【猎云网(微信:ilieyun)】1月15日报道
互联网和新技术带来电信网络违法犯罪专业化升级,网络黑产威胁源成为计算机信息系统安全和网络空间管理秩序的重大隐患。1月14日,在腾讯公司主办的2018年守护者计划大会上,《腾讯2017年度网络黑产威胁源研究报告》正式发布,这是国内首份全面研究网络黑产和背后威胁源发展态势,以及打击治理和法律适用情况的专业性报告,为全行业联合打击网络黑产奠定了基础。同时,该报告发布也标志着,腾讯“守护者计划”将立足公益,以技术赋能的方式,携手合作伙伴、协助执法机关全面打击网络黑产,向不法分子“亮剑”。
所谓网络黑产威胁源,是以互联网为媒介、以网络技术为主要手段,给公众人身财产安全、计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会稳定带来直接或间接威胁的网络违法犯罪活动。这其中包括了针对政府/企业网站的黑客渗透、DDoS攻击和流量劫持等网络黑产活动,以及木马病毒、恶意网站等非法获取公民信息的网络黑产上游环节,也包括撞库、洗号以及非法买卖公民/企业信息等为各类违法犯罪提供支持的中间链条。
据《报告》显示,2017年,“守护者计划”协助各地公安机关破获新型网络违法犯罪案件近160起,抓获人员约3800人,涉案资金近32亿元,其中,通过对网络黑产威胁源的针对性打击,有效遏制了网络黑产的进一步发展。这也进一步显示出,基于技术监控、对抗与防范,以合作共治为核心特点的“腾讯模式”已经成为高效打击网络黑产的产业模板。
全面剖析七大网络黑产威胁源,技术加持成典型特征
非法获取公民个人信息、木马病毒、黑客渗透、恶意网站、流量劫持、DDoS攻击以及为黑客攻击提供技术支持这七大网络黑产威胁源,为电信网络诈骗、恶意网络攻击提供隐蔽而高效的技术支持,降低犯罪成本,增加案件破解难度,给传统单点防御带来极大挑战,也让不法分子更加猖狂。
1、非法获取公民个人信息。当犯罪分子掌握大量公民个人信息后,以司法机关、银行等权威机构工作人员名义,或者冒充亲友熟人进行诈骗,往往令受害者猝不及防,非法获取公民个人信息已经成为“精准诈骗”的核心弹药,是头号威胁源。
2、木马病毒威胁。《报告》显示,2016年下半年以来木马病毒呈现下降趋势,2017年累计木马病毒感染用户达1.88亿,潜在威胁依然严峻。木马病毒已经成为获取公民隐私信息,进行广告骚扰、暗中扣费、刷量、诱导支付、敲诈勒索等主要技术手段。
3、恶意网站威胁。恶意网站数量呈现逐年递增态势,其中仿冒银行、通信、电商、游戏和互联网金融五类网站数量最多。受害者访问恶意网址,往往隐私信息、银行卡四大件、苹果手机ID、社交账号等信息会被非法窃取,面临银行卡盗刷、电信诈骗、敲诈勒索等违法行为威胁。
4、黑客渗透威胁。黑客渗透、侵入政府等权威网站,获取服务器权限后增、删、改私人信息,成为伪造资质文凭的源头。从权威网站获取的大量详实公民个人信息,威胁更大,山东“徐玉玉案”正是因为黑客渗透入侵山东教育招生考试院的政府网站获取考生信息后,最终造成悲剧。
5、流量劫持威胁。《报告》数据透露,2017年1-11月期间的流量劫持约2000万起/天,非法获取用户数据,锁定用户主页或强制网页跳转,向用户推出弹窗广告、安装推广APP、暗扣流量等时刻不停在进行。
6、DDoS攻击威胁。DDoS攻击一方面控制“肉鸡”计算机,一方面攻击目标网站,对计算机信息系统造成极大干扰与破坏,并且常伴随敲诈金钱、打击报复、同行恶意竞争等行为。2012到2017年DDoS攻击流量峰值由百G逐渐增加至T级,2017年流量峰值达1.4T。
7、为黑客提供技术支持。专为黑客攻击提供打码、秒拨动态IP服务等技术支持的团伙,也是不可忽视的威胁源,它们让黑客更容易突破互联网账号基础安全策略,进而产生更大破坏性。
全面对抗网络黑产威胁源,“守护者计划”在行动
《报告》分析了每一种网络黑产威胁源对应的司法现状和法律适用情况,刑法对于控制、破坏计算机信息系统,提供非法程序和工具支持,以及盗窃、盗刷、诈骗等进一步犯罪行为,都有严格的惩戒措施,为打击网络黑产和威慑不法分子提供了法律基础。
“守护者计划”则在对抗网络黑产威胁源过程中提供充分的技术支持,协助警方破获诸多大案要案。如“9.27”特大窃取贩卖公民个人信息案,以及协助打掉最大DDoS跨境黑客团伙“暗夜攻击小组”。
前者查获涉及互联网、物流、医疗、社交、银行等各类被盗公民个人信息超过50亿条,从源头上打击了买卖公民个人信息犯罪活动。后者从17万个攻击源IP中筛查线索,打掉最大DDoS黑客团伙的当月,直接导致DDoS攻击频次环比下降86%。
会上,“守护者计划”发布了2017年打击网络黑产十大案例,包括协助警方破获国内首例微信木马刷公众号流量案、打掉市面上最大的通过AI技术破解互联网验证码的打码平台“快啊答题”、抓获非法架设提供“秒拨”动态IP黑产服务团伙等。
洞悉网络黑产五大特点,腾讯安全团队全面亮剑
《报告》结合“守护者计划”协助打击的案例指出,网络黑产在专业化发展过程中呈现出五大趋势:
一是国际化。随着我国对网络犯罪打击力度的不断加大,一些大型黑产团伙为了逃避打击,纷纷逃往国外设立据点,同时,跨境犯罪的类型也从最初的电信诈骗,发展为DDoS攻击、网络赌博、网上招嫖、制作木马、黑客渗透等多种。如“守护者计划”协助深圳警方破获的“暗夜攻击小组”DDoS攻击案,该团伙为逃避打击,长期盘踞境外东南亚国家。
二是智能化。人工智能等先进技术已在网络犯罪中应用。如“守护者计划”协助警方破获全国首例用AI技术做黑产的案件,打掉全国最大验证码打码平台“快啊答题 ”。嫌疑人使用基于神经网络模型的深度学习技术,搭建分布式AI验证码识别系统,能够快速识别当前互联网上80%以上的验证码,识别正确率达90%以上。
三是平台化。平台化的黑产软件替代人工操作,降低了犯罪成本,提高了犯罪效率。在“守护者计划”协助公安机关破获的诸多网络黑产案件中,已经出现了一些平台化的黑产软件,如批量识别验证码的“打码平台”,旨在绕过互联网公司“IP判定策略”,自动实现秒级重复拨号、不断变化IP地址的“秒拨”动态IP服务。
四是公司化。黑产团伙成立专门的公司作恶的例子增多,各环节有专门人员负责,常打着正规经营的幌子进行大规模黑产犯罪。如“守护者计划”协助警方破获的“雷胜科技”系列色情诱导诈骗案中,犯罪团伙成立的武汉雷胜科技公司,其注册经营范围为“经营与销售计算机和网络业务”,内设有研发部、市场部、编辑部、财务部、客服部等。
五是涉众化。越来越多的线下犯罪向线上犯罪转移,在互联网场景下对人群的影响被放大,影响面更广。如“守护者计划”协助公安部破获的“善心汇”特大传销组织中,犯罪团伙头目及其骨干成员超过600名,该传销组织会员超过500万人。
纵观威胁源的成型与发展,更是网络黑产产业化的体现。一方面,威胁源为下游犯罪提供工具、技术和数据等方面的支持,客观上帮助了下游网络犯罪的实施;另一方面,下游犯罪在威胁源的伴生式支持下,作案成本下降、效率提升,对威胁源的依赖与使用越来越多。
从“守护者计划”配合公安机关打击网络黑产犯罪的实践中发现,往往多个下游犯罪团伙均能溯源指向一个或少数几个威胁源团伙。国内最大的DDoS攻击团伙“暗夜”覆灭后,因其涉及的攻击软件作者、肉鸡控制者、攻击发起者等无法继续作恶,直接导致当月DDoS攻击频次环比下降86%。可见,打击网络黑产威胁源能够最大程度挤压黑产生存空间,从而遏制下游犯罪滋生。
由于网络犯罪隐蔽性的特点,难以取得网络黑产上游与下游犯罪形成共同故意的相关证据,导致在主观认定上存在难点,很难将网络黑产威胁源的团伙按照共犯论处。同时,由于下游犯罪查实难,实践中认定帮助信息网络犯罪活动罪的成立又多以下游犯罪成立为基础,因此网络黑产威胁源的打击与司法判定工作面临着多重挑战。不过,《报告》结合现有已决司法判例对网络黑产威胁源的判决情况和法律适用难点问题进行了全面梳理。总结出了司法实践中网络黑产威胁源被用于下游犯罪的常见类型,以及针对各种不同犯罪行为的认定罪名情况。结合具体案件,针对现行法律及司法解释存在的不完善之处以及实践认定难点问题,提出了相应的建议。对于今后处理同类案件具有一定的参考价值。
分析网络黑色产业链结构,共享网络黑产发展趋势,为全行业联合对抗黑产奠定了基础。以打击网络黑产威胁源为抓手,能够最大程度挤压黑产生存空间,遏制下游犯罪滋生,2017年“守护者计划”已经正式亮剑,2018年需要社会各方联合起来共同努力,给网络黑产以全面性打击。