在广东警队里,有这么一支特殊的队伍:现实中,他们极少跟人打交道,数以万计的数据是他们工作的日常,每个人经常同时对着三台显示屏、两部手机;而在互联网上,他们则是灵活敏锐的“猎人”,但凡犯罪分子在网络上留下任何痕迹,他们都能从海量的数据中揪出痕迹,抽丝剥茧,从虚拟对应到现实,为各类涉网案件的侦破提供关键线索。
今年5月,72名广东警察被评为“全国优秀人民警察”,其中就有两名来自“神秘”的网络警察队伍:惠州市公安局网警支队案件侦查大队副大队长车达超、揭阳市公安局网警支队案件侦查大队教导员黄铠。
近日,记者走近这两名“80后”网警,揭秘他们是如何在虚拟的网络空间里打击犯罪、守护网络安全的。
黄铠(中)在侦破工作中
黄铠: 百万数据中揪出“黑产”链
网警龄8年、35岁的黄铠已经留下了颈椎突出、腰椎硬化的毛病。这几乎是网警这支特殊队伍的“职业病”。
近五年来,黄铠参与破获刑事案件近200宗,查明并抓获犯罪嫌疑人近300名,捣毁各类违法犯罪团伙近200个。
一个链接揪出整个黑客团伙
2009年,对于初入网警的黄铠来说,网警仍然是一个神秘的部门,“而现在几乎每宗案件都会涉网,都跟网警有关,工作量比以前几乎翻了五倍。”
2012年,揭阳网警参与侦破了一宗公安部督办的入侵网站制贩假证案,黄铠从一条不起眼的入侵政府人事考试网的案件线索入手,用两个多月的时间排查近百万条数据信息,最终查清一个以网名“牛仔”(罗某)、“小宝”(许某)为首的,涉嫌入侵全国多个省市政府网站、办理假证3万余份涉案金额高达3亿多元的特大犯罪团伙。
“最初,我们发现政府人事考试网被攻击并挂了一个链接,点开可以查到许多证件信息。”黄铠告诉记者,从这条链接入手,办案人员突破了其服务器的漏洞。
只有数据,怎么抓获这个犯罪团伙?黄铠告诉记者,当时,揭阳有两名受害者报案,称在网上找人花钱办资格证,结果被骗办了假证。
警方根据事主报案线索,从网络轨迹入手分析,发现嫌疑人藏身南京。民警随即赶赴南京,抓获这个网络卖假证诈骗的团伙。“线索串起来,印证了这个链接就是该团伙发给事主查询,让他们以为证是真的。”黄铠告诉记者。
案件突破了第一步,黄铠分析发现,事情并不简单,该案背后可能还隐藏着一个巨大的“黑色产业链”。
专案组对涉案网络聊天群进行分析,将其中制作假证团伙、非法中介代理、专门负责入侵考试网站的黑客等团伙一一挖出,抓获犯罪嫌疑人165名,收缴各类假证书、假印章一大批,铲除了一条利用政府网站的公信力制作假证件,欺骗他人、巨额非法牟利的黑色产业链。
“当年,许多人还不知道‘黑产’这一概念,政府网站的防护也较弱。”黄铠告诉记者。该案的破获,为全国网安部门打击此类犯罪都提供了极具借鉴意义的范例。
创建犯罪数据库破大案要案
一宗专案办下来,白天、黑夜连续加班数月,一个人面对几十万、甚至上百万条的海量类似数据,在电脑前一坐就是一天,加班到深夜,频频头疼和失眠,对黄铠来说,已经成了常态。
“有时候要查一个网民信息,经常一台电脑要同时打开几十个页面、几十个excel。为了提高效率,甚至同时开三个电脑、两部手机,把不同类型的数据撞来撞去。”黄铠告诉记者。
为了在虚拟的网络上揪出嫌疑人的蛛丝马迹,黄铠常常要不断从海量数据中提取出有价值的信息,同时通过调查取证,将掌握的信息和证据进行筛选、比对、组合,摸索出当地网络犯罪的规律和特点,关联出很多关于当地网络犯罪的线索,并且排查出一大批在当地从事网络犯罪的涉案嫌疑人。他还在虚拟与现实、内部与外部、互联网与业务网之间积极寻找信息,创建了网络犯罪方面的数据库,不断侦破大案要案。
2013年1月至今,他参与侦办84宗涉网犯罪案件,先后成功侦破“打击侵害公民个人信息犯罪”、“网络诈骗”、“网络非法买卖枪支、弹药”、“打击侵害公民个人信息犯罪”等专项专案和“网站非法赌博”等专项专案。
“犯罪分子只要在网上活动,必然会留下痕迹,只要有痕迹,我们必然能循着他的轨迹找到他!”黄铠说。
车达超: 两年梳理10万多条线索
与其他警种不同,网警队伍平均年龄普遍偏低,车达超却指着自己的头顶开玩笑道:“十年前,我的头发比你们的还浓密。”
2007年,软件工程专业毕业的车达超正式入警,十年来破案无数。仅近两年来,他就带队分析梳理网上线索10万余条,协助侦破案件235宗。
挖数据追出300多宗木马案
在传统的案件侦查中,网警部门多是根据刑侦等办案部门提供的案件线索进行侦查,“由案到人”,车达超却创新技战法,实现从“由案到人”到“由人到案”,再到最后的“案、人、线索”结合侦查方式的转变。
2015年4月,惠东县某鞋厂网店被一名买家在聊天工具上发木马,盗取网店第三方支付平台账号、密码,并盗走4万多元。
接到报警后,惠州网警部门立即介入,并提取了事主中的木马样本。单靠这些,如何找到嫌疑人?车达超带队进行了大量的网络数据分析,成功追踪并锁定五名嫌疑人。专案组立即组织警力赴湛江,将马某等五人抓获。
“马某交代,木马是他们花了2000元从网上购买的。”车达超说。
是谁在卖木马?根据马某的供述,警方掌握到,马某的上家王某藏身武汉。王某自己做木马,还在网上建了一些聊天群卖木马。
警方梳理了王某推广木马的聊天群发现,其群成员达200多人,网警部门又对这200多人进行一一梳理,发现其中涉及广东的有效线索有21条。警方随即对这21条线索进行重点突破,锁定又一批通过网上发木马非法获利的犯罪团伙,并抓获包括王某在内的15人。
随后,警方对涉案数据进行分析取证,核实这些团伙作案300多宗。
骚扰电话查出盗卖身份团伙
信息是网侦的生命线,如何从网络上海量的虚拟数据信息中发现蛛丝马迹?2016年,广东警方开展的“安网2016”专项行动中,惠州不少市民反映,经常接到骚扰电话。
接到举报线索后,惠州公安网警部门立即对骚扰电话进行倒查,发现惠州有一家公司专门在网上通过各种渠道搜集公民个人信息,包括楼盘信息、医院信息等,还转卖给别人。
从该团伙在网上留下的海量数据信息中,车达超运用各级网安系统和互联网数据资源,挖掘出了一条以林某为首的侵犯公民个人信息团伙的线索,并对涉案人员、场所、物品以及资金等要素进行深挖扩线,确定了团伙成员架构、活动窝点地址。
最终,专案组根据这些信息,顺利捣毁本地四个涉嫌非法获取和提供公民个人信息的窝点,抓获犯罪嫌疑人45人,缴获公民个人信息资料一大批。
近十年网警生涯,车达超对数字、信息极为敏感。近年来,随着互联网的快速发展,各类犯罪与网络的交叉越来越多,留给他们的线索,更多是看不见摸不着的虚拟数字。
“我们面对数据比与人接触还要多,一个线索分析起来,数据量经常是几万条。”车达超笑道,“一天下来,对着电脑超过10个小时是正常的。”
“网络技术日新月异,我们也要不断学习、更新自己的知识,应对各种新型网络犯罪。”车达超说。(张璐瑶 黄康灵 陈臻燕 )