论网络犯罪黑产的侦查对策
——以D企业虚假领红包事件为例

2019-11-11 11:01
中国人民警察大学学报 2019年3期
关键词:黑产链条产业链

梁 胜

(中国人民公安大学,北京 100038)

互联网从业者随着互联网产业的大发展日渐增多,而网络犯罪黑色产业(以下简称“黑产”)从业者大多从事网络安全工作、懂得社会工程学,并且难以抵制自己内心赚快钱的诱惑。在市场机制不健全和企业缺乏安全防护措施的情形之下,作为互联网从业者之一的黑产从业者利用其自身独具特色的专业知识,开展相应违法犯罪活动去获取利润。黑产是形式合法但是实质非法的行为,它是由诸多的有组织行为所组成的非法互联网获利行为的集合。由于黑产形态众多,所以它在不同的行业中有不同行为表现。众多的黑产虽然形态各异,但是其大多遵循这样几个步骤的实现路径:获取获利信息—黑产的中介组织—变现的实现。“变现”是整个黑产的关键,黑产从业者由于获取信息起点的不同而采取不同的变现方法,本文在聚焦个案的基础之上剖析黑产相关特征,并提出符合黑产活动规律的侦查对策。

一、黑产发展概述以及黑产产业链定义

(一)黑产发展背景概述

互联网的井喷式发展,也带来了诸多问题。据中国信息通信研究院的互联网发展报告指出:全球互联网治理面临着网络平台治理、数据流动与数据监管、个人信息保护和网络安全这四大难点与难题[1]。黑产作为互联网发展的派生产业,具有犯罪特点的团队化、专业化,犯罪对象的不特定化,犯罪手段的多样化等特征。当我们在研究黑产作为客体事物同时,必须注意到其本身就具有一定的事物特征,例如:(1)黑客群体,呈低龄化;(2)形成组织,分工明确;(3)由暗到明,有恃无恐;(4)利益趋动,规则改变;(5)牟利方式,买卖“肉鸡”[2]。这是相关研究学者对黑产的学理特性定义。黑产是寄生在互联网发展的产物,同时伴随各类线上线下的互联网活动而存在,只要是有利润的地方就会存在黑产。

(二)黑产定义

产业链是产业经济学中的一个概念,是指各个产业部门之间基于一定的技术经济联系,而表现出的关联关系的形象描述。产业链中大量存在着上下游关系和相互价值的交换,上游环节向下游环节输送产品或服务,下游环节向上游环节反馈信息。本文借助经济学产业链定义分析网络犯罪黑产。有的学者认为:网络黑产,是指以计算机网络为工具,运用计算机和网络技术实施的以盈利为目的、有组织、分工明确的团伙式犯罪行为[3]。也有学者认为:黑产是指以计算机网络为工具,运用计算机和网络技术实施的以盈利为目的,有组织、分工明确的团伙式犯罪行为。它可被细分为以职业黑客为主的产业链的上游,以职业中介为主的中游,由取钱、洗钱、收卡、贩卖身份证等团伙组成的下游。以上定义都有可取之处,但新形势下我们可做如下定义:黑产是指以互联网终端为工具,运用互联网技术手段和其他相关手段实施以获利为目的,有组织、分工明确的团伙式犯罪行为。它可被细分为专业获取信息人员为主的产业链上游,以信息传播中介为主的中游,由取钱、洗钱、收卡、贩卖信息等团伙组成的变现产业链下游。这都统称为网络犯罪黑产,网络犯罪黑产可以归入网络犯罪范畴。

网络犯罪黑产并不是严谨的法律术语[4],在刑法语境下的网络黑产应当是指以信息技术为工具,以互联网为媒介,以获取非法经济利益为目的,以非法利益交换为连接形成的多环节分工、多阶层、市场化的犯罪活动[4]。当前网络犯罪黑产的定性已经迈过了“罪与非罪”,走向了“此罪与彼罪”,至于说具体黑产行为的定罪与量刑,可以依据行为性质不同认定为不同的罪名,例如针对腾讯QQ的网络盗号可以裁定为破坏生产经营罪。黑产可能是行为形态各异,但是定罪量刑是不存在争议的,本文以D企业的领红包促销事件还原黑产犯罪行为的过程,对其在法律意义上的相关定罪进行分析,并着重探讨网络犯罪中的虚假注册犯罪行为和侦查对策。

二、黑产的具体案例分析

(一)黑产的链条分析

网络黑产的概念和范围已经不断延伸和扩大,并不再仅仅局限于病毒木马样式的“剪刀差”和“薅羊毛”式的获利手段。一切地下的、不透明的互联网获利行为都可以称之为“黑产”。黑产要实现“变现”首先要有流量的获取,即用户的数量,用户的数量越多,流量也就越多,那么可以变现的空间或者说是可能性也就越大。而黑产的变现空间是巨大的,他们是天然生成自带用户流量的产业,通过用户的最终变现获取利润。通过无数附带于黑产上的用户,黑产从业者实现变现行为,而这些获利行为往往是非法的。本文着眼于黑产终端的变现环节来探讨和研究黑产,从中探讨黑产的意义所在,这也是我们探讨侦查对策的焦点所在。

(二)D企业领红包事件分析

1.D企业领红包被薅羊毛事件回顾

D企业通过领红包活动,迅速拓展人气,从而增加企业的影响力并为企业带来销售额上升。D企业通过合法的领红包促销,而在营销的过程中被非法“薅羊毛”,这就产生了黑产事件。通过分析我们可以发现,该企业被黑产从业者“薅羊毛”就是黑产从业者一次典型而具有示范性质的行动,通过对此次事件的对比分析有助于我们理解黑产从业者自身行为和在法律意义上的行为,并在此基础之上提出侦查对策。

2.D企业领红包活动正常行为分析

D企业领红包产业链如图1所示:首先厂家通过红包码进行营销推广活动,大量的红包码被投放到市场上;其次用户通过购买活动获得红包码,继而用户进行兑现活动,最后厂家完成整个兑现的流程。整个过程中厂家与客户之间的互动是完全合法合理的,厂家可以完成整个用户推广活动,并且扩大企业的知名度,从而拉动整个用户的数量和销售数额的增长。

图1 D企业领红包正常链条

3.D企业领红包非正常链条分析

D企业促销活动由于范围和影响力大,于是在活动开始后迅速出现了大量贩卖相关活动码子(CDK)的人,所谓码子就是将二维码转换成的链接,用户购买码子后用互联网终端点击便可以领取红包。对厂家而言只是生成二维码在瓶盖上,但是生成码子并不是厂家自身行为,而是黑产从业者行为。首先一级用户获取码子并承担生成码子的任务;然后利用各种信息获取渠道获取下一级的用户分发信息,转手分发给下一级的用户,赚取整个黑产链条的一级利润;随后二级的用户进行相应的兑现行为活动,也可以承担中间商角色完成码子的继续分发并获取二级利润;最后三级用户既可进行类似二级用户的分发行为,也可以直接进行兑现;随后也可以出现四级用户,但是要考虑活动边际成本和收入,大多用户出现也只是进行相同行为模式。每个节点上用户不仅仅局限于用户本身的节点,他们另外有自己的一条纵向渠道。如果把整个兑现活动形容成一棵树的话,图2只是简化了的黑产分发活动的主干链,而每个节点上纵向产业链由从业者自行增添,他们会实施何种行为是由他们是一级还是二级乃至是三级的用户的节点位置所决定的。

图2 D企业领红包非正常链条

(1)一级用户行为模式分析。黑产从业者主要依靠注册大量账号获取优惠券、争抢红包、奖品,再通过转卖等方式变现。所谓线报:就是每次相关企业促销和兑奖等活动的信息。一级用户获取线报之后进行变现,他们的行为与正常的用户获取红包行为表面上无异,但在最后兑现方式选择不兑现,而是将瓶盖生成二维码链接,一级用户在整个行动中扮演了“薅羊毛者”的角色。在利益的促使下,迅速有人与码源拥有者合作以获取码源,而码源的来源有以下几个主要渠道:一是与废品回收站合作,低价收购瓶盖,提取二维码,由于“废品码”的码源是不稳定,而且不是“必中码”,这需要投入成本去回收这些码源,而且需要大量的试错机会,成本是极高的。由于需要在“废品码”与“必中码”之间试错,所以很多一级用户选择了直接与码源接触。二是通过打通与厂商的关系,从生产瓶盖厂商等人员处购买码源,这类二维码虽然码源可能需要成本,但是码源是精准“必中码”,较之于可能试错之后的零利润,这种码源是可靠的,但是成本也往往会高一些,随后一级用户将二维码一键生成链接CDK,转手卖给二级用户进行兑现。

(2)二级用户行为模式分析。由于兑现红包的时候需要账号进行认证,所以二级用户在此次事件中主要扮演账号掌握者的角色。目前主要可以采取手机批量注册、养号等方法。其实简单表述就是:有几个手机号码就有几个注册账号,掌握了手机号码就是掌握了注册账号,也就掌握了此次虚假领红包事件最终兑现环节,在黑产中二级用户可以选择只担任贩卖账号的角色,也可以选择担任三级用户角色进行直接兑现活动。手机卡批量注册必然涉及另一黑卡产业,所以从此可以看出:某一黑产绝不是孤立于整个黑产体系的,每条链条或是承担兑现的角色或是承担着分发者的角色,如图3所示。

手机黑卡、卡源卡商、猫池厂家与接码平台又组成了在二级用户节点一条全新的为主要产业链条服务的小产业链条(如图3所示),二次用户节点上的行为在此次活动中主要表现是领红包,但在下次的活动中就可能扮演另一种角色。例如某外卖新用户

图3 手机卡黑产

有十几元的首单减免,黑产从业者会从接码平台获取手机号批量注册,再通过下游将这些首单优惠以一半的价格卖给需要点外卖的人。注册成本是支付一毛钱给接码平台,收益是下游接单人的几元到十几元不等的收购价,而黑卡就是接码平台手机号的源头。二级派生链分析如下:第一,手机黑卡,指黑产从业者手中的大量非正常手机卡。这些黑卡供给接码平台,用于接收发送验证码,进行各种虚假注册、认证业务,此次虚假领红包事件也是需要进行密码认证的。第二,卡源卡商,指从运营商或者代理商那里办理手机卡,通过加价转卖给下游卡商赚取利润的货源持有者。卡源主要有:物联网卡[5]、实名卡、海外卡[5]。第三,猫池厂家负责生产猫池设备[6],并将设备卖给卡商使用。

(3)三级用户行为模式分析。掌握了卡源的三级用户,自身既可以是卡源的分发者,向四级用户继续分发,这就将其转化为一个卡源中间商的角色,而对于那些没有卡源的三级用户而言需要的就是从二级用户处购买卡源,支付给二级用户相应的费用,最后由三级用户通过各种信息渠道,在市面上分发或者由自己组织黑卡直接兑现红包活动。以上三类用户的行为构成了整个黑产产业的完整产业链条,对其行为定性可做如下分析:对三个产业链节点从业者的共同犯罪的归纳是不具有争议的。但依据《中华人民共和国刑法修正案(九)》(以下简称新《刑法修正案》),增设的有关信息网络犯罪活动罪规定:针对明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助的行为独立入罪。二级用户的派生产业链从业者或者是自己参与卡源分发的卡商都在犯罪构成上符合了帮助信息网络犯罪活动罪的构成要件。新《刑法修正案》无疑在一定程度上符合增设了有关联关系和原来未够定罪量刑标准的犯罪行为的丰富。另外这次虚假领红包产业链的一、二、三级用户黑产从业者,无疑也存在触犯了诈骗罪的行为,根据《中华人民共和国刑法》第266条规定:诈骗罪是指以非法占有为目的,用虚构事实或者隐瞒真相的方法,骗取数额较大的公私财物的行为。整个链条的黑产从业者利用技术手段使D企业产生错误的认知,即:D企业认为活动红包是由正常用户获得了,但实际都由虚拟用户获取了,从而处置自己的用于做活动的相关财产。黑产链条中的部分黑产从业者一个行为又触犯数个罪名,构成想象竞合,但是由于数额不够量刑标准,所以大多裁定为帮助信息网络犯罪活动罪。

三、黑产的特性分析

(一)链条性和团伙性

黑产链条最终是变现环节,所以必然具有探讨的空间。对于羊毛党来说黑产是可以获利的,一旦这些人嗅到了“利润”的味道,便会利用猫池为设备基础验证信息,群起攻击整个企业正常的生产活动。他们首先通过各种线上和线下的渠道获取线报,继而对整个活动进行符合社会工程学逻辑的设计。按照黑产的逻辑进行设计并且最终获取利润,整个行为呈现出的是有组织、有分工的共同犯罪。他们是由有组织的犯罪团伙构成的,一级、二级、三级用户以及其他派生产业链从业者之间存在犯罪信息的沟通和交流。

(二)层次性和唯一性

黑产的链条具有层次性,每一个节点上的人员活动顺序和工作先后顺序是不可替代的,存在着上游、中游和下游各个环节,每一个节点的人员工作内容有着明确的分工,就像是流水线上的产品,每一个环节完成自己的生产任务并且在到达最后一个节点完成最终的整合,每一个节点上的工作内容对于整个链条来说也是不可替代、具有唯一性的。如果存在可替代性便不能形成稳定的链条体系,由于黑产的种类各异,从逻辑上来说至少在一个链条上存在一个关键的节点是不可替代的,这个节点的存在对于黑产是枢纽性的,起承上启下的作用。例如此次虚假领红包事件枢纽环节就是二级用户行为中的黑卡兑现环节,正是这样的兑现环节既实现红包注册领取,又向下一级用户进行售卖,赚取中间商的差价。这样的兑现顺序是唯一的。

(三)派生性和支撑性

每一个黑产绝不是一个简单的链条分布,如果把链条上的主干比作一棵大树,那么这些派生的链条就是地上和地下存在着的枝枝叶叶,它们从主干吸取“养分”,同时也向主干提供“光合作用”和地下的土壤支持,每一个链条的节点存在有一个完整的产业链条以支持这个节点的活动,对于二级用户的行为就是这样的“光合作用”。没有二级用户的黑卡产业链的支撑,整个虚假领红包行动就完成不了,它们是从支流派生出来的,反过来支撑整个黑产产业链。

四、黑产侦查对策探讨

黑产作为新生事物必然给公安机关在侦查策略上带来困难,例如查缉犯罪嫌疑人、追缴账款存在困难比较大,无法迅速、准确锁定犯罪嫌疑人、及时实施抓捕、追缴赃款等。侦查机关可以转变侦查思路,将侦查工作的重点适当地转移到案前的防范和预判工作上,其主要工作内容包括采取阵地控制和主动侦查两方面[7]。案前的预防和阵地控制可以极大地减少发案的可能性,可以通过阵地控制获取相应的犯罪情报,这些情报来源可以是厂商、生产商、企业也可以是犯罪嫌疑人本身的行为所暴露出来的蛛丝马迹。公安机关针对黑产采取的技术取证、预防、分析也应当为习惯了传统侦查手段的公安机关所重视,在体制机制上构建以“警企合作”为基础的广泛的侦查机制。

(一)采取相应技术措施

为了防止陷入技术升级无限循环的陷阱,“以技术对抗技术”不应该成为打击黑产的必然选择,但是在战术层面的选择上,技术不失为一种有效的选择。较之于“第一代规则系统,需要对欺诈行为有深入了解;第二代设备指纹黑名单,可能被虚拟机等逃避检测;第三代有标签的机器学习系统,需要大量人工标注数据训练检测模型”[8]。进行人工的标注模型,以期实现对黑产进行提前分析和预防。传统的欺诈检测方法,如规则引擎、设备指纹、有监督机器学习、半监督机器学习,都有一个共同的局限性,需要在攻击发生后,根据已知攻击模式和样本,检测未来的攻击。吴中认为,这就是他们提出无监督学习系统的初衷之一——在没有标签的情况下,提前阻止未知欺诈。现有许多企业和网络商业团体都建立了自己的黑产对抗团队,例如威胁猎人就建立了自己的黑产情报预警团队用于商业用途。较之之前的传统反欺诈手段,企业在安全对抗上确实更进一步,因为他们确实是对黑产感受最深者也是受害最深者。

公安机关应当充分担当起为经济建设保驾护航的责任,充分利用现有的技术手段开展侦查取证,不仅仅是传统的人证、物证,公安机关还应当充分强化涉及黑产从业者的关键物证,例如电子证据的搜集和整理。公安机关应当加强对活动过程的管控,对兑现的用户行为模式进行实时分析,防止黑产从业者乘虚而入。

(二)侦查策略的整体性

通过对上述黑产特性的分析可知,正是层层链条上的小的黑卡黑产支撑起了整个黑产链条。由于黑产人员众多、关系复杂,我们假设在此次案件中只是简单地抓了几个涉案嫌疑人,追回企业损失,但是这些节点上的每一个小黑产存在一定的组合性,除了会再犯类似的案件外,还可以和其他类型黑产案件形成组合获取新的生存空间。所以笔者认为要斩断各个节点产业链对主干产业链的支持,先剪掉其枝叶后断其主干。另外要做到侦查打击的突然性,即:查打一体化。

针对此次黑产事件带来的影响,公安机关必须强化阵地控制:一是针对一级用户而言断其源码渠道,码源渠道中的企业内部人员泄密的问题,企业应当加强内部人员的整顿,申明纪律作风,对泄露企业商业秘密的员工予以处理,可以减少企业内部泄露商业秘密的风险。二是对二级用户而言,就其担负的中间商的角色,主要是黑卡的产业链渠道和传递兑现信息的作用。三是从黑卡的层面来说,分析的结果来看可以从猫池厂家和卡源卡商处着手。对猫池厂家也要进行相应的阵地控制,一切的交易活动都要合理合法,猫池厂家的交易记录也是犯罪情报信息的来源处。对于猫池厂家而言一切的交易记录要登记在册,这对于阵地控制的追查是十分有利的,即何人于何时何地购买猫池设备,用于何用途。同时对于非法生产猫池设备的厂家要予以依法取缔,对于已经流通到市面上的猫池设备要强化追缴和用途管理。对卡源卡商强化管控,尤其是对上述的三类卡源的管控,对物联卡要强化物联卡企业端的管控,对以虚假的企业注册来冒领物联卡的僵尸企业要予以依法取缔,真正将物联卡用在该用的地方。对于海外卡,要坚持源头治理,对入境的海外卡要积极与运营公司开展合作,对相应的号段予以取缔。同时对海外卡的入境渠道加强管控力度,与海关和边检以及快递物流行业加强合作,对入境的海外卡从源头进行断绝。

五、结语

我们只有深刻剖析“黑产”才能从本质上理解黑产,才能探讨应对以“黑产”为代表的网络犯罪的侦查对策。通过黑产与正常行为模式之间的对比去理解黑产的产业链条,了解黑产产业的自然演进和活动的规律。正常行为与黑产行为之间在操作模式上对比将有利于我们去把握和理解黑产虚拟用户之间的行为和沟通联系模式,进而探讨侦查的策略与方法。除此以外对于黑产本身的各个链条的渠道分析,有利于我们寻找打击对策,由于黑产的链条是链式的,链上的各个节点之间可能会存在不同的替代方案,但是由于黑产链条的单一性与一维性,虽然可以产生诸多的变种方案,但是只要坚持以技术打击为辅助、强调侦查对策整体性打击、构建警企业合作平台、强化阵地控制和采取源头治理就必然可以有效防治黑产。

猜你喜欢
黑产链条产业链
筑牢产业链安全
个性链条
“饸饹面”形成产业链
链条养护好帮手: 5款链条油推荐
养号黑产愈演愈烈
产业链条“链” 着增收链条
腾讯发布:《2018上半年互联网黑产研究报告》
150万网络黑产从业者 正盯着你的个人隐私
新技术能帮助消灭黑产吗?
别克君越正时链条故障