绍兴市公安局党委委员、副局长王富灿汇报专项行动阶段性成果
提起人工智能,你是否会在第一时间联想到在围棋领域击败各路高手的AlphaGo?然而,在人们感叹技术发展的同时,一伙高端黑客却发现,要是训练人工智能去攻击网站获取公民个人信息,将非常方便地绕过原先最困难的网站安全策略,获取的信息量也将成几何增长……
9月22日下午,绍兴市公安局召开打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动新闻发布会。会上,绍兴警方汇报了专项行动阶段性战果,并通报了全国首例利用AI(人工智能)侵犯公民个人信息大案。
在该案件中,绍兴警方彻底摧毁入侵网站黑客团伙、制作撞库软件黑客团伙、利用AI技术识别图片验证码团伙、数据买卖团伙、网络诈骗团伙等43个犯罪团伙,抓获以黄某、吴某、魏某、郑某等为主的犯罪嫌疑人193人,成功截留被盗的公民个人信息10亿余组,缴获赃款600余万元及大量作案工具。
立足小案 揪出“人工智能”犯罪黑手
2017年2月,绍兴市公安局越城区分局接办越城区虞某被诈骗一案,虞某收到好友发来的代付请求信息,通过网上链接帮助所谓的“朋友”支付了一千余元款项。操作好之后,对方又要求虞某再支付,感觉到不对的虞某与好友通了电话,才发现自己是被骗了。
接到虞某报警后,绍兴市公安局越城区分局迅速研判,果断出击,在哈尔滨抓获了利用社交软件冒充好友实施代付诈骗的犯罪团伙。就在搜查罪犯的电脑时,一个13G的文件夹让民警惊掉了下巴!文件夹密密麻麻地存储着包含公民个人信息的TXT、EXCEL等文档,这些大小只有数十K的文档超过六十万个,内部包含的公民个人账户信息超过数百万个。
如此大量的信息嫌疑人是通过什么渠道得来的?这些信息源头在哪里?信息获取的手段又是什么?
通过深挖对公民个人信息账号密码买卖这条线索,警方发现了一条完整的涉及利用黑客技术非法获取网站后台用户注册数据、数据撞库、绕开互联网公司安全策略的“快啊”打码平台、网络诈骗、非法信息推广等互联网黑色产业链。
专案组辗转福建、广东、江西、黑龙江、辽宁、山东等13省展开侦查、抓捕,抓获利用黑客技术非法获取网站后台数据嫌疑人4人,使用撞库软件获取账户密码嫌疑人19人,提供图片验证服务的“快啊”打码平台的嫌疑人2人,制作撞库软件的9人,利用公民个人信息实施网络犯罪的团伙28个,共159人。
黑色链条 你的信息是这样泄露的
本案中的黑客杨某搭建提供图片验证码识别服务的“快啊”打码平台,一年内牟利1300多万元,为国内最大的打码平台。
“他们通过运用人工智能机器深度学习技术训练机器,可以让机器如AlphaGo一样自主操作识别,有效识别图片验证码,轻松绕过互联网公司设置的账户登录安全策略,给网络诈骗、黑客攻击等网络黑产提供犯罪工具。”办案民警介绍说,在此平台被打掉的前3个月,已经提供验证码识别服务259亿次。
有了图片验证码人工智能自动识别技术后,以黄某等为首的专业黑客犯罪团伙利用网站漏洞扫描软件,非法获取网站后台用户注册数据。之后,黄某等将包含各类邮箱和密码的数据进行整理,分门别类进行销售,以每10万组数据为一个单位,卖给下线——制作撞库软件黑客团伙。吴某、魏某等撞库人员拿到这些数据后,与“快啊”打码平台对接,进行批量撞库、匹配,将各类账号与密码匹配成功的账户贩卖给网络诈骗团伙。以郑某为代表的诈骗团伙利用获取的账号实施各类诈骗,大量诈骗案件由此而生。
吸取经验 上网时这些提示要记牢
从一个代付款网络诈骗案着手,深挖线索,打击账号密码泄露互联网犯罪。越城警方将这次案件中的撞库软件、快啊打码平台程序、神经网络图片验证码识别程序三个不同功能的软件重新搭建,模拟现实环境,全程录像取证,协同作用后,认定为一个能完整实现破解识别字符型验证码、撞库、洗库的软件系统,最终将涉案人员报捕。
“此案的破获,成为全国打击侵犯公民个人信息和提供非法侵入计算机信息系统工具犯罪、一次性抓获全链条涉案人员并成功起诉最多的案件之一。”绍兴市公安局相关部门负责人说,“与此同时,让我们主动发现管理中的漏洞,以便于及时通报、督促有关单位部门,采取有效措施加以整改、消除隐患,有效提升了互联网企业的安全防范能力。”
腾讯守护者计划安全团队在协助警方打击“快啊打码”平台中积累大量的相关安全经验。腾讯安全专家周正介绍,此案中“快啊”打码平台对字符型验证码的破解,给各大政企相关网站、互联网行业的用户数据安全带来了风险。广大网民在注册网络账户时,用户名和密码不要都设置成一样的,设置支付账号密码时,要设置复杂程度高的密码,不要使用生日或简单数字组合,账户的登录密码与支付密码要区别设置,以免被破译后盗取账户里的资金。
“针对代付电信(网络)诈骗,犯罪嫌疑人往往利用受害人以为是自己亲友降低戒心,从而一付款就造成了损失。”民警再次提醒,遇到社交软件上好友请求代付时,一定要打电话确认,对方发的链接千万不要轻易点击。
