1月20日,電商平臺拼多多被曝出現重大系統BUG(漏洞),不少用戶“薅羊毛”領取100元無門檻優惠券。對此,拼多多表示,此次事件是網絡黑灰產團伙利用過期的網絡漏洞所致,已造成損失約千萬元,已向公安機關報案。
近年來,借助網絡黑色產業違法、犯罪的案例不勝枚舉。大量非實名注冊的手機卡和網絡賬號,為網絡詐騙、網絡黃賭毒等犯罪提供了“掩護馬甲”。在近日舉行的互聯網賬號惡意注冊黑色產業(以下簡稱“黑產”)治理論壇上,最高人民檢察院公訴廳副廳長張相軍表示,要凝聚各方力量參與網絡治理,特別是對網絡黑產形成共治的合力。
同被害人聊天的是自動運行程序的機器
用“貓池”工具(進行多個用戶撥號的設備)獲取互聯網平臺發的短信或語音驗證碼,用改機工具偽造設備硬件信息,用動態IP撥號軟件偽造網絡環境……在論壇現場搭建的實驗室里,近百臺手機正演示著上述惡意注冊的群控技術。
惡意注冊,這一不以正常使用為目的,利用多種途徑取得的手機卡號等為注冊資料,使用虛假或非法取得的身份信息,以手動方式或通過程序、工具自動進行,批量創設網絡賬號的行為,已進入互聯網空間的各個場景,從網絡詐騙、網絡賭博、色情詐騙,到刷粉、刷單,甚至搶火車票,無形中滲透到個人網絡安全的方方面面。
現場專家介紹,這些常見違法犯罪行為只是黑產鏈條的最后一環,網絡黑產已形成了上中下游分工明確的完整產業鏈。黑產人員只需通過卡商和接碼平臺即可獲得手機號和驗證碼,接碼平臺利用“貓池”等工具接收來自互聯網平臺的短信或語音驗證碼。在偽造設備硬件信息或網絡環境后,利用特殊工具,完成整個注冊流程。
“過去是人和你聊天,現在可能是機器和你聊。”一位網絡專家對群控工具的講解還原了當前薦股類詐騙的操作過程。當被害人被拉入聊天群后,會看到不少群里的“專家”,但其實群里的大部分賬號均由同一個人或同一個團伙控制,同被害人聊天的是自動運行程序的機器。
像這樣的大量虛假互聯網賬號,提高了詐騙團伙的“效率”,有的買家購買后用于迅速采集小額優惠或返利,刷單、刷粉等刷量行為及廣告營銷等。
對下游買家而言,為了規避平臺打擊,掌握大量看起來“正常使用”的號,比擁有大量新注冊賬號更“高效”,這催生了黑產鏈條的又一環節---養號,即養活和養貴賬號。
如今,黑產市場上,按照注冊時間的長短,不同的賬號價格不同,加之微信平臺對惡意注冊的高壓打擊,微信號在黑市上的價格猛增。例如剛注冊的微信號單價15元,而注冊了1年以上的微信號可以賣到200元一個。
據介紹,一些黑產人員采用一系列方法模擬正常賬號的狀態養活賬號,投入下游黑產鏈條中。有的黑產團伙研發出所謂任務平臺,將其包裝為兼職、任務分派等多種有償形式,利誘普通用戶參與,并衍生出輔助注冊、輔助解封、出租、購買正常用戶微信號的產業鏈。
創業公司特別要重視用戶個人信息保護
互聯網時代最不可忽視的就是黑產對普通公眾以及一些公司的影響。
2017年5月,微信安全中心接到很多用戶反饋,稱他們給老年人注冊微信號時,提示新手機號已被注冊。技術人員發現,這些已被申請的手機號在運營商號碼庫保存期間,就被黑產人員惡意注冊。
電商平臺也遭遇過大量賬號的異常注冊。京東集團首席合規官李婭云介紹,“黃牛黨”利用這些賬號,搶購熱銷商品向線下轉賣,給企業造成損失。
對于創業公司而言,因為創業初期相對較弱的安全防護能力,往往更難應對分工明確的黑產。
對此,互聯網專家認為,創業公司可以首先優化賬號注冊體系,增加判斷緯度,提高惡意注冊賬號識別能力;其次提高賬號行為判斷能力,對使用自動化工具控制的賬號進行查殺,同時豐富反饋途徑,廣開渠道獲知平臺變化,及時優化對抗手段。
北京外國語大學法學院教授、北京市法學會電子商務法治研究會副會長王文華認為,由于互聯網賬號惡意注冊及養號等行為常常被用來實施下游的詐騙、走私、洗錢、黃賭毒、涉槍涉爆、恐怖犯罪等多種違法犯罪行為,對普通用戶來說,輕則侵犯了個人的信息安全、隱私權,如果被用于其他犯罪,重則可能危害普通用戶的財產權乃至人身安全,因而必須加以嚴格的防范和嚴厲的打擊。
“創業公司首先應當在觀念上重視,在爭取用戶、獲取經濟利益和未來發展的同時,將網絡安全放在第一位,特別是用戶的個人信息保護。”王文華說。
“黑產與安全防護持續對抗”
面對黑產,各企業的安全團隊都有各自的對抗經驗,如京東集團成立多家實驗室,聘請行業技術專家,建立風險管控體系,從源頭打擊黑產。
2017年,微信安全中心開展了“死水行動”專項打擊,從技術上對惡意注冊賬號行為進行攔截,增加惡意注冊難度,及時制止不良賬號在社交環境中的惡意行為。同時,在微信號注冊上增加輔助驗證策略。
據介紹,“死水行動”上線以來,微信的惡意注冊量明顯降低。同時,在多種舉措打擊下,微信黑產賬號價格大漲。互聯網安全專家認為,批量注冊將向大號商集中,對源頭大號商的打擊和治理,對下游犯罪將產生直接影響,“事實上,當前黑產與安全防護始終處在持續對抗中,隨著雙方技術水平的更新而交替壓制,呈螺旋式上升趨勢。”
除了技術對抗,互聯網企業安全團隊也借助司法力量共同遏制黑產。2018年8月,公安部公布9起打擊整治網絡亂象典型案例。在“長沙線尚網絡科技有限公司”破壞計算機信息系統案中,該公司與廣西、貴州、四川等多省運營商相勾結,利用未投入市場未激活的“空號卡”,注冊賬號、收發驗證碼。逾百萬張非法使用的“空號卡”被查證。這也是全國首次出現通過運營商服務器批量獲取電話“黑卡”及驗證碼的犯罪模式。
2018年4月,廣東潮州警方抓獲了一個黑卡“卡商”犯罪團伙。他們通過“接碼平臺”為收購來的手機卡注冊微信號,同時尋找需要注冊各類賬號的下游違法犯罪分子。該團伙批量注冊、養號、解封微信號,每天成功注冊量過萬,靠販賣賬號牟利。
在騰訊公司安全聯合團隊的支持下,該案作為廣東警方“凈網安網”4號專案收網行動的典型案例,共抓獲犯罪嫌疑人14名,破獲各類網絡賬號高達507萬余個。(來源:中國青年報)