺垫,让受害者以为真的获得了政府的相关认证,歪曲了整个信用体系。
在“雷胜科技”等色情诱导诈骗系列案件中,黑客意识到赤裸裸的色情传播会迅速引起警方的注意,于是通过专门的公司打掩护,还聘请律师审核“激情”视频,在产业链下游的每个环节都游走灰色地带,给取证和司法判定带来难度。
图为首例微信木马刷公众号流量案-管理控制后台
在首例微信木马刷公众号流量案中,黑产分子同时在线上和线下的不同渠道进行推广,将带有木马程序的APK推向市场,通过在商业云“又拍云”上进行发布,整个宣传推广过程都是“多管齐下,狡兔三窟”,在APP运营商的幌子下,不少用户都在不知不觉之中被植入了木马。
一旦网络黑产分子与各类犯罪分子勾结,并居高临下发号施令,他们的作案手法就变得花样百出,对民众的迷惑和伤害更大。
螳螂捕蝉:网络黑产技术发展超乎常人想象
在2017年,黑产分子已经不满足简单粗暴的病毒木马制造或者电话诈骗,而是利用对社会工程学的研究,不断升级犯案技术,做到随时因应最新的形势发展,不断推出针对性的黑产服务,作案动态“日日鲜”,经常能找到网络漏洞,让人觉得不可思议。这在十大案例中比比皆是。
在“快啊答题”打码平台非法获取贩卖公民信息案中,“守护者计划”协助浙江绍兴警方捣毁了全国首例利用人工智能进行犯罪的团伙。群众赫然发现,原来人工智能技术不再只是科幻题材,也不只是只有警方才用到的技术,黑产分子也在利用人工智能技术来获益。警方从黑产团伙所查获的软件工具那里发现,当前黑产所用的人工智能技术,用到了先进的基于神经网络深度学习的人工智能技术,可不断自我训练学习以完善准确度,快速海量的破解验证码,因此才产生了一个季度就能破解验证码数百亿次的问题。
而在非法提供“秒拨”动态IP服务案中,很多网络服务所用的防作弊机制,在黑产分子的动态IP变换技术面前也是岌岌可危。由于电商蓬勃发展和线上认证需求日益发展,助长了“刷票党”、“羊毛党”和 “刷粉党”发展,每当网络服务商升级了防作弊技术之后,黑产分子几乎都能很快推出新的作弊技术,从而让各种“刷网”的行为屡禁不止。
在“月光宝盒”直播平台传播淫秽信息牟利案中,黑产分子的所为令人大呼意想不到——昔日黑帮在江湖上黑吃黑。他们利用黑客技术破解各类涉黄收费直播平台,将截取的淫秽视频流在自己平台上直播。
在“善心汇”特大传销团伙案中,除了传统的传销和非法集资手法外,涉案分子还高举“慈善”的名义来行骗,这一经典的庞氏骗局在“网络资金互助”的包装下,令很多受害者信以为真。既掌握网络支付技术、又懂得互联网金融骗局的黑产团伙,与传销分子勾结后,不仅开发出看似正规的官方宣传网站和机关重重的收款平台网站,还利用手机端的平台应用程序和社交软件等网络技术为传销插上翅膀,使得网络传销发展速度更快、影响范围更广。经警方核查,该案传销组织在一年的时间里就发展会员超过500万人。
在“雷胜科技”等色情诱导诈骗系列案件中,黑产分子把“障眼法”发挥到极致,很多看上去并不能界定为黄色的“激情小视频”,却聚沙成塔,骗取了用户数以亿计的资金。
而在帮助解绑“腾讯游戏成长守护平台”诈骗案中,黑产分子干脆把谎言说到底——尽管“腾讯游戏成长守护平台”并无破解之术,但黑产分子却欺骗用户存在破解门道,这也是国内首例专门针对未成年人实施诈骗的案件。
黄雀在后:构建“网络安全共同体”重创网络黑产威胁源
2017年,“守护者计划”成功协助公安机关破获了上述十大案件,有六件都是网络黑产上游犯罪的打击,包括了“9.27特大窃取贩卖公民个人信息专案”、“暗夜攻击小组”DDoS攻击系列案、“快啊答题”打码平台非法获取贩卖公民信息案、非法提供“秒拨”动态IP服务案、黑客攻击政府网站制售虚假职称证书案和首例微信木马刷公众号流量案。由此可见,位处网络黑产头部的犯罪分子,会成为对抗网络黑产的主要阻力。因此,构建“网络安全共同体”迫在眉睫。
而腾讯公司在构建“网络安全共同体”上已经做了相应的探索和努力,比如联手上海市反电信网络诈骗中心成立国内首个新型网络安全技术实验室——“腾讯上海反电信网络诈骗联合实验室”。为上海警方接入了“守护者计划”旗下反诈骗实验室开发的“鹰眼”、“麒麟”、“神羊”、“神荼”、“态势感知”五大安全应用系统,标志着上海警方将采用人工智能+大数据的全链条反欺诈体系,对警方提升破案效率及准确率,有着极大的帮助。
除了为上海警方提供五大安全应用系统以外,“腾讯手机管家”团队还会出具有针对性的网络黑产大数据报告,从被害人、嫌疑人、作案工具、产业链等案件多环节,进行系统性研究。腾讯“优图”人脸识别系统也开始与警方逐步对接,协助警方对犯罪嫌疑人进行锁定、追逃人员轨迹刻画。这一切,都将为警方在2018年打击网络黑产提供更先进、更得力的工具,同时,腾讯公司也将共享产品及成功经验赋能于更多的合作伙伴共同打击网络黑产。
尽管有“螳螂捕蝉”,但胜利始终属于在后的“黄雀”。“守护者计划”通过“技术创新、经验共享、行业联合、民众参与”的方式,形成“事前预警、事中拦截、事后举报”的打击防御闭环,从源头遏制网络违法犯罪行为的发生。正如马化腾在本次大会上所言,腾讯将全面开放自身技术与能力,积极参与到“新科技”、“新联盟”、“新生态”的开放协作中来,让它们成为“守护者计划”的三个同心圆,共同“构建网络安全共同体”。同时也期望,“守护者计划”能够探索完善共治模式,未来成为全球网络安全治理的一个“中国方案”。
=================
读者可以在百度百家、今日头条、搜狐新闻、网易新闻、腾讯新闻、新浪博客、UC自媒体平台、新浪微博等各大专栏查看李瀛寰的文章更新。
“李瀛寰”(ID:yinghuanlee)是2013年十佳自媒体、2014/15/16年度最有影响力自媒体,2015年微博十大科技观察大V、2017年度最具影响力TMT自媒体。