一起普通的网络代付诈骗,牵出一个利用人工智能技术,通过网络协助破解网站验证码的“技术服务公司”。利用这种“技术服务”,黑客可以在1秒钟内盗取2000组公民信息数据,效率提升数千倍。通过深挖公民个人信息买卖这条线索,警方发现一条利用黑客技术非法获取网站数据、数据撞库、绕开网站安全策略的打码平台、网络诈骗的黑色产业链。专家指出,人工智能只是一种工具,如何管好和用好这个工具,还需深入研究和实践。
个人信息被量贩
2017年2月9日晚,绍兴市公安局越城区分局城南派出所接到公民虞玉华报案称,虞当晚收到好友王甜的信息,要求代付1922元用于购物。虞玉华为好友支付货款后,对方再次要求付款,她疑心被骗因而报案。结果证明,王甜的账号被盗,有人冒充王甜对其好友实施诈骗。
接到报案后,越城警方在哈尔滨抓获这个利用社交软件冒充好友实施诈骗的犯罪团伙。团伙头目郑某,成员十余人,均为同学关系。
在这个团伙的电脑中,警方发现大量公民个人信息。信息最多的一台电脑中有超过300GB的个人信息,包括邮箱、社交软件账号和密码,而且都很准确。这些信息从何而来?郑某称,这些是他以每组2元左右的价格从吴杰等人手中购得,花了40多万元。而吴杰手中信息则来自一个黑客团伙,该团伙用黑客软件,批量扫描网站程序漏洞,非法获取网站后台用户注册数据,这被称为“脱库”。之后,黑客团伙将数据分门别类销售,以每10万条数据50元到100元的价格卖给吴杰等人。
吴杰等人获取数据后,用“撞库”软件批量尝试登录其他网站,这一过程被称为“清洗”。经过“清洗”的账户信息能成功登陆其他网站,这些信息被以每个1.2元到2元的价格,贩卖给网络诈骗团伙。
警方介绍,很多用户习惯在不同网站使用相同账号登录,甚至密码也一样。黑客获取用户在A网站的账户后尝试登录B网址,这就完成一次“撞库”尝试。经过“撞库”清洗后,数据更为丰富,可以精准获知同一用户的许多网络注册信息。
黑色“码奴”产业
为了防止黑客批量测试账户密码,各网站和平台动了不少脑筋,“验证码”是常用防范手段之一。
网络用户在网站注册和登录时,经常可以见到包括字符式、数字、字符+点选式、滑块拼图式、图片问答式等验证码,其中应用最普遍的是字符型验证码。对于网络犯罪团伙,在“撞库”环节中,如何进行批量验证就成为关键。
通常黑客们需要人工逐条输入信息和识别验证码,比对、验证并成功匹配个人信息的账号密码,确认信息准确能用,这些人在圈内被称为“码奴”,该环节也被称为“打码”。一位“码奴”透露,根据验证码的复杂度,打1000个验证码能挣1元至25元不等,每天工作12小时,最多能输入2万个验证码,挣300多元。
在传统的信息泄露相关犯罪中,因高昂的人力成本和较为漫长的工作周期,被“清洗”的数据相对有限。然而,这个案子却查获了巨量个人信息,警方意识到,该案中的“打码”绝非人工完成。经调查发现,该案中的黑客拿到原始数据后通过名为“快啊”的网络平台“打码”。
“快啊”是沈阳纳信科技有限公司旗下产品。警方发现,该平台能提供识别破解字符型验证码的网络服务。警方对“快啊”平台数据分析获知,接入该平台进行验证码识别的“撞库”软件有一百多款,用户达1.1万余人,从2016年6月到2017年3月,平台资金进账累计达1650万元,为国内最大的“打码”平台。
警方表示,“打码”平台目前游走在法律边缘,界定并不清晰。“什么样的人需要批量识别验证码?”除黑色产业的诈骗人员,打码平台的通常使用者是“黄牛”和“水军”等。据办案民警介绍,被查前的三个月里,“快啊”平台共提供验证码识别服务259亿次。那么,“快啊”平台是如何做到巨量验证码识别服务的呢?警方在其背后发现了一个无需“码奴”的高级“打码”技术。
人工智能“打码”
随着侦查深入,越城警方发现,为“快啊”平台提供验证码识别服务的软件系统名为NID,这一人工智能程序由33岁的厦门人杨柯设计。
杨柯毕业于厦门某大学计算机专业,研究人工智能已有十余年。杨柯称,他使用美国伯克利大学开发的caffe框架作为深度学习框架,并使用VGG16结构创建了一个神经网络,之后从网络上下载了几乎所有字体,对神经网络进行训练,使它具有图文转换能力,再用这个神经网络构成一个系统,命名为NID。杨柯每天像教儿童一样,培训NID学习识别各种验证码。在他的“培养”下,NID破解验证码的能力越来越强。案发时,NID的“打码”速度达到每秒2000个,正确率高达98%。
“快啊”打码平台收取的服务费中,50%给了撞库软件作者,50%由平台商李奇和杨柯平分。短短一年,平台牟利1300多万元,杨柯分得300多万元。2017年3月23日,“快啊”平台被查。由于该案犯罪手法新颖、社会危害大,越城公安分局成立由网警牵头,多部门组成专案组。
围绕该产业链的上下游,专案组辗转福建、广东、江西、黑龙江、辽宁、山东等13个省展开侦查、抓捕,抓获利用黑客技术非法获取网站后台数据的嫌疑人4人,使用撞库软件获取账户密码的嫌疑人19人,提供图片验证服务的“快啊”打码平台嫌疑人2人,制作“撞库”软件的9人,利用公民个人信息实施网络犯罪的团伙28个,共159人。
网络安全专家表示,近几年,“人工智能”技术应用越来越广,如果相关技术被用于网络犯罪,将极大提升网络犯罪的危害性。那么,这一案例是否意味着人工智能犯罪时代已经到来?北京交通大学计算机与信息技术学院副教授王伟介绍,目前人类已经掌握“弱人工智能”,即能通过推理解决问题的机器,但这些机器并不真正拥有智能,也不会有自主意识。基于此,上海财经大学法学院副院长胡凌认为,上述案件中,“人工智能”只是犯罪嫌疑人使用的工具,犯罪主体仍然是人而非机器。不过,此类案件也在一定程度上对司法实践提出新的要求,例如:如何理解法律条文中的主观明知、证据标准如何把握等等。
(选自《财经》2017年25期)
