全球每分鐘因網絡犯罪導致的經濟損失高達290萬美元,每分鐘洩露的可標識數據記錄為8100條,而頭部企業每分鐘為網絡安全漏洞所付出的成本則達到25美元。
這組2018年的觸目驚心的數字來自公安部第三研究所網絡安全法律研究中心與百度近日聯合發佈的《2019年網絡犯罪防範治理研究報告》(以下簡稱《報告》)。
正如《報告》所揭示,治理網絡犯罪、打擊網絡黑產,已成為互聯網發展中的必答題。
一直被嚴打,始終難根除。面對日益猖獗、技術手段不斷翻新的網絡黑產,如何才能實現有效治理?
新型網絡犯罪層出不窮
黑產,是黑色產業的簡稱,網絡黑產是指通過網絡利用非法手段獲取利益的行業,比如利用互聯網商業行為的漏洞實施攻擊以牟利。
《報告》提到,網絡黑產呈產業鏈組織嚴密、反偵察意識強烈、跨平臺實施犯罪、內外部相互勾結等趨勢,主要類型包括電信詐騙、惡意程序、流量劫持、DDoS攻擊、侵犯公民個人信息等。
在近日由中國犯罪學學會、中國人民大學刑事法律科學研究中心、騰訊公司安全管理部聯合主辦的互聯網安全與刑事法制高峰論壇現場,主辦方搭建的“黑產實驗室”則更直觀展示了網絡黑產供給鏈的全流程。
手機群控、箱控設備、深度偽造AI“變臉換聲”、惡意爬蟲攻擊等網絡黑產場景,使用群控軟件自動增刪好友、收發信息等技術應用,讓現場觀眾深刻感受到網絡黑產的運行方式及危害性。
“網絡黑產犯罪已形成分工明確的上、下游黑產鏈條,而為各類網絡黑產提供支撐的供給鏈也劃分出物料、流量和支付三大要件。”現場工作人員告訴科技日報記者,其中,物料為網絡黑產提供犯罪原料和技術工具,流量負責觸達受害人群,支付解決黑產獲取贓款的資金通道。
隨著新技術的發展,這三個要素也正在發生變化。其中,網絡黑產的物料由此前的包括居民身份證件、銀行卡、手機卡、U盾的個人信息“四件套”,擴展到指紋、面容、聲音等生物信息。例如,有人利用“換臉”製作虛假的淫穢視頻進行傳播,還有犯罪團伙通過3D軟件合成“假臉”認證網絡平臺賬號,在受害人不知情的情況下,進行虛假註冊、刷單、薅羊毛、詐騙等不法行為。
騰訊安全管理部高級總監黃凱指出,在非法支付結算環節,包括惡意註冊賬號仍然是源頭,虛擬商品交易成為主要渠道,非法支付渠道向普通個人賬號轉移的趨勢明顯,商戶支付接口被聚合支付平臺違法挪用情形增多,電商、通信運營商等大型可信商戶成為對抗新焦點。
隨著新技術、新業態的不斷湧現,網絡犯罪也呈現出新的犯罪類型及特點。《報告》認為,產業鏈利益關係複雜且發展迅速、存證取證難、犯罪跨平臺且資金流向分散等特點共同構成了網絡黑產的治理困境。
各大網絡平臺成技術對抗主力
《報告》建議,打擊網絡黑產要做到生態治理,形成黑灰產治理聯盟,共享黑產情報、黑產人員和技術數據庫等;做到防治結合,通過個案及時優化風險策略;做到社會共治,監管機關與企業聯動,做好群眾普法工作等。
在這過程中,各大互聯網公司成為技術對抗網絡黑產的主力。
針對央視近日報道的電商平臺刷流量、假評論等黑色產業鏈一事,小紅書回應稱,黑產刷量行為是小紅書一直以來嚴厲打擊的對象,平臺早已設有獨立的反作弊技術團隊。今年以來,小紅書先後從平臺規則、用戶監督等多個層面完善內容治理措施,包括根據廣告違規詞限制,對化妝品、保健品、食品類商品的內容描述展開全面清查,升級技術手段,嚴懲數據造假、虛假筆記。
該公司還表示,今年推出了“小紅書生態官”的舉報反饋機制,通過用戶對無法明確判定的筆記進行投票,來影響相關筆記的展示結果。截至目前,小紅書今年已處理涉及黑產賬號1881萬個,作弊筆記439萬篇。
騰訊則於2014年發佈“守護者計劃”,聯合政府、企業等社會各界力量構築網絡安全生態體系,旨在用科技為公民信息安全提供全方位保護,協助警方打擊網絡黑產及其他犯罪,曾協助公安部破獲“9.27”特大竊取販賣公民個人信息案、“慈善富民”民族資產解凍詐騙案等。
今年8月,騰訊正式推出“守護者智能反詐中樞”,利用其AI技術、大數據分析能力和海量用戶優勢來進一步打擊新型網絡黑產。據騰訊方面的數據,依靠守護者計劃智能反詐中樞的能力,2019年上半年,騰訊守護者計劃協助公安機關開展電信網絡詐騙及上游黑產打擊行動,協助各地公安機關共計破獲案件26件,抓獲人員1500餘人,涉案金額近4億元。
公開資料顯示,百度也藉助人工智能,通過百度大數據、威脅情報、深度學習等技術,建立了“百度安全網絡黑產監測與檢測系統”,打擊網絡黑產。
遏制黑產要在法律上進行嚴打
事實上,網絡黑產類似病毒,互聯網平臺作為防守方,主要是被動防禦,並不能從根源上杜絕。有些黑產的快速迭代能力甚至超過各平臺的技術迭代。業內人士認為,真正有效的機制是在法律上進行嚴打。只有讓黑產從業者意識到其所要承擔的法律風險是其所獲得利益不能衝抵的,黑產才能真正被有效遏制。
華東政法大學知識產權學院教授叢立先此前曾表示,雖然刑法、網絡安全法、治安管理處罰法等對網絡黑產都能起到一定的規制作用,但由於網絡黑灰產包括的範圍很廣,因此並沒有一個專門的統一規定來規制網絡黑灰產。
今年10月,最高人民法院、最高人民檢察院聯合發佈《關於辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)對《刑法修正案九》新增網絡犯罪罪名作出了進一步的明確。
北京市海淀區人民法院近日公開審理了陳某、黃某非法利用信息網絡、竊取信用卡信息一案。此案也是《解釋》自11月1日起施行後,北京市按照該解釋辦理的第一件案件。根據《解釋》有關精神,凡是設立假冒金融機構的釣魚網站,就已經達到了“情節嚴重”標準,可以不再考慮數量或者獲利,而按照非法利用信息網絡罪定罪處罰。據此,海淀法院判決被告人陳某犯竊取信用卡信息罪,依法判處有期徒刑三年零六個月,並處罰金5萬元;判決被告人黃某犯竊取信用卡信息罪,依法判處有期徒刑三年零六個月,並處罰金5萬元。
無疑,法律的韁繩勒的越來越緊。但這只是個開始。
叢立先認為,執法部門的整體水平還有進一步提高的空間。存在的主要問題是治理思路不夠清晰,工作方式被動性大於主動性。此外,還需解決治理部門眾多而又交叉、多頭管理、權責不清的問題,應進一步明晰管理部門的監管權責。
公安部網絡安全保衛局副局長許劍卓則表示,當前我國在網絡安全治理體系和治理能力建設方面還存在較大欠缺。國家層面國與國的利益矛盾、政府層面局部利益和整體利益的矛盾、社會層面個人利益和企業利益的矛盾,成為目前制約公安機關開展維護信息網絡安全工作的三大難點,“需要不同層面各個主體一起推動共同解決,尤其需要法律工作者加強研究。”
同時,也有業內專家強調,網絡黑產犯罪形式較為複雜,企業、公眾均不能置身事外,應當協同抵制網絡黑產。公眾要提高警惕,不輕易打開有風險的網站、短信、鏈接等,儘量訪問具備安全協議的網站,受到網絡黑產侵權時,應及時向有關部門和網絡平臺反映維權。(操秀英)
閱讀更多 新華網客戶端 的文章
