随着网络越来越发达,网络违法犯罪技术性越来越强,大庆市公安局网警分局成功打掉了一个与通信运营商职工内外勾结,以DNS劫持为手段,劫持上网用户流量,非法控制计算机信息系统犯罪团伙,该案系全国首起涉及通信运营商DNS劫持案。
插播:DNS服务,DNS解析,DNS劫持和污染!
DNS劫持是咋回事儿?其中暗藏着怎样的猫腻?
网页跳转
不更换网络,就无法打开原本的网站,这是一种网络犯罪手段,行话叫DNS劫持。
“点击的是这个网页,却被强制跳转到另一页面,你用电脑试一下。”
“我的也是如此,这不是电脑的问题,可能与网络有关……”
调查一起案件时,网警分局案件侦查一大队民警耿帅,与同事发现了网页跳转这一异常情况。普通老百姓可能不会发现什么,但作为一名网警,耿帅与同事意识到其中一定暗藏着猫腻。
凭借丰富的经验,网警分局立即组织人员,着手调查此事。
民警在调查与之相关的某通信运营商网络时,发现运营商内部,被人动了手脚。
“运营商都有自己的机房,其中的硬件设备好比是各种功能的服务器,用于服务网络,有人在核心交换服务器上动了手脚。”耿帅介绍,有人将“劫持程序”,人为地安装在了运营商核心交换服务器上。
能在服务器上动手脚的人,肯定是内部人员,因为外人根本接触不到服务器。
随着调查的深入,民警渐渐揭开了网页跳转的神秘面纱。
原来,有人在运营商的城域网出口,架设了一台镜像服务器,镜像了全部用户的上网流量数据,再将一种“劫持程序”,安装在这台镜像服务器中,这么做的目的,是让使用这一网络的用户,点击某一网页时强制跳转。
如果想摆脱强制跳转网页这一情况,换电脑不管用,必须更换网络。
是谁动的手脚?网页跳转的最终目的是什么?民警继续追查。
赌博网站
“跳转之后是赌博网站,可以确定是诈骗网站。”民警介绍,这个赌博网站自称是澳门某知名赌博城,网页上有各种介绍。
“网站有麻将、扑克等多种玩法,全是真人线上对战。”
“首次试玩不花一分钱,充值就送500元,手气好还能大赚一笔,网站提现秒到账。”
送彩金、高福利、提现快……类似的宣传十分夸张,就是为了引人“入局”,明眼人一看就知道都是假的,也有人好奇,便开始点击试玩。
“这是典型的网络吸粉引流的手段,通过跳转网页,引人进入网站赌博,继而实施其他诈骗……”耿帅告诉记者,“吸”进去的人试玩后,大都会上瘾,只要往赌博网站之中投钱,这些钱就变成了数字,不管输赢,全都会打水漂。
这种赌博网站大都是输多赢少,一部分人输钱之后,赌博网站还有专门的人员引诱去刷单或是诈骗其他人。到了这一步,将会掉进无底洞。
弄清网页跳转的最终目的是为赌博网站吸粉引流,民警很惊讶,因为这类赌博网站十分坑人,甚至能让人家破人亡,民警还意识到,这背后肯定有更大的“推手”。
“黑产”团伙
调查过程中,民警双管齐下,一方面追查赌博网站,另一方面从通信运营商着手调查。
通过蛛丝马迹,通信运营商的“内鬼”,很快被民警揪了出来。顺藤摸瓜,一个围绕DNS劫持与网络流量劫持的犯罪团伙,浮出水面。
民警通过资金流切入调查,发现齐齐哈尔市一名50多岁的女子很可疑,因为一部分资金,流入她的银行卡中。经调查,女子的儿子付某某,出现在警方的视线中。
付某某是这个团伙的核心人物,不仅维系‘内鬼’,而且联系技术人员,他住在哈尔滨市,曾就职的公司,与某通信运营商有很多业务往来,后来,付某某从公司辞职。
2015年开始,付某某买通了运营商内部人员,让对方帮助在运营商机房内,架设镜像数据的服务器,用于安装“劫持程序”。
其实,付某某本身也是一名技术人员,但不会编程,有了歪想法后,他找到了北京两名技术人员,开发出了“劫持程序”。
随着时间推移,该团伙成员层级分明,“生意”越做越大,“业务”已经遍布我省哈尔滨市、大庆市、绥化以及吉林、辽宁、北京等多地。
警方通过调查发现,“网页跳转”只是该团伙其中一项业务,这个团伙最赚钱的业务是“流量劫持”……
流量劫持
什么是流量劫持?以付某某团伙的手段来说,就是访问的网站ID被篡改,行话叫“HTTPS劫持”。
比如,每个用户使用的电脑访问网页等行为,会产生流量。
有一些搜索引擎网站为了推广,鼓励一些个人或是企业申请专属的推广ID,只要是用户通过专属推广ID,访问了搜索引擎并且流量达到一定数量,那么搜索引擎网站就会给专属推广ID支付佣金,也就是所谓的“推广费”。
付某某团伙正是看到了这个“来钱道”,于是通过技术人员编写了程序,再通过“内鬼”将程序植入到运营商机房内部架设的镜像服务器上。这样,众多用户的搜索流量,都会被冠以付某的推广ID,搜索引擎网站给的推广费,全都落入了该团伙手中。
这个程序,可不是针对一两个用户,而是针对一片区域或是一座城市。
以大庆来说,市民只要是某通信运营商的用户,全都“中招”了。
“访问认为有意思的网页,就会产生流量,流量越高赚取的推广费越多。”民警说,流量被劫持,普通用户根本无法发现。2015年以来,付某某这一团伙以此方法获取巨大利益。
巨大利益
据调查,该团伙的技术人员艾某、陈某,两人年龄不大,全是名牌大学毕业高材生,曾就职知名互联网企业。
付某某与两人建立联系后,所需的编程程序,全部出自两人之手,在与付某某合作期间,两人受到巨大利益诱惑,辞去工作专门进行“流量劫持”,也建立了自己的业务。
这个团伙的建立,每个环节的人员都受利益驱使。从最初的“流量劫持”业务,再到“网页跳转”,付某某与两名技术人员四六分成,技术人员拿大头。
而“内鬼”也有不菲的收入,付某某每个月会给“内鬼”打款,低的一个月5000-6000元、高的一个月就能达到一两万元。
经查,两名主要技术犯罪嫌疑人,不到5年时间,犯罪收益超5000万元;流量商4年时间,获非法收入超500万元。
连根拔除
“警察,别动!”
2020年5月26日、7月2日,网警分局两次组织集中收网行动,调查中,警方又发现江苏省以杜某为首的另一团伙,一并打掉。
目前,共移送起诉犯罪嫌疑人21人,该案将于近期宣判。
“通过本案,可以看出网络违法犯罪的方式和手段技术性越来越强、涉案人员很广。”网警分局副局长贾晓亮提醒市民,千万不要为网络犯罪行为提供帮助。随着我国涉及网络犯罪法律的逐渐细化,已经对相关行为进行了明确,在这起案件中,运营商内部工作人员,通过职业便利提供帮助做流量推广,多数人只知道是违规行为,却不知道已经涉嫌违法犯罪,不要抱侥幸心理。
不要被高额利益回报诱惑,网络黑灰产违法犯罪,往往伴随着高额回报,且门槛较低、入门容易、操作简单,特别是青少年人员,一定要抵挡住诱惑,别走歪了路。
此外,提醒相关行业和人员注意,要通过正规渠道经营企业,获取合法利润,同时加强内部监管,堵塞源头漏洞,营造良好的网络生态。
附:DNS劫持案例
(1)2009年巴西最大银行Bandesco巴西银行遭遇DNS劫持,1%的用户被钓鱼。受影响的用户被重定向到另一个虚假银行网站,该网站试图窃取用户密码并安装恶意软件。
(2)2010年1月12日,发生著名的“百度域名被劫持”事件,很多网民发现百度首页无法登录的异常情况。而根据百度域名的whois查询结果发现,该网站域名被劫持到雅虎下面的两个域名服务器,另有部分网民发现网站页面被篡改成黑色背景和伊朗国旗,对百度的安全形象和业务运行造成非常恶劣的影响。
(3)2012年,日本三井住友银行、三菱东京日联银行和日本邮储银行提供的网上银行服务都被钓鱼网站劫持,出现试图获取用户信息的虚假页面,当用户登录官网网站后,会弹出要求用户输入账号密码的页面,页面上还显示银行的标志,如果不仔细分辨,很难分清真假。
(4)2013年5月,发生史上最大规模的DNS钓鱼攻击事件,造成800用户被感染。
(5)2014年1月21日,全国出现大范围DNS故障,中国顶级域名根服务器发生故障,造成大部分网站受影响。
从上面这些案例中可以看出DNS劫持是一种范围波及大、影响深远的网络攻击手段,不但对用户的信息财产安全造成严重的威胁,也会对企业的品牌形象、线上流量以及业务开展产生巨大损失,因此了解DNS劫持原理并针对性地做好应对策略至关重要。
DNS劫持应对方案
(1)安装杀毒软件,可以有效防御木马病毒和恶意软件,并定期修改路由器管理账号密码和更新固件;
(2)企业端可以设置更小的TTL值,实现DNS缓存的短时间更新,用户端可以定期刷新DNS缓存,从而让用户发起请求时尽可能去请求权威服务器,降低DNS缓存被污染的可能;
(3)加强域名账户的安全等级,使用强度较高的密码,并定期更换密码;
(4)定期查看域名账户信息、域名whois信息以及域名解析生效状态,发现异常及时联系域名服务商;
(5)选择安全技术实力过硬的域名注册商,并且给自己的域名权威数据上锁,防止域名权威数据被篡改。
(6)在客户端和递归DNS服务器通信的最后阶段中使用DNS加密技术,如DNS-over-TLS,DNS-over-HTTPS等。
