5月底,重慶警方通過近半年努力,一舉抓獲36名犯罪嫌疑人,搗毀5個網絡電信詐騙窩點,涉及全國多個省市2000餘名受害者,涉案金額500餘萬元。
隨著數字技術與金融行業融合發展,不斷衍生出涵蓋第三方支付、網絡保險、網絡借貸、供應鏈金融、消費金融、傳統金融創新業務等數字金融新業態,風險隱患也與日俱增。根據國家互聯網金融安全技術專家委員會數據顯示,截至2018年5月,其互聯網金融風險分析技術平台發現了2萬餘個存在異常的互聯網金融網站和近1500個互聯網金融網站漏洞。
5月31日,在北京發布的《數字金融反欺詐白皮書》顯示,由網絡黑產主導的數字金融欺詐,已經滲透到數字金融營銷、注冊、借貸、支付等各個環節。據統計,2017年黑產從業人員超150萬,年產值達千億級別。而在世界經濟論壇發布的《2018年全球風險報告》中,網絡安全已經成為除自然災害以外,最大的風險所在。
網絡黑產到底是什麼?
近年來,大家不僅習慣線上搶紅包、網上票選投票,也習慣了通過手機的實名認證辦理各種公共服務和商業應用。然而,這一切線上場景應用所開辟出來的全新市場,也同時麵臨著聞風而至的黑產威脅。
“最常見的就是手機惡意廣告推送(RottenSys惡意病毒)。”資深網絡安全從業者譚雲告訴記者,RottenSys是一個非常活躍的病毒,僅僅依據最近10天統計,就推送了1300多萬次的主動廣告,其中55萬次轉化成用戶點擊。
譚雲以此來算一筆賬:根據廣告行業最保守的估計,以每次點擊20美分和每千次展示40美分的價格估計,在短短10天之內,黑產從業者從RottenSys的惡意廣告推送行為裏,獲利了超過11.5萬美元。截至目前,預計RottenSys感染了多達600萬台設備,其中影響最大的移動品牌包括不限於華為榮耀手機、小米、OPPO和vivo等。
記者調查發現,無論電商還是社交、遊戲平台,都有人在網上注冊並倒賣垃圾賬號。一個垃圾賬號從幾毛錢到幾元錢不等,批量起售,數量驚人。除買賣公民個人信息,盜取他人信用外,當前黑產團夥還通過“撞庫拖庫”等手法,侵入政企服務器,竊取公民個人信息,並從事網絡賭博、網絡詐騙等不法活動。
以“刷票黨”為例,黑產分子通過使用“秒撥”客戶端軟件,進行簡單配置,就可以實現自動變換IP地址,以規避投票平台的IP安全策略,實現對某一選項的海量投票,嚴重危害網絡誠信。
更令人震驚的是,“秒撥”動態IP非法服務還提供:“自動切換”、“秒級切換”、“斷線重撥”、清理COOKIES緩存、虛擬網卡(MAC)信息、多地域IP資源調換等功能。刷票隻是“秒撥”動態IP非法服務的冰山一角,警方破獲該團夥案後發現,其租用控製服務器線路3000餘條,租用ADSl寬帶線路5000餘條,為過萬人提供動態IP服務,年獲利上千萬。
今年以來,色情誘導詐騙已經從當初不入流的網站或者論壇廣告小生意,不斷拓展,發展成為規模化、組織化、產業鏈完善的流水性作業程序,有些黑產團夥甚至披著科技公司的外殼,表麵上做著正經業務,暗地裏卻引誘用戶連環充值。因此,這種新型威脅源“收入過億”的規模,已經不隻是空想。
空前的“隱私危機”
“大數據時代,人人都在‘裸奔’”,這句話成了網民的“口頭禪”,用戶前腳剛注冊的信息,後腳就被黑產打包成明碼標價的“商品”反複兜售。這種非正常的個人隱私病毒式擴散,直接導致人們的互聯網安全感群體性驟降。換句話說,後互聯網時代,伴隨大數據的飛速發展,中國正在迎來一場空前的“隱私危機”。
據360互聯網安全中心最新公布的數據顯示:去年“雙11”期間,共為全國用戶攔截釣魚網站攻擊1.1億次。同時,獵網平台當天接到用戶報案98起,涉案總金額約118.3萬元,人均損失達1.2萬元;其中,男性被騙的人均損失,幾乎是女性的兩倍。
去年“雙11”過後,如何抑製網絡黑產一度成為業內討論的焦點話題。業內人士稱,“雙11”不僅僅是購物者的狂歡,也是黑產的年度盛宴,集結的黑產“羊毛黨”,可以“薅上一天,夠吃一年”。
“網絡黑產”正呈現出公司化、平台化和跨國化的特征,尤其是其“智能”水平越來越高。據業內人士透露,從他們協助警方查獲的案件來看,有的公司專門做詐騙,有的專門製作與傳播木馬病毒。此外,黑色產業鏈的分工也日趨完善,每一個環節都可能有相應的平台作為支撐。隨著國內加大對網絡犯罪的打擊力度,一些“黑產”團夥把窩點轉移到了國外繼續從事網絡違法活動。如此新手法、新渠道,自然增加了公安機關打擊治理的難度。
《現代網絡詐騙產業鏈分析報告》透露:去年1月至9月,共接到全國網民舉報網絡詐騙案件20086起,涉案金額高達8901萬元,人均損失4431元。如果按照城市人均損失劃分,上海以人均損失8084元位列全國第一;重慶市人均損失6131元,位列第二。
據螞蟻金服集團安全管理部總經理邵曉東介紹,近一年時間,國內6.88億網民因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元。據不完全統計,2017年在黑市上泄露的個人信息達到65億條次,我國平均每個人的個人信息被泄露了5次。
加強立法,從根本上保障個人隱私
龐大利潤的驅使下,科技犯罪分子們產銷分工明確,無孔不入地覆蓋個人信息竊取的各個環節。若不能從源頭封堵,很難從根本上遏製個人信息的不當流出。
截至目前,公安機關已累計偵破各類網絡犯罪案件1791起,抓獲嫌疑人3513名。同時,依法查處違法違規網站1.1萬家次,關停違規網絡賬號2.5萬個,清理網上涉黃、涉毒、涉槍、涉賭等違法有害信息65萬餘條,對22家問題突出的網站以及337家IDC進行了掛牌督辦整治。
360公司董事長周鴻禕透露,現在,越來越多的網站裏留有用戶的真實數據和信息,而在安全防護方麵存在明顯漏洞,360過去幾年發現了十幾萬個網站存在明顯的漏洞,其中很多漏洞,一個小黑客就能輕鬆滲漏,取得用戶的數據。他建議,國家在這方麵亟待加強立法。
安恒信息的創始人範淵認為,信息數據的責任主體是清晰的,作為這些數據的搜集者和使用者,對其有保護義務,但是現在的法律法規還不完善。如今,包括身份證號在內的各類信息數據泄露的非常嚴重,在地下已經形成了大數據閉環,當不法分子掌握了不同來源的數據後,欺詐水平會越來越高,這個問題亟待引起重視,頂層設計刻不容緩。
京東集團首席信息安全專家李德浩認為,打擊黑產須有“三重門”,而禁止登陸隻是第一重門。接下來是用AI等技術手段抬高違法成本,讓黑產“不想做”,以及通過化被動為主動,用自然語言技術打入黑產內部,掌握情況後提前防控,迫使其“不敢做”。
