全国首起!黑龙江大庆警方破获21人“流量劫持”案

文章来源:大庆公安

随着网络越来越发达,网络违法犯罪技术性越来越强,市公安局网警分局通过网页跳转小细节,成功打掉了一个与通信运营商职工内外勾结,以DNS劫持为手段,劫持上网用户流量,非法控制计算机信息系统犯罪团伙,该案系全国首起涉及通信运营商DNS劫持案。

DNS劫持是咋回事儿?其中暗藏着怎样的猫腻,近日,记者来到网警分局,进行了深入采访。

图片
  

网页跳转

不更换网络,就无法打开原本的网站,这是一种网络犯罪手段,行话叫DNS劫持。

“点击的是这个网页,却被强制跳转到另一页面,你用电脑试一下。”

“我的也是如此,这不是电脑的问题,可能与网络有关……”

调查一起案件时,网警分局案件侦查一大队民警耿帅,与同事发现了网页跳转这一异常情况。普通老百姓可能不会发现什么,但作为一名网警,耿帅与同事意识到其中一定暗藏着猫腻。

凭借丰富的经验,网警分局立即组织人员,着手调查此事。

民警在调查与之相关的某通信运营商网络时,发现运营商内部,被人动了手脚。

“运营商都有自己的机房,其中的硬件设备好比是各种功能的服务器,用于服务网络,有人在核心交换服务器上动了手脚。”耿帅介绍,有人将“劫持程序”,人为的安装在了运营商核心交换服务器上。

能在服务器上动手脚的人,肯定是内部人员,因为外人根本接触不到服务器。

随着调查的深入,民警渐渐揭开了网页跳转的神秘面纱。

原来,有人在运营商的城域网出口,架设了一台镜像服务器,镜像了全部用户的上网流量数据,再将一种“劫持程序”,安装在这台镜像服务器中,这么做的目的,是让使用这一网络的用户,点击某一网页时强制跳转。

如果想摆脱强制跳转网页这一情况,换电脑不管用,必须更换网络。

是谁动的手脚?网页跳转的最终目的是什么?民警继续追查。

赌博网站

“跳转之后是赌博网站,可以确定是诈骗网站。”民警介绍,这个赌博网站自称是澳门某知名赌博城,网页上有各种介绍。

“网站有麻将、扑克等多种玩法,全是真人线上对战。”

“首次试玩不花一分钱,充值就送500元,手气好还能大赚一笔,网站提现秒到账。”

送彩金、高福利、提现快……类似的宣传十分夸张,就是为了引人“入局”,明眼人一看就知道都是假的,也有人好奇,便开始点击试玩。

“这是典型的网络吸粉引流的手段,通过跳转网页,引人进入网站赌博,继而实施其他诈骗……”耿帅告诉记者,“吸”进去的人试玩后,大都会上瘾,只要往赌博网站之中投钱,这些钱就变成了数字,不管输赢,全都会打水漂。

这种赌博网站大都是输多赢少,一部分人输钱之后,赌博网站还有专门的人员引诱去刷单或是诈骗其他人。到了这一步,将会掉进无底洞。

弄清网页跳转的最终目的是为赌博网站吸粉引流,民警很惊讶,因为这类赌博网站十分坑人,甚至能让人家破人亡,民警还意识到,这背后肯定有更大的“推手”。

图片
 

“黑产”团伙

调查过程中,民警双管齐下,一方面追查赌博网站,另一方面从通信运营商着手调查。

通过蛛丝马迹,通信运营商的“内鬼”,很快被民警揪了出来。顺藤摸瓜,一个围绕DNS劫持与网络流量劫持的犯罪团伙,浮出水面。

民警通过资金流切入调查,发现齐齐哈尔市一名50多岁的女子很可疑,因为一部分资金,流入她的银行卡中。经研判,女子的儿子付某某,出现在警方的视线中。

付某某是这个团伙的核心人物,不仅维系‘内鬼’,而且联系技术人员,他住在哈尔滨市,曾就职的公司,与某通信运营商有很多业务往来,后来,付某某从公司辞职。

2015年开始,付某某买通了运营商内部人员,让对方帮助在运营商机房内,架设镜像数据的服务器,用于安装“劫持程序”。

其实,付某某本身也是一名技术人员,但不会编程,有了歪想法后,他找到了北京两名技术人员,开发出了“劫持程序”。

随着时间推移,该团伙成员层级分明,“生意”越做越大,“业务”已经遍布我省哈尔滨市、大庆市、绥化以及吉林、辽宁、北京等多地。

警方通过调查发现,“网页跳转”只是该团伙其中一项业务,这个团伙最赚钱的业务是“流量劫持”……

流量劫持

什么是流量劫持?以付某某团伙的手段来说,就是访问的网站ID被篡改,行话叫“HTTPS劫持”。

比如,每个用户使用的电脑访问网页等行为,会产生流量。

有一些搜索引擎网站为了推广,鼓励一些个人或是企业申请专属的推广ID,只要是用户通过专属推广ID,访问了搜索引擎并且流量达到一定数量,那么搜索引擎网站就会给专属推广ID支付佣金,也就是所谓的“推广费”。

付某某团伙正是看到了这个“来钱道”,于是通过技术人员编写了程序,再通过“内鬼”将程序植入到运营商机房内部架设的镜像服务器上。这样,众多用户的搜索流量,都会被冠以付某的推广ID,搜索引擎网站给的推广费,全都落入了该团伙手中。

这个程序,可不是针对一两个用户,而是针对一片区域或是一座城市。

民警介绍,以大庆来说,市民只要是某通信运营商的用户,全都“中招”了。

“访问认为有意思的网页,就会产生流量,流量越高赚取的推广费越多。”民警说,流量被劫持,普通用户根本无法发现。2015年以来,付某某这一团伙以此方法获取巨大利益。

图片

巨大利益

采访时,民警对该团伙的两名技术人员艾某、陈某进行了介绍。两人年龄不大,全是名牌大学毕业高材生,曾就职知名互联网企业。

付某某与两人建立联系后,所需的编程程序,全部出自两人之手,在与付某某合作期间,两人受到巨大利益诱惑,辞去工作专门进行“流量劫持”,也建立了自己的业务。

这个团伙的建立,每个环节的人员都受利益驱使。民警介绍,从最初的“流量劫持”业务,再到“网页跳转”,付某某与两名技术人员四六分成,技术人员拿大头。

而“内鬼”也有不菲的收入,付某某每个月会给“内鬼”打款,低的一个月5000-6000元、高的一个月就能达到一两万元。

经查,两名主要技术犯罪嫌疑人,不到5年时间,犯罪收益超5000万元;流量商4年时间,获非法收入超500万元。

连根拔除

2020年5月26日、7月2日,网警分局两次组织集中收网行动,调查中,警方又发现江苏省以杜某为首的另一团伙,一并打掉。

目前,共移送起诉犯罪嫌疑人21人,该案将于近期宣判。

通过本案,可以看出网络违法犯罪的方式和手段技术性越来越强、涉案人员很广。”网警分局副局长贾晓亮提醒市民,千万不要为网络犯罪行为提供帮助。随着我国涉及网络犯罪法律的逐渐细化,已经对相关行为进行了明确,在这起案件中,运营商内部工作人员,通过职业便利提供帮助做流量推广,多数人只知道是违规行为,却不知道已经涉嫌违法犯罪,不要抱侥幸心理。

不要被高额利益回报诱惑,网络黑灰产违法犯罪,往往伴随着高额回报,且门槛较低、入门容易、操作简单,特别是青少年人员,一定要抵挡住诱惑,别走歪了路。

此外,提醒相关行业和人员注意,要通过正规渠道经营企业,获取合法利润,同时加强内部监管,堵塞源头漏洞,营造良好的网络生态。

发表评论