网络广告联盟黑产链犯罪侦查对策探析
——以部督“1.10”计算机信息系统被破坏案为视角

2020-11-20 04:07昶,谢
湖南警察学院学报 2020年4期

彭 昶,谢 鑫

(湖南省长沙市公安局,湖南 长沙 410005)

引言

随着信息技术的高速发展,网络犯罪如雨后春笋,层出不穷,且分工越来越细,呈现产业化、规模化的特点。受互联网黑色产业的隐蔽性和技术门槛所限,传媒和公众即使在黑产链暴露后,对其危害性、牟利手段等仍缺乏了解。正因如此,现有的互联网黑色产业研究多是分析黑产的不同形式,内容较为宽泛,对于黑产链某个具体环节的侦查难点或对策则少有研究。2018 年4 月,湖南省长沙市公安机关破获了全国第一起非法APP 推广刷量的案件,即部督“1.10”计算机信息系统被破坏案(以下简称“1.10”案),一个非法推广APP 的黑色产业链浮出水面。本文即以该案侦办中发现的黑色产业链源头——网络广告联盟平台为切入点,对网络广告联盟黑色产业链犯罪问题进行探讨。

“1.10”案侦办初始,是某国产品牌手机公司发现在湖南市场上流通的新款手机,在售前被人为预装了大量APP 应用,有的甚至无法卸载,导致手机卡顿必须返厂维修,用户大量投诉。公安机关介入调查后,发现其他国产手机也存在同样问题,且涉及全国23 个省市区。由于牵涉面广,敏感度高,该案被公安部挂牌督办。经过三个多月的缜密侦查,一条自上而下,由网络广告联盟平台、软件分发商、刷机点到手机渠道商,最后到消费者的非法APP 推广刷量的黑产链条被成功摧毁。该案共抓获犯罪嫌疑人129 名,提取非法获取的公民个人信息1 亿余条,是国内打击非法APP 推广刷量的第一案。然而,该案暴露出来的互联网黑色产业链源头——网络广告联盟存在的犯罪问题,在该案中因种种原因未能有效打击。

近几年,在公安机关侦破的几起网络黑产案件中,源头均指向网络广告联盟。如2017年宿迁警方侦破王某传播淫秽物品案,王某经营的多家淫秽网站能够免费浏览,无需缴费而能够长期运营且盈利,主要原因是背后有网络广告联盟提供了大量推广资金;2011 年安徽芜湖警方侦破张某庆等非法控制计算机信息系统案,张某庆为盗取网络游戏账号牟利,建设大量钓鱼网站套取玩家账号密码,最后通过网络广告联盟推广钓鱼网站,精准找到受害人群,成功实施犯罪。可以说,网络广告联盟在网络犯罪中起的作用远比我们想象的重要,正是网络广告联盟源源不断的向下游各类黑产提供“粮草军需”,滋养甚至滋生着下游诸多的黑色产业链,才使很多网络犯罪屡禁不绝。如何规范网络广告联盟和打击网络联盟黑产链犯罪,成为打击网络犯罪、净化网络空间的重中之重。

一、网络广告联盟犯罪链条分析

网络广告联盟是指集合网络媒体资源组成的联盟,由广告主、广告联盟平台和联盟会员组成,通过网络广告联盟平台帮助广告主实现广告投放,并进行广告投放数据监测统计,广告主则按照网络广告的实际效果向联盟会员支付广告费的网络广告组织形式 。网络广告联盟一方面能够聚类资源,精准匹配需求,节约了广告主的时间和精力;另一方面也为许多网络产业提供了可观的利润,一定程度上促进了互联网产业的健康发展。但由于法律滞后和监管不严,网络广告联盟野蛮生长,导致网络广告联盟日渐发展成为网络犯罪的集散地。本文介绍的网络广告联盟黑色产业链是指广义的寄生在网络广告联盟下,由利益驱动的各类网络违法犯罪链条的集合。

(一)广告主:网络广告联盟黑产链的资金源和驱动力

广告主是指通过网络广告联盟投放广告,并按照网络广告的实际效果支付广告费用的甲方。在网络世界,几乎所有的网络实体都是广告主,都需要网络广告联盟来做推广,精准找到自己的业务受众。同理,几乎所有的网络违法犯罪活动都需要通过网络广告联盟进行广告宣传,扩大受众面,找到受害人群,才能牟利和生存,如网络诈骗网站、赌博网站、传销网站、淫秽网站、侵权网站等。更高的活跃度和用户数代表着更高的利润收益,反过来又会促使这些从事网络违法犯罪的广告主投入更多经费,加大推广力度,吸收更多受害人,形成一个恶性循环,社会危害性巨大。若广告主的宣传内容本身就涉嫌违法犯罪,那么法律层面,网络广告联盟平台和联盟会员都可能构成广告主相应犯罪的共犯。

(二)联盟平台:网络广告联盟黑产链的指挥部与集散地

网络广告联盟平台的经营模式,需要对联盟会员进行流量监测和数据收集分析,并根据监测结果和与广告主的协议进行后续费用结算。目前市场上主流的结算模式有:CPA(按广告投放实际效果计价结算),CPS(以实际销售产品数量来换算广告费用)等多种。表面上看起来与网络黑产犯罪没有关系,但事实如何呢?

图2 软件分发商深圳某公司后台服务器收集的数据截图

在“1.10”案中,刷机点在给新手机灌装大量APP 应用的同时也在每一台新手机中安装了定制木马插件,用于回传手机数据,数据回传至网络广告联盟平台和软件分发商后台服务器,用于双方数据核算统计。图1 是从软件分发商深圳某科技有限公司后台服务器提取的木马插件回传手机数据截图,包括uploaddate(数据上传时间)、activetime(数据激活时间)、apkid(激活的应用ID )、phoneimei(手机IMEI )、MAC(网卡硬件地址)、sim( SIM卡信息)、netip(网络IP 地址)、 netarea(该IP 的实际地区)等15 项公民个人信息,数据量之大、数据类型之全触目惊心。这些公民个人信息是否流入了黑市成为交易的商品,犹未可知。

侦查还发现,涉案的深圳和北京两家某某科技公司的木马除了后台上传数据,均具备远程控制手机的功能,以及后台静默安装(比如用户一起床发现手机莫名自动安装了多款应用)、“冒泡”(黑话,意思是在后台远程控制,让被推广的APP 应用显示小红点,吸引用户点击该APP)、“强拉活”(黑话,意思是后台远程,以某个被推广的APP 名义,发送一个后台通知到该被灌装手机,吸引用户查看点击)等功能,最大强度的保证激活率。该两款木马由专业的团队定制,软件分发厂商和网络广告联盟平台都不同程度的参与,木马制作团队会根据软件分发商和网络广告联盟平台的需求,不断更新迭代木马、后期升级功能。被灌装过的手机,系统安全机制形同虚设,用户隐私面临巨大泄露风险。法律层面,网络广告联盟平台亦涉嫌构成侵犯公民个人信息罪和破坏计算机信息系统罪的共犯。

(三)联盟会员:网络广告联盟黑产链的实施主体

广告联盟黑产链下的联盟会员是指注册加入网络广告联盟平台,利用非法的手段投放网络广告联盟广告,并从网络广告联盟平台获得收益的实体。网络广告联盟黑色产业下的联盟会员可以是“三无网站”,违法公司甚至是黑客个人,只要掌握有推广渠道和媒体资源都可以成为会员。近些年来,一些“三无网站”例如黄色网站轻松绕过监管,成为网络广告联盟会员,以用户点击浏览或者注册获取广告收益攫取利润,公安机关多次组织专项行动进行打击,仍然无法彻底杜绝,就是因为没有捣毁三无网站的经济来源——网络广告联盟。从手段上看,黑产链下的联盟会员推广主要有以下几种手段。

流量劫持。曾经有过这样的上网经历,打开某网页后不停的弹出广告窗口,点进去的网页自动导航至另外一个未知的网页,使用手机软件时莫名出现低俗广告,这就是流量劫持。所谓的流量劫持,是指通过一定的技术手段,控制用户的上网行为,让你打开不想打开的网页,看到不想看的广告,而这些劫持者都会从网络广告联盟平台获得源源不断的收入。

流量作弊。流量作弊是偷天换日,用劣质流量替换优质流量。如A 媒体为优质媒体资源,某广告主通过广告联盟平台投放在A 媒体上的视频贴片广告代码,在B网站页面后台进行刷量, B媒体后台被人为添加了A媒体的贴片广告代码,当用户打开B 媒体页面时,就触发了多条A 媒体贴片播放代码。通过这样的方式,黑产用劣质流量替代优质流量,实现了超额收益。

SEO 导流。SEO(网站优化排名)是以搜索引擎自然排名机制为基础,对网站进行站内、站外优化和修复,提高企业网站的关键词的自然排名,获得更多流量,提高推广产品的曝光度 。实践中,一些黄赌毒网站支付费用,通过专业做排名的公司把一些行业“黑话”(例如“菠菜”是指博彩,“caoliu 社区”是指黄色网站草榴社区等)做成关键词,抢占这些“黑话”关键词搜索页面靠前有利的位置,获得高额流量,精准找到受众。

社交工具群发。社交工具群发是指利用微信等社交工具在群组上群发低俗广告链接,点击后通常是传销网站、黄色网站,挂马链接或保健品广告等。实际上,这些都是后台机器人群控微信号进行的群发,网络广告联盟平台根据群发的次数进行收费。如图2、图3 是在某广告联盟网站截取的微信群发收费截图。

图2 微信群发收费截图

图3 买卖微信群网页截图

“灌装”应用程序推广刷量。 “灌装”应用程序是指在新手机销售到用户手中之前,对手机预装软件,采用技术手段批量地在设备中安装应用,并对手机操作系统进行增、删、改、扰,比如不允许用户删除预装的软件等手段,尽可能提高被推广应用的激活率、留存时间,获取软件推广费用。

近几年,移动互联网的兴起,手机取代电脑成为越来越重要的流量入口。根据CNNIC统计,截至2018 年6 月,中国手机网民规模达到7.88 亿,网民通过手机接入互联网的比例高达98.3%。手机屏幕占据了人们越来越多的时间,也成为了争夺用户流量的主战场,各大互联网公司都投入大量资金推广,但常规渠道见效慢,而APP 刷量增量快,效果好,因此越来越受到广告主的青睐。

二、打击网络广告联盟黑产链犯罪的难点

(一)广告主、广告联盟平台和联盟会员相互隔离,全链条打击难

广告主、广告联盟平台和联盟会员是通过契约协议,连接在一起的松散的网络组织,存在物理空间和法律上的隔离,在现有的政策和环境下,打穿整个网络广告联盟黑产链条非常难。物理上,广告主、广告联盟平台和联盟会员分散在全国各地,办案成本高,沟通协调难;法律层面,从共同犯罪角度看,广告主、联盟平台和联盟会员任何一环节有触犯刑法,在明知的前提下,都可以进行打击。但无论是“明知”还是“应知”都是内在的心理状态,都需要依靠外部事实加以推理和判断,而这些外部事实的取证很难。在实践中,黑产链很多内部成员之间多数通过“阴阳”合同的方式提前规避了这一风险。一份“阳”合同双方约定不能以非法方式推广,规避法律责任,以备监督管理部门查阅,另一份“阴”合同无从查找,甚至没有“阴”合同,全靠“约定俗成”,因此难以证明其主观犯罪故意。

(二)网络技术日新月异,侦查技术和意识滞后,发现犯罪难

网络广告联盟经营模式隐蔽,对侦查技术和侦查意识提出了新的挑战。以“1.10”案为例,如果公司不报案,用户可能还都觉得新手机卡顿是国产手机性能不行。现有的侦查技术和侦查意识很难发现线索,原因主要有以下几点:一方面是互联网应用技术发展迅速,产业界技术水平往往领先于侦查机关,行为人可以第一时间将新技术应用于犯罪,而侦查机关通常只有在该类案件大量发生后才能获知并查处其中的一小部分。比如流量劫持技术在广告联盟黑产业内应用许久,但是直到2015 年才由上海公安机关侦破全国流量劫持的第一案;另一方面是网络广告联盟全程在网络运转,犯罪隐蔽,很多违法推广手段对受害者没有明显影响,不易觉察,无人报警,不易纳入警方视线。例如“1.10”案中,刷机使用的第三方操作系统和预装使用的第三方桌面与该品牌手机原生系统定制得一模一样,一般用户根本无法发觉,只是觉得多了很多APP,手机卡顿。又如2018年湘潭警方侦破的某公司破坏计算机信息系统劫持流量案,流量劫持发展到分地区、分时段随机对部分用户进行流量劫持,因为服务器承载用户量大,即使是随机劫持部分用户流量也收益可观,不仅用户,就连被劫持的网站主自己都不易发觉。

(三)电子证据特性复杂,违法证据难固化,分析取证难

首先,网络广告联盟黑产犯罪链条长、环节多,且全程网上流转,产生的电子数据存储介质数量大、种类多、表现形式多样。侦查人员在面对具体案件时,容易混淆电子证据与其他证据的收集方法,导致电子证据取证方法不当,影响案件侦办。其次,在计算机犯罪取证技术不断发展的同时,数据加密技术,计算机反取证技术也不断发展。所谓计算机反取证技术,即通过删除或隐藏电子数据等技术手段,导致侦查人员在调查取证时无法找到有效的电子数据 。

诚然,电子证据取证问题是困扰打击网络犯罪的一个普遍性问题,但网络广告联盟黑产犯罪不管是从广度还是深度都非一般网络犯罪可比拟。几乎所有类型网络犯罪都可以在网络广告联盟黑产链中找到身影,电子取证的难度也更大。

(四)虚拟身份难实名,轨迹匿踪难溯源,案件侦破难

黑产从业者长期浸淫互联网行业,反侦察意识强,给公安机关侦破案件带来极大的难度。首先,虚拟身份难以实名。在我国,从他人实名认证的手机号、银行卡号(分别被称作“三件套”“四件套”),到虚拟身份注册、养号、售卖已经形成了一条完整的产业链。犯罪分子能够轻易购买到犯罪所需要的所有身份掩饰自己,给落地侦查造成困难。其次,技术上难溯源,网络犯罪分子做案多使用VPN进行IP代理,多级跳转,专业黑客还会对入侵的痕迹进行打扫,技术上溯源难度大。

三、打击网络广告联盟黑产链的对策建议

(一)推动侦企合作,积极引导移动互联网企业参与案件侦查

相比于侦查机关,互联网企业在发现和查处网络广告联盟黑产犯罪方面以及电子取证方面有着技术和数据上的绝对优势。推动侦企合作,对打击网络广告联盟黑产犯罪会起到倍增器的作用 。实践中,相关企业所开发的软件、系统以及提供的案件线索和证据,在案件侦办中均发挥了极为重要的作用。例如2018 年在腾讯守护者计划的协助下,公安机关打击各类网络黑灰产效果显著,共计破获案件145 件,抓获人员超过3200 人,涉案金额超过110 亿元 。同时,打击网络广告联盟黑产犯罪,也符合互联网企业的商业利益与社会责任。许多移动互联网企业特别是大型互联网企业具有打击网络犯罪的强烈意愿,大多数情况下他们自己就是互联网黑产的受害者。

目前侦企合作虽然取得一定成果,但更多的是个案中的合作。要有效打击黑产犯罪,有必要建立网络犯罪预防、预警和案件线索移交等长效合作机制。未来,侦查机关应引导和鼓励互联网企业加快技术研发,强化企业互联网监测、预警能力。对于一些收到举报频繁的平台,可以引导其建立“案件池”,将其主动监测发现的异常行为及时逐一或批量移交侦查机关甄别、经营或查办,甚至与侦查机关共建网络犯罪举报平台,便于第一时间查证线索和采取相应侦查措施。值得注意的是,在开展侦企合作时,侦查机关必须严守主导地位,保持与企业间的距离,注意数据保密。

(二)畅通与工商部门、通信管理部门之间的协作机制

治理网络广告联盟乱象,仅靠公安机关一家能力有限,可以通过高层协调,充分调动工商部门、通信管理部门的积极性,完善部门间的协作机制,找到各个部门利益的契合点,引入必要的考核机制。一方面,加强与工商管理部门之间的线索移交。目前公安机关和工商部门的合作极少,在打击网络广告联盟犯罪时往往各自为战,没有形成合力。网络广告联盟的行政监管主体是工商部门,工商部门在案件调查中依据《广告法》《反不正当竞争法》实施行政处罚收集证据的时候,往往能发现很多犯罪线索或者定案的证据,同样,公安机关在查处相关犯罪时,由于很多原因也有够不上刑事处罚但能够行政处罚的线索。由于两部们缺乏有效的沟通机制,导致能够刑事处罚的没有进行刑事处罚,能够行政处罚的没有进行行政处罚,对犯罪没有形成有效的震慑。两部门应当建立有效的线索移交机制,完善合作共享通道 。另一方面,加强与通信管理部门、工商部门的信息共享。根据《互联网信息服务管理办法》第四条的规定,未取得ICP 许可或备案不得从事互联网信息服务。通信管理部门掌握着域名、ICP 许可或备案、服务器运营、网络接入等重要数据和资源,工商部门掌握着大量的网络经营主体的企业法人信息,这些信息对打击网络广告联盟黑产非常重要。如果公安机关能够居中协调,促使三部门开展网络监管协作和数据共享,那么打击网络广告联盟黑产的能力将再上一个新台阶。

(三)探索建立网络广告联盟强制可溯源机制

一直以来,网络广告联盟平台对广告主身份合法性审核形同虚设,对联盟会员非法的推广手段置若罔闻,导致网络广告联盟黑产野蛮生长,关键就在于监管、打击难度大而违法成本低、利润高。若想从根源上解决问题,就要让网络广告联盟每个环节都暴露在阳光之下,即建立起一套可追溯的倒查机制,强化广告联盟各个主体之间的身份认证责任和审核义务。具体说来,即要求每个广告联盟平台必须去工商部门注册,留存平台地址(包括服务器地址,公司地址)、法人代表等;广告联盟应该对外公示其联盟会员,接受社会监督;每个广告位和应用程序(包含手机APP)必须在规定位置标明推广的广告联盟的名称和备案号。同时不允许多层转包,即不允许私自将广告源或者广告再次转包给网络联盟广告体系之外的第三方,否则将破坏溯源体系,亦不利于广告联盟的健康发展。溯源机制虽然课以广告联盟各主体的登记义务,但对于网络广告联盟监管具有重要价值,既有利于震慑相关主体、防范违法犯罪行为,也有利于在发现违法线索后的倒查,将极大地降低办案成本,维护网络安全。

当然,在简政放权的背景下,溯源机制的建立不宜直接通过强制立法解决,而是应该以行业利益为驱动力,循序渐进。参考溯源机制在食品、药品等领域的运用方式,网络广告联盟的溯源机制也可以首先通过行政指导、政策引导方式,鼓励行业领先的几个网络广告联盟带头建立溯源体系,进而带动形成行业标准,在取得良好成效的基础上,最终以部门规章等形式完善立法。

(四)以大型网络广告联盟平台为突破口重点防治

根据《CNNIC: 2019 年第43 次中国互联网络发展状况统计报告》显示,2018 互联网广告总体规模达3694 亿,持续增长较快,其中80%以上集中在网络广告联盟的平台上,而网络广告联盟中70%左右集中在百度联盟、腾讯推广、阿里妈妈等10 多家较大的网络广告联盟手中。这就意味着,只要把这些较大的网络广告联盟平台作为突破口和切入点,就等于抓住了解决问题的关键环节。可以督促这些较大的网络广告联盟开展自查自纠,进而带动整个网络广告联盟实现自律管理,组建行业协会,出台行业自律规定,并配合工商部门的监管措施,形成常态化长效机制,切断违法三无网站的广告收入,断绝其经济来源,使其无法继续经营。同时,利用网络联盟数据技术优势,合作开发网络广告联盟黑产监测预警平台,挖掘案件线索,把握网络广告联盟黑产最新动态和手法,积极开展研究,做好预警应对措施。

结语

2019 年3 月国家市场监督管理总局发布了《市场监管总局关于深入开展互联网广告整治工作的通知》,要求压实网络广告联盟平台责任,进一步加大对违法互联网广告的惩治力度 。公安部也展开了为期三年的“净网行动”,严惩为淫秽色情网站提供资金或费用结算服务的网络广告联盟,可见,网络广告联盟的治理已经成为净化网络空间的重中之中。未来网络广告市场还将继续高速增长,网络广告联盟犯罪者“发挥”的空间越来越大,如何有效应对网络广告联盟犯罪不断升级的趋势,考验着公安机关的智慧。