如果你的微博關注列表突然出現(xiàn)一堆營銷賬號，QQ突然被加進陌生群組，抖音莫名關注某網(wǎng)紅，也許黑灰產(chǎn)團伙已經(jīng)操控了你的賬戶。近日，浙江紹興越城警方成功偵破越城區(qū)史上最大規(guī)模的數(shù)據(jù)竊取案，阻止30億條公民信息泄漏。

    在阿里安全專案團隊和歸零實驗室的技術協(xié)助下，目前6名主要犯罪嫌疑人已被抓獲，其中5人已逮捕，公司負責人邢某已潛逃。

    用戶不知情，社交賬戶“自動”添加好友

    今年6月下旬，越城區(qū)公安分局網(wǎng)警大隊多次接到市民報案，稱在不知情的情況下發(fā)現(xiàn)，自己的微博、QQ等社交賬戶添加了陌生好友、關注，手機經(jīng)常莫名其妙收到各種垃圾廣告彈窗、短信，懷疑個人信息被泄露。

    同一時段，越城區(qū)公安分局網(wǎng)警大隊也接到阿里安全專案團隊提供的線索，稱有用戶反饋淘好友有異常添加陌生人的情況，疑似個人信息遭泄漏。

    多起報案的同質(zhì)性引起警方高度關注。調(diào)查發(fā)現(xiàn)，報案人市民李某的賬戶數(shù)據(jù)于2018年4月17日被8個IP地址多次異常訪問，這8個IP地址隸屬的IP段還先后訪問超過5000人的賬戶。

    警方鎖定該IP段背后是北京瑞智華勝科技股份有限公司（下稱“瑞智華勝”）為核心的多家公司在操控，且多家公司實際控制人和作案團伙均系同一撥人，瑞智華勝為新三板上市公司。

    緊接著，警方針對這幾家公司的關聯(lián)、商業(yè)模式等展開調(diào)查，固定相關證據(jù)后，7月3日，紹興越城警方20多名民警在屬地警方配合下，在北京海淀區(qū)瑞智華勝公司對涉案人員實施抓捕，抓獲6名犯罪嫌疑人，公司實際控制人、主要犯罪嫌疑人邢某未在公司，聞風而逃。

    隨后，警方從盤根錯節(jié)的關系網(wǎng)中反復探索、偵查，揭開了一個分工明確、獲利頗豐的黑灰產(chǎn)犯罪團伙真面目，也發(fā)現(xiàn)了一種完全新型的數(shù)據(jù)盜竊作案手段。

    “打劫”運營商竊取數(shù)據(jù)

    警方偵查發(fā)現(xiàn)，涉案的瑞智華勝等三家公司主要成員均系同一伙人，辦公地點也一樣。同一個團伙為什么要開三家公司？

    原來是為了用不同的公司主體干不同的事情，掌控整個產(chǎn)業(yè)鏈：兩家公司主要與運營商簽訂服務合同，獲取權限，進而竊取數(shù)據(jù)，而瑞智華勝則主要將數(shù)據(jù)加工、處理，通過精準營銷、惡意彈窗、加粉、刷量等方式獲利變現(xiàn)。

    據(jù)警方介紹，在“大老板”邢某的安排下，從2014年開始，黑產(chǎn)公司通過競標的方式，先后與全國多家運營商簽訂正式的服務合同，為其提供精準廣告投放系統(tǒng)的開發(fā)、維護。

    簡單來說，每家運營商都要針對不同用戶做比較精準的信息推送，比如流量使用提醒等，主要靠這個系統(tǒng)。

    在提供軟件服務的過程中，該犯罪團伙獲得了運營商服務器的遠程登錄權限，并于2015年開始，在明知不合法的情況下，將自主編寫的惡意程序放在運營商內(nèi)部的服務器上，偷偷“劫取”流量。

    當用戶的流量經(jīng)過運營商的服務器時，該程序就自動工作，從中清洗、采集出用戶cookie、訪問記錄等關鍵數(shù)據(jù)，再通過惡意程序?qū)⑺袛?shù)據(jù)導出，存放在瑞智華勝境內(nèi)外的多個服務器上。

    cookie相當于用戶賬號的登錄憑證，不需要獲取帳號和密碼，通過cookie就可以進入用戶賬號，直接操作賬號做任何事情。

    利用cookie數(shù)據(jù)，該犯罪團伙登錄大量用戶的賬號，從用戶賬號中獲取用戶的搜索記錄、賬戶注冊資料等數(shù)據(jù)。

    除了獲取賬號內(nèi)的數(shù)據(jù)，該犯罪團伙還操縱賬戶加粉、刷量，并進行惡意彈窗推廣等方式非法獲利。

    “在鏈路末端，為實現(xiàn)加粉、提升百度搜詞排名等變現(xiàn)效果，瑞智華勝針對不同的軟件研發(fā)了不同的加粉程序，犯罪手法極其專業(yè)，技術水平較高。”單鐘穎表示。

    在鏈路末端，為實現(xiàn)加粉、提升百度搜詞排名等變現(xiàn)效果，瑞智華勝針對不同的軟件研發(fā)了不同的加粉程序，犯罪手法極其專業(yè)，技術水平較高。

    為毀滅證據(jù)，2018年4月犯罪嫌疑人團隊還連夜刪除多臺服務器上的大量數(shù)據(jù)，警方初步估算已被刪除的數(shù)據(jù)量也超過億條。

    黑產(chǎn)公司一年盈利上千萬成功上市

    8月13日，瑞智華勝公司發(fā)布公告稱，2018年7月，公司法定代表人、董事周嘉林及監(jiān)事黃健、梁修軍等人因涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪被紹興市公安局越城分局刑事拘留，黃健、梁修軍于2018年8月9日已被越城區(qū)人民檢察院批捕，周嘉林仍取保候?qū)?，案件尚待公安機關進一步調(diào)查。為配合公安機關調(diào)查，公司基本存款戶已被凍結(jié)。

    公開資料顯示，瑞智華勝成立于2013年，從2016年轉(zhuǎn)型做互聯(lián)網(wǎng)營銷，2017年12月1日正式掛牌新三板。

    瑞智華勝公司2016年的“成功”轉(zhuǎn)型，緣于該案主犯邢某的加入。邢某原是一家從事緩存業(yè)務互聯(lián)網(wǎng)公司的高管，2016年他帶領前公司多名技術人員一起到了該公司，開展互聯(lián)網(wǎng)營銷業(yè)務。

    從瑞智華勝公司財務數(shù)據(jù)上看，轉(zhuǎn)型做互聯(lián)網(wǎng)營銷確實令公司業(yè)績飛漲。2015年，其營收僅187萬元、凈利潤2萬元；到2016年，公司實現(xiàn)營收3028萬元，凈利潤1053萬元。

    而實際上，邢某主導的犯罪團伙在竊取數(shù)據(jù)后，操縱竊取來的用戶賬號，強制讓用戶關注的刷粉、刷量等服務，優(yōu)先為自家賬號使用。據(jù)犯罪嫌疑人供述，因瑞智華勝是上市公司，所有提供加粉、刷量、惡意推廣的費用都要通過旗下中科云智結(jié)算、走賬。

    瑞智華勝2017年年報顯示，最大供應商中科在線的采購比例近70%，主要通過中科在線進行賬號推廣，實際上就是加粉、刷量，而工商資料顯示，中科在線也是涉案團伙旗下公司。

    警方偵查獲得一份加粉效果結(jié)算單顯示，瑞智華勝旗下多個自媒體大V號，僅2018年1月就共計加粉21.8萬個，價格為0.5元/粉，結(jié)算金額為10.9萬元。

    不過，社交媒體的營銷收入并不穩(wěn)定。瑞智華勝在財報中自述，2017 年底，抖音和快手搶奪了互聯(lián)網(wǎng)用戶的大部分上網(wǎng)時長，微博、微信的流量中心地位被影響，加之國家加強對新媒體的監(jiān)管，公司營收出現(xiàn)明顯下降。

    黑產(chǎn)手段的進化也是與時俱進的，警方在辦案中發(fā)現(xiàn)，該公司詳細調(diào)研了抖音上500多個大V號，進行粉絲量、影響力等分析。

    中科系一個合作商負責人張某表示，從2017年初到今年6月使用中科的推廣服務，包括QQ加群、抖音加粉等，僅從2017年4月至9月，QQ累計添加超過14萬人，8個抖音賬號加粉1萬至十幾萬不等。僅QQ加群，張某就累計為中科支付超過36萬元，“不知道他們具體是怎么做的，但可以看到粉絲、QQ數(shù)量突然暴增。”

    通過對該公司簽訂的合同進行梳理，警方發(fā)現(xiàn)有超過50家公司與該公司進行推廣、加粉等業(yè)務合作，涉及北京、杭州、福州、深圳、臨汾、東莞、廈門、上海、廣州、成都等10個地市區(qū)。

    數(shù)據(jù)竊取波及全國 部分存儲海外

    ““從運營商的層面進行流量劫持和清洗，也意味著所有使用運營商流量的用戶都要被‘雁過拔毛’，互聯(lián)網(wǎng)公司再多的防護能力都沒有用，在源頭上數(shù)據(jù)就丟了。”一位業(yè)內(nèi)專家表示，應聯(lián)合共同抵制和打擊這類犯罪團伙，阿里此次為警方提供技術協(xié)助，從另一個方面來說，也為提高互聯(lián)網(wǎng)公司的整體安全水位作出了貢獻。

    警方通過數(shù)據(jù)反查發(fā)現(xiàn)，犯罪嫌疑人刑某所在公司，與覆蓋十余省市的20多家運營商，簽訂營銷廣告合作協(xié)議，但運營商均未對具體項目進行約束、監(jiān)督。因運營商監(jiān)管不到位，邢某等人才能布置惡意采集程序的方式，非法獲取用戶流量信息。

    警方統(tǒng)計發(fā)現(xiàn)，刑某通過運營商監(jiān)管不力而非法竊取的數(shù)據(jù)，涉及96家互聯(lián)網(wǎng)公司的用戶數(shù)據(jù)。幾乎國內(nèi)所有的核心互聯(lián)網(wǎng)企業(yè)無一幸免，也就是說，用戶在網(wǎng)上搜索什么隱秘信息、去哪兒、何時何地開房、買了啥等這些信息，均被該犯罪團伙掌握。

    而更可怕的是，警方偵查發(fā)現(xiàn)，為逃避監(jiān)管和追查，犯罪團伙還將部分信息存儲在位于日本的服務器上。

    目前該案還在進一步偵查中。