*本文为《半月谈内部版》2022年第12期内容
党的二十大报告指出,健全网络综合治理体系,推动形成良好网络生态。近期,云南警方在全国首次对违法域名代理商进行打击,历时1年多,摧毁了一条专门为诈骗、涉黄、赌博等非法网站提供域名防封堵服务的黑灰产业链。该案还促使行业主管部门对域名行业开展大规模清理整治。
域名防封堵公司:为非法网站提供防护服务
2021年3月,昆明市公安局西山分局网警进行网络巡查时,发现借斗地主、斗牛、21点、德州扑克等形式赌博的“大联盟棋牌”App及网站和“新时代棋牌”App,正在多个QQ群、微信群、搜索引擎等疯狂进行推广。进一步调查后,警方发现这些赌博网站和App属于同一个跨境网络赌博犯罪团伙,其主要成员藏匿在菲律宾,服务器架设在香港。截至去年5月,警方抓获该网络赌博团伙代理及赌客130余人,查扣涉赌资金300余万元。
来源:视觉中国
“App和网站当年一二月份才相继上线,到5月就吸引了国内赌客10万余名,参赌资金日均流水近1000万元!”云南省公安厅网安总队办案民警韩志超说,经分析发现,其坐大成势的一个重要原因是:在网络监管日趋严厉的情况下,该团伙的网站和App却非常稳定,以所谓“口碑”吸引了众多赌客加入。
“这背后,技术团伙提供的‘域名防封堵’起到了关键作用。”韩志超介绍,当前,国家网络安全防护机制主要以是否存在非法有害信息为依据,对网站域名进行封堵。“防封堵平台”则为一个非法网站搭建防护壳:最外面的短链接用于公开推广,没有有害、敏感信息,看上去几乎是一个合法网站;接着会跳转到一个“炮灰域名”,打开是伪装的页面;最后才到达主站。安全防护机制只能封堵第二层即“炮灰域名”。嫌疑人使用防封堵技术手段,一旦发现被封堵,立即更换新的“炮灰域名”,造成国家网络安全防护机制失效。
昆明市公安局网安支队副支队长崔建彬介绍,警方循线对提供域名防封堵服务的技术团伙开展侦查,发现了沈阳工匠网络信息咨询公司和长春洪盛软件开发公司2个网络黑产犯罪团伙,共抓获嫌疑人26人。“非法网站背后都有类似这样的技术团伙支撑,而不少团伙是以正规技术公司的面貌出现。”办案民警说。
域名代理商:违规出售域名并提供解封服务
云南网安部门意识到,这是一种前所未见、危害巨大的新型网络技术犯罪。
防封堵技术需要消耗大量域名作为支撑。警方循线调查发现,沈阳工匠和长春洪盛两家技术公司的域名是从“怀米网”上购买的,总数达7000余个,由此生成了3000余万条短链接,共为2400余个黄、赌、诈网站提供了域名防封跳转服务。秉持源头治理的理念,云南网安于2021年11月调查了经营“怀米网”的山东怀米网络科技有限公司,刑事拘留7人,其中6人被批捕。
半月谈记者了解到,怀米公司在明知销售的域名被用于搭建违法犯罪网站的情况下,仍然大量销售,并打造海量“域名池”。“这样一家域名公司,可以支撑几十上百个防封技术团伙,进而支撑更多的非法网站。”办案民警说。
从购买域名嫌疑人的供述看,怀米公司根据网络黑灰产需求,对域名分类标价,如企业备案域名、个人备案域名、不备案域名、微信QQ不拦截域名等。普通域名正常成本不超过10元,但不拦截域名可卖到200至600元。该公司甚至提供售后服务:如果卖出去的域名因违法违规被封禁了,会帮助买家解封或更换。域名注册原本要求实名制,但怀米公司的“一条龙”服务使买家通过模板即便提供虚假资料也可批量注册。
目前,涉案的6名嫌疑人以帮助信息网络犯罪活动罪被移送检察机关,这是全国首次对域名代理商进行打击。
还有多少“怀米公司”助纣为虐
涉“诈、赌、黄”等非法网站、App在国内屡禁不止,导致电信网络诈骗、赌博、淫秽色情等犯罪多发,违法违规滥售域名是一个重要原因。半月谈记者了解到,由工信部批准后,域名注册商方可从事注册、出售域名业务,再往下则是域名代理商,但同手机卡类似,代理商这一环节因缺乏监管容易滋生乱象。
有“壳”无恐 王唯岩 / 画
办案民警分析,“域名代理商—防封堵技术团伙—黄赌诈网站”的黑产链条,不仅从技术上规避了现有的互联网监测封堵策略,也为侦查取证带来诸多困难和挑战。就域名代理商而言,域名本身并不违法,公众对此也不敏感,但在其合法经营的表象下,却隐藏着为非法网站提供犯罪工具的实质。
本案件中,怀米公司反侦查意识很强,它们请来“律师团队”专门讲解如何用话术成功推销域名的同时,又能逃避法律制裁。云南省公安厅网安总队对这起案件进行打击后,域名违规销售情况大幅下降。
半月谈记者:王研 / 编辑:尤立
责编:郭艳慧 / 校对:张子晴
