查看原文
其他

不能忽视的实名制:ICP恶意备案调查研究

鹅师傅 腾讯安全战略研究 2022-05-19


本文作者

腾讯安全战略高级研究员

吴延鸿

腾讯守护者计划安全专家

黄汉川

腾讯合规高级经理

张景源


大家好,我是鹅师傅。

无论是个人还是企业,在互联网世界里穿梭,总需要一个行走江湖的网络身份。

而网络身份主要分为两类:

一类是接受互联网服务的用户身份,如微信、QQ等互联网个人账号;

另一类是互联网内容提供者(Internet Content Provider,简称ICP)的平台身份,如网站、APP等。

在当今以账号体系和网络实名制为基础的互联网环境下,如果不法分子想要在互联网世界里作恶,也需要使用一个虚假的网络身份做马甲,以隐藏真实身份,逃避法律追究。


这也衍生出互联网个人账号恶意注册互联网平台身份恶意注册两个不同的黑色产业链。

而ICP恶意备案,便是互联网平台身份恶意注册的关键环节,也是鹅师傅今天想和大家重点探讨的内容。

1

ICP备案,究竟是什么?


按照惯例,鹅师傅先来给大家解释一下,什么是ICP备案?

ICP备案,是指互联网内容提供者在向用户提供非经营性的互联网信息服务时,须先行向有关机关履行实名制备案的手续。未履行备案手续的,不得从事非经营性的互联网信息服务。


简单来说,你可以去建一个网站发表自己的文章、照片,同时也需要按照流程去自主备案,备案是免费的。

如果网站不备案,是很有可能被查处关停的哦。

ICP备案也常被称为域名备案,但事实上,ICP备案并不是针对域名进行备案

在越来越多人用手机上网的时代,我们很多互联网服务都是通过各类app获取的。其实,app也是一种网站。本文中,我们把平常所理解的网站和app,统称为网站。

网站的内容是存储在服务器上的,通过将域名绑定到相应的服务器上,用户就可以使用该域名来访问服务器上网站的内容,域名是网站访问的入口

我们除了可以通过域名访问各类网站,还可以通过直接指定IP地址的方式来访问。

而那些没有绑定域名,直接使用IP地址访问的网站,同样需要进行ICP备案。

所以鹅师傅想给大家厘清:ICP备案的对象其实是网站,应该称为网站备案,而非域名备案。

只不过由于绝大多数的网站都是绑定了域名并通过域名访问的,网站备案的同时意味着与该网站绑定的域名也完成了备案,因而ICP备案才被称为域名备案。


ICP备案是落实法律规定的网络实名制的重要措施,目的是防止互联网信息服务提供者在网上从事非法的网站经营活动,打击不良互联网信息的传播。

因此,该制度一推行,一门心思想利用互联网干坏事的不法分子就各种钻制度漏洞,想尽各种办法制造假网络身份,妄图躲在虚伪的面具下逃避法律的惩罚,慢慢地衍生出与该制度相对抗的ICP恶意备案

ICP恶意备案,是指违反国家规定,利用多种手段突破互联网企业及监管机关的安全防护措施,使用虚假信息等非法手段为网站备案,获取虚假备案域名,从而完成恶意注册互联网内容提供者平台身份的行为。

2

ICP恶意备案的三大套路


据鹅师傅观察,不法分子在进行ICP恶意备案时,通常存在以下三大作案手法:

  • 鸠占鹊巢型:恶意抢注他人正常备案过的过期域名
  • 偷天换日型:使用虚假信息进行恶意备案
  • 坑蒙拐骗型:诱骗他人帮助备案

1. 鸠占鹊巢型:恶意抢注他人正常备案过的过期域名


通俗地讲,就是把别人“闲置”的过期域名“抢”过来为己所用。

一部分网络内容提供者,特别是个人主体,在完成ICP备案正常运营其网站一段时间后,可能由于某些原因不再继续运营其网站对外提供服务,在域名到期后既不续费使用,也不申请注销备案。


不法分子会暗中观察,随时蹲守哪些网站的域名已经抛荒闲置,并趁网站的原站长不注意,在该类域名经过删除期后就第一时间将其抢注。

由于该类域名已经有备案信息,不需要重新备案。

抢到抛荒域名的不法分子,会直接利用该域名及服务器,对外提供非法服务,或者高价打包卖给下游的黑产团伙使用。

这些抛荒后被抢注转售的网站,可能会被不法分子用于实施诈骗、强迫交易、敲诈勒索等违法犯罪活动

但由于备案信息所指向的前一手域名所有人,因此这个域名就成为了不法分子违法犯罪活动“帮凶”和“替身”。

所以鹅师傅想提醒,长点心吧,自己注册的域名,记得到期要续费或者申请注销备案。

2. 偷天换日型:使用虚假信息进行恶意备案

这种手法,就是利用不法渠道获得的公民个人信息、企业经营信息等,通过冒用他人或其他企业,进行恶意备案

那么这些真实信息究竟是怎么获取的呢?不法分子获取虚假信息的方式通常有两种:

一是通过窃取、购买等非法手段获取。

是老生常谈的个人信息“四件套”(身份证、手机卡、银行卡、U遁)。

还有企业信息“八件套”(对公银行卡、U盾、法人身份证、公司营业执照、对公账户、公章、法人私章、对公开户许可证)等。


二是通过查询方式获取公开的信息,如企业工商登记信息等。

不法分子根据获取到的相关信息,伪造企业营业执照、手持证件照等材料,通过代人脸认证平台合成人脸视频,从而破解备案过程中的人脸识别环节。

接着,他们还通过接入接码平台,绕过手机验证码检验,冒用他人或企业身份进行虚假的恶意备案。

3. 坑蒙拐骗型:诱骗他人帮助备案

除了以上两种方式,近年来不法分子手段不断升级,发明出了更高阶的作案手法,那就是诱骗他人帮助备案

相比之下,这个手法更加难以识别查处,毕竟监管部门面对的,是一个真实的人

不法分子通过线上或线下途径,以兼职等名义,坑蒙大量不明情况的个人,获取其个人信息或引诱其全程协助完成备案。


更有甚者,不法分子还会组织这些被坑蒙的个人,前往工商部门大量注册企业,后利用他们使用这些信息为不法网站进行恶意备案。(更多可回顾鹅师傅早前揭露此类诈骗的文章《 新型兼职“骗局”:出借身份证,月入过万,还能做老板?》)

这种恶意备案的手法所使用的,均为真实有效信息。

备案的行为也是当事人被引诱或欺骗后作出的“真实”意思表示。

现有的审核策略难以有效的识别。但即使能够识别,也很难在备案审核阶段将其认定为违规行为进行处理。

只有当完成备案的网站或域名转移至不法分子手中由其真正支配使用,出现“实名不实人”的情况时,才能认定其属于恶意备案。

这提醒我们:光靠事前审核已很难奏效,还必须建立起备案后的事中抽查或者巡查,才能有效地应对恶意备案的新挑战。

3

ICP恶意备案,不法分子网络犯罪的“障眼法”


ICP恶意备案,就像障眼法。

它既使得不法分子可以更容易地诈骗他人上当,又可以让他们在“东窗事发”的时候溜之大吉,从而导致各种网络违法犯罪活动愈发地猖獗。


毕竟,这些网站所做的坏事,首先指向备案的个人或主体。

ICP恶意备案的行为,为网络安全带来相当大的危害,比如:

1. 违反实名备案要求,逃避监管。

首先,这种行为就是恶意逃避监管的表现。

ICP恶意备案使用虚假信息登记备案,刻意违反实名制要求,积极追求隐藏真实身份以逃避监管的平台身份资源,严重破坏实名制规则。

落实ICP备案制度,就是为了通过加强对网络服务提供者的实名制管理。

进一步加强对网络服务提供者提供网络服务的监管,促使其遵守互联网相关规定规范提供服务,促进互联网健康、有序发展。

2. 平台违法犯罪活动的根源

ICP恶意备案产生的大量带有虚假身份认证的域名,进入下游后被用于各种平台类的违法犯罪活动,钓鱼网站、平台诈骗、赌博网站、黄色网站等。

正是由于ICP恶意备案为这些不法平台隐藏了真实身份,才使得他们可以肆无忌惮地利用网络平台作恶。

可以说,ICP恶意备案已经成为各类平台违法犯罪活动的根源所在

只有从严打击ICP恶意备案行为,才能从源头上有效治理网络平台的违法犯罪问题。


4

ICP恶意备案的法律规制


一直以来,由于对ICP恶意备案行为危害性认识的不足,对其关注大多停留在网站关停等行政监管层面,很少启动刑事司法程序,现实中也基本没有针对该行为的判例。

但鉴于该行为的日益泛滥以及对下游犯罪的巨大帮助和促进作用,有必要通过刑事手段进行规制打击。

1.  构成侵犯公民个人信息罪

针对恶意备案过程中,使用非法方法获取公民个人信息的,或者将已经备案的绑定他人实名信息的域名,非法提供给下游使用的,应构成侵犯公民个人信息罪。

但这里也存在着问题值得进一步讨论,对于以企业身份进行备案的,企业工商登记资料中公开的法定代表人信息是否属于公民个人信息,将使用该部分信息完成备案的域名向他人提供的,能否成立侵犯公民个人信息罪?

对此,结合两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中的规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

只要信息满足能够单独或者结合识别特定自然人身份或者反映特定自然人活动情况,不论其是否公开,应都属于侵犯公民个人信息罪所保护的“公民个人信息”。

也就是说,侵犯公民个人信息罪所保护的并不仅仅是公民个人隐私信息,而是所有具有标识特定自然人作用的个人信息,禁止对此类信息的非法获取或者对外提供。

因此,我们认为,上述情况应也构成侵犯公民个人信息罪

2. 伪造、变造、买卖国家机关证件罪或伪造、变造、买卖身份证件罪

ICP备案过程中,企业营业执照或公民个人身份证是核实备案主体身份的必备材料,恶意备案通常需要使用其它企业的营业执照或其它个人的身份证件以达到隐藏自身的目的,因而往往涉及企业营业执照或公民个人身份证件的伪造、变造或买卖行为。

但ICP备案使用的是线上审核方式,所有证件均只需要验证图片、扫描文件等电子件,是否恶意备案过程中通常只涉及对企业营业执照或公民个人身份证件的电子件进行伪造、变造或买卖,而不涉及证件实物。

针对以上证件的电子件实施的上述行为,是否也能成立相应的犯罪?

刑法第二百八十条规定的伪造、变造、买卖国家机关证件罪及伪造、变造、买卖身份证件罪,保护的法益是国家机关证件、身份证件的公共信用。而证件电子是证件原件的数字化呈现,与原件具有一致性,因而也具有同样的证明效力,并且只能为证件所有人所持有以证明其自身的身份。因此针对国家机关证件、身份证件的电子件的伪造、变造以及买卖行为,同样侵犯法条所保护的公共信用法益,破坏社会管理秩序。

互联网高速发展的今天,网络已成为人们生活的第二空间。

基于对证件原件与电子件具有同等证明效力的信赖,网络空间的绝大多数场景均使用证件电子件来验证和证明身份,如使用京东金融服务需要上传身份证电子件等,网络生活也因此得以有条不紊地进行和不断发展。

然而,如若不将证件电子件纳入刑法第二百八十条保护的范围,势必导致网络上针对证件电子件的不法行为泛滥,损害证件电子件的公共信用,最终使得整个网络空间的信任和验证体系崩溃,网络生活陷入瘫痪,严重扰乱经济和社会秩序。因此,将证件电子件纳入法条保护的范围也显得尤为地必要

另外,刑法第二百八十条中规定的“国家机关证件”、“身份证件”,并无限定为证件原件,将以电子件、复印件等形式存在的“国家机关证件”、“身份证件”解释为“国家机关证件”、“身份证件”,并无超出词语本身具有的含义,属于法律允许的扩大解释。

因此,恶意备案过程中对企业营业执照或公民个人身份证件的电子件进行伪造、变造或买卖的,应成立伪造、变造、买卖国家机关证件罪或伪造、变造、买卖身份证件罪

3. 帮助信息网络犯罪活动罪

恶意备案为下游提供虚假备案的域名帮助其隐藏真实身份逃避监管,这绝非社会正常活动所需,只能是用于违法犯罪用途,故恶意备案行为实际上是为下游提供专门用于违法犯罪的帮助行为,或是为他人逃避监管提供帮助的行为。

根据两高《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》的相关规定,可以认定行为人对下游利用信息网络实施犯罪存在明知,在有证据证明下游存在犯罪的前提下,备案行为人明知他人利用信息网络实施犯罪,仍为其犯罪提供帮助行为,成立帮助信息网络犯罪活动罪

4. 对诱骗他人帮助备案行为的思考

诱骗他人帮助备案,备案人所使用的信息均是合法有效的信息,甚至不法分子回收该部分已备案的域名并向外提供的行为,也是经备案人授权同意的,因而对该行为着实难以通过侵犯公民个人信息罪和伪造、变造、买卖相关证件的罪名进行规制。

而对于帮助信息网络犯罪活动罪,由于该罪名的适用在一定程度上依赖于下游犯罪活动的查实,在证明上存在着天然的障碍,实践中很难得到有效地运用。

事实上,这种类“众包”型的犯罪手法,并不仅仅存在于恶意备案行为中,在非法支付、接码打码等众多的网络黑产活动中也得到广泛的应用,并逐渐演化为整个网络黑产发展的新趋势。

对于此种犯罪手法,无法通过评价手段行为的违法性来进行有效的打击,除考量其对下游违法犯罪活动的帮助作用外,对行为本身是否存在违法性进行评价,具体到恶意备案的问题,就是要直面“使用非本人信息进行备案”、“对外提供已备案域名”行为的违法性,才能从根本上回应类“众包”问题给司法实务带来的新挑战。

5

与ICP恶意备案的对抗,始于制度之初


ICP备案制度,一开始是来源于2005年信息产业部出台的《非经营性互联网信息服务备案管理办法》的规定。但制度设立之初,并不是所有的网站都严格按照规定落实备案。

2008年前后,信息产业部开始着力落实ICP备案,要求谁接入谁负责,对没有备案的网站一律关停,对没有履行备案管理责任的接入端企业进行处罚,但依然有部分小型的接入端企业铤而走险。

到了2010年,工信部对备案系统进行大规模升级。之后备案系统也在与恶意备案的持续较量中不断地完善和升级识别、对抗策略,有效地打击和阻断了绝大部分的恶意备案行为。但恶意备案的作恶手法层出不穷,双方的攻防对抗此消彼长,这里的安全策略和技术对抗将会长期存在。

因此,对ICP恶意备案的治理,从来都不是企业或监管方任何一方所能单独解决的,需要整合起企业、政府以及社会多方的力量,从技术、政策、法律甚至宣传教育等多个层面建立起立体化的打击治理体系。



 推荐阅读 

喜欢就马上一键三连👇

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存