如果你的微信、微博关注列表

突然出现一堆营销账号，

QQ突然被加进陌生群组，

抖音莫名关注某网红，

也许黑灰产团伙已经操控了你的账户。

近日，浙江绍兴越城区警方成功侦破史上最大规模的数据窃取案，阻止30亿条公民信息泄露。

警方梳理该公司签订的合同

发现有超过50家公司

与该公司进行推广、加粉等业务合作

涉及北京、杭州、福州、深圳、临汾、东莞、

厦门、上海、广州、成都等10个地市区

警方查明，北京一个以新媒体营销为主业的上市公司，与覆盖十余省市的运营商签订营销广告系统服务合同，钻运营商监管不力的空子，在运营商服务器中布置恶意采集信息程序，从运营商流量池中非法获取用户数据，为逃避监管追查，还将部分数据存储于日本的服务器上。

警方进一步发现

此案波及电信、移动、联通、铁通、广电

等全国多个省市的20多家运营商

继而导致百度、腾讯、阿里、今日头条等

全国96家互联网公司的用户数据被获取

几乎国内所有的核心互联网企业

均被“雁过拔毛”、无一幸免

也就是说，用户在网上搜索什么隐秘信息、去哪儿、何时何地开房、买了啥等这些信息，均被窃取用户信息的犯罪团伙掌握。此案中，黑灰产团伙已经操控用户账号，进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广，非法获利，犯罪团伙旗下一家公司一年营收就超过3000万元。

越城区公安分局网警大队大队长张野平称，本案系史上最大规模的数据非法获取案，作案手段新颖、盗取数据路径不同寻常，侦办难度极大，阿里安全专案团队和归零实验室为案件提供了重要的技术协助。目前6名主要犯罪嫌疑人已被抓获，其中5人已逮捕，公司负责人邢某已潜逃。

账户异常添加好友需警惕

今年6月下旬，越城区公安分局网警大队多次接到市民报案，称在不知情的情况下发现，自己的微博、QQ等社交账户添加了陌生好友、关注，手机经常莫名其妙收到各种垃圾广告弹窗、短信，怀疑个人信息被泄露。

同一时段，越城区公安分局网警大队也接到阿里安全专案团队提供的线索，称有用户反馈淘好友有异常添加陌生人的情况，疑似个人信息遭泄漏。

经查，报案人李某的账户数据于今年4月17日被8个IP地址多次异常访问，这些IP地址隶属的IP段先后访问超过5000人的账户。在阿里安全归零实验室提供的技术协助下，警方迅速展开全力侦查。

警方锁定该IP段背后，是北京瑞智华胜科技股份有限公司（下称“瑞智华胜”）为核心的多家公司在操控，且多家公司实际控制人和作案团伙均系同一拨人，瑞智华胜（872382.OC）为新三板上市公司。

2018年7月3日，浙江绍兴越城警方在北京海淀区瑞智华胜公司抓捕犯罪嫌疑人，技术人员进行现场取证。（图片来源：北京青年报）

紧接着，警方针对这三家公司的关联、商业模式等展开调查，固定相关证据后，7月3日，绍兴越城警方20多名民警在属地警方配合下，在北京海淀区瑞智华胜公司对涉案人员实施抓捕，抓获6名犯罪嫌疑人，公司实际控制人、主要犯罪嫌疑人邢某未在公司，闻风而逃。

随后，警方从盘根错节的关系网中反复探索、侦查，揭开了一个分工明确、获利颇丰的黑灰产犯罪团伙真面目，也发现了一种完全新型的数据盗窃作案手段。

“打劫”运营商窃取数据

经查，涉案的瑞智华胜等三家公司主要成员均系同一伙人，办公地点也一样。同一个团伙为什么要开三家公司？原来是为了用不同的公司主体干不同的事情，掌控整个产业链：两家公司主要与运营商签订服务合同，获取权限，进而窃取数据，而瑞智华胜则主要将数据加工、处理，通过精准营销、恶意弹窗、加粉、刷量等方式获利变现。

据警方介绍，在“大老板”邢某的安排下，从2014年开始，黑产公司通过竞标的方式，与全国多家运营商签订正式的服务合同，为其提供精准广告投放系统的开发、维护。简单来说，每家运营商都要针对不同用户做比较精准的信息推送，比如流量使用提醒等，主要靠这个系统。

在提供软件服务的过程中，该犯罪团伙获得了运营商服务器的远程登录权限，并于2015年开始，在明知不合法的情况下，将自主编写的恶意程序放在运营商内部的服务器上，当用户的流量经过运营商的服务器时，该程序就自动工作，从中清洗、采集出用户cookie、访问记录等关键数据，再通过恶意程序将所有数据导出，存放在瑞智华胜境内外的多个服务器上。

办案民警单钟颖介绍，cookie相当于用户账号的登录凭证，不需要获取账号和密码，通过cookie就可以进入用户账号，直接操作账号做任何事情。利用cookie数据，该犯罪团伙登录大量用户的账号，从账号中获取用户的搜索记录、账户注册资料等数据。

该犯罪团伙还操纵账户加粉、刷量，并通过恶意弹窗推广等方式非法获利。

“在链路末端，为实现加粉、提升百度搜词排名等变现效果，瑞智华胜针对不同的软件研发了不同的加粉程序，犯罪手法极其专业。”单钟颖表示。

为毁灭证据，今年4月犯罪嫌疑人团队还连夜删除多台服务器上的大量数据，警方初步估算已被删除的数据量也超过亿条。

黑产公司一年盈利上千万成功上市

8月13日，瑞智华胜公司发布公告称，2018年7月，公司法定代表人、董事周嘉林及监事黄健、梁修军等人因涉嫌非法获取计算机信息系统数据罪被绍兴市公安局越城分局刑事拘留，黄健、梁修军于8月9日已被越城区人民检察院批捕，周嘉林仍取保候审，案件尚待公安机关进一步调查。为配合公安机关调查，公司基本存款户已被冻结。

公开资料显示，瑞智华胜成立于2013年，从2016年转型做互联网营销，2017年12月1日正式挂牌新三板，其主要客户包括IMS新商业集团、腾讯广点通等。

瑞智华胜公司2016年的“成功”转型，缘于邢某的加入。邢某原是一家从事缓存业务互联网公司的高管，2016年他带领前公司多名技术人员一起到了北京点智互动公司。

瑞智华胜目前管理运营 80余个自媒体账号，主要运营的有20个微博账号和55个微信公众号，涉及旅游、资讯、美食、健身等多个领域，拥有粉丝总量超过7000万，其中多个微信账号为新榜排名100强，每天都在创造10W+，但也曾因过度营销和涉嫌造谣被封号。

警方获取的资料显示，其微博大V号粉丝量在200万-600万不等，发布或转发一条微博的报价在2000-4000元不等，微信大V号的价格贵一些，单条在7000-20000元不等。

从瑞智华胜公司财务数据上看，转型做互联网营销确实令公司业绩飞涨。2015年，其营收仅187万元、净利润2万元；到2016年，公司实现营收3028万元，净利润1053万元。

而实际上，邢某主导的犯罪团伙在窃取数据后，操纵窃取来的用户账号，强制让用户关注的刷粉、刷量等服务，优先为自家账号使用。犯罪份子供述，因瑞智华胜是上市公司，所有提供加粉、刷量、恶意推广的费用都要通过中科云智结算、走账。

瑞智华胜2017年年报显示，最大供应商中科在线的采购比例近70%，主要通过中科在线进行账号推广，实际上就是加粉、刷量，而工商资料显示，中科在线正是涉案团伙旗下公司。

警方侦查获得一份加粉效果结算单显示，瑞智华胜旗下自媒体号“娱姐来了”、“北京见闻”等大V号，仅2018年1月就共计加粉21.8万个，价格为0.5元/粉，结算金额为10.9万元。

不过，社交媒体的营销收入并不稳定。2017年财报显示，瑞智华胜全年营收2002万元，同比减少33.8%；净利润309万元，同比减少70%。

警方在办案中发现，该公司详细调研了抖音上500多个大V号，进行粉丝量、影响力等分析。

中科系一个合作商负责人张某表示，从2017年初到今年6月使用中科的推广服务，包括QQ加群、抖音加粉等，仅从2017年4月至9月，QQ累计添加超过14万人，8个抖音账号加粉1万至十几万不等。仅QQ加群，张某就累计为中科支付超过36万元，“不知道他们具体是怎么做的，但可以看到粉丝、QQ数量突然暴增。”

通过梳理该公司签订的合同，警方发现有超过50家公司与该公司进行推广、加粉等业务合作，涉及北京、杭州、福州、深圳、临汾、东莞、厦门、上海、广州、成都等10个地市区。

数据窃取波及全国 部分存储海外

“从运营商的层面进行流量劫持和清洗，也意味着所有使用运营商流量的用户都要被‘雁过拔毛’，互联网公司再多的防护能力都没有用，在源头上数据就丢了。”一位业内专家表示，应联合共同抵制和打击这类犯罪团伙，阿里此次为警方提供技术协助，从另一个方面来说，也为提高互联网公司的整体安全水位作出了贡献。

警方通过数据反查发现，犯罪嫌疑人刑某所在公司，与覆盖十余省市的电信、移动、联通、铁通、广电等运营商，签订营销广告合作协议，但运营商均未对具体项目进行约束、监督。因运营商监管不到位，邢某等人才能布置恶意采集程序的方式，非法获取用户流量信息。

警方统计发现，刑某通过运营商监管不力而非法窃取的数据，涉及百度、腾讯、阿里、今日头条等全国96家互联网公司的用户数据。几乎国内所有的核心互联网企业无一幸免，也就是说，用户在网上搜索什么隐秘信息、去哪儿、何时何地开房、买了啥等这些信息，均被该犯罪团伙掌握。

而更可怕的是，警方侦查发现，为逃避监管和追查，犯罪团伙还将部分信息存储在位于日本的服务器上，“把非法收集的大量公民个人信息存储在境外的服务器上，有危害国家安全的风险。”

中国政法大学知识产权中心特约研究员、北京志霖律师事务所副主任赵占领指出，犯罪嫌疑人非法获取公民信息进行精准营销的行为，不仅对用户构成民事侵权，还涉嫌构成侵犯公民个人信息罪。同时，这些个人信息被非法收集后，也有可能被用于其他的非法活动，比如根据盗取的身份证号、手机号等个人信息去盗取用户的网银账户等，进而可能会给用户带来财产损失。

目前该案还在进一步侦查中。业内专家称，本案表明，黑灰产团伙或黑数据平台才是数据泄露的主要原因，它们盗取数据和使用数据都是无底线的，并且在非法获取数据后，并没有保护数据的能力，“打击黑灰产需要社会共同治理，尤其要像治理雾霾一样打击黑灰产。”

用户该如何保护个人信息？

面对日益严重的个人信息泄露和安全威胁，一方面加强相关法治建设至关重要，另一方面，普通用户并非无能为力。

不轻易连接免费Wi-Fi和无加密防护的Wi-Fi网络，防止手机遭到攻击和被植入木马；不随意打开陌生短信、彩信发来的链接，防止联入“陷阱”网站；不随意扫描来路不明的二维码，防止一些别有用心的人将恶意程序和木马病毒制成二维码传播，威胁你的隐私和财产安全。

手机的GPS定位功能可能暴露我们的位置信息。当位置信息积累到一定量，通过分析很容易推断出用户的工作地点、工作性质、家庭住址、生活规律等。所以，在不使用必要软件时应尽量将GPS置于关闭状态。

大数据时代，一些移动应用软件过度索取消费者权限的情况近乎“疯狂”，用户在授权时应仔细阅读相关条款，尽量避免将访问个人隐私的权限和访问网络的权限同时授予可疑程序。同时，定期查看软件中的相关授权情况，若有违规授权，及时在软件“隐私”等选项中查找并删除授权。

废旧手机及存储卡通常存储有用户的通讯录、图文数据，即便删除，也极易运用软件恢复，从而威胁用户的隐私、财产和数据安全。应当进行物理销毁，以规避暴露隐私的风险。

做到不在手机或互联网环境下存储、处理涉密信息，不在手机中存储核心人员的工作单位、职务等敏感信息。可采用简写或使用代号避免重要敏感信息完全暴露。

紧急提醒！收到这条短信千万别点，有人损失近万元！

近日，因收到署名航空公司航班取消提醒改签的短信，江西准研究生张浩（化名）在按“客服”提示操作后，被骗9998元。

张浩说，事发当日正是因为对方准确说出了包含航班号、身份证号、乘机人姓名、机票数量在内的所有信息，加上急着出门，所以才会上当受骗。张浩认为，订购机票的飞猪平台和航空公司应对此负责。

案件回顾

7月24日

因收到署名航空公司航班取消提醒改签的短信，张浩按“客服”提示操作后，被骗9998元。

7月25日

飞猪与长安航空客服均否认泄露客户信息。

8月14日至17日

经调查，警方称这是专业团伙诈骗，涉事账户已被冻结。

1

“航空公司”改签短信实为诈骗

因计划和女朋友前往西北地区旅游，7月17日，张浩通过飞猪APP购买了长安航空公司9H8326号航班的两张机票，预计7月24日早上9时35分从南昌飞往西安。

24日凌晨，张浩看到一条署名为“长安航空”的短信提示，“航班因起落架故障已取消，请联系客服×××”。

为了不推迟后面的行程，张浩急忙通过电话联系了所谓的“客服”。该男性“客服”称，可以帮忙改签最近的航班，但需要顾客提供验证码；另外因改签延误会退返200元，所以还需要顾客提供银行卡号。

张浩：

我以为验证码是改签用的，于是就给他了。后来我才知道，他有我的身份证号、银行卡号，再加一个验证码就可以直接从我的银行卡里转账。

张浩回忆称，由于当时在和“客服”通话，他没来得及完整阅读银行发来的验证码短信。该短信内含有防诈骗提示，他却还是匆忙将验证码告诉了对方。

2

一时疏忽 银行卡被扣万元

张浩称，毫无防备下，自己两次提供了验证码，直到第三次要提供的时候，张浩发现卡里有钱被转了出去。

收到的扣款信息显示，他的银行卡在两分钟内，两次向“上海郝魏商贸”无卡自助消费支出人民币4999元，共被转走9998元。

被扣钱款后，张浩拨打“上海郝魏商贸有限公司”官网显示的客服电话，但无法接通，售后电话提示错误。意识到对方是骗子后，张浩快速将卡里剩余的钱转到女朋友处，并主动挂断电话，拨打了110。目前本案由江西省庐山公安局刑警大队办理。

3

平台否认泄露信息

警方冻结涉事账户

事后张浩多次向长安航空客服和飞猪客服投诉此事，两方客服均表示，绝不会泄露客户的信息，同时会积极配合警方调查，此外并未提供其他主动解决问题的措施。

江西省庐山公安局刑警大队表示，这是专业的团伙诈骗，钱转到一个账户后，立马又转到另一个账户上，现已查到三级账户，并冻结了三级账户。由于本案可能牵涉其他的受骗者，何时实施抓捕还要等待时机。对于张浩提到的航班信息泄露，只有抓到犯罪分子才能还原其中过程。

4

开学季

小心短信骗局！

开学在即，以在校学生为目标的各种短信诈骗也活跃了起来，再次提醒！

一、认真甄别短信来源

攻击者经常利用各种手段对短信进行伪装，并千方百计地对攻击对象进行误导、甚至恐吓。所以一定要对"运营商"、"银行"等身份的手机短信和来电进行认真甄别，冷静应对。

二、短信验证码不能告诉任何人

最最重要的是，短信验证码不要告诉任何人！电信运营商和提供相关服务的企业只会将短信验证码下发给用户，绝对不会要求用户通过短信或电话进行所谓“回复验证码”的操作，任何索要验证码的都是骗子。

三、遇到“要求缴纳费用”务必提高警惕

教育部提醒公众：无论是哪个单位或者个人向公众提供资助，都不应要求提供身份证号、银行卡号、手机验证码等信息，也不应要求缴纳任何费用或在ATM机、网上银行进行操作，如遇类似要求，务必要提高警惕，千万不要按照对方要求操作，以免上当受骗。

5

开学季收到这条短信请放心

别担心，这不是诈骗

近日，教育部、工信部会同三大移动运营商，面向全国手机用户发送国家助学公益短信。教育部指出，这不是诈骗短信，大家尽可放心。

该公益短信的内容为：国家承诺决不让一个学生因家庭经济困难而失学！了解政策请关注全国学生资助管理中心网站和“中国学生资助”微信公众号，有疑问请拨打高校资助热线010-66097980、66096590。

来源：福建日报、工人日报、都市快报·杭州新闻 、保密观、中国青年报、央视新闻、澎湃新闻、新华网