数万元被骗、假冒淘宝客服、接警地浙江湖州、受害人是新手卖家,几条线索摆在眼前。一边盘算如何顺藤摸瓜,一边赶往办公室,天赞要在今天晨会前巡查最新的安全情报。
各路情报在封闭会议室里汇集,墙上布满电子屏,实时监控虚假认证和交易等恶意行为。某省份的几处指标闪烁异常,天赞扫描式地盯着,来到屋子中央的巨型指挥台,向同事预警。
现在,9点15分。这里,阿里巴巴位于杭州的安全情报中心。天赞,阿里安全团队的“王牌特工”。
每天600分钟的极限挑战已开始。同事们鱼贯而入。20多人的晨会开始了,今天议题就一个:反电信网络诈骗。
分析信息、输出线索,处理突发案件
天赞,真名季勇强,是阿里巴巴安全部合成作战中心的资深经理。他左手边是分析组,负责日常安全情报、研判电信网络黑灰产业。右手边是行动组,负责处理电信网络诈骗等突发风险事件,联动所有相关业务团队,一起解决账号、交易、信息等安全问题。合成作战中心还与公安等政府部门合作,输出案件线索。
每天晨会前,大家查看内部系统抓取的动态数据,查收淘宝等产品团队上报的异常问题。会上,根据不同预警级别,选出10起案件列入当日议程。10点,大家各自领到任务。天赞还想着早上接手的线索,案子来得突然,但并不新鲜,典型的淘宝网店保证金诈骗。
他担心的不是案件这棵“毒草”本身,而是深埋地下的“毒根”——电信网络黑灰产业。这一切让他想起今年上半年公安部督办的一起专案,两者惊人的相似。
犯罪线上化、场景切割化趋势明显
今年1月,浙江刑侦总队传来消息,有人假冒淘宝买家和淘宝客服,专挑新手卖家,骗其缴纳“开店保证金”等费用,如衢州常山有人被骗走11万元。
诈骗过程很简单:第一步,假买家在新开网店大批量下单,让卖家误以为大买卖上门。第二步,用淘宝聊天软件旺旺告诉卖家“因卖家没有缴纳开店保证金,下单失败”,并发送虚假的系统消息截图,骗取手机号或QQ号。第三步,卖家被骗到QQ上。这时,假客服出现,发送付款二维码,让卖家登录虚假保证金缴纳链接。事实上,除了针对手机等部分类目产品,淘宝对普通卖家不征收这类保证金。而新手卖家对此并不了解。
2个月后,在福建三明、厦门警力支持下,常山公安局40名警力跨省查获6个诈骗窝点,意外缴获40款作案软件。天赞还记得,有一款专门物色新开店卖家的软件,能通过电商平台公开数据锁定“猎物”,获取新店注册时间地点、店铺介绍等信息。
案情并未止步。5月,软件作者孔某在杭州被查。现场发现了他编写的20多款软件,曾经出售的一款软件有扒窃58网痕迹。循着线索,警方揪出分布在三省12市的近50个团伙。目前,这起系列诈骗案正在进一步侦办,涉案金额3000余万元。
“招募黑客写软件可能在贴吧,组织骗子培训也许要用聊天室,而实施诈骗会从电商下手。”天赞分析,在线下犯罪线上化时代,网络诈骗不在同一平台完成,犯罪场景被切割了。而更大挑战来自这类线上犯罪的产业化。
软件、账号成网络黑灰产焦点
10点14分,安全情报中心电子屏突然显示,有黑客正利用网上泄露的用户和密码,批量测试相关网站,企图登录他人账号。天赞起身,这需要马上解决。
下午2点,会议室里,关于黑灰产业的报告分析会,阿里安全部总裁助理赵云等几位“特工”面前摆着分析组提交的报告材料。“从网店商品、买家评论等‘可见’安全业务到底层网络安全等‘不可见’安全技术,电信网络黑灰产已形成一条完整产业链。”赵云边看边说。研究显示,黑灰产大致分四层,呈金字塔状。
最顶层主要围绕“软件”,最有技术含量。第一类人——恶意软件开发者会在论坛等平台招募技术员,分包一款作案软件所需模块的编程任务。软件出炉后,第二类人——软件销售者粉墨登场,把软件卖给下家从事违法活动。
第二层主要围绕“账号”。任何网络行为都需要账号这个身份载体,网络诈骗也不例外。在这一层,第三类人——利用软件形成虚假注册和认证,每天可注册并卖出几万个垃圾账号。这些账号能用来从事电信网络诈骗等活动,冲击现有信用体系。
第三层主要围绕“信息”。非法售卖个人信息进入公司化运作,第四类人——大规模买卖身份证、银行卡等,用以刷单、刷票房等。很多大学生成为雇佣军。
最底层则充斥着诈骗、骚扰、盗号等常见电信网络犯罪行为。一些拥有心理学博士学位的人精心编排行骗剧本,更专业地攻破受害人防线,诸如诈骗导师等第五类人层出不穷。
讨论中,有同事了腾讯在今年初发布的移动支付网络黑色产业链年度报告。2015年以来,移动互联网诈骗更加高技术化。不法分子无须花时间诱骗受害人转钱,直接通过伪基站发送各种木马钓鱼短信。用户点击后,手机木马随即盗取用户个人信息。不法分子借机登录用户电商平台购物,并卖掉套现。整个过程中,用户几乎毫无感知。
2点半、3点、3点半……热议中,几位“特工”看到未来挑战。“从2013年初进入安全团队,我的‘作战’技能不断刷新,”天赞说,自己最近正接受反诈骗数据化、技术化等训练。5点,还要参加“双11”突发事件的安全应急培训。
手机工作群不断更新信息,同事们正陆续上传今天10起案件的处理简报:1号案件,犯罪场景切割化,软件开发者声称不知道软件用作诈骗。目前对此问题的监管还是空白。8号案件,线人提供新线索,某团伙在聊天群组织誓师大会,针对“双11”部署诈骗计划……就在天赞想继续询问时,手机响起。湖州警方告知,之前的诈骗案有了新线索。
6点20分,接完电话,手机只剩10%的电了。“中午才充过一次。”天赞摇摇头,每天600分钟真不够用。