图片 
本刊简介《斩断“电信互联网黑灰色产业链”》系列报道之一
“电信互联网黑灰色产业链”究竟有多黑?
编者按
“互联网黑灰色产业链”,一个逐渐在互联网领域频繁出现的词,它似一个披着黑色斗篷的魔影,混迹于庞杂的互联网数据流中,时常变换身份,施以骗术,于无形中掠人钱财甚至夺人性命。它与这些违法犯罪行为有关:黑客攻击、盗取款项、网络欺诈⋯⋯ 有业内人士称其为互联网晴朗天空中的“雾霾”,顾名思义:空气中的有毒物质。
既然有毒,如何防范和治理“雾霾”是我们的当务之急,消除毒素,还网络世界一片清朗。
在这方面,浙江省绍兴市公安机关尝试牵手阿里巴巴集团安全部,率先走出了一条执法权与先进技术相结合的创新之路,在全国各地电信网络犯罪案发数居高不下的情况下,实现了电信网络新型违法犯罪发案数的六连降,成为警企合力共同维护互联网安全的范本。
我们希冀,更多的企业能像阿里巴巴一样,担当起社会责任来,加入到警企合作中来,共同打击电信网络犯罪,斩断互联网黑灰产业链条,让徐玉玉式悲剧不再重演。
除此之外,一些游走在法律边缘的不法行为也呈蔓延趋势,不管是从业者还是执法机构,对其违法性的认知还很模糊。相应的,打击处罚力度也不够。人们普遍称其为“灰色产业”。
据业内人士透露,目前,互联网黑色产业与灰色产业相互交织特点相当明显,并多处于无管理状态,从而在网上滋生了大量的诈骗、制假售假、贩毒等违法犯罪活动。产业规模保守估计过千亿元,社会危害性巨大,亟待立法、执法、司法有效应对。
中国互联网络信息中心(CNNIC)发布的数据显示:截至2015年6月,我国网民规模达6.68亿,庞大的网络用户成为网络黑灰产业违法犯罪的对象。
“一元木马”诈骗案呈现黑色产业链
今年7月,央视焦点访谈栏目播出一起案件,清晰呈现了网络黑色产业链制售、诈骗、分赃的一系列犯罪过程。2016年5月,杭州市公安局余杭分局破获一起被称为“一元木马”的新型网络诈骗案。转账时输入金额一元钱,然而瞬间卡里却被转走数万元,这是怎么回事?
余杭市市民小王在玩网络游戏“魔兽世界”时,苦于一个游戏副本打不过去,于是他就在游戏公众账号里面找人替他打。
小王找的人,网名叫“耕地佬”。此前,“耕地佬”在公众账号里面发信息,说15元代打魔兽世界的副本。于是,小王如约向他的支付宝里转了15元。不一会儿,“耕地佬”说钱没到账,让小王发支付记录截图给他。小王将截图发过去后,“耕地佬”说让他加另外一个人的QQ,称这个人是负责代刷副本的游戏客服。
小王又加了游戏客服的QQ。游戏客服先给他发了一个链接,说让小王打一元钱过去,激活账号。可小王点击链接支付完一元钱后,发现他的银行账户显示转出的竟然是9900元。
看到账户里面少了9900元,惊慌失措的小王赶快联系游戏客服。游戏客服告诉他,多扣钱是因为系统出错,钱会退还给小王的,不过需要他再点开一个链接,并向里面再打进一元钱,这样,他才可以把多收的钱退给小王。为争取小王的信任,游戏客服还特意把退小王钱的过程当中的一个进度码发给小王看。
信以为真的小王,再次点击链接向对方支付了一元钱。结果,小王的账户里49500元钱瞬间又被转走。这时,小王才恍然大悟上当受骗了,立即向警方报警。
对于警方来说,这种网络诈骗犯罪形式在国内尚不多见,于是,余杭警方立即成立专案组,对小王被骗资金的流向进行追踪排查。侦查中警方发现,小王的被骗欠款最终流向了上海浦东。经过仔细排查,5月5日,办案民警在上海浦东川沙镇某酒店内,将张某等4名嫌疑人抓获。
张某位于整个网络诈骗犯罪活动链条中的最上端,角色为非法支付平台管理者,骗取的钱财首先进入他的账户,再由他向诈骗活动各环节的嫌疑人分配。
在对嫌疑人的审查中警方发现,受害人小王在联系购买代刷游戏副本过程中,点击嫌疑人所提供的链接时电脑就被植入木马病毒,之后,嫌疑人就可以将他的一元转款金额任意修改。
此外,警方还发现,为了方便作案,张某建了30多个QQ群,其中有8000多个好友,且有相当人员涉嫌从事此类诈骗活动。
通过对张某等人的审查和对案情的分析研判,余杭警方梳理出“一元木马”网络诈骗线索41条,涉及国内13个省份1000多起案件。
随着对案件侦查工作的逐步深入警方发现,犯罪嫌疑人在诈骗活动中扮演了丢单手、秒单手、制售木马病毒者等不同角色,一条以“低价售卖游戏装备”为诱饵,从制售木马病毒到实施诈骗活动、取款分赃等黑色产业链清晰呈现。
环节一:丢单手
在整个诈骗活动中,最先出现的嫌疑人被称为丢单手。丢单手通常在QQ群里发布低价兜售游戏装备的虚假广告,引诱游戏玩家购买。在小王被骗的事件中,“耕地佬”就是丢单手。
如果买家询问丢单手为何没有收到款时,丢单手就会要求游戏玩家出示付款记录截图,其目的就是要窥视其账户的余额。因为,如果犯罪嫌疑人设置的金额超过被害者账户的金额,交易是不能成功的。
在得知被害人账户余额后,丢单手的任务就完成了,他会把这个账户余额截图发到秒单QQ群里面。
环节二:秒单手
秒单QQ群里有若干涉案人员,他们看到丢单手发来的游戏玩家账户余额截图后,如果感兴趣,就像抢微信红包一样,出来抢单。
那么,抢到单的人就叫做秒单手,他通常以游戏客服的名义出现,让被害人点击含有木马病毒的链接。
当游戏玩家支付这一元钱时,秒单手就在后台通过木马程序修改转账金额,游戏玩家看到的是转了一元钱,而实际的金额就可能是数千元甚至更多。
环节三:非法支付平台管理者
第三个环节就是非法支付平台管理者。非法支付平台通常会向诈骗嫌疑人提供木马以及银行黑卡等作案工具来提升自己的人气,秒单手诈骗得手之后会把这个钱直接转向这个非法支付平台,来规避风险。
非法支付平台获取诈骗得来的钱款之后,截留8%到10%的提成,然后再将余款五五分成给秒单手和丢单手。制售木马病毒者主要作用就是提供一元木马链接给秒单手。他以每个木马病毒200到400元不等的价格卖给秒单手,仅此一项,他就获利近3万元。
专家指出,像这种恶意软件的出现,背后其实是一个产业链,业内称为“技术黑产”。一些掌握一定计算机技术的人,根据违法犯罪者的需求,去制作销号软件、恶意木马等,然后进行贩卖。目前,网络上的一些“技术黑产”很多处于无管理状态,在网上滋生了大量的诈骗、制假售假、贩毒等违法犯罪活动。
骗钱事小,骗钱又夺人性命更加显露出“网络黑产”给人民生命财产安全带来的恶果及危害性。
生命止于“网络黑产”
一个诈骗电话骗光了山东临沂准大学生徐玉玉的全部学费,也骗走了这个18岁女孩儿的年轻生命。今年9月,在公安部统一指挥下,涉案的8名犯罪嫌疑人全部归案。徐玉玉的不幸死亡,暴露出的是电信诈骗背后那些仍在张开的缺口与黑洞,那就是电信诈骗的源头——“网络黑产”带来的恶果。2016年8月19日下午,考上南京邮电大学的山东临沂女孩儿徐玉玉,接到了一个让她欣喜不已的电话。由于家庭困难,她向教育部门申请了助学金,这个来电通知她马上就可以领到这笔助学金。
然而不幸的是,这个电话实际上来自一个诈骗团伙,就是这个诈骗电话让徐玉玉的生命永远停止于18岁。
26岁的福建省泉州市永春县人郑贤聪,是这个电信诈骗团伙的一线人员,在这个骗局中扮演了教育局工作人员的角色。当时,他在电话里跟徐玉玉说,她有一笔2680元的学生助学金要领取,要她跟某某财政局工作人员联系。
假冒财政局工作人员的是22岁的福建省福州市安溪县人陈文辉,这也是整个骗术最关键的一环,诱骗对方汇款。
郑贤聪打电话时有跟徐玉玉说出了她叫什么名字,在哪个学校读书,父母叫什么名字,徐玉玉对这个电话深信不疑,直到离开这个世界,这个18岁的女孩儿也没能知道自己的个人信息已经被人窃取并倒卖。就在她在雨中焦急等待助学汇款的时候,在泉州的一个自动取款机前,已经有人把她的9900元学费全部取出,陈文辉电话通知了泉州的同伙郑金峰,郑金峰安排专门负责取款的熊超取钱并分赃。
当晚9点,这个18岁女孩儿没能走进憧憬中的大学,永远离开了这个世界。
案发后,公安部组织山东、福建、广东、四川等地警方联合侦查追捕,先后抓获了犯罪嫌疑人陈福地、郑金峰、黄进春、熊超,犯罪嫌疑人陈文辉、郑贤聪在公安部发布A级通缉令后,主动投案自首。
警方初步查实,六名犯罪嫌疑人中有五人是泉州人,陈文辉、黄进春和郑贤聪在江西九江假冒教育局和财政局工作人员拨打诈骗电话,郑金峰在泉州组织陈福地和熊超取款分赃。从2016年8月开始,在一个月时间内,六人以助学金骗术累计诈骗3万多元,最大的一笔就是徐玉玉案中的9900元。
经警方查明,今年年初,陈文辉在网上找到了以助学金为名对学生进行诈骗的剧本,想要实施电信诈骗。还有两样作案工具必不可少,一个是电话卡,另一个是银行卡,而且这两样卡都不能实名办理。对于电话卡,陈文辉选择了171开头的虚拟号段。因为这个号段不需要实名办理。
非实名电话卡掩藏了骗子的真实身份,而一旦诈骗得手,就需要用非实名的银行卡提现。陈文辉说非实名的银行卡和电话卡一样,在网上也可以买到。
警方对犯罪嫌疑人提取徐玉玉9900元学费的银行卡进行了追查,结果发现,这张卡的开户人是安徽人,直到被警方找到,他才知道自己的身份已经被别人冒用并开卡。
临沂市公安局罗庄分局刑警大队大队长王举介绍,开户人告诉民警两年以前在广东打工的时候身份证丢失,银行卡是在他身份证丢失之后开的。
根据近年来破获的案件,警方发现使用他人身份证倒卖银行卡已经成为一条黑色产业链,这些非实名的银行卡大都是专供洗钱和诈骗犯罪。买到了非实名的电话卡与银行卡,这只是进行诈骗的基本条件,骗术得逞还需要最为关键的一环,那就是被骗对象的个人信息。
要想精准诈骗就必须掌握精确的个人信息,这是各类电信诈骗能够得手的关键招儿,徐玉玉正是因为对方能准确说出自己的姓名、住址和学校,才相信了对方的身份。犯罪嫌疑人交代,徐玉玉的个人信息也是从网上买到的。
警方初步查实,犯罪嫌疑人陈文辉从今年6月开始,先后在互联网上非法购买了数万条山东籍高考考生的个人信息,以临沂籍考生为主。信息内容包括学生姓名、学校、家庭住址和联系电话。陈文辉说,选择以学生为目标,是因为学生的信息最便宜、成本最低,而且在网上购买个人信息几乎没有难度。
犯罪嫌疑人多次提到的QQ群里是否真的隐藏着贩卖个人信息的“黑市”呢?调查发现,在QQ群搜索栏里输入“数据买卖”和“一手数据”进行搜索,结果出现了数百个QQ群。这些群的备注里大都标注着“数据买卖、数据购买”“洗料、拦截料、数据交易”。在这些QQ群里公民的个人信息被称为“数据”和“料”,各种私密的信息,公然在群内发布,明码标价,叫买叫卖。
网名“大宝健”的人发布信息称,银行、信用卡、老年保健、网购、电购数据应有尽有,另出售2015至2016年打包数据。
一个网名叫“七友”的人发布信息称,银行数据、个人数据,100块打包一万条。
浏览这些QQ群可以发现,公民个人的金融信息是信息贩子的热卖品。一个网名叫“风驰”的人,直接叫卖银行储户信息,其中包括公民在银行的户名、卡号、身份证、密码、手机号,还特意注明是今年9月份的最新数据,并且知道账号里的余额。
最新调查数据表明,仅北京地区法院确认的2010至2016年公民个人信息泄露就已经多达1.6亿条。
中国互联网协会举报受理中心主任郝志超介绍,他们设计了一套问卷,里面有这样一个调查,就是您是否感觉到了个人信息泄露给您带来的一些影响?结果显示有84%的网民切身感受到了个人信息泄露带来的影响。
个人信息是怎样落到了他人手里?原本私密的个人信息又是怎样泄露的呢?警方对徐玉玉个人信息泄露的源头展开了调查。随后,办案民警在成都将犯罪嫌疑人杜天禹抓获。警方查实,杜天禹通过QQ先后十多次向陈文辉出售山东考生信息,非法获利1.4万余元。警方发现他们抓到的这个卖信息的人,在此案中有着一个更为特殊的身份。
杜天禹现年18岁,四川宜宾人,从小学五年级起经常去网吧打游戏,就读初中二年级时退学。他在打网络游戏的过程中,对黑客技术产生了兴趣,开始尝试使用黑客技术在网上窃取他人的数据信息,杜天禹给自己起了个网名叫“法师”,意思是掌握了魔法。
据杜天禹交代,今年4月,他利用安全漏洞侵入了“山东省2016高考网上报名信息系统”网站,下载了60多万条山东省高考考生信息,高考结束后开始在网上非法出售,总计获取赃款5万多元,徐玉玉的个人信息就是这样从黑客手中流入了骗子手里。
黑客入侵数据库,只是信息泄露的途径之一。掌握大量公民个人信息的公司和机构的个别员工,主动倒卖客户信息,造成的是客户私密信息的批量泄露。
为什么骚扰电话能直呼我们的名字?为什么诈骗电话能说出我们的身份证号码?因为我们的个人信息已经成为买卖品,成为买卖的个人信息已经不属于我们个人。
公民个人信息泄露,已成为电信诈骗犯罪高发的助燃剂,自2016年4月公安部部署开展打击整治网络侵犯公民个人信息犯罪专项行动以来,截至9月21日,共查破刑事案件1200多起,抓获犯罪嫌疑人3300多人,其中银行、教育、电信、快递、证券、电商网站等行业的内部人员270多人,网络黑客90多人,缴获信息290多亿条。
公安部网络安全保卫局副局长张宏业说:“公安机关将继续加大对侵害公民个人信息犯罪活动的打击力度,重点打击贩卖、窃取、非法利用环节,同时将督促容易造成公民个人信息泄露的各个环节,加大自查自纠的力度,特别是电商平台、网络支付平台,还有社交网络平台都要加大自我检查的力度,防止公民个人信息泄露。”
然而,互联网黑灰产业链是公民个人信息泄露的直接导火索。阿里巴巴安全部总监胡冰在接受媒体采访时表示:互联网黑灰产业是网络违法犯罪的基础,致使大量不具备软件技术、网络技术的人,可以轻易地从事网络盗窃、网络诈骗、网络攻击等违法犯罪行为。非法信息、数据的买卖,身份证、手机卡、银行卡地下买卖链条,各类恶意聊天群组肆意活动和发展,这一系列活动为电信网络诈骗提供了滋生的土壤。可以说,打击电信诈骗必先去除“网络黑灰产业链”这一毒瘤。
黑色产业规模庞大
“一元木马案”与“徐玉玉案”已经揭开了互联网黑灰产业链的黑色斗篷,它不再是隐形的魔影,经过专业人士和警方的不懈努力,互联网黑灰产业链的真面目逐渐大白于天下。2015年,腾讯发布的《网络黑色产业链年度报告》,总结了当前网络黑色产业链的主要犯罪手法和趋势:
一是网络黑色产业链已经从过去的黑客攻击模式转化为犯罪分子的敛财工具和商业竞争手段,呈现出明显的集团化、产业化趋势。通过盗取多个网站数据库,获取网民个人信息和银行卡资料是“黑产”人员的惯用招数。
二是网络黑色产业链人员更倾向于对手机进行攻击。2014年,全国近两亿的手机用户感染病毒,日均54万手机中毒,是2013年的1.8倍、2012年的5.7倍。其中,利用伪基站发送木马诈骗短信,诱导用户下载和安装木马病毒,是2014年“网络黑产”团伙最爱用的犯罪手法之一。
三是随着大量网站数据库被盗取,越来越多网络犯罪分子倾向于在掌握网民个人信息后,冒充熟人,以精准式诈骗场景对受害人进行欺诈。
近几年频繁出现于手机中的精准式电信诈骗案件,可以说是网络黑灰产业链上的重要衍生物。
据新华社消息,近十年来,我国电信网络诈骗案件每年以20%至30%的速度增长。2015年,全国公安机关共立案电信诈骗案件59万起,同比上升32.5%,造成经济损失222亿元。2016年1月至7月,全国共立电信网络诈骗案件35.5万起,同比上升36.4%,造成损失114.2亿元。
2013年至今年,全国共发生被骗千万元以上的电信诈骗案件104起,百万元以上的案件2392起。很多群众的“养老钱”“救命钱”被骗,倾家荡产、家破人亡;有的企业资金被骗,破产倒闭,引发群体性事件。
近几年各种重大网络安全事件显示,“网络黑产”已从半公开化的纯攻击模式转化为敛财工具和商业竞争手段,集团化、产业化趋势明显,跨境网络犯罪多发。
网络灰色产业链呈现病毒式扩张
在黑色产业链之外,更需注意的是,网络灰色产业链正呈现病毒式扩张。遗憾的是,从业者根本不认为自己的行为违法。黑色产业的上游产业是“恶意注册和虚假认证”。由于恶意注册和虚假认证行为本身没有直接产生危害后果,系游走在法律边缘,被称为“灰色产业”。
曾参与“社工网站”也就是专门从事各类账号注册买卖的网站工作人员李明(化名)透露:“我们购买了大量手机黑卡、身份信息,然后用软件批量注册,速度很快。买这些垃圾账号的人,有的用于刷粉、刷榜、刷单甚至是刷佣金,也有人拿去诈骗。干我们这一行的,没几个人认为自己是违法的。”
无论是用机器注册大量买家账号,还是骗取卖家资格认证,抑或虚假交易,其共同特点都不是以真实交易为目的。而网络虚假交易在法律上没有明确界定为违法,因而吸引了庞大的参与人群。业内人士估计,其从业人员达几十万。
调查发现,无论是阿里、京东等电商平台还是腾讯、新浪、网易等社交、游戏平台,甚至是新近的优步等打车软件,相关垃圾账号都有人在网上专门注册并倒卖。一个垃圾账号从几毛钱到几元钱不等,批量起售,数量惊人。
暴利驱动下,灰色产业链异常繁荣,成为全球共性问题。据国外媒体报道,Twitter的发展带动了“僵尸粉”地下产业链的蓬勃发展。安全公司的研究报告显示,该产业链规模已经达到4000万美元至3.6亿美元。
打击互联网黑灰色产业链的
攻防战正在打响
这些灰色产业与黑色产业相互依附、交织,已发展为跨平台、跨行业的集团犯罪链条。手机黑卡、银行卡、身份信息非法买卖,看似灰色产业,如影随形的却是网络诈骗、盗窃、攻击等各类黑色产业。互联网黑灰产业不断升级演化、蔓延滋长,已形成了一个平台化、专业化、精细化,相互独立又紧密协作的产业链。据不完全测算,截至2015年,网络黑灰产业规模已达到千亿元级别,而从业人员数量至少已达到数十万级别。
面对如此猖獗的互联网黑灰产业链犯罪,究竟有没有应对之策?
答案是肯定的。
在国家层面,更大的协作格局已在建立完善之中——2015年6月,国务院建立由公安部牵头、23个部门单位参与的国务院打击治理电信网络新型违法犯罪工作部际联席会议制度,以共同应对电信网络诈骗犯罪的严峻形势。
2015年10月9日,国务院打击治理电信网络新型违法犯罪工作部际联席会议第一次会议在北京召开。在这次会议上,国务委员、公安部部长郭声琨强调,要依法严厉打击电信诈骗、网络投资诈骗、黑电台等违法犯罪活动,集中侦破一批案件、打掉一批犯罪活动、尽快整治一批重点地区,坚决把犯罪分子的嚣张气焰打下去。要深化与有关国家和地区的警务合作,切实加强打击境外犯罪嫌疑人和追赃追逃工作。
当月,国务院打击治理电信网络新型违法犯罪工作部际联席会议办公室在北京召开电视电话会议,部署自11月1日起开展为期半年的打击治理电信网络新型违法犯罪专项行动。
2016年2月25日,郭声琨在国务院打击治理电信网络新型违法犯罪工作部际联席会议第二次会议暨专项行动推进电视电话会议上再次强调,要建立健全责任明确、快速响应、密切配合、齐抓共管的防范治理机制,尽快建立涉案账户紧急止付和快速冻结等制度,及时发现、通报和阻断关停网络改号诈骗电话,依法打击“伪基站”“黑广播”,最大限度挤压违法犯罪空间、避免和挽回群众财产损失。这次会议决定,将打击治理专项行动延长至今年年底。
9月23日,国务院打击治理电信网络新型违法犯罪工作部际联席会议第三次会议就打击治理电信网络新型违法犯罪专项行动进行再部署、再推进、再落实。这次会议明确指出,凡是因行业监管责任不落实,导致电信企业、商业银行、支付机构相关企业单位未有效履职尽责的,要对行业主管部门进行问责。凡是因防范、整治、打击措施不落实,导致电信网络诈骗犯罪问题严重的地区,要实行综合治理“一票否决”,并追究党政相关负责人的责任。
揭露互联网黑灰产业链,大幕已然拉开,一场攻防战悄然打响,一张打击网络新型犯罪的大网正在张开。