频发的网络黑灰产业案件倒逼相关平台和部门技术升级、完善风控规则、优化反欺诈模型和系统构建、提升预警触发机制敏感度、武装法律牙齿。
6月5日《法制日报》报道了两起关于“非法获取计算机信息系统数据罪”的案件——在浙江,有不法分子采用“撞库打码”方式大量获取并贩卖公众的淘宝账号和密码非法获利;在江苏,被告人何某某通过自制软件窃取百度推广商户的账号、密码,添加自己制定的关键词,用于推广以诈骗为目的的微信号,给大量商户造成经济损失。前者是全国首例宣判的“撞库打码案”,两起案件的几名被告人均被判处有期徒刑并处罚金。
一个晚上“盗刷了十几个账号,挣了近10万”——这是消费金融盗刷“资深玩家”的“家常便饭”,而这仅仅是互联网黑灰产业的冰山一角。互联网黑灰产业除了常见的网银盗刷、违规办信用卡及提额套现,还有病毒链接、冒用身份信息骗贷、养卡、恶意“羊毛党”,等等。其危害不仅会对互联网金融、公民个人信息、网络数据等领域造成重大损失,还会对计算机信息系统安全和网络空间管理秩序甚至国家安全等带来潜在威胁。
前述新闻披露的犯罪手法是自制软件、“撞库打码”。“撞库”通俗理解就是有人会使用相同的账号密码绑定不同网络平台,一旦其中一个被不法分子盗取,就用这一账号密码去其他平台“撞运气”,因此可能导致用户信息“全军覆没”;“打码”则是用技术手段突破验证码的防线实现非法登录。不难看出,当前以网络黑灰产业为代表的涉网犯罪行为,越来越专业化、技术化、产业化,大多已经超出普通人的理解和想象。
据报道,目前国内网络黑灰产业的直接从业者超过40万人,加上辅助性质的上下游人员,从业者超过160万人;网络黑灰产业年产值约1100亿元,俨然已经是一个隐秘而庞大的产业。令人担忧的是,网络黑灰产业“玩家”正在不断更新自己的技术和犯罪方式,其利用大数据的能力甚至超过一些互联网企业。普通人在这些“高级”不法分子和违法行为面前,几乎毫无招架之力。
网络黑灰产业“步步高”,倒逼我们的围剿打击必须稳准狠。其中,如何走出信息孤岛、风控不足、法律过于“温柔”等困境,是相关方面必须面对的问题。
比如,一些科技公司会利用自己的优势打击网络黑灰产业,同时协助公安机关破案,但多是各自为战,信息与技术没能实现共享,导致为解决同一问题而重复投入;再如,一些平台提供的服务存在安全漏洞,黑客便可由此切入;此外,我国刑法中对提供入侵计算机信息系统程序罪、非法获取计算机信息系统数据罪等的认定和量刑较为“温柔”,“情节特别严重的,处3年以上7年以下有期徒刑,并处罚金”。
这就迫切需要我们在打击互联网黑灰产业时,必须出重拳、出组合拳。有业内人士曾表示,中国现在网络黑灰产业一年的产值千亿元,而做网络安全的全部产值不到300亿元。数字的对比为我们敲响了警钟,频发的网络黑灰产业案件倒逼相关平台和部门技术升级、完善风控规则、优化反欺诈模型和系统构建、提升预警触发机制敏感度、武装法律牙齿。
魔高一尺道高一丈。在打击网络黑灰产业方面,像腾讯、京东、阿里巴巴等公司利用自身技术专长行动起来,比如一家公司金融业务推出关系图谱技术、行为序列、神经网络模型等技术来对抗网络黑灰产业等。我们期待更多科技公司、大数据公司与公安部门、社会公众一起行动起来,形成合力,共同遏制网络黑产的蔓延。
维护公众利益和网络安全,围剿网络黑灰产业,我们必需时刻保持高压。