马上注册荣耀渭南网,结交渭南乡党,享用更多功能,让你轻松玩转荣耀网
您需要 登录 才可以下载或查看,没有账号?立即注册
|
x
本帖最后由 荣耀房产 于 2016-12-12 14:47 编辑
南方都市报一直以深度报道立足于各大媒体前,前段时间借贷宝的"裸借"事件,虽然不提倡这种做法,但是相信很多人都比较关注 “我们的信息究竟是谁泄露的?” 你是否经常接到一些莫名其妙的电话? 你是否经常接受到一些莫名其妙的信息? 电信诈骗的信息究竟从哪里来? 互联网时代,很多都需要实名认证,我们的身份证,电话,为什么会到其他人手里? ........................................ ▲南都记者买到的同事“身份证大轨迹”,包括开房记录、上网记录、常住暂住人口信息等。
你所有的隐私信息,包括开房记录、名下资产、乘坐航班,甚至网吧上网记录信息,只要有人付钱,就可以轻易被查到。这是否让你不寒而栗?还有,四大银行存款记录,手机实时定位,手机通话记录,他们也都能查到,而且 声 称7天×24小时不间断服务。
近日,南都记者在网上只花费700元就买到了同事的上述信息,更可怕的是,竟然有第三方软件为这样的服务提供担保,整个交易已跃升到了“平台化”的地步。
>>>记者体验
半小时手机准确定位你
开房记录数据精确到秒
任何一人的开房记录、个人名下房车资产,持有的各类证件、证书复印件,甚至即时手机定位,只要肯花钱,在网络另一端的服务商就会全数提供,并声称“在全球范围内,提供24小时服务”。
12月8日,南都记者以了解亲戚结婚对象为由,联系上一家名叫“××商贸”的服务商,工作人员介绍,只需提供身份证号码,即可查询包括开房记录、列车记录、航班记录、网吧记录、出境记录、入境记录、犯罪记录、住房记录、租房记录、银行记录、驾驶证记录等11个项目在内的材料,统称“身份证大轨迹”。
这一“全套服务”,收费仅850元。前述工作人员告诉南都记者,如果针对性地查询单个项目,则收费另计,“查个人征信费用是300元,查开房记录200元”;另外,查询单个项目,如开房记录可当天出结果,查“身份证大轨迹”全套则要等到第二天。
▲南都记者买到的同事开房记录总览。
>>>查询开房记录
当日出结果
还可查到同住人信息
随后,南都记者经同事授权,提供了其姓名和身份证号码。上述工作人员称查询户籍所在省的开房记录,价格是200元,查询全国范围内的开房记录,价格则是300元,并可在当晚12点前出结果,不过要先微信转账。之后,南都记者按其要求支付款项300元,该工作人员请记者耐心等待结果。
9日晚7时,对方向南都记者发来了同事的开房记录的整体截图,还单发了一张今年10月30日最后一次开房的记录截图。
▲南都记者买到的同事某次开房的详细记录。
截图显示,同事最早一次开房是在2011年8月10日21时48分,入住宾馆是西安市新城区安馨宾馆,房号为310房间,并可查到同住人员。南都记者询问查同住宿人员如何收费,其表示“单独查一个同住要600”。该同事证实,他确曾在2011年高考结束后和家人同游西安入住宾馆。
而最后一次开房的记录截图是一张蓝底图片,左边是身份证照片,中间一列自上往下是旅客编号、民族、出生日期、证件号码、住址详址、入住房号、旅馆编码和旅馆地址,右边一列自上往下则是姓名、性别、证件类型、住址省市区、入住时间、退房时间、旅馆名称和旅馆地址区划。每一次开房记录,都可把入住时间精确到了×时×分×秒。
>>>身份证大轨迹
住宿、航班、银行开户
网吧上网各种记录一应俱全
接着,南都记者又询问通话记录查询的价格,其称仅可查询联通手机号码的通话记录,价格为1500元,定位价格是600元。
前述工作人员称,还可查询四大银行的存款余额,每查一个银行是600元,提供身份证号码即可查询,但查询结果要两天后才能给出。
之后,南都记者决定再换一个同事购买“身份证大轨迹”,几经讨价还价,将价格谈到了700元。在转账完成的一天后,对方发来了两个EX CEL文档,里面包含了该同事9种记录在内的身份证大轨迹。
南都记者看到,一个名为“分布式查询”的文档里,记录了该同事自2011年4月以来的旅馆住宿记录、常住人口记录、暂住人口记录和网吧上网记录,另一个“人员基础信息—×××”文档中则是火车记录、航班记录、银行开户核查记录、驾驶证记录、驾驶证违章记录、机动车登记记录等。
经南都记者的这位同事确认,这两个文档的情况完全属实,也基本上包含了他近年来的身份证轨迹。尤其是“全国人口基本信息”这一张表,和他户口页登记的信息完全相同,照片也是他本人的身份证照片。此外,记者的同事还分析指出只显示自2011年4月以来的记录,可能是因为他2011年4月更换过身份证。
>>>手机定位
半小时查完
经纬度精确到小数点后六位
最后,南都记者决定再换个同事的手机号码,查一下其手机定位情况,前述工作人员表示仅可查询联通号码的手机定位,查询时间为半小时,收费是600元。南都记者提供手机号码并付款半个多小时之后,对方发来了定位信息的图片,内含地图、经纬度信息(精确到小数点后六位),与记者同事所在的位置完全一致。
▲南都记者买到的同事联通手机定位信息,数字为经纬度坐标。
事实上,“××商贸”只是这条信息产业链上的一例。南都记者了解到,上述个人信息并非由其工作人员直接查询,而是代理其他人提供的服务。该工作人员亦表示,可以发展南都记者做“下线代理”,代理费为500元,具体业务收费标准实时浮动。
南都记者检索发现,在微博、QQ群、腾讯微商店、淘宝等平台皆有大量提供查阅个人信息的服务商,有的服务商还会单独开发官网,以“商务专业调查”、“防人肉搜索”等为名提供“人肉搜索”服务。
【调查】
个人信息贩卖平台化
交易双方线下谈好再到平台上支付,有的虚假包装改换名目在主流网站进行交易
在服务商提供的项目中,除了购买他人隐私数据包,还有“无声无息”的定位服务,只要付费即可找到任何人当前位置。
南都记者在QQ上搜索定位服务,发现有不少提供此项服务的公众号,声称只要有手机号码或QQ微信等,就可以进行定位。据介绍,手机定位主要通过GPS和基站定位两种方式。GPS定位必须手机开通定位服务,精确可达20米内;而手机只要有信号便可确定,精确在100米左右。
据服务商介绍,微信、地图等APP都需要打开定位服务,因此GPS默认都是打开的。南都记者提出手机号查人的要求,一名服务商表示交款600元后,只需要几分钟就能查出。
令人吃惊的是,此类服务竟然还有专门的第三方担保平台。服务商向记者提供一个名叫“通× 宝”的网址及账号,称只需要发起订单,指定其为接单人,即可进行交易。
南都记者发现,这一第三方担保平台设置十分简单,只有买家发起订单以及卖家接单的功能。该平台上的介绍称,当买家付款后,款项被平台监管,卖家不能使用和提款,须买家进行确认后,钱才能解冻到卖家可用账户。对交易完结的订单,通×宝按20%向卖方收取平台运营费。
南都记者尝试发起订单,在订单分类中,列有“开房记录查询”、“手机定位查询”、“个人轨迹查询”、“户籍信息查询”等9项服务,每个项目之下还有细分。在订单下方,接单人账号为必填项目,也就是说,双方必须在线下商量好,才能到平台上进行支付。
发起订单后,平台提现称一旦买卖双方发生纠纷,还可以发起仲裁,通×宝会有专业人员进行核查,了解卖方查询到的数据是否准确。
此外,有服务商还会用虚假包装的方法,让交易过程在一些主流网站进行,从而实现第三方“担保”。12月10日,QQ上的一名服务商阿凯告诉南都记者,他可查询开房记录等多项隐私,并表示交易会在服务众包平台“猪八戒网”上完成,以保证交易中资金安全。
阿凯介绍,只要在猪八戒网发起一需求项目(相当于有酬求助),名称写软件开发或者服装设计就行,但绝对不能出现查信息等字样,“咱这东西毕竟是违法的,见不得光的,你自己知道就行”,他说。
在猪八戒网的项目发起后,阿凯会作为个人承接与客户建立合作,交易完成后收取项目资金,而在这过程中,项目资金托管在猪八戒网,若交易不顺,客户可取回资金,因而“资金安全有保障”。
巨额利益下的信息欺诈商
在这条信息侵犯的黑灰产业链上,以“社工库”及衍生出的周边产业尤为成熟。在黑客圈,“社工”是指一种黑客攻击以获取情报和信息的方法,社工库中收集有大量用户数据,成为“人肉搜索”和信息商贩的敛财工具。
“社工库”产业曾一度火热,被曝光后遭遇严查,在Q Q群等社交平台上,至今仍被列为敏感词,这导致以“社工库”为招牌的产业从事者迅速消匿。
不过,名噪一时的“社工库”三字并未被产业从事人员完全抛弃,只是换个名头重新上场。南都记者通过百度、淘宝等工具检索发现,有的信息贩以“反人肉搜索”、“反社工库”为名,避免网络审核的同时,行人肉搜索等服务之实。
同时,因技术、人员资质等问题,这一黑灰产业链经营者水平良莠不齐,且优少劣多;相对而言,有信息查询“刚需”的意向客户更多,他们在严查背景下要找到可靠、优质的服务商,时常主动或被动地更换合作服务商。
由于优质服务商的稀缺,行情一直看涨。阿凯告诉南都记者,行业现状是大部分服务商不靠谱,“找到真的,项目价钱一般人又接受不了”,他介绍,如今光查询三大运营商通话记录,市场价就是一两千元,查开房记录在七八百元左右。
除价格昂贵外,技术靠谱的商家还难求,“目前的行情是,市面上仅有三四家社工库有实质服务,并不容易接触到”,阿凯告诉南都记者:“凡是声称自己的社工库能查开房、通话、短信记录的,基本上都是骗子”。
在私下交流中,阿凯告诉南都记者,在信息贩卖这一黑灰产业链中,他既是经营者,也是客户,“我在长沙这边做本地私人贷款生意,有的借贷人逾期跑路了,就得找办法人肉他”,他说,一般情况下,会通过本地渠道解决,上网查询为下下策。
值得注意的是,服务商所承诺的“第三方担保交易”,有的并不能保障资金安全。在上述“通×宝”上的交易中,南都记者在第三方支付平台支付了600元,并提供另一名记者的手机号码。10分钟后,该服务上向记者提供了3张不同的定位地图,均显示在广州市海珠区滨江街道。然而,此时记者的真实位置是在广州市越秀区,距离该地有5公里远。
南都记者向其核实数据准确性,其表示,“信息是通过基站查询的,不能重复再查,再查一次我也得给一次钱。该服务商表示,一般位置精确度在50米内。针对定位存疑的问题,他表示,“你问得到就不会找我查了,看你信谁了”。
随后南都记者在平台上申请仲裁,但至今平台没有任何动作。
查询个人信息只需一个姓名
一、查询条件
只需提供一项准确的个人信息,如姓名、手机号码或身份证号。
二、服务项目
1.查询“身份证大轨迹”包括开房记录、犯罪记录、租房记录、银行记录等11个项目。
2.定位服务声称可找到任何人当前位置。
三、服务商藏身处
1.微博、QQ群、腾讯微商店、淘宝等平台,有大量提供查阅个人信息的服务商。
2.有的服务商还会单独开发官网,以“商务专业调查”、“防人肉搜索”等为名提供“人肉搜索”服务。
四、第三方担保
1.如“通×宝”网站。双方在线下谈好后,再到平台上进行支付。如发生纠纷,该网站会进行核查仲裁。订单分类中列有:“开房记录查询”、“手机定位查询”、“个人轨迹查询”、“户籍信息查询”等9项服务。
2.虚假包装,让交易在主流网站进行。如在相关网站发起需求项目(相当于有酬求助),名称写软件开发或服装设计等(不能出现“查询信息”等字样)。
警方:将进行核实与调查
针对个人隐私被贩卖一事,南都记者向有关部门反映,但尚未收到具体处理结果。
11日,南都记者向信息被贩卖的同事户籍所在地警方反映情况,被告知应联系事发地警方。随后,南都记者致电广州公安,警方询问详细过程后,表示会安排相关人员联系。不到10分钟,相关民警与南都记者当面取得联系。在了解情况后,该民警表示,因被泄露的信息尚未构成公开上网等情节,所以暂不予处理。
“一旦公开,可前往居住地所在派出所报案,警方会侦办处理。”而对于服务商,民警表示可在派出所登记后,交由警方处理。
对于多家涉事网站存在的问题,南都记者依次致电其注册所在地警方。成都警方就“通× 宝”的问题,回应称将派有关人员核实,并与记者联系,同时建议也可在广州当地警方报案。对猪八戒网等注册在重庆的网站,南都记者联系重庆公安,被告知只能在自己的所在地警方报案,重庆警方不予处理。
精× 网站的开发公司为揭阳市揭东区精× 科技有限公司,南都记者联系揭阳公安网警,一位工作人员表示,可通过警方网络渠道举报,同时会进行核实和调查,依据情况作出相应的处理。
因服务商“×× 商贸”的工作人员自称在深圳,南都记者于11日14时致电深圳网信办互联网违法和不良信息举报办公室进行举报,该举报热线为语音留言举报。南都记者反映上述问题后,截至发稿,尚未收到相关人员的联系和回复;而网站提供的另一个手机举报热线,南都记者联系后现已停机。
对“××商贸”的微店及其工作人员,南都记者通过微信平台进行举报,但发现举报原因页面中并无“从事违法交易”这一项,只得选择“网页可能包含谣言信息”这一项进行举报。微信的相关工作人员回复表示,对于黑色产业,腾讯一直都在配合警方进行持续打击。
同时,腾讯公司的工作人员也向南都记者透露,个人信息贩卖已经形成了“线下联动线上,线上多平台采集交流、交易”的黑色产业链。单从QQ平台来看,2016年QQ安全团队针对可能存在该类型风险的QQ群进行集中排查,导入人工审核逐一排查,确认有违规违法行为的QQ群,一律封停。截至目前,共查处4500余个QQ群,封停3400余个QQ账号。
此外,12月11日中午,南都记者通过工信部举报平台12321,以涉嫌非法获取信息并提供相关交易担保服务等问题,将上述网站一一举报,并留下记者的联系电话和邮箱,截至目前,尚未取得回复。
【观察】
谁在泄露我们的信息?
南都敦促打击网络黑产
南都实测网络黑灰产业链非法软件,曝光其特性,向多地警方、平台、相关部门举报后,但无一处理
声音
我们不仅要打击网络黑灰产业的下游,还要将那些去进行撞库盗号、编写诈骗软件的群体挖出来进行打击。
——— 阿里巴巴副总裁余伟明
最大问题首先是职责要分明,这种软件行业的违法行为究竟谁管?
——— 一名网络公司的安全部总监
目前,互联网黑灰产业链日益成熟,黑色产业与灰色产业相互交织特点明显,并多处于无管理状态,从而在网上滋生了大量的诈骗、制假售假、贩毒等违法犯罪活动。
与其造成的巨大危害相比,黑灰产业链的门槛却很低,除编写软件外,“技术小白”几乎都可以做。近日,南都记者尝试了近10个黑灰产业链中的软件,逐步揭开其技术特性和非法性所在,并在网上成功买到了记者本人的通话记录、开房信息及其他身份数据信息,用实践证明一条巨大的互联网黑灰产业链猖獗却未得到有效遏制。
随后,南都记者一一将售卖这些软件和信息的平台举报,并向服务商和平台所在地的公安机关和相关部门进行举报。
撞库类软件
300元可检存微博账号
2015年,国家互联网应急中心发起了重点打击三类网络黑色产业专项行动。这三类分别是:发动涉嫌拒绝服务式攻击的黑客团伙,盗取个人信息和财产账号的盗号团伙,以及针对金融、政府类网站的仿冒制作团伙。
近日,一个12G的数据包再次搅动了黑产市场。
数据外泄后,黑客会怎么利用这些数据呢?业内人士告诉南都记者,一般黑客会登录账户,将有价值的内容先清洗一遍,然后将数据出售,市面上的人买到这些数据后,可进行撞库操作。
撞库类的软件,是网络黑灰产业链的主要组成部分之一,其产生的价值也最大。如果用户在不同网站使用的是相同的账号密码,黑客就可以通过获取用户在A网站的账户从而尝试登录B网站,这叫做撞库攻击。这些账密对一旦落入了不法分子手里,便会被用作进行诈骗与获利。
然而,上万条数据信息,不法分子是如何一条条“撞”的呢?南都记者调查发现,针对不同的网站,存在不同的撞库软件,又称检存软件。在某些论坛上,有专门定制这方面软件的平台,并提供“下单”、“接单”和“第三方支付”等功能。
南都记者登录精某论坛,论坛教程称,只要发出软件的要求、价钱,很快便会有人“接单”。南都记者在该论坛上看到,很多人公然发出“百度检存软件”、“ZFB检存”等任务,要求“带拨号功能”,“时速5万到10万”,“有成品”等,出价200- 300元至上千元不等。在帖子下方,不少人跟帖表示自己能按要求编写软件,进行接单,有的人还留下了自己的QQ号。
南都记者在一则定制新浪微博检存软件的帖子下,找到了一名软件写手,通过QQ与之进行联系。“绑机器300元,不绑机器1000元”,这名写手向南都记者熟练地介绍,称自己拥有不同功能的检存软件。
“有跑米正的,也有跑检存的”———米正,即测试账号密码能否在网站上顺利登录,检存则是只能检测账号是否曾在网站上注册,不能检测密码正确与否。
在南都记者与多名软件写手联系的过程中,“米正”和“检存”配合使用是写手们最推荐的方式。“米正”是代指“密码正确”的行话,一名“返利网”软件写手解释,“米正”检测速度较慢,一般1-2秒检测一个数据,如果导入几万个数据,则需要花费几个小时。“如果先用检存筛选出来,一万个数据里面也就几千个注册的,再用米正就快了。”这位写手称。
这名跟南都记者联系上的新浪微博检存软件写手称,他写的软件“跑起来很快”,直接用“米正”就可以。通过Q Q远程,他向记者演示了软件的运行。
通过演示可以看到,这款软件运行的速度确实很快,仅耗时20秒就检测了105个 数 据 ,以“ 账 号 — ——密码———检验结果”的形式显示出来。运行结束后,软件自动生成txt文档,分别将“密码错误”和“密码正确”分类。结果显示,在400多个账密对中,可检测出100多个正确账号。
南都记者随后尝试以写手提供的、检测后的正确账号密码登录新浪微博,发现果然存在账号。不过,该账号因多次被不正常登录已被暂时冻结。
随后,南都记者又通过论坛联系上几名软件写手,分别测试了豆瓣、快手、返利网和唯品会的检存软件。有的需要代理,有的需要连接打码平台,操作方法都大同小异:填写好相关账号后,导入需要检存的数据,软件自动运行,结束后自动导出账号、密码正确的数据,就大功告成了———这些数据可以二次出售,也可以自己登录去从事不法行为。
今年8月,多名百度云用户发现自己的账号被盗,一夜间网盘内所存的大量文件消失,有的甚至被塞满黄片。北京市海淀区警方侦查发现,以卖渔具为生的胡某兼职做“黑客”,一年间购买和免费获取账户密码信息近3000万条,网购撞库软件将这些信息批量登录百度账户,筛出正确账号密码50余万条,并将有现金的账号在网上出售,获利5万余元。
批量注册类
为刷单抢红包提供便利
南都记者调查发现,无论电商还是社交、游戏平台,都有人在网上注册并倒卖垃圾账号。一个垃圾账号从几毛钱到几元钱不等,批量起售,数量惊人。
一名曾参与“社工网站”,也就是专门从事各类账号注册买卖的网站工作人员透露,他们会购买大量手机黑卡、身份信息,然后用软件批量注册,“干我们这一行的,没几个人认为自己是违法的。”南都记者获悉,购买这些垃圾账号的人,可以用以诈骗、虚假交易、发放垃圾广告、刷信誉、刷人气、红包套现等。
有些网络黑灰产业需要真实的账号和密码,有些则只需要大量空白账号即可。如最常见的“刷粉”、“刷单”、“抢红包”等,用大量空白账号就可实现。那么,不法分子又是怎么得到大量空白账号的呢?
实际上,在一些交易平台、QQ群,都有购买渠道。
南都记者在网上找到多种网站的批量注册软件,发现很多已不可用。一名编写过多种批量注册软件的写手告诉记者,“已经很难注册了,不好出号”。
其解释,现在网站对注册要求提高了,“要有邮箱、有手机卡对接,还要买V PS(Virtual Private Server虚拟专用服务器)”。虽然邮箱与手机卡都有对应平台,“但公用的卡大都不能用,要卡商专门对接的才比较好用”。
该写手告诉南都记者,这样就使得成本大大提高,“二毛五卖出去的话,你自己刷也要一毛七左右”。
尽管如此,批量注册软件仍然有其市场。南都记者拿得了B站和返利网的批量注册软件进行测试,这两个注册软件每个仅需要100元。由于B站注册需要识别验证码,软件需要先连接付费的“打码平台”,让其自动读取识别验证码。如果不愿付费,也可人工识别输入验证码,除此之外,批量注册没有任何成本。
运行起来后,软件自动创建随机的账号和密码,四位验证码图片出现在软件上,南都记者输入打码平台的账号密码后,软件迅速自动将图片翻译成文字,几秒后便出现“注册成功”字样。写手提醒记者,大批量通过软件注册账号会引起平台注意,因此,注册一定数量的账号后,就需要更换IP。如果平台没有察觉到软件的运行,那么软件可以一直注册下去,需要多少账号就能产生多少。
目前,绝大多数利用恶意手机注册产生的账号,主要分布于网络打车、互联网金融、垂直电商、网络游戏等。典型作案方式是用恶意注册的打车软件账号获得打车红包,或者利用恶意账号进行非法理财、借贷等。
如果说撞库软件更多是泄露个人信息安全,那么批量注册软件,侵害的则是个人和企业的利益。日前,阿里巴巴就向法院起诉状告刷单平台“傻推网”涉嫌严重危害市场竞争秩序,该案成为全国首例电商平台状告刷单团伙案。
90后杨某成立的“傻推网”刷单业务覆盖所有电商平台,开业仅一年就赚得盆满钵满,除杨某本人获利36万元外,其余数名刷手合计获利超过180万元。
阿里平台治理部相关负责人表示,“傻推网”组织刷单非法牟利200多万元,而在现有法律下只被处以10万元左右的行政罚款,可谓毫发无损。
“恶意注册是网络犯罪的源头性问题,每个企业都是恶意注册的受害人。”最高人民法院中国应用法学研究所研究团队认为,除了要完善平台管理规则,建议相关部门联合落实专项行动,并在行政和刑事立法及司法解释中予以规范,从而遏制恶意注册产业链的壮大。
打码、交易平台类
识别验证码,第三方担保交易
在网络黑灰产业链的发展过程中,不法分子形成了大量非法网站、聊天群组,这些平台有很强的组织能力、聚众能力和影响力,曾一度出现线上组织攻击竞争对手,线下聚众闹事等严重影响网络秩序和社会稳定的事件。
在测试软件的过程中,南都记者也发现,很多网站在注册、登录时要求输入验证码,以防止机器登录。由此,也滋生出了一些打码平台,这些平台可以提供识别服务,从而识别验证码。
这些打码平台会按照验证码的类型收费,10位以内的数字、英文、汉字混合验证码都可以识别,在南都记者测试的豆瓣批量注册、返利网检存的软件上,只需要填写打码平台的账号密码,便可直接使用了。
除此之外,数据销售平台也为网络黑灰产业链提供了便利。无论批量注册还是检存,最终生成的都是同一产物:数据。那么,这些数据会如何处理呢?
最有效的推广方法,是通过QQ群、YY群进行直接销售。南都记者在QQ上以“数据”等关键字进行搜索,发现有若干数据买卖的群,群内有人叫卖、收购各类数据。除此之外,南都记者还发现,数据买卖也有第三方平台。
“很多人交易数据的时候也担心遇到骗子,于是就会出现类似淘宝一样的网页,但里面买卖的都是数据”。一名业内人士告诉南都记者,在“某卡街”、“虚某街”等网站上,各种数据明码标价,一旦支付购买,数据就会自动发到购买人的邮箱,库存也会相应减少。
除此之外,一些“社工库”平台也依然活跃在网上。“社工库”平台上收集了大量市面上泄露出来的原始数据库。然而,这些数据由于曝光率高,通常已被人使用过多次。
一个真实的违法案例是,珠海市的尹某飞从2014年开始,为实现盗窃他人支付宝款项,通过互联网购买数据包,花了2000余元获得包含有他人在学信网、智联招聘网等网络账户名称和密码的数据32万余条,他人在各大网络论坛和第三方支付平台的账户和密码数据,数据包中含有500万余条信息,支付宝账户名称和密码的数据400万余条。
尹某飞在取得这些数据后,逐个输入支付宝客户端进行验证,登录成功后以“发红包”的方式直接盗走该账户的钱款,或者以购买充值话费、游戏卡后再低价转卖的方式套取现金,共套取了现金12万余元。
2016年9月,尹某飞被判处有期徒刑四年,并处罚金人民币12万元。
■举报
向警方、监管部门举报后至今无人管
随后,南都记者根据这些交易软件、数据信息的平台和个人所属的归属地,向有关部门和当地警方进行举报。
对于撞库、批量注册软件定制平台精某论坛,网站本身并没有举报电话,论坛指示,可以在违规帖下方通过举报按钮举报。南都记者以论坛会员身份,在数个出售、求购检存软件、注册软件的帖子下进行了举报,论坛提示,管理人员在后台会收到举报提醒,处理后,举报者会获得相应的奖励。至截稿前,论坛并没有进行通知。
精某论坛的注册公司为揭阳市揭东区精某科技有限公司,昨日,南都记者联系揭阳公安网警处,工作人员表示,可通过警方网络渠道(官方微博微信)举报,会进行核实和调查,依据情况作出相应的处理。对于注册地在重庆的数据交易平台某卡街,重庆公安告知只能在自己的所在地警方报案,重庆警方不予处理。
此外,不少软件、信息交易均通过QQ平台实现。昨日,腾讯相关负责人回复称,腾讯坚决打击利用QQ群进行个人信息贩卖的违规违法行为。用户若发现QQ平台上有个人信息贩卖的情况发生,可以通过产品端举报入口和腾讯客服等通道进行举报,一般情况下将在7天内进行反馈,按情节严重程度进行封号封群或移交执法机关,并配合侦办。
此外在11日中午,南都记者通过工信部举报平台12321,以涉嫌非法获取信息并提供相关交易担保服务等问题,将上述网站一一举报,并留下记者联系电话和邮箱,至截稿前,尚未取得联络或回复。
■业内人士
为盗号软件找主管
部门找了一圈都没人管
上述黑灰产业链条环环相扣、相互交织,为网络违法犯罪提供全方位、全链条的帮助,是互联网犯罪的源头性问题。然而,这些制作软件、售卖软件的人和平台,却游走在法律的边缘,并没有背负应有的责任。
目前,依附于互联网的黑灰产业主要有这4类———
曝光台
4类主要互联网黑灰产业
●恶意软件类:盗号功能软件,钓鱼木马软件,批量注册功能软件,账号数据、信息、状态检测软件,刷单软件,伪装/更改环境工具等;
●非法硬件类:伪基站,猫池(养非实名手机卡、用以批量收发信息);
●非法信息、数据买卖类:社工库(数据集市)、手机黑卡、银行卡、身份证信息买卖等;
●恶意群组、平台类:恶意交流群组、恶意平台等。
抓的多是孩子
犯罪上游监管缺失
在公安部部署的“8.14”非法获取计算机信息系统数据专案中,作案团伙利用软件进行扫号、盗窃、数据买卖,等到警方抓获团伙成员时,发现团队竟是由一个未成年人带领老家不懂技术的亲戚组成的。
2016年上半年,阿里巴巴安全部门便协助警方抓获网络犯罪嫌疑人4300余人。阿里巴巴副总裁余伟明表示,很多都是十七八岁的孩子。
“被抓到的网络犯罪分子大多是下游人员,是拿被盗账号去骗的人。那他们是怎么拿到账号的?难道所有犯罪分子都能够潜伏进别人的网站?都能制作钓鱼软件?”余伟明表示,在电信诈骗案的背后,是大量从事编写诈骗软件和售卖诈骗信息的网络黑灰产业团伙。
恶意注册软件、钓鱼软件、爬虫软件、刷单软件等等网络黑灰产软件,通过各种社交软件、论坛、网站大量贩卖,而这些用于网络犯罪的软件,目前无人监管,由谁来监管也暂无定论。“我们不仅要打击网络黑灰产业的下游,还要将那些去进行撞库盗号、编写诈骗软件的群体挖出来进行打击。”余伟明说。
“没有软件的作者,他就侵入不了你。”余伟明说,除了打击这些网络黑灰产业链的上游,还应该明确责任,加强监管,“谁在买,谁在叫售,打开电脑都可以看到,都在论坛、贴吧、各个群里进行信息交互。”
“这些信息的交互谁来监控?为什么一定要到线下来破案,把它管了,不让它传播了,不让它信息交互了,不是更好吗?”余伟明说,各个企业对自己的群,对自己网站上面各种违法犯罪,需要自行管理,“那么又是谁来监督企业,有没有尽到自己的责任?”
工商、经信委、通管局、公安都管不到?
一名网络公司的安全部总监告诉记者,他曾经为了一个盗号软件去找主管部门,结果找了一圈都没有找到。“第一个,我找了工商,毕竟它是流通领域的事情,软件和软件服务作为一种特殊商品,工商也许能管。工商部门说,我只是在流通领域的监管,但是这个行业的主管单位不是我,你去找经信委,经信委有个软件处。”其说。
“我就去找经信委,经信委主任告诉我,他们软件处主要任务是软件行业发展、规划、政策、鼓励措施等方面的制定,至于软件行业违法,没有执法处,网站是通管局管。我又去找通管局,通管局说,他们只管发证和吊证。”
其表示,通管局告诉他,应由主管部门出具一个合法性、违法性的认定依据和处罚标准。而公安主管信息安全的十一局又只管信息安全、涉恐涉暴等,“所以最大问题首先是职责要分明,这种软件行业的违法行为究竟谁管?”
曝光台
●撞库类:危害个人
黑客通过获取用户在A网站的账户从而尝试登录B网站,这叫做撞库攻击
●批量注册类:侵害个人、企业
无论电商还是社交、游戏平台,都有人在网上注册并倒卖垃圾账号。
●打码交易类:
10位以内的数字、英文、汉字混合验证码都可以识别
| 
