一、被莫名操纵的账号
小白:大东东,为什么我的微信前阵子总是自己悄悄关注奇怪的公众号啊?什么什么“娱姐”的,我都不知道自己竟还关注了这个。
大东:小白啊,你的账号肯定已经被黑灰产团伙盯上了。
小白:什么??我可是科学上网的好公民啊!从来不浏览不良网页!
大东:近日,浙江绍兴越城区警方成功侦破史上最大规模的数据窃取案,犯罪嫌疑人利用运营商的空子,非法获取超过30亿条公民信息。被操纵的账号就表现为微信、微博关注列表突然出现一堆营销账号,QQ突然被加进陌生群组,抖音莫名关注某网红。
小白:30..亿?!我的天!
大东:犯罪团伙与覆盖十余省市的运营商签订服务合同,在运营商服务器中布置恶意采集信息程序,从运营商流量池中非法获取用户数据,为逃避监管追查,还将部分数据存储于日本的服务器上。
小白:运营商心也太大了吧,他们手里可是全国用户的真实信息呢!被盗可还得了!
大东:此案波及电信、移动、联通、铁通、广电等全国多个省市的20多家运营商,继而导致百度、腾讯、阿里、今日头条等全国96家互联网公司的用户数据被获取,几乎国内所有的核心互联网企业均被“雁过拔毛”、无一幸免。
小白:也就是说,咱用户在网上搜索什么、去了哪儿、买了啥这些信息,都已经被犯罪团伙掌握了!
大东:没错,黑灰产团伙对已经操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,非法获利,犯罪团伙旗下一家公司一年营收就超过3000万元。
小白:这这这!难怪我还这么穷!
大东:警方称,本案系史上最大规模的数据非法获取案,作案手段新颖、盗取数据路径不同寻常,侦办难度极大。在阿里安全专案团队和归零实验室为案件提供的技术协助下,目前6名主要犯罪嫌疑人已被抓获,其中5人已逮捕,而公司负责人邢某已潜逃。
二、大话始末
小白:这真是太可怕了!大东东,这件事到底是怎么回事啊?
大东:今年6月下旬,越城区公安分局网警大队多次接到市民报案,说自己的微博、QQ等社交账户莫名添加了陌生好友、关注,手机经常莫名其妙收到各种垃圾广告弹窗、短信。
小白:没错!我的情况跟他们差不多!
大东:同一时段,越城区公安分局网警大队也接到阿里安全专案团队提供的线索,称有用户反馈淘好友有异常添加陌生人的情况,疑似个人信息遭泄漏。
小白:阿里反应真及时,赞!
大东:经调查发现,报案人市民李某的账户数据于今年4月17日被8个IP地址多次异常访问,这8个IP地址隶属的IP段还先后访问超过5000人的账户。
小白:明显有异常!
大东:在阿里安全归零实验室提供的技术协助下,警方锁定该IP段背后,发现是北京瑞智华胜科技股份有限公司(下称“瑞智华胜”)为核心的多家公司在操控,且多家公司实际控制人和作案团伙均系同一拨人,瑞智华胜(872382.OC)为新三板上市公司。
小白:肯定是他们在捣鬼!
大东:紧接着,警方针对这三家公司的关联、商业模式等展开调查,固定相关证据。7月3日,绍兴越城警方20多名民警在属地警方配合下,在北京海淀区瑞智华胜公司对涉案人员成果实施了抓捕。
小白:在出现更大损失前及时抓住!
大东:随后,警方进行了反复探索、侦查,终于揭开了这个分工明确、获利颇丰的黑灰产犯罪团伙真面目,也发现了一种完全新型的数据盗窃作案手段。
小白:哼,我倒要看看他们怎么作案的!
三、全新的数据盗窃手段
大东:涉案的瑞智华胜等三家公司主要成员均系同一伙人,办公地点也一样。
小白:明明是同一个团伙,为什么要开三家公司呢?
大东:其实,他们是为了用不同的公司主体干不同的事情,掌控整个产业链。
小白:什么??
大东:其中两家公司主要与运营商签订服务合同,得到用户信息获取的权限,进而窃取数据。而瑞智华胜则主要将数据加工、处理,通过精准营销、恶意弹窗、加粉、刷量等方式获利变现。
小白:还真是分工明确!精心策划!
大东:在“大老板”邢某的安排下,黑产公司从2014年开始向全国覆盖十余省市的电信、移动、联通、铁通、广电等运营商竞标、签订正式的服务合同,为其提供精准广告投放系统的开发、维护。
小白:这个我知道,就相当于为每家运营商提供针对不同用户做精准信息推送的外包服务,比如我经常收到的流量包购买推荐、流量套餐推荐,都是这个系统算法的结果。
大东:是的。在合作过程中,运营商均未对具体项目进行约束、监督,邢某等人才能布置恶意采集程序的方式,非法获取用户流量信息。
小白:经历了这个案件,运营商也该审视下自身的监管制度。
大东:在提供软件服务的过程中,该犯罪团伙获得了运营商服务器的远程登录权限,并于2015年开始,明知不合法,还将自主编写的恶意程序放在运营商内部的服务器上,偷偷“劫取”流量。
小白:这就是狼披着从猎人手里骗来的羊皮进入羊群,趁猎人不注意偷羊啊!
大东:当用户的流量经过运营商的服务器时,该程序就自动工作,从中清洗、采集出用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在自己的服务器上。
小白:这个cookie是啥啊?
大东:cookie相当于用户账号的登录凭证,用户登陆后,网站为了辨别用户身份,进行后续的对话,将登陆信息加密后保存在用户的本地终端。不需要获取帐号和密码,通过cookie就可以进入用户账号,直接操作账号做任何事情。利用cookie数据,该犯罪团伙登录大量用户的账号,从用户账号中获取用户的搜索记录、账户注册资料等数据。
小白:天呐,那拿到cookie就等于拿到了我的整个账号啊!
大东:没错,不是在手机等终端,不是在淘宝等业务提供商,也不是在伪基站等网络低位连接,而是在链路末端,劫持了用户信息。犯罪手法非常专业,有较高的技术水平。
小白:也就是说,数据从产生到存储的任何一个环节都会被泄漏!
大东:掌握了全面的用户信息,黑灰产团伙还对用户进行“用户画像”,实施精准的电信诈骗等多种犯罪行为。今年陕西警方抓获的电信诈骗团伙,仅以更改考试成绩为幌子骗钱,就设计了380个剧本,进行精准诈骗。
小白:天呐!“用户画像”竟然也成为了犯罪分子的工具!
大东:“用户画像”技术的应用已在信息化时代的如今十分常见,是根据用户的属性、用户偏好、生活习惯、用户行为等信息而抽象出来的标签化用户模型。通俗说就是给用户打标签,而标签是通过对用户信息分析而来的高度精炼的特征标识。通过打标签可以利用一些高度概括、容易理解的特征来描述用户,可以让人更容易理解用户,并且可以方便计算机处理。
小白:抖音、微博客户端根据用户浏览记录推荐可能感兴趣的内容,就是“用户画像”技术应用的一种~给我推荐的搞笑视频是真的搞笑啊哈哈哈~
大东:没错,你所例举的是“用户画像”技术的良性商业应用,企业利用该技术合法地创造价值。而本案中的犯罪分子,则是出于不良商业动机,将该技术用于不正当之处,违规推广,非法获利,必须予以严惩。
小白:坚决打击!
四、信息安全从我做
大东:此事件是以商业组织为单元,以商业盈利为目的的数据不良利用行为。近几年,公民个人信息被泄露、窃取的案件高发。去年3月,公安部开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动,仅4个月时间查获各类公民个人信息高达500余亿条。
小白:信息安全问题不容小觑啊!
大东:黑灰产团伙和黑数据平台是数据泄露的主要原因,它们盗取数据和使用数据都是无底线的,并且在非法获取数据后,并没有保护数据的能力。
小白:黑灰产需要社会共同治理!
大东:一方面加强相关法治建设至关重要,另一方面,普通用户也应做好自我保护措施。
小白:怎么保护?
大东:首先要防范“信息病毒”,不轻易连接免费Wi-Fi和无加密防护的Wi-Fi网络,防止手机遭到攻击和被植入木马;不随意打开陌生短信、彩信发来的链接,防止联入“陷阱”网站;不随意扫描来路不明的二维码,防止一些别有用心的人将恶意程序和木马病毒制成二维码传播,威胁你的隐私和财产安全。
小白:这个我时刻都注意!
大东:第二,定位功能开启需谨慎。手机的GPS定位功能可能暴露我们的位置信息,当位置信息积累到一定量,通过分析很容易推断出用户的工作地点、工作性质、家庭住址、生活规律等。
小白:在不使用必要软件时应尽量将GPS置于关闭状态!
大东:第三,严控系统权限,用户在授权时应仔细阅读相关条款,尽量避免将访问个人隐私的权限和访问网络的权限同时授予可疑程序。同时,定期查看软件中的相关授权情况,若有违规授权,及时在软件“隐私”等选项中查找并删除授权。
小白:一定要小心!
大东:第四,不轻易出售废旧手机。废旧手机及存储卡通常存储有用户的通讯录、图文数据,即便删除,也极易运用软件恢复,从而威胁用户的隐私、财产和数据安全。应当进行物理销毁,以规避暴露隐私的风险。
小白:又断了我一条财路…
大东:最后,严格遵守保密规定,做到不在手机或互联网环境下存储、处理涉密信息,不在手机中存储核心人员的工作单位、职务等敏感信息。可采用简写或使用代号避免重要敏感信息完全暴露。
小白:好的!我记住了!信息安全的保护要从每一个人做起!