互联网黑灰产从业人员三年前已超40万,90后成主要受害群体
随着技术手段的迭代更新,网络黑灰产呈现出从论坛、网站向社交群组聚集,向国外等地转移的特点。此外,作案手段不断翻新变化,甚至有网络运营商涉案。
《2018网络黑灰产治理研究报告》指出,网络黑灰产新趋势越来越多样化,以通信网络诈骗为主的黑灰产业链逐渐向境外转移;黑产从业人员沟通圈子扩展到更多即时通信工具、平台等,给监管治理带来巨大挑战。
目前,网络黑灰产正面临取证困难、协同配合遇障碍、能力建设投入不足等治理困境。《报告》建议,应构建政企多方联合机制,共筑安全“防火墙”。
犯罪人员:21岁到30岁占比45.3%
据不完全统计,从2015年开始,互联网黑灰产业从业人员就已经超过40万。
《报告》指出,传统网络黑灰产从业人员与现代互联网技术发展相结合并发展至今,形成了一个平台化、专业化、精细化、相互独立,紧密协作的产业链,从业人员主力日趋年轻化。
以黄牛产业链为例,从软件作者、软件代理到黄牛群体、变现方式等,体系复杂、分工精细。各类网络黄牛在电商平台开展让利促销活动时,通过用黄牛抢购软件抢购商品,转而进行加价售卖牟取暴利。
2017年11月,山西省太原市迎泽区人民法院对“黑米天猫”软件的制作者、销售者判处有期徒刑并处罚金,这是国内首起黄牛抢购软件案。犯罪分子通过建立“黑米”系列抢购软件销售网站、网站维护、代理销售该抢购软件,除了从软件中直接充值“点数”获利,还可以抽取“秒杀”成功商品部分差价,从中非法获利,干扰正常经济秩序。
从年龄来看,网络黑灰产从业人员主力日趋年轻化。以诈骗类黑灰产为例,黑灰产从业人员以26岁至30岁为主,不同类型的诈骗形式分布在全国不同地域,具有明显的聚集性特征。从年龄分布看,21岁到30岁占比45.3%,其次是11岁至20岁,占比17.02%,31岁到40岁占比15.69%;从性别分布看,男性占比68%,女性占比32%;从区域分布看,排名前三省份分别是广东、江苏和浙江,占比分别为18.58%、5.93%、5.82%。
据统计,冒充公检法机关工作人员实施电信网络诈骗犯罪的案件中,老年群体为主要受害者,而财务诈骗类案件中,主要受害者则是年轻群体,兼职刷单类案件中,大学生群体为主要受害者。
网络黑灰产犯罪案件中受害者年龄段分布数据显示,18岁-25岁年龄段在整个受害者年龄段中占比最高,接近60%,其次是26-30岁年龄段,占比20%。可以归纳出,90后成为网络黑灰产主要受害群体。此外,从地域分布上来看,受害群体主要集中在广东、江苏、河南、湖南、福建、湖北等地。
犯罪手法:社交平台群组成犯罪沟通阵地
网络黑灰产犯罪团伙会利用YY、QQ、QT等社交平台,组建群组用于黑灰产信息沟通,这些群组成为组织、指挥、策划等犯罪活动的聚集地。通过QQ,黑灰产从业人员可以轻易获取个人信息,以及各类实施犯罪行为的账号、软件等工具。
《报告》指出,网络黑灰产新趋势越来越多样化,以通信网络诈骗为主的黑灰产业链,逐渐向境外转移;物联网卡等成为黑灰产业链新宠;黑灰产从业人员沟通圈子扩展到更多即时通信工具、平台,这些新变化给监管治理带来巨大挑战。
几年前,传统技术类黑灰产软件往往是由一人开发。但如今黑灰产技术类软件的分工越来越细致,一个软件可在短时间内,由几个独立模块拼装而成,也使得软件开发的技术难度大幅降低。恶意群组的存在也加速了各种非法技术手段的传播,流通到市场上的技术类软件越来越多,对社会造成的危害不断升级。
这些群组聚合力和控制力极强,曾一度出现线上聚众攻击正常用户、线下聚众闹事等严重影响社会稳定的事件。随着国家对黑灰产行为治理和打击力度加强,这些黑灰产群组也懂得如何采取各种隐秘的规避手段,来逃避治理部门的监管。
虽然各方的打击力度不断加大,网络黑灰产却依然在暗中野蛮生长,变得更加隐蔽化与精细化。银行、保险、卫生、交通、快递⋯⋯跟公民信息和隐私数据紧密相关的产业中,黑灰产“内鬼”悄无声息地侵入。
个人信息在企业的经营业务中层层流转,留下了诸多可供“内鬼”利用的漏洞。据公安部统计,2016年至2017年5月,全国公安机关抓获了5000多个侵犯公民个人信息案的犯罪嫌疑人,其中450多人是各行业内部人员。业内专家表示,“内鬼”已经成为实施侵犯公民个人信息犯罪的重要主体。手握大量个人信息的企业甚至政府部门,面临着一场从技术到意识都亟待升级的持久战。
与普通手机SIM卡相比,物联网卡只提供网络连接功能,由于市场需求巨大,出现大量第三方物联网云服务平台,各类廉价和非实名物联网卡在地下市场上广泛交易,这些特征都满足犯罪分子网络连接和隐匿身份的需求,也给黑灰产溯源和打击带来巨大挑战。
犯罪特点:向海外地区转移,利用虚拟货币洗钱
《报告》指出,随着国内公安机关打击力度不断增大,犯罪分子逐步开始向更隐蔽的区域转移,阵地已由传统的村庄转移到了环境偏远、人迹罕至的深山等。为规避监管,越来越多犯罪团伙开始向东南亚等海外地区转移,使用境外服务器做跳板,利用国内外监管存在的“中空”地带实施犯罪,从而增加监管打击难度。
据公安部公开数据,2017年全国多个省区市连续发生冒充公检法机关工作人员实施电信网络诈骗犯罪的案件,涉案金额巨大,社会影响恶劣。2017年以来,公安部先后18次派工作组赴斐济、印度尼西亚、马来西亚、柬埔寨等20余个国家和地区开展打击电信网络诈骗犯罪警务合作,共成功捣毁境外电信网络诈骗犯罪窝点128个,抓获包括211名台湾人在内的1196名犯罪嫌疑人,押解带回犯罪嫌疑人1014名,破获案件5000余起,涉案金额3亿元人民币。
2017年10月开始,公安部统一部署在全国开展打击跨国电信网络诈骗犯罪工作。经两个多月的调查,位于菲律宾马尼拉等地的电信网络诈骗犯罪窝点具体位置最终被锁定。今年1月,公安部工作组联合菲警方,在马尼拉、维甘等地开展统一收网行动,成功捣毁6个电信网络诈骗犯罪窝点,抓获犯罪嫌疑人151名(大陆73人、台湾78人),缴获电脑、银行卡等一大批作案工具。
与此同时,网络黑灰产的洗钱平台也转向海外,比特币、游戏币交易等成为黑灰产普遍使用的洗钱方式。
为逃避法律制裁及警方侦查追踪,越来越多黑灰产选择以比特币方式进行交易。这是基于比特币去中心化、不可溯源且匿名性特征,任何一台连接互联网的电脑都可以进行点对点比特币转账,资金流动只依赖于网络,不需要第三方机构如银行等,所以难以监管,也没有额度限制。
2018年6月,广东省公安厅在“安网计划”行动中抓获以郭某海为首的网络赌球团伙。郭某海在接触网络赌球前,当过厨师、做过外贸等,收入不高。2017年11月,他在微信朋友圈看到朋友发的网络赌球的信息,被高额收益诱惑,便找门路做起网络赌球“生意”,其网络赌球平台在20多天涉案金额达550亿元。郭某海被抓后,警方查出了其市值1000多万元的比特币等虚拟货币。
治理困境:跨平台、地域作案,取证困难司法成本高
网络安全是现代商业发展的关键保障,当前网络犯罪已成为第一大犯罪类型,没有一招制敌的措施,也没有一劳永逸的方法。随着技术手段不断翻新,新型黑灰产犯罪已成顽疾。
目前,黑灰产正利用社交、电商、银行、电信运营商等各平台间信息的不互通,跨平台作案;黑灰产犯罪产业链冗长,各团伙的分布地域极其分散,跨地域、小额多笔的作案特征非常明显。这使得普遍使用的立案标准很难对黑灰产犯罪行为形成有效管辖。此外,当前法律规定对电子数据证据的合法性、真实性、关联性疑义较多,人机同一性认定难,对犯罪嫌疑人、被告人的辩解缺乏认定或排除的方法,这些导致共同犯罪参与数难以认定。
同时,对于新型网络犯罪案件行为性质的认定在现行法律框架内存在较大争议,是否入罪、适用什么罪、如何量刑等问题难以统一认识,导致网络黑灰产在司法程序上成本极高。
《网络安全法》规定,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。在司法实践中,一些企业主动报案、输出犯罪线索并提供技术支持,协助侦查部门破获了不少新型网络犯罪案件,但在审查逮捕、起诉和审判等方面的配合鲜有突破性进展。
《报告》指出,上述原因在于治理网络犯罪的协同配合存在障碍。一些地方司法机关对互联网经营模式、规则、方法及其技术逻辑等相关背景知识和网络黑灰产的特点了解、认识不足,存在对网络犯罪案件不会办、不敢办、不愿办的现象;另外大多数技术专家缺乏法律、证据等方面的司法实务经验,从而出现一方提不出问题、另一方给不了答案的现象。
目前,除《刑法》规定提供侵入和控制计算机信息系统程序工具罪之外,未有行政法规对软件的开发、功能审查、上市、传播、使用的技术标准、法律责任等进行规定,行政法规的缺位,导致司法实践中对提供技术帮助的事实认定、法律适用、罪与非罪等方面认识不统一、处理结果差异大。
《报告》指出,刑法仍无法有效应对网络犯罪。具体表现为:当前网络犯罪面临管辖难、立案难、取证难、认定难等问题;司法实践中面临网络恶意行为的性质以及提供技术帮助行为的性质确定等问题,严重影响网络犯罪的综合整治效果;大多数刑事案件只是就案办案,极少全链路追诉各个环节的帮助行为,使用刑法新增罪名非法利用信息网络罪和帮助网络犯罪活动罪的案例极少;电子数据的收集、运用成为难题。
此外,虽然在与网络安全威胁的对抗中,互联网产业积累了运用大数据发现和预防网络违法犯罪的丰富经验,但是,此类经验在网络空间治理、打击网络犯罪中的运用不足。
《报告》称,各自为政、数据孤岛、技术薄弱、人才缺乏等现象仍然存在,缺设备、缺系统、缺经费等问题影响发现、预防、遏制、打击网络犯罪综合治理手段的运用。执法衔接难以推动、数据信息共享程度低、软件和电子数据鉴定机构严重不足、人机对应认定缺少可靠技术、远程询问证人基础建设还未启动等问题,亟待解决。
数据显示,实施网络犯罪的主体以年轻人居多,且呈低龄化蔓延趋势。网络犯罪的目标对象也主要是年轻群体,如“徐玉玉案”的被告人和被害人都是90后;而兼职刷单诈骗案件中,被骗的大多是急于找工作的大学生。
《报告》称,对作为网络活动主体的年轻人,尤其是未成年人、在校生的上网安全教育不够,对因轻微违法犯罪受行政处罚或不起诉、免刑、缓刑的失足青少年未能进行有针对性、有体系性的教育,且矫正措施尚不充分。现有教育体系未能充分调动防范网络犯罪的积极性和自觉性,导致网民网络安全知识不足、抵御网络犯罪的意识不强。
建议:政企研多方联合,共筑安全“防火墙”
近年来,网络犯罪案占比已超过所有犯罪类型的三分之一以上,成为社会治理顽疾。作为世界性难题,网络黑灰产业一直困扰各国政府和执法机关,美国、英国等发达国家网络犯罪率如今均已超过传统犯罪模式。
《报告》建议,面对网络黑灰产治理困境,应构建政企研多方联动合作机制,加强治理制度与理念创新。
目前,全国有百余所大学设置了信息安全专业,多所重点院校设置了网络空间安全学院,网络安全人才培养的教育体系已初步形成,但在企业安全人才需求和高校的培养体系间仍存在鸿沟,需要整个安全人才培养理念和体系的升级。
《报告》指出,未来需要吸引更多其他领域人才跨界进入安全领域,阿里安全已建立起阿里双子座、阿里猎户座、阿里潘多拉、阿里归零等安全实验室,为黑灰产治理安全人才培养奠定基础。政府与厂商加强合作,同时还应有“行政主管单位+公安机关联动”的打击新手段。
根据网络黑灰产业链法律适用问题复杂的现状,公安机关以多部门联合治理、多警种协同打击为思路,以工商等主管机关以行政管理为突破点,对相关平台、网站进行管理;同时固定服务器数据,便于公安机关挖掘产业链上下游环节,最终针对全产业链刑事案件立案打击。
除各方联动之外,《报告》还建议,应实现黑灰产“防堵梳”的综合治理。
首先,应建设线上黑灰产防护体系。网络黑灰产综合交易平台及软件大部分集中在论坛、网站等,可通过网站的展示和服务器相关内容,及其在黑灰产中的功能角色,结合当前法律法规,来配合相关监管主体进行有针对性的打击处理,对于无法进行线下专案打击的,应充分利用行政治理手段高效性、便捷性,及时处置、关停、遣散这些显性违法群组、论坛等,可有效节约司法资源,提升司法效率。
对于线下治理,应当加大对技术类黑灰产关注与跟进力度。因强制力和处罚力度不足等原因,单纯的行政管理难以达到根治的理想效果;而由于法律适用等问题,刑事打击又难以对部分灰色产业链进行及时管制。因此,进一步推进“管理与打击”相结合的治理手段,加强线下案件治理是网络黑灰产治理的必由之路。
《报告》指出,沉淀网络黑灰产业人员和恶意技术的数据库也非常关键。应汇集黑灰产业从业人员的真实身份和网络身份,建成专门数据库,用于准入、网络追踪等,更好地挤压作案空间。
一方面,应制定相关法律法规,加大对软件行业的管理,通过采取作者实名、功能检测、备案溯源等制度,遏制恶意软件泛滥;对参与违法犯罪的软件制作者、提供者,应设置从业限制。另一方面,应加强对犯罪工具、程序的鉴定能力建设,统一鉴定技术标准。目前,鉴定机构稀少、鉴定方法、校验标准各不相同,一些案件使用几十款甚至上百款不同版本的犯罪软件,是否全部鉴定、如何鉴定等,成为亟待破解的难题。
需要特别注意的是,组建网络犯罪防治联盟也是不可或缺的举措。网络犯罪之所以跨平台作案就是为了割裂信息,增加查处难度,只有建立防范网络犯罪联盟,建立网络违法犯罪信息通报机制,才能有效预警和控制网络犯罪,在刑事诉讼中形成证据链。
出品:南都大数据研究院执行:南都新业态法治研究中心研究员 王琦 张雅婷
商务合作微信电话17679201938
更多内容请点击阅读原文