从司法角度看互联网黑产

来源:2019.06.20

作者:boshit来源:FreeBuf

《白皮书》根据海淀检察院2016年9月以来受理的450起网络犯罪案件,从司法的角度,结合具体案例,总结了我国近几年来互联网黑产行业的现状。

上个月,北京市海淀区人民检察院发布了《网络安全刑事司法保护白皮书》。

 

北京市海淀区人民检察院

《白皮书》根据海淀检察院2016年9月以来受理的450起网络犯罪案件,从司法的角度,结合具体案例,总结了我国近几年来互联网黑产行业的现状。

《白皮书》思维导图

《白皮书》思维导图

一、案件基本情况

2016年9月以来,北京市海淀区人民检察院受理网络犯罪案件450件(1076人),其中审查逮捕245件(588人),审查起诉205件(488人),涉及27个罪名。

各类型犯罪占比

二、案件特征

1. 低龄、低学历化

犯罪主体呈现低龄、低学历化特征。

犯罪普遍呈现年轻低龄化:

  • 1990年-1999年出生的221人,占比37.58%;
  • 1980年-1989年出生283人,占比A812%;
  • 1970年以前出生人数仅占14.11%。

犯罪的行为人普遍学历较低:

  • 本科及其以上学历82人,仅占21%;
  • 高中、高职教育主体68人,初中、中专、小学等教育主体242人,占62.5%。
  • 男性主体占较大比重,审查起诉案件中男性379人,占比77.66%。

2. 跨地域作案

突破了传统地域空间的限制,跨地域作案特征明显。作案地点涵盖全国28个省、市、自治区。

  • 一是犯罪行为实施地和犯罪结果地之间跨地域。
  • 二是犯罪主体之间跨地域。
  • 三是掩饰、隐瞒赃物跨区域。

3. 产业化

犯罪行为产业化,日渐形成完整、闭合的产业链条。较之于传统犯罪,网络犯罪的产业化链条特征明显,产业链的上、中、下游犯罪分工明确。

4. 组织化

犯罪组织多以公司、集团的形态出现。以注册公司形式,有组织、有规模地实施犯罪行为。

5. 范围广

受害人数多,犯罪数额大,影响范围广。

6. 全球化

跨国犯罪趋势增强,全球化特征明显。

三、案件类型

网络空间发生的违法犯罪行为,既有可能是利用网络实施的传统违法犯罪,也可能是针对网络、数据本身的违法犯罪行为。本文将网络犯罪分为:网络黑产犯罪和网络化的传统犯罪。

网络黑产犯罪以计算机数据、程序系统或者软件等作为犯罪对象,形成了一条封闭的产业链。上游提供工具和平台,中游获取信息、清洗数据,下游精准诈骗产、盗窃财产,呈现产业化、公司化、平台化的特征,大大降低了犯罪成本,提高了犯罪效率。实践中此类案件以破坏计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯公民个人信息罪为主。

传统犯罪的网络化,是现实的犯罪主体利用信息技术在网络空间实施的犯罪行为,没有创设新的法律关系。网络空间只是犯罪的载体,计算机只是辅助手段。如转移到线上的非法吸收公众存款、集资诈骗等犯罪。此外,传播淫秽物品牟利罪、开设赌场罪等传统犯罪也日渐多发,呈现出新的特点。

四、网络黑产犯罪

网络黑产已经从原始粗放的传播木马病毒、电话诈骗转化为更为先进的拖库撞库、精准诈骗,形成十分成熟的运作模式,产业链复杂、隐蔽、完整、高效。

  • 上游技术供应商,承担着制作木马、恶意代码肉鸡网络、动态ip非法服务等技术工具服务;
  • 中游数据服务商、黑市交易平台,在产业链中充当数据生产者和交易服务提供者的角色;
  • 下游行为人利用中游的数据和平台实现直接诈骗、“薅羊毛”、流量劫持等犯罪。

在该产业链中,基于行为人目的的不同,上、中、下游可以任意组合,形成典型或非典型的网络黑产犯罪。

1. 上游犯罪产业链分析

上游犯罪的出现是网络黑产产业化的体现。

(1) 网络平台提供者

非法利用信息网络。

  • 为实施犯罪而专门架设非法网站,多数用于实施“钓鱼诈骗”,属于电信诈骗犯罪中不可或缺的关键环节。
  • 专门黑客类网站成为犯罪方法、犯罪工具、违法信息的发源地。
  • QQ群、微信群等通讯群组依旧是违法信息交易、交换的主要渠道。多数违法行为人倾向选择使用第三方支付服务平台进行资金结算,而网络服务提供者对公民个人隐私保护和侦查机关取证需求之间的矛盾日益凸显。

(2) 技术工具提供者

提供侵入、非法控制计算机信息系统程序、工具。

上游犯罪链中有部分行为人因掌握较高的技术而编写程序、发现漏洞,客观上为下游犯罪提供了技术工具。

(3) 信息传播服务者

扰乱无线电通讯管理秩序行为人通过使用“伪基站”设备发送带有木马病毒、钓鱼网站的手机短信,诱使公众点击,以获取公民个人信息、银行卡账号密码、社交网络信息等,进而从事盗取银行账户财产、精准诈骗等下游犯罪行为。

2. 中游犯罪产业链分析

网络犯罪黑色产业链中游的目的,是依靠犯罪行为获取具有变现价值的生产要素,而生产要素的具体内容和价值取决于其使用的场景。

(1) 社会工程学及钓鱼式攻击

围绕计算机信息系统安全攻防技术衍生出诸多不同学科,其中最为著名的是社会工程学( Social Engineering)。在社会工程学基础之上,结合了计算机信息系统技术的钓鱼式攻击,已经成为近年来违法行为人员常用的伎俩。

(2) 撞库

撞库,本质上是利用用户在不同场景中倾向使用同一账户与密码的行为习惯,以泄露的用户身份认证信息为数据样本,通过计算机信息系统程序批量的尝试登陆他方网站的一种犯罪手段,相较于传统的密码穷举方法更为高效,是黑色产业链中游中最为重要也是最为常见的一种犯罪形态。

(3) 内部人员作案

内外部人员勾结作案,已经成为中游黑产实施违法犯罪行为的常见模式。因内部人员相较于外部人员,往往具有更高的内部权限,了解更多有助于实施犯罪行为信息,天然具有适宜的犯罪机会,犯罪行为更隐蔽,成本更低,影响更为严重。内部人员往往与外部人员尤其是黑产组织勾结,非法获取企业计算机信息系统控制权。

或者内部人员出于利益,非法出售企业保存的计算机信息系统数据。

(4) 安全漏洞挖掘

安全漏洞挖掘是指通过技术手段发现计算机信息系统存在的、具有利用价值的安全缺陷。

  • 违法行为人可以通过对计算机信息系统安全漏洞进行攻击,绕过安全防范机制,上传木马、病毒等破坏性计算机程序,达到控制目标计算机信息系统的目的。
  • 支付场景中的安全漏洞可能会导致被害方的直接经济损失。
  • 硬件设备的安全漏洞,可能直接威胁公民的个人信息的安全,其中具有代表意义的是家庭路由器与智能摄像头。

3. 下游犯罪产业链分析

(1) 侵犯公民个人信息

公民个人信息作为互联网信息落地的关键一环,成为犯罪分子觊觎的对象。实践中多以黑客攻击、内部人员泄露等形式存在。

(2) 电信网络诈骗

电信网络诈骗犯罪涉及诈骗罪、信用卡诈骗等罪名,主要包括以下两种类型:

  • 通过上游钓鱼网站、木马病毒获取银行账号、密码等财产信息;通过中游的数据服务商清洗并转卖;下游犯罪行为人使用该账号和密码盗取账户中的存款。
  • 行为人通过上、中游的犯罪行为或数据平台获取了精确的公民个人信息,如姓名、职业、电话号码、身份证信息等信息,通过打电话的方式进行精准诈骗。

在电信网络诈骗犯罪案件中,为逃避钱款被追踪,诈骗行为的下游已经形成了一个专门洗钱端。

  • 行为人使用自己或者他人的身份证办理多张银行卡,提供给诈骗犯罪集团用于洗钱。
  • 诈骗行为人在进行电话诈骗时将骗取的钱款直接投注到彩票站购买彩票,随后将彩票返款打入自己所控制的账号。
  • 行为人使用他人的银行卡账户办理移动POS机,专为他人取款。

(3) 刷单诈骗

企业在对旗下产品进行推广时,常采取补贴、奖励的机制获取用户。在下游产业链中出现了利用企业的奖励机制而专门进行批量下载、注册产品,以骗取企业补贴的行为。

(4) 敲诈勒索

行为人通常采取两种方式进行敲诈勒索。一种是通过“僵尸网络”也就是俗称的“肉鸡”进行网络攻击;另一种是通过侵入公司服务器窃取公司运营资料从而敲诈勒索被害单位。

(5) 利用充值系统漏洞充值

随着“互联网+”、信息化建设的发展,具有公共服务职能的政府信息系统、互联网消费平台等开始设置具有一定储值功能的平台,由于系统本身的漏洞或维护不及时等原因,给了犯罪分子以可乘之机。

五、 网络化的传统犯罪

随着互联网应用场景和互联网技术的普及,传统犯罪与网络平台、网络技术相结合,开始出现了赌博、贩毒、色情等传统犯罪向网络社会的延伸和扩张的现象,衍生出网络赌博、网络色情、贩卖毒品、互联网金融诈骗等犯罪,并出现从PC端向移动互联端蔓延的趋势。

1. 传播淫秽物品

微信群等社交工具的发展大大提高了信息传播的效率,由于信息量巨大,监管难度高,导致淫秽信息在网络空间泛滥。

2. 网络赌博、开设赌场

通过互联网开设赌场,大大提高了赌博的传播效率。由于网络空间隐蔽,服务器通常架设在境外,网站线上只计算点数,资金线通过线下代理商流转,因此在没有提取后来数据的情况下很难统计出真实赌资。

3. 网络贩卖毒品

毒品交易由于其闭合的特征,即使是在现实空间也很难打击。而随着互联网的使用,行为人通过网络购买、贩卖毒品,甚至是走私毒品,买卖双方通过互联网平台更加方便快捷地进行互联,而不需要双方出面就能完成交易,使毒品交易更加隐蔽,加大了打击的困难。

4. 互联网非法集资

非法集资类案件在“互联网+”的场景下出现了新的态势和特点,互联网的应用使得金融产品经营者与公众的链接更加便捷,金融产品进入的门槛也在降低,较之传统的非法集资犯罪,受害人投资的数额更少。

5. 以第三方支付平台为对象的盗窃、诈骗

随着移动支付的普及,人们在支付场景下选择使用第三方平台支付成为常态。用户开通支付账户将自己的钱款存入其中,绑定存款的银行卡,成为犯罪分子觊觎的对象。

六、检察院如何应对

为积极应对网络犯罪产业化、新型化、复杂化等挑战,适应首都战略定位对检察机关服务保障科技创新的更高要求,北京市检察机关持续加强网络犯罪办案专业化建设,利用专业优势,更好地发挥审前程序中的主导作用、指控和证明犯罪的主体作用,切实履行监督、审查、追诉法定职责,推动网络安全刑事司法保护迈上新台阶。

(1) 持续创新专业化办案机制,精准高效办理网络犯罪案件。

  • 整合专业化办案资源,办理重大疑难复杂案件。
  • 发挥海淀区高校、科研院所资源集中的优搭建检学共建平台,建立“外脑”专家积极开展专家咨询,大大提升办案质效。
  • 开展专业同步辅助审查,解决电子数据审查难题。

(2) 积极发挥提前介入优势,引导侦查取证有力。

(3) 积极参与社会治理创新切实推动网络安全保护。

内容来源于北京市海淀区人民检察院《网络安全刑事司法保护白皮书》,全文完整版下载链接:

https://pan.baidu.com/s/1LY2VniFD5UZNiYCF8hQdtw

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态