于 龙(辽宁省公安厅,辽宁 沈阳 110032)
随着5G 时代到来和互联网科技的发展,中国网络安全整体虽然保持平稳态势,但用户信息泄露、网络黑客勒索和通讯信息诈骗等问题呈逐年上升趋势,利用互联网技术进行盗窃、诈骗、敲诈以及从事色情活动等各类违法犯罪案件频繁发生,围绕互联网衍生的黑产行业正在形成规模。信息网络技术为代表的新科技产业革命已经萌发[1],相关黑色产业为黄赌毒、诈骗、洗钱等犯罪通过网络空间肆意蔓延提供了支撑,并严重破坏互联网秩序,侵害公民人身和财产权利,给公安机关维护网络安全带来了严峻的挑战。网络黑产,又称网络黑色产业链,公安部将其定义为借助互联网技术、网络媒介,为黑客攻击、网络黄赌、通讯网络诈骗、网络水军等违法犯罪活动提供帮助,并从中牟利的犯罪产业。经过长时间的技术积累和变化,网络黑产已形成技术服务类、账号身份类、营销推广类和资金结算类四大主要模式。在此基础上,网络黑产犯罪则是指利用计算机网络实施的以犯罪组织网络化、犯罪流程链条化为特征的远程非接触式团伙犯罪形态。公安机关为营造清朗的网络空间,治理网络黑产犯罪产业链势在必行。[2]
网络黑产犯罪是多个黑色产业链组合实施的结果,这些黑产链条越来越多地采取平台化运作、定制化服务的方式为多个网络犯罪活动高频同步地提供支持。网络黑色产业链可细分为上、中、下游。上游包含:发布需求或定制黑灰产服务的老板、从攻击网站中获取信息并贩卖的黑客、收集提供各种网络黑灰产资源的商人(如手机黑卡、动态IP 等);中游包含:根据上游需求,负责开发定制黑灰产工具的技术人员、以自动化手段整合各种黑灰产资源的数据商人等;下游包含:实施犯罪活动的一线操作人员。
从使用频率看,个人信息链条为其他链条提供原料支撑,个人信息多次流转、反复聚合不会减值,使用频率最高,传导路线最长,可复用性最强,在网络犯罪生态中具有基础性地位,涉及非法提供、获取、窃取、清洗、转售、交换、利用等环节。
网络账号链条是通过提供非实名账号或者伪实名账号,如未实名登记的电话号码、网络应用账号,为犯罪分子利用电话、手机、电子邮箱、即时通讯、论坛、微博等网络服务实施犯罪提供支持,其主要涉及账号注册(盗取)、租赁(购买)、使用或者盗用等环节。
网络流量链条是使用非法线路、加密通信、私设信道,为违法犯罪分子隐藏身份、隐蔽通信、绕过防线、逃避打击提供支持,其主要形式是通过盗接网络线路、创建加密通信应用或者绕开国家监管私设信道支撑网络违法犯罪,涉及非法线路、加密通信或者非法信道的拾建、转租、使用、掩护等环节。
这是指木马病毒、网站、应用、域名、基站、主机等网络犯罪工具的研发、租用、销售和网络入侵、攻击、种马等技术服务链条,以及供各类犯罪共同应用的通道、平台、虚拟货币和知识输送等网络犯罪基础设施,涉及生成(搭建、控制)、租用(购买)、使用、维护等环节。工具技术链条的智力密集性特点,决定了它是最为稀缺的黑产链条。
推介广告链条通过硬件设备、线路接入、浏览入口、信息搜索、网络页面、应用插件等载体为网络犯罪提供广告推送、应用推介、应用安装服务,涉及入口设置、内容投放、信息获取、应用安装等环节。
资金通道链条作为最为关键的链条,其末端往往指向网络黑产犯罪的核心人物,为犯罪分子提供银行、支付、电子商务、取现等资金流转、掩饰、套现通道,涉及账号开设、资金转移、取现、消费、洗钱等环节。
随着互联网日益普及,网络黑产犯罪借势发展,攫取巨额利益,借助互联网非接触式的特点,其组织方式、外在表现形式、波及范围、影响危害均发生了深刻变化,相互交织构成错综复杂的网络违法犯罪生态,更是在犯罪主体、犯罪手段和犯罪形式等方面呈现出以下特点。
纵观2020 年全年,因个人信息泄露、垃圾短信、诈骗信息等原因造成了人民群众不同程度的经济财产损失,网民总体损失约805 亿元。①数据参见《2020 年中国网民权益保护调查报告》。公安部连续开展“净网2018”“净网2019”等专项行动,全国公安机关已侦破涉网案件4 万余起,抓获犯罪嫌疑人5 万多名。[3]笔者通过对已经破获的案件和近年来抓获的从事网络黑色产业人员进行分析发现,大多数黑色产业人员都是1990 年以后出生,年龄在18-30 岁之间的占了犯罪主体的近八成,属于典型的低龄型犯罪,且户籍所在地集中在福建、湖南、广东、广西等地,呈现出鲜明的地域化特点。组织化是近些年黑产犯罪主体的重要特点,即呈现出分工明确、组织严密、协同作案的趋势。国内黑产犯罪组织更为复杂、精细。从产业链分布来看,上游有挖掘互联网平台漏洞制作攻击工具的团队,专门的料商、卡商和养号平台;中游有针对不同交易类型搭建交易模块,提供集约化处理方案的组织;下游分布着广大的金字塔式的群体,如代理群体、推广引流人员以及维护公司声誉的公关人员。
网络黑产犯罪以牟利为目的,犯罪组织层级关系明确、分工不断细化;产业链组织周密、层级分明。从近年来破获的多起网络黑产犯罪案件中可以发现,网络黑色产业链已经形成了较为稳固的金字塔结构犯罪形式,自上而下人员数量逐渐增多,技术含量逐步降低,产业分工非常明确。金字塔的顶层负责技术与信息服务,由掌握计算机技术和互联网资源的人员构成,是整个产业链的技术核心,其作用是为犯罪提供网络技术、黑客工具、非法流量、互联网接入、服务器托管、网络存储、通讯传输等支撑和服务。金字塔的中游是具体实施犯罪人员,由大量直接面向受害人实施作案的犯罪团伙构成,是整个产业链的罪恶根源。该层的犯罪嫌疑人一般通晓实施网络犯罪的方法,他们一方面购买技术服务,一方面寻找洗钱销赃的渠道,串联起了整个网络黑色产业链。金字塔的底层是洗钱销赃人员,由大量专门从事洗钱、销赃业务的犯罪团伙组成,是整个产业链的利润来源。该层犯罪嫌疑人精通资金流转方式、变现渠道和洗钱方法,穷尽各种方法为中游犯罪团伙转化违法所得。
在对犯罪嫌疑人的深入审查发现,这些人员往往都具备计算机信息分析与应用能力,都能独立制作诈骗网站、扣费软件、后台修改程序等作案工具,具备专业化特点。网络黑色产业组织往往都有周密的分工,各司其职,互不干扰,但又相互勾结并紧密与其他违法犯罪活动相交织。网络黑色产业大致可以分为:技术服务组、账号身份组、营销推广组、资金结算组。以兼职刷单类诈骗,行话叫“杀鱼盘”为例:网络黑灰产业链从业人员从源头上提供用于“上粉”的作案QQ 账号,并且通过秘密手段提供用于修改链接、二维码数据的“过0”软件以及企业QQ 账号。“过0”软件可以将任意金额的淘宝链接显示金额修改为0 元,但实际上待宰的“鱼”仍然要支付出相应的金额;企业QQ 账号可以同时开通多个子账户,方便诈骗嫌疑人伪装成企业客服或淘宝客服进行诈骗。还有专门从事各类二维码制作的“放码手”,这类黑灰产从业人员每天都会制作海量用于诈骗的各类二维码,并单线联系诈骗集团中的骨干人员进行“放码”,根据诈骗的实际金额抽取20%~60%不等的提成,已然成为诈骗团伙获利的重要环节。“放码手”不但会一人联系多个诈骗团伙传授躲避公安机关打击的经验,甚至还会主动设置二维码和链接的使用时限与IP 限制,进一步增强了此类犯罪的隐蔽性。
网络黑色产业经营方式已从本土转移国际,以常见的网络黑色产业链中的卡商供货来源为例,从最早的找熟人办卡已逐渐发展成为出国劳务输出公司代办和哄骗或利诱外国人办卡。并且由于我国境内反诈骗工作的有效推进,进一步挤压了存量黑产从业人员向境外转移并野蛮生长的空间。此类黑产从业人员还与境外势力勾结组织黄赌毒犯罪,并用于反哺通讯网络诈骗上游犯罪。
而模块化改变了早期网络黑产只能由较高技术能力的个体或团队涉足的现状,也改变了早期网络黑产对高技术专业人员的过分倚重。模块化使终端设备可以借助主程序、子程序和子过程等独立发挥作用,也可以共同发挥作用,成为一个高效而协同工作的整体,极大提高了终端完成各种各样的数据传输、计算和识别等方面的任务的效率。
这些都促进了黑产经营模式的不断升级为团队化。如早期的数据交易模式是由不同渠道的人员窃取数据后交由数据中介处理,再由中介销售给诈骗集团、金融企业等团体。这一条数据产业链的交易各方都较为分散且处于隐蔽状态。而现在数据产业链中,合法成立的新型数据公司替代了信息中介,他们通过整合不同的数据渠道收集海量信息,对信息进行整合、分类、清洗,继而根据购买方需求提供定制化数据服务。升级后的数据服务较之从前数据信息更为集中,分类更为精细,这就使得数据购买方能够更精准定位目标客户,精准实现自己的非法诉求。
网络时代,流量就是资源,是变现的重要依据,是一切互联网公司估值的重要指标,流量的背后是对网民注意力的占有,而注意力是可以转移的,可以在引导下流入不同互联网场景中。流量意味着体量,意味着互联网社会最基础的社会资源,也意味着利益变现。数据的意义同样如此,流量是数据的携带者,其内容就是数据,只有掌握了数据,才能提高流量的转换率,也就意味着提高流量的变现率。对流量和数据的疯狂追求催生了庞大的黑产交易市场。正是这种市场对流量和数据的争夺促使网络黑色产业不断升级,不断损害、干扰正常的网络生态和网络信息秩序的形成,为网络黑产犯罪相关业务的开展,提供相应的支持。
网络黑产犯罪根本目的是盈利,是通过非法渠道,通过损害个体利益以及社会公共利益来攫取高额利润。黑产扩张的前提是市场对流量的疯狂追逐,扩张的驱动则是低成本、高收益的盈利模式,突出体现在产业链完善,分工明确。随着黑客技术升级和黑色产业链的发展,一方面,原本较为依赖人工的操作,现在可通过产业分类,比如通过养号、改号、打码、跑分等平台的集中模块来运营相关业务;另一方面,黑产工具逐渐集中、统一,形成集约化经营,黑产操作方在此基础上将不同服务链打包销售。如此一来,分摊到整个产业中的技术和人力成本不断降低,不同的黑产模块构成了组织复杂、逻辑严密的闭环,吸引大量人流涌入,为网络黑产犯罪提供了源源不断的资源。
从运作形式来看,网络黑产呈现出多场景、跨平台的特点。网络空间的公开信息的非法性往往并不显著,违法内容和操作通常是从公域进入私域,从公开场景进入私密空间,继而转向特殊交易平台或者线下交易场所。从引流内容看,网络黑产前期投放内容通常较为隐晦,以打色情、暴力擦边球为主,同时采用黑话、谐音、分散插入、变形文字、表情、图文等多种元素结合以规避各平台筛查。社交媒体是此类信息较为集中的地方,随着近年来国家监管机构打击力度的加大,平台虽在不断完善相应管理制度来打击与黑产有关的信息发布、传播,并不断加大平台内容审核力度,但仍然难以从根本上解决问题。
网络黑产犯罪对作案网络账号、银行卡的需求激增,号商、卡商产业经过多轮分工,逐步形成生产和使用独立协同、利益共享的稳定供给关系。如“地堆团伙”(指在农村、学校等地摆摊收购公民信息的团伙)以诱骗、有偿帮助开卡、假扮国家工作人员欺骗开卡等多种方式,诱导他人使用本人信息申办手机、银行卡并收集贩卖,有的甚至利用他人姓名、身份证号制作假身份证件后开卡。由于运营商和银行审核把关不严,未认真履行实名认证、资质审查等职责,为不法分子开立假账户提供了便利。网络黑产从业人员窃取公民网络邮箱数据、医疗数据、房产数据、营商数据甚至即时类通讯聊天软件数据等公民个人隐私信息,并在隐匿渠道大肆售卖,这些侵犯公民个人信息犯罪进而形成了黑色产业链,成为各网络犯罪的“原料库”和供养其滋生的“饵料”。
网络黑产犯罪团伙受利益驱动,对非法支付服务的需求十分迫切,实践发现犯罪团伙的支付结算主要通过两种渠道。第一种是个人代充,即本人或其亲友注册多个支付宝、微信账号,然后开通代充平台账号,帮助网站“上分加币”,进行虚实货币兑换。第二种是第四方支付平台,也是当前支付服务中最突出的问题,其中涉及码商、技术、客服等多个环节,犯罪团伙为了躲避第三方支付平台的风控机制[4],通过以下方式进行“第四方支付”[5]:一是租用或收购学生、农民注册的微信、支付宝账号,或者建立专门的接单群,拉人入群以“跑分”方式提供资金结算,扣除佣金后获利;二是出钱让农民或其他人员办理个体工商户执照,开通多个收款账户;三是在电商平台开设虚假店铺、注册小号,利用“空包单号”(即以刷单、刷信誉为目的,创建虚假交易订单号)以虚假交易形式为赌博公司充值、兑换或支付赌资。
网络黑产呈现出显著的金字塔结构模式,产业链上游难追溯。各类黑灰产业链犯罪嫌疑人往往分布在不同的作案窝点,各层级人员严格归类,互不交叉。通过分析活跃在多个平台的网络黑产活动以及公安机关查办的案件的情况发现,网络黑产犯罪近些年呈现出下游产业链庞大、上游核心产业难以有效打击的发展趋势。如最为常见的刷量和引流行为,都是处于网络黑产产业链的下游,都是大量的普通人参与的群众性商业活动。一方面许多参与其中的人难以意识到其行为与黑产之间的关联,监管与平台在落实相关举措的时候,也很难对这类活动进行有效管理;另一方面又很难对黑产信息源头予以有效控制,对黑产核心力量也难以形成斩尽杀绝的效果。为逃避侦查,黑产组织之间往往采用虚拟身份进行交流,上游人员的真实身份十分隐秘,这就导致打掉的往往是“小鱼小虾”,难以从根本上清除非法产业链。
黑产犯罪的特点在客观上要求嫌疑人必须通过网络实现相互勾联,为逃避公安网安部门的感知与监管,避免其犯罪行为被发现,嫌疑人在通讯工具的选择和使用上异常谨慎。一是频繁更换主流即时通讯账号。在使用QQ、微信等社交通讯工具方面会非常谨慎,不定期更换账号已成常态,且只谈论一般内容,涉及敏感信息时会使用加密通讯软件,或转为其他隐蔽渠道。二是喜欢使用语音类即时通讯工具。YY等专业语音类即时通讯工具实时交流,有利作案,采取即时语音的方式隐蔽性更强,可以更加便利地交流敏感信息。三是优先使用境外即时通讯工具。WhatsApp、GTalk 等境外即时通讯工具既能满足嫌疑人境内外联系的需要,又有利于逃避公安机关监管,在黑产犯罪中的使用率呈爆发式增长。
与此同时,在犯罪行为仍有迹可循的情况下,网络黑产犯罪嫌疑人主要通过隐藏真实信息的方式,给公安机关造成干扰。一是隐藏网络真实地址。常用方法是单一或综合地使用VPN、VPS、远程登录服务器、远程控制计算机等工具或方法,使操作计算机的行为、传输的数据经过多次跳转,目的是避免暴露真实IP 地址,防止被追根溯源。二是隐藏网下真实信息。常用手段包括使用假身份证、假银行卡、黑电话卡,注册各种虚假账号,购买各类黑账户等,同时对上网设备和通讯工具采取专机专用、定期更换等方式。三是隐藏资金流转渠道。常用手段包括使用第三方支付平台转移资金、利用地下钱庄洗白资金,雇佣专业团队异地提款或刷卡、通过各类网络交易平台实施变现、使用专门工具掩护资金流等方式,目的是避免暴露真正的资金流向。
无论犯罪行为是否会被发现、真实信息是否会暴露,犯罪嫌疑人都会想方设法设置障碍,增加公安机关的抓捕难度。一是使用无线通讯等技术,隐藏上网位置,如在乘坐车辆等移动过程中使用手机流量上网方式作案、随机接入公共WIFI 作案、A 点创建无线链接B 点接入作案等方式被普遍采用。二是由熟人间的“传帮带”逐步形成本地犯罪团伙、家族犯罪团伙,最终演变为犯罪聚集地。聚集地的各个团伙会自发地进行串联和防护,个别地区甚至形成了“堡垒村”“护山队”,给抓捕带来了难度。三是采取跨境犯罪方式,公开躲避抓捕。部分黑产链条中的核心成员身处国外,采取遥控国内作案,或者是直接用国外作案的方式实施犯罪,以逃避抓捕。这种跨境犯罪方式不仅增加了司法成本和办案周期,而且助长了犯罪团伙的嚣张气焰,极易被他人效仿,治理网络黑产犯罪工作任重道远。[6]
传统或线下涉及黑产的违法犯罪行为,会在实施和完成的过程中,留下诸多可以寻踪的物理痕迹。而网络黑产借助互联网技术,采用专业化和团队化操作,并且借助电子证据会在某个环节突然失踪的特点,巧妙地将黑产变现,将其实施违法行为的证据链条切断,灭失证据,在不露声色中将非法行为与黑产结果之间的因果关系断开。
犯罪嫌疑人已经逐步意识到电子证据对于认定犯罪事实的重要意义,会采取多种方式破坏证据链,达到即使被抓也不能被处理的目的。一是设法销毁证据。通过采取频繁更换作案设备、每次作案完成后删除相关数据、定期重装系统及格式化存储设备、被抓捕前毁坏相关硬件等多种方式,使公安机关不能获取或者不能完整获取电子证据。二是藏匿关键证据。对实施犯罪必不可少的关键数据采取异地存储或者本地加密等方式进行藏匿,使关键证据不被公安机关获取,或者即使被发现也因为无法还原而不能作为电子证据使用。三是混淆伪装证据。网络黑产犯罪嫌疑人故意同时从事和犯罪类型相近的合法活动,使涉案证据和合法数据在同一样本里交织出现,造成在对犯罪事实进行认定时无法剥离合法数据的结果。
互联网并非法外之地,各级公安机关必须主动适应形势,提升能力水平,加强统筹协调,进一步完善监管体系和网络阵地建设,深化依法治理和全域管控,有效维护人民群众切身利益。
必须适应深度网络化、高度智能化的网络黑产犯罪生态,改进警务支撑机制。在技术上,充分发挥公安机关的经验优势以及网络服务提供者和安全技术机构的数据和技术优势,加快建立基于各类网络犯罪生态和黑产链条的分析模型,并在基础电信运营单位、接入单位、虚拟电信运营单位、大型网络平台以及数据中心、域名注册和解析、内容分发、电子邮件、网络安全等网络服务中布设,从源头上提升网络黑产识别、防范、处置和案件线索排查能力。
一是建立网络数据中心,实现资源有效整合。公安机关通过使用技术手段和数据资源作为内部的核心优势,数据挖掘水平体现公安机关的核心竞争力,加强数据贡献可以实现资源的最大化整合。[7]公安机关要以建立大数据中心为契机,全面采集、清洗、整合包括源头监管数据、社会面网络犯罪数据、网民举报数据、网络犯罪聚集地数据、互联网企业数据等在内的各类数据资源,形成真正意义上的网安大数据,为后续工作提供支撑。
二是建立犯罪情报中心,实现自动研判、主动推送。公安机关应在深入研究网络黑产犯罪规律的基础上,根据犯罪的类型和方法,分析在犯罪过程中产生的数据和痕迹规律,结合网安数据资源,逐步研发数据分析模型,搭建数据分析系统,并最终建立网络犯罪情报中心。
三是建立实战指挥平台,实现集群式打击。目前的抓捕方式多以市县公安局为单位,设立指挥部,派出抓捕组,相互间通过电话或网络进行交流、汇报和指挥。这种方式不仅耗费了资源,占用了精力,而且降低了效率,甚至可能错失抓捕时机和泄露工作秘密。因此,公安机关应建立一体化运作实战指挥平台,实现跨地域案件由上一级网安部门统一指挥、涉案地网安部门主动配合的目标,使工作进展、目标轨迹和抓捕条件达到实时化、可视化的要求,取得精准式、集群式打击的效果。
针对网络犯罪新形态,必须调整防治导向、突出防治重点、创新防治策略。网络犯罪的隐蔽性特点使得原有以群众提交的警情为核心的评价指标体系已难以全面客观反映网络犯罪态势和防控成效,可考虑借鉴禁毒部门的成效评估指标体系,既评估核心犯罪又评估黑产链条,既评估过程又评估结果,既定量评估又定性评估,既有正向指标又有反向指标,既有行为指标又有对象指标,既评估本地成效又评估对外影响。在打击战果指标方面,可设置破案数、刑拘数、逮捕数、移送起诉数、督办数、异地在本地抓捕数。前四个指标侧重从数量角度评估,督办数侧重从质量方面评估,异地在本地抓捕数侧重从负向评估打击战果。在发案情况指标方面,可设置网络犯罪警情指标、网络安全事件指标。由于网络犯罪的受害人往往难以察觉是否受到侵害,部分受害人顾忌声誉甚至不报案,因此,既要考虑警情指标,又要考虑公安机关的监测系统主动监测以及骨干安全厂商监测发现的安全事件指标,尽可能较正警情指标的偏差。在黑产价格指标方面,针对个人信息、网络账号、网络流量、工具技术、推介广告、资金通道等黑产链条,从中选定通用性较强、价格容易度量的黑产品种,如各常见领域个人信息的价格、非法网络流量和线路的价格、银行卡和支付通道的价格等等,根据其价格浮动反映防治工作的成效。
一是重点打击危害网络安全的网络黑产犯罪。没有网络安全就没有国家安全,而黑客类犯罪破坏的就是网络安全,其危害性不言而喻。网安部门作为公安机关维护网络安全的主要力量,应充分发挥人才优势、技术优势和资源优势,强力打击此类犯罪行为。
二是重点打击黑产犯罪上游人员。该类人员是黑产链条的起点,提供各类技术服务。他们的出现大大降低了网络犯罪的门槛,使网络犯罪呈现出“平民化”趋势,造成了网络黑色产业链上多个环节的恶性膨胀。
三是重点打击聚集地区的黑产犯罪。网络黑产犯罪聚集地既是居住地,又是作案地,更加有利于犯罪嫌疑人相互学习、交流、保护。犯罪嫌疑人在聚集地内肆无忌惮疯狂作案,公然对抗公安机关,造成恶劣的负面影响。公安机关把握实施网络黑产犯罪最新的动态和手法,围绕已破获案件积极开展研究,做好预警应对措施[8],加大打击力度,铲除这类毒瘤。
公安机关可以通过与各部门加强合作以实现通力遏制网络黑产犯罪,要与检察院、法院、通讯管理部门、银保监、银行金融机构、通讯运营商、大型互联网企业建立良好的协作机制,共同开展通讯网络诈骗的发现、预防和打击工作。对高危人群进行分析研判,扩充数据库,与技术部门加强合成作战,消除内部侦查的阻碍,与社会各界部门企业加强合作,形成打击合力,拔除痼疾毒瘤,提高执法办案能力。[9]
公安机关必须充分发挥多部门合成作战优势以严打网络黑产犯罪,会同有关部门共筑治理防线,发挥内部经验和外界技术优势,综合运用各类措施,调度社会信息资源,加强大数据研判与情报多维分析[10],重视犯罪事实的调查、强化梳理组织架构、将重点人员落地并固定电子证据,不断深挖扩线,为重点整治提供有益参考。[11]公安机关必须严打关键链条,特别要针对其中起关键作用的链条如资金通道链条,以及一经打击难以替代的稀缺链条如工具技术链条进行重点打击。