目前,互联网黑灰产业链日益成熟,黑色产业与灰色产业相互交织特点明显,并多处于无管理状态,从而在网上滋生了大量的诈骗、制假售假、贩毒等违法犯罪活动。
网络黑产
与其造成的巨大危害相比,黑灰产业链的门槛却很低,除编写软件外,“技术小白”几乎都可以做。近日,南都记者尝试了近10个黑灰产业链中的软件,逐步揭开其技术特性和非法性所在,并在网上成功买到了记者本人的通话记录、开房信息及其他身份数据信息,用实践证明一条巨大的互联网黑灰产业链猖獗却未得到有效遏制。
撞库类软件
300元可检存微博账号
2015年,国家互联网应急中心发起了重点打击三类网络黑色产业专项行动。这三类分别是:发动涉嫌拒绝服务式攻击的黑客团伙,盗取个人信息和财产账号的盗号团伙,以及针对金融、政府类网站的仿冒制作团伙。
近日,一个12G的数据包再次搅动了黑产市场。
然而,上万条数据信息,不法分子是如何一条条“撞”的呢?南都记者调查发现,针对不同的网站,存在不同的撞库软件,又称检存软件。在某些论坛上,有专门定制这方面软件的平台,并提供“下单”、“接单”和“第三方支付”等功能。
在南都记者与多名软件写手联系的过程中,“米正”和“检存”配合使用是写手们最推荐的方式。“米正”是代指“密码正确”的行话,一名“返利网”软件写手解释,“米正”检测速度较慢,一般1-2秒检测一个数据,如果导入几万个数据,则需要花费几个小时。“如果先用检存筛选出来,一万个数据里面也就几千个注册的,再用米正就快了。”这位写手称。
通过演示可以看到,这款软件运行的速度确实很快,仅耗时20秒就检测了105个数据,以“账号———密码———检验结果”的形式显示出来。运行结束后,软件自动生成txt文档,分别将“密码错误”和“密码正确”分类。结果显示,在400多个账密对中,可检测出100多个正确账号。
批量注册类
为刷单抢红包提供便利
南都记者调查发现,无论电商还是社交、游戏平台,都有人在网上注册并倒卖垃圾账号。一个垃圾账号从几毛钱到几元钱不等,批量起售,数量惊人。
有些网络黑灰产业需要真实的账号和密码,有些则只需要大量空白账号即可。如最常见的“刷粉”、“刷单”、“抢红包”等,用大量空白账号就可实现。那么,不法分子又是怎么得到大量空白账号的呢?
南都记者在网上找到多种网站的批量注册软件,发现很多已不可用。一名编写过多种批量注册软件的写手告诉记者,“已经很难注册了,不好出号”。
该写手告诉南都记者,这样就使得成本大大提高,“二毛五卖出去的话,你自己刷也要一毛七左右”。
尽管如此,批量注册软件仍然有其市场。南都记者拿得了B站和返利网的批量注册软件进行测试,这两个注册软件每个仅需要100元。由于B站注册需要识别验证码,软件需要先连接付费的“打码平台”,让其自动读取识别验证码。如果不愿付费,也可人工识别输入验证码,除此之外,批量注册没有任何成本。
运行起来后,软件自动创建随机的账号和密码,四位验证码图片出现在软件上,南都记者输入打码平台的账号密码后,软件迅速自动将图片翻译成文字,几秒后便出现“注册成功”字样。写手提醒记者,大批量通过软件注册账号会引起平台注意,因此,注册一定数量的账号后,就需要更换IP。如果平台没有察觉到软件的运行,那么软件可以一直注册下去,需要多少账号就能产生多少。
目前,绝大多数利用恶意手机注册产生的账号,主要分布于网络打车、互联网金融、垂直电商、网络游戏等。典型作案方式是用恶意注册的打车软件账号获得打车红包,或者利用恶意账号进行非法理财、借贷等。
如果说撞库软件更多是泄露个人信息安全,那么批量注册软件,侵害的则是个人和企业的利益。日前,阿里巴巴就向法院起诉状告刷单平台“傻推网”涉嫌严重危害市场竞争秩序,该案成为全国首例电商平台状告刷单团伙案。
90后杨某成立的“傻推网”刷单业务覆盖所有电商平台,开业仅一年就赚得盆满钵满,除杨某本人获利36万元外,其余数名刷手合计获利超过180万元。
打码、交易平台类
识别验证码,第三方担保交易
在网络黑灰产业链的发展过程中,不法分子形成了大量非法网站、聊天群组,这些平台有很强的组织能力、聚众能力和影响力,曾一度出现线上组织攻击竞争对手,线下聚众闹事等严重影响网络秩序和社会稳定的事件。
这些打码平台会按照验证码的类型收费,10位以内的数字、英文、汉字混合验证码都可以识别,在南都记者测试的豆瓣批量注册、返利网检存的软件上,只需要填写打码平台的账号密码,便可直接使用了。
除此之外,数据销售平台也为网络黑灰产业链提供了便利。无论批量注册还是检存,最终生成的都是同一产物:数据。那么,这些数据会如何处理呢?
除此之外,一些“社工库”平台也依然活跃在网上。“社工库”平台上收集了大量市面上泄露出来的原始数据库。然而,这些数据由于曝光率高,通常已被人使用过多次。
一个真实的违法案例是,珠海市的尹某飞从2014年开始,为实现盗窃他人支付宝款项,通过互联网购买数据包,花了2000余元获得包含有他人在学信网、智联招聘网等网络账户名称和密码的数据32万余条,他人在各大网络论坛和第三方支付平台的账户和密码数据,数据包中含有500万余条信息,支付宝账户名称和密码的数据400万余条。
2016年9月,尹某飞被判处有期徒刑四年,并处罚金人民币12万元。
举报:向警方、监管部门举报后至今无人管
随后,南都记者根据这些交易软件、数据信息的平台和个人所属的归属地,向有关部门和当地警方进行举报。
业内人士
为盗号软件找主管部门找了一圈都没人管
上述黑灰产业链条环环相扣、相互交织,为网络违法犯罪提供全方位、全链条的帮助,是互联网犯罪的源头性问题。然而,这些制作软件、售卖软件的人和平台,却游走在法律的边缘,并没有背负应有的责任。
目前,依附于互联网的黑灰产业主要有这4类———
●恶意软件类:盗号功能软件,钓鱼木马软件,批量注册功能软件,账号数据、信息、状态检测软件,刷单软件,伪装/更改环境工具等;
●非法硬件类:伪基站,猫池(养非实名手机卡、用以批量收发信息);
●非法信息、数据买卖类:社工库(数据集市)、手机黑卡、银行卡、身份证信息买卖等;
●恶意群组、平台类:恶意交流群组、恶意平台等。
抓的多是孩子,犯罪上游监管缺失
在公安部部署的“8.14”非法获取计算机信息系统数据专案中,作案团伙利用软件进行扫号、盗窃、数据买卖,等到警方抓获团伙成员时,发现团队竟是由一个未成年人带领老家不懂技术的亲戚组成的。
2016年上半年,阿里巴巴安全部门便协助警方抓获网络犯罪嫌疑人4300余人。阿里巴巴副总裁余伟明表示,很多都是十七八岁的孩子。
“被抓到的网络犯罪分子大多是下游人员,是拿被盗账号去骗的人。那他们是怎么拿到账号的?难道所有犯罪分子都能够潜伏进别人的网站?都能制作钓鱼软件?”余伟明表示,在电信诈骗案的背后,是大量从事编写诈骗软件和售卖诈骗信息的网络黑灰产业团伙。
恶意注册软件、钓鱼软件、爬虫软件、刷单软件等等网络黑灰产软件,通过各种社交软件、论坛、网站大量贩卖,而这些用于网络犯罪的软件,目前无人监管,由谁来监管也暂无定论。“我们不仅要打击网络黑灰产业的下游,还要将那些去进行撞库盗号、编写诈骗软件的群体挖出来进行打击。”余伟明说。
“没有软件的作者,他就侵入不了你。”余伟明说,除了打击这些网络黑灰产业链的上游,还应该明确责任,加强监管,“谁在买,谁在叫售,打开电脑都可以看到,都在论坛、贴吧、各个群里进行信息交互。”
“这些信息的交互谁来监控?为什么一定要到线下来破案,把它管了,不让它传播了,不让它信息交互了,不是更好吗?”余伟明说,各个企业对自己的群,对自己网站上面各种违法犯罪,需要自行管理,“那么又是谁来监督企业,有没有尽到自己的责任?”
工商、经信委、通管局、公安都管不到?
一名网络公司的安全部总监告诉记者,他曾经为了一个盗号软件去找主管部门,结果找了一圈都没有找到。“第一个,我找了工商,毕竟它是流通领域的事情,软件和软件服务作为一种特殊商品,工商也许能管。工商部门说,我只是在流通领域的监管,但是这个行业的主管单位不是我,你去找经信委,经信委有个软件处。”其说。
“我就去找经信委,经信委主任告诉我,他们软件处主要任务是软件行业发展、规划、政策、鼓励措施等方面的制定,至于软件行业违法,没有执法处,网站是通管局管。我又去找通管局,通管局说,他们只管发证和吊证。”
其表示,通管局告诉他,应由主管部门出具一个合法性、违法性的认定依据和处罚标准。而公安主管信息安全的十一局又只管信息安全、涉恐涉暴等,“所以最大问题首先是职责要分明,这种软件行业的违法行为究竟谁管?”
撞库类:危害个人
批量注册类:
侵害个人、企业
无论电商还是社交、游戏平台,都有人在网上注册并倒卖垃圾账号。