互聯(lián)網(wǎng)和新技術(shù)帶來(lái)電信網(wǎng)絡(luò)違法犯罪專業(yè)化升級(jí),網(wǎng)絡(luò)黑產(chǎn)威脅源成為計(jì)算機(jī)信息系統(tǒng)安全和網(wǎng)絡(luò)空間管理秩序的重大隱患。1月14日,在騰訊公司主辦的2018年守護(hù)者計(jì)劃大會(huì)上,《騰訊2017年度網(wǎng)絡(luò)黑產(chǎn)威脅源研究報(bào)告》正式發(fā)布,這是國(guó)內(nèi)首份全面研究網(wǎng)絡(luò)黑產(chǎn)和背后威脅源發(fā)展態(tài)勢(shì),以及打擊治理和法律適用情況的專業(yè)性報(bào)告,為全行業(yè)聯(lián)合打擊網(wǎng)絡(luò)黑產(chǎn)奠定了基礎(chǔ)。同時(shí),該報(bào)告發(fā)布也標(biāo)志著,騰訊“守護(hù)者計(jì)劃”將立足公益,以技術(shù)賦能的方式,攜手合作伙伴、協(xié)助執(zhí)法機(jī)關(guān)全面打擊網(wǎng)絡(luò)黑產(chǎn),向不法分子“亮劍”。
所謂網(wǎng)絡(luò)黑產(chǎn)威脅源,是以互聯(lián)網(wǎng)為媒介、以網(wǎng)絡(luò)技術(shù)為主要手段,給公眾人身財(cái)產(chǎn)安全、計(jì)算機(jī)信息系統(tǒng)安全和網(wǎng)絡(luò)空間管理秩序,甚至國(guó)家安全、社會(huì)穩(wěn)定帶來(lái)直接或間接威脅的網(wǎng)絡(luò)違法犯罪活動(dòng)。這其中包括了針對(duì)政府/企業(yè)網(wǎng)站的黑客滲透、DDoS攻擊和流量劫持等網(wǎng)絡(luò)黑產(chǎn)活動(dòng),以及木馬病毒、惡意網(wǎng)站等非法獲取公民信息的網(wǎng)絡(luò)黑產(chǎn)上游環(huán)節(jié),也包括撞庫(kù)、洗號(hào)以及非法買賣公民/企業(yè)信息等為各類違法犯罪提供支持的中間鏈條。
據(jù)《報(bào)告》顯示,2017年,“守護(hù)者計(jì)劃”協(xié)助各地公安機(jī)關(guān)破獲新型網(wǎng)絡(luò)違法犯罪案件近160起,抓獲人員約3800人,涉案資金近32億元,其中,通過(guò)對(duì)網(wǎng)絡(luò)黑產(chǎn)威脅源的針對(duì)性打擊,有效遏制了網(wǎng)絡(luò)黑產(chǎn)的進(jìn)一步發(fā)展。這也進(jìn)一步顯示出,基于技術(shù)監(jiān)控、對(duì)抗與防范,以合作共治為核心特點(diǎn)的“騰訊模式”已經(jīng)成為高效打擊網(wǎng)絡(luò)黑產(chǎn)的產(chǎn)業(yè)模板。
全面剖析七大網(wǎng)絡(luò)黑產(chǎn)威脅源,技術(shù)加持成典型特征
非法獲取公民個(gè)人信息、木馬病毒、黑客滲透、惡意網(wǎng)站、流量劫持、DDoS攻擊以及為黑客攻擊提供技術(shù)支持這七大網(wǎng)絡(luò)黑產(chǎn)威脅源,為電信網(wǎng)絡(luò)詐騙、惡意網(wǎng)絡(luò)攻擊提供隱蔽而高效的技術(shù)支持,降低犯罪成本,增加案件破解難度,給傳統(tǒng)單點(diǎn)防御帶來(lái)極大挑戰(zhàn),也讓不法分子更加猖狂。
(圖為網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的主要運(yùn)作流程)
1、非法獲取公民個(gè)人信息。當(dāng)犯罪分子掌握大量公民個(gè)人信息后,以司法機(jī)關(guān)、銀行等權(quán)威機(jī)構(gòu)工作人員名義,或者冒充親友熟人進(jìn)行詐騙,往往令受害者猝不及防,非法獲取公民個(gè)人信息已經(jīng)成為“精準(zhǔn)詐騙”的核心彈藥,是頭號(hào)威脅源。
2、木馬病毒威脅。《報(bào)告》顯示,2016年下半年以來(lái)木馬病毒呈現(xiàn)下降趨勢(shì),2017年累計(jì)木馬病毒感染用戶達(dá)1.88億,潛在威脅依然嚴(yán)峻。木馬病毒已經(jīng)成為獲取公民隱私信息,進(jìn)行廣告騷擾、暗中扣費(fèi)、刷量、誘導(dǎo)支付、敲詐勒索等主要技術(shù)手段。
3、惡意網(wǎng)站威脅。惡意網(wǎng)站數(shù)量呈現(xiàn)逐年遞增態(tài)勢(shì),其中仿冒銀行、通信、電商、游戲和互聯(lián)網(wǎng)金融五類網(wǎng)站數(shù)量最多。受害者訪問(wèn)惡意網(wǎng)址,往往隱私信息、銀行卡四大件、蘋果手機(jī)ID、社交賬號(hào)等信息會(huì)被非法竊取,面臨銀行卡盜刷、電信詐騙、敲詐勒索等違法行為威脅。
4、黑客滲透威脅。黑客滲透、侵入政府等權(quán)威網(wǎng)站,獲取服務(wù)器權(quán)限后增、刪、改私人信息,成為偽造資質(zhì)文憑的源頭。從權(quán)威網(wǎng)站獲取的大量詳實(shí)公民個(gè)人信息,威脅更大,山東“徐玉玉案”正是因?yàn)楹诳蜐B透入侵山東教育招生考試院的政府網(wǎng)站獲取考生信息后,最終造成悲劇。
5、流量劫持威脅!秷(bào)告》數(shù)據(jù)透露,2017年1-11月期間的流量劫持約2000萬(wàn)起/天,非法獲取用戶數(shù)據(jù),鎖定用戶主頁(yè)或強(qiáng)制網(wǎng)頁(yè)跳轉(zhuǎn),向用戶推出彈窗廣告、安裝推廣APP、暗扣流量等時(shí)刻不停在進(jìn)行。
6、DDoS攻擊威脅。DDoS攻擊一方面控制“肉雞”計(jì)算機(jī),一方面攻擊目標(biāo)網(wǎng)站,對(duì)計(jì)算機(jī)信息系統(tǒng)造成極大干擾與破壞,并且常伴隨敲詐金錢、打擊報(bào)復(fù)、同行惡意競(jìng)爭(zhēng)等行為。2012到2017年DDoS攻擊流量峰值由百G逐漸增加至T級(jí),2017年流量峰值達(dá)1.4T。
7、為黑客提供技術(shù)支持。專為黑客攻擊提供打碼、秒撥動(dòng)態(tài)IP服務(wù)等技術(shù)支持的團(tuán)伙,也是不可忽視的威脅源,它們讓黑客更容易突破互聯(lián)網(wǎng)賬號(hào)基礎(chǔ)安全策略,進(jìn)而產(chǎn)生更大破壞性。
全面對(duì)抗網(wǎng)絡(luò)黑產(chǎn)威脅源,“守護(hù)者計(jì)劃”在行動(dòng)
《報(bào)告》分析了每一種網(wǎng)絡(luò)黑產(chǎn)威脅源對(duì)應(yīng)的司法現(xiàn)狀和法律適用情況,刑法對(duì)于控制、破壞計(jì)算機(jī)信息系統(tǒng),提供非法程序和工具支持,以及盜竊、盜刷、詐騙等進(jìn)一步犯罪行為,都有嚴(yán)格的懲戒措施,為打擊網(wǎng)絡(luò)黑產(chǎn)和威懾不法分子提供了法律基礎(chǔ)。
“守護(hù)者計(jì)劃”則在對(duì)抗網(wǎng)絡(luò)黑產(chǎn)威脅源過(guò)程中提供充分的技術(shù)支持,協(xié)助警方破獲諸多大案要案。如“9.27”特大竊取販賣公民個(gè)人信息案,以及協(xié)助打掉最大DDoS跨境黑客團(tuán)伙“暗夜攻擊小組”。
前者查獲涉及互聯(lián)網(wǎng)、物流、醫(yī)療、社交、銀行等各類被盜公民個(gè)人信息超過(guò)50億條,從源頭上打擊了買賣公民個(gè)人信息犯罪活動(dòng)。后者從17萬(wàn)個(gè)攻擊源IP中篩查線索,打掉最大DDoS黑客團(tuán)伙的當(dāng)月,直接導(dǎo)致DDoS攻擊頻次環(huán)比下降86%。
會(huì)上,“守護(hù)者計(jì)劃”發(fā)布了2017年打擊網(wǎng)絡(luò)黑產(chǎn)十大案例,包括協(xié)助警方破獲國(guó)內(nèi)首例微信木馬刷公眾號(hào)流量案、打掉市面上最大的通過(guò)AI技術(shù)破解互聯(lián)網(wǎng)驗(yàn)證碼的打碼平臺(tái)“快啊答題”、抓獲非法架設(shè)提供“秒撥”動(dòng)態(tài)IP黑產(chǎn)服務(wù)團(tuán)伙等。
洞悉網(wǎng)絡(luò)黑產(chǎn)五大特點(diǎn),騰訊安全團(tuán)隊(duì)全面亮劍
《報(bào)告》結(jié)合“守護(hù)者計(jì)劃”協(xié)助打擊的案例指出,網(wǎng)絡(luò)黑產(chǎn)在專業(yè)化發(fā)展過(guò)程中呈現(xiàn)出五大趨勢(shì):
一是國(guó)際化。隨著我國(guó)對(duì)網(wǎng)絡(luò)犯罪打擊力度的不斷加大,一些大型黑產(chǎn)團(tuán)伙為了逃避打擊,紛紛逃往國(guó)外設(shè)立據(jù)點(diǎn),同時(shí),跨境犯罪的類型也從最初的電信詐騙,發(fā)展為DDoS攻擊、網(wǎng)絡(luò)賭博、網(wǎng)上招嫖、制作木馬、黑客滲透等多種。如“守護(hù)者計(jì)劃”協(xié)助深圳警方破獲的“暗夜攻擊小組”DDoS攻擊案,該團(tuán)伙為逃避打擊,長(zhǎng)期盤踞境外東南亞國(guó)家。
二是智能化。人工智能等先進(jìn)技術(shù)已在網(wǎng)絡(luò)犯罪中應(yīng)用。如“守護(hù)者計(jì)劃”協(xié)助警方破獲全國(guó)首例用AI技術(shù)做黑產(chǎn)的案件,打掉全國(guó)最大驗(yàn)證碼打碼平臺(tái)“快啊答題 ”。嫌疑人使用基于神經(jīng)網(wǎng)絡(luò)模型的深度學(xué)習(xí)技術(shù),搭建分布式AI驗(yàn)證碼識(shí)別系統(tǒng),能夠快速識(shí)別當(dāng)前互聯(lián)網(wǎng)上80%以上的驗(yàn)證碼,識(shí)別正確率達(dá)90%以上。
三是平臺(tái)化。平臺(tái)化的黑產(chǎn)軟件替代人工操作,降低了犯罪成本,提高了犯罪效率。在“守護(hù)者計(jì)劃”協(xié)助公安機(jī)關(guān)破獲的諸多網(wǎng)絡(luò)黑產(chǎn)案件中,已經(jīng)出現(xiàn)了一些平臺(tái)化的黑產(chǎn)軟件,如批量識(shí)別驗(yàn)證碼的“打碼平臺(tái)”,旨在繞過(guò)互聯(lián)網(wǎng)公司“IP判定策略”,自動(dòng)實(shí)現(xiàn)秒級(jí)重復(fù)撥號(hào)、不斷變化IP地址的“秒撥”動(dòng)態(tài)IP服務(wù)。
四是公司化。黑產(chǎn)團(tuán)伙成立專門的公司作惡的例子增多,各環(huán)節(jié)有專門人員負(fù)責(zé),常打著正規(guī)經(jīng)營(yíng)的幌子進(jìn)行大規(guī)模黑產(chǎn)犯罪。如“守護(hù)者計(jì)劃”協(xié)助警方破獲的“雷勝科技”系列色情誘導(dǎo)詐騙案中,犯罪團(tuán)伙成立的武漢雷勝科技公司,其注冊(cè)經(jīng)營(yíng)范圍為“經(jīng)營(yíng)與銷售計(jì)算機(jī)和網(wǎng)絡(luò)業(yè)務(wù)”,內(nèi)設(shè)有研發(fā)部、市場(chǎng)部、編輯部、財(cái)務(wù)部、客服部等。
五是涉眾化。越來(lái)越多的線下犯罪向線上犯罪轉(zhuǎn)移,在互聯(lián)網(wǎng)場(chǎng)景下對(duì)人群的影響被放大,影響面更廣。如“守護(hù)者計(jì)劃”協(xié)助公安部破獲的“善心匯”特大傳銷組織中,犯罪團(tuán)伙頭目及其骨干成員超過(guò)600名,該傳銷組織會(huì)員超過(guò)500萬(wàn)人。
縱觀威脅源的成型與發(fā)展,更是網(wǎng)絡(luò)黑產(chǎn)產(chǎn)業(yè)化的體現(xiàn)。一方面,威脅源為下游犯罪提供工具、技術(shù)和數(shù)據(jù)等方面的支持,客觀上幫助了下游網(wǎng)絡(luò)犯罪的實(shí)施;另一方面,下游犯罪在威脅源的伴生式支持下,作案成本下降、效率提升,對(duì)威脅源的依賴與使用越來(lái)越多。
從“守護(hù)者計(jì)劃”配合公安機(jī)關(guān)打擊網(wǎng)絡(luò)黑產(chǎn)犯罪的實(shí)踐中發(fā)現(xiàn),往往多個(gè)下游犯罪團(tuán)伙均能溯源指向一個(gè)或少數(shù)幾個(gè)威脅源團(tuán)伙。國(guó)內(nèi)最大的DDoS攻擊團(tuán)伙“暗夜”覆滅后,因其涉及的攻擊軟件作者、肉雞控制者、攻擊發(fā)起者等無(wú)法繼續(xù)作惡,直接導(dǎo)致當(dāng)月DDoS攻擊頻次環(huán)比下降86%。可見(jiàn),打擊網(wǎng)絡(luò)黑產(chǎn)威脅源能夠最大程度擠壓黑產(chǎn)生存空間,從而遏制下游犯罪滋生。
由于網(wǎng)絡(luò)犯罪隱蔽性的特點(diǎn),難以取得網(wǎng)絡(luò)黑產(chǎn)上游與下游犯罪形成共同故意的相關(guān)證據(jù),導(dǎo)致在主觀認(rèn)定上存在難點(diǎn),很難將網(wǎng)絡(luò)黑產(chǎn)威脅源的團(tuán)伙按照共犯論處。同時(shí),由于下游犯罪查實(shí)難,實(shí)踐中認(rèn)定幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪的成立又多以下游犯罪成立為基礎(chǔ),因此網(wǎng)絡(luò)黑產(chǎn)威脅源的打擊與司法判定工作面臨著多重挑戰(zhàn)。不過(guò),《報(bào)告》結(jié)合現(xiàn)有已決司法判例對(duì)網(wǎng)絡(luò)黑產(chǎn)威脅源的判決情況和法律適用難點(diǎn)問(wèn)題進(jìn)行了全面梳理?偨Y(jié)出了司法實(shí)踐中網(wǎng)絡(luò)黑產(chǎn)威脅源被用于下游犯罪的常見(jiàn)類型,以及針對(duì)各種不同犯罪行為的認(rèn)定罪名情況。結(jié)合具體案件,針對(duì)現(xiàn)行法律及司法解釋存在的不完善之處以及實(shí)踐認(rèn)定難點(diǎn)問(wèn)題,提出了相應(yīng)的建議。對(duì)于今后處理同類案件具有一定的參考價(jià)值。
分析網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈結(jié)構(gòu),共享網(wǎng)絡(luò)黑產(chǎn)發(fā)展趨勢(shì),為全行業(yè)聯(lián)合對(duì)抗黑產(chǎn)奠定了基礎(chǔ)。以打擊網(wǎng)絡(luò)黑產(chǎn)威脅源為抓手,能夠最大程度擠壓黑產(chǎn)生存空間,遏制下游犯罪滋生,2017年“守護(hù)者計(jì)劃”已經(jīng)正式亮劍,2018年需要社會(huì)各方聯(lián)合起來(lái)共同努力,給網(wǎng)絡(luò)黑產(chǎn)以全面性打擊。