淄博晚报 (全媒体记者王敬东 通讯员于德忠)
四个白色的铁架子,上面放满了手机,这三千余部手机不需要人进行任何操作,就可以自动注册微信号……
这是周村警方在破获公安部督办的“9·16”黑灰产系列案过程中看到的情形。犯罪分子批量注册并贩卖微信号,形成产业链。这些微信号多用于电信诈骗等违法犯罪活动。该犯罪团伙共非法注册微信号300余万个,非法获利达1000余万元……
8月7日、8日、9日中午,中央电视台《今日说法》栏目以《揭秘“黑灰产”》为题,分上、中、下三集对周村公安分局破获的特大黑灰产案件侦破过程进行专题报道。
境外通讯软件
批量买卖微信号
2021年9月16日,周村警方根据线索,来到一个隐藏在本地居民区的犯罪窝点,打击了一起非法注册贩卖微信的犯罪活动。打开门的一刹那,眼前的一幕令侦查员们感到震惊。
在犯罪窝点的客厅里,铁架子上放满了手机。这些手机都正常开着机,不需要人为操作,就自动弹出注册微信的界面、输入手机号、设置密码的流程,在现场正在使用的电脑里,侦查人员提取到几十万个注册数据。
经查,这家电子科技公司的经营者名叫巩小宇(化名),1988年出生,桓台县人。这家公司既没有正常的经营地址,也没有注册的员工、财务等,巩小宇租赁的两处民房就是他公司的办公场所。
2021年9月16日,警方兵分两路,同时抓获了犯罪团伙的头目巩小宇和其余成员。
警方了解到,作案人员通过改机软件不断修改手机基本信息,同时侵入微信APP的底层程序,通过修改微信APP的底层代码,绕过腾讯的注册安全审核系统,非法获取微信的注册信息及短信验证码内容,以实现同一部手机重复注册微信账号。
其中一台电脑登录了一款名叫电报(Telegram)的境外即时通讯软件,聊天记录显示,犯罪窝点与境外不法之徒肆无忌惮地聊着微信号买卖的数量和交易价格。
侦查人员在电脑里提取到几十万个注册数据,这意味着案发时有几十万个未实名的微信账号被卖到境外,用于电信诈骗、网络赌博等活动。
经查实,巩小宇犯罪团伙总共注册微信号三百余万个,通过虚拟币的方式进行结算,非法获利1000多万元。2021年11月,巩小宇犯罪团伙中的15名犯罪嫌疑人被警方抓获。
然而,批量注册微信账号的黑灰产业链在国内已经有一定的规模,巩小宇犯罪团伙只是这个黑灰产利益链条上的一环。为了将犯罪利益链彻底打掉,警方决定从源头追查。
为逃避打击
改机软件用虚拟货币交易
侦查人员发现,嫌疑人要实现批量注册微信账号必须解决两个关键问题,一要有改机软件,二要有源源不断的注册微信的手机号码。
据巩小宇交代,2018年,他在黑灰产的QQ群里认识了阿浩(化名),此人在群里十分活跃,经常出售大量微信账号。巩小宇主动联系了阿浩,获得了三款改机软件:AW、IG和京天龙。
警方很快锁定了阿浩的真实身份。曾浩(化名)1987年出生,湖南省衡阳市人。2021年12月4日,侦查人员在湖南长沙将曾浩抓获,此时他已不再从事非法注册微信账号的犯罪活动。
据调查,阿浩带领下的犯罪团伙用同样的方法生产注册了两百余万个微信号,非法获利1000多万元。据阿浩交代,他代理销售的改机软件京天龙是一个叫“无极”的网友推荐给他的,阿浩不知道“无极”的真实姓名,但他们在广州见过面。
在阿浩眼中,“无极”技术高超,是这个圈子里教父级的人物,不少高学历的人都被他收买。顺线侦查之后,警方锁定了一个叫阿然(李一然)的人。李一然(化名)1987年出生,广东省罗定市人。2022年1月17日在广州市南沙区的某高档小区里,侦查人员将犯罪嫌疑人李一然抓获。
经调查,2019年,仅有初中学历的李一然意识到改机软件有利可图,就组建了一个鹰然科技有限公司,招募了多名高学历计算机软件开发人员。
其中最出色的当属范武(化名)。范武1980年出生,华南理工大学博士研究生毕业,在范武的带领下,他们研发出一款名为IG,提供给微信注册商使用的改机软件。但不久,这款软件在批量注册微信这个黑灰产业链中火了起来。2019年年底,李一然针对微信批量注册开发软件的意图越来越明显,范武便与李一然分道扬镳。
李一然带着两个技术人员——陈林(化名)和马海涛(化名)到泰国继续开发改机软件,随后开发出了京天龙软件,其成功率大大高于IG。为逃避打击,他们改用虚拟货币比特币进行交易结算。
由于电诈和网赌的团伙也会关注这些微信账号的来源,柬埔寨的一个涉诈公司很快盯上李一然等人。2020年7月,李一然三人受邀到了柬埔寨。但在这里,他们不仅被逼着继续升级软件,还亲眼看到有人利用微信对国内同胞进行各类诈骗。
2021年初,李一然从涉诈团伙手中骗回护照,和马海涛、李林分头逃回广州,离开了黑灰产业圈。
李一然被捕的第二天,周村警方在广东省东莞市将范武抓获。被捕后的范武觉得自己有点儿冤枉,他认为自己不应该对京天龙改机软件产生的社会危害承担法律责任。
周村警方在缉捕京天龙软件开发团伙的同时,也将开发AW软件的两名嫌疑人抓获。
运营商内鬼
提供空号资源
抓获两个开发改机软件的犯罪团伙后,警方将侦查重心转移到手机号码的来源上。巩小宇交代,他注册微信使用的手机号码皆为空号,是他在黑灰产圈子里认识的两个网友提供的。
其中阿鹏(化名)1989年出生,福建省邵武市人;阿超(化名)1987年出生,江西省丰城市人。二人长期居住在福建省厦门市,共同进行非法注册微信账号等违法犯罪活动。2018年初,阿鹏在黑灰产圈子里认识了一个叫吴哥的号商,获得了充足的空号资源,阿鹏还将手机号码提供给全国各地的团伙。
这些手机号码虽然是空号,却能发送和接收短信验证码。运营商工作人员告诉警方,不管是空号还是实名号,都由省级运营商的短信网关服务器发送和接收短信。警方推测,省级运营商里可能有内鬼。
警方又对吴哥进行研判,确定了其真实身份。吴大鹏(化名)1980年出生,安徽省芜湖市人,通过对其社会关系的侦查,警方发现吴大鹏与安徽合肥一家科技公司的两位负责人交往密切。
其中一位负责人名叫刘跃(化名),经查,他与河南电信里的内鬼田林(化名)合作,为吴大鹏提供号码。田林通过签订虚假号码池业务合同,骗过运营商内部审核,在运营商机房搭建服务器,非法侵入运营商短信网关系统,将接口提供给下游微信注册商使用,再通过运营商号码池抽取空号资源,使用大量空号接收、发送短信验证码。
通过虚假号码池业务,刘跃从河南某省级运营商那里拿到大量手机号码。几年下来,刘跃和田林都获得巨大收益。
科技公司的另一负责人齐田(化名)也为吴大鹏牵线搭桥了江苏、吉林、福建的运营商。
自2022年5月开始,周村警方陆续对运营商内鬼展开抓捕行动。警方从他们电脑中恢复的手机号数据多达8000多万条,这意味着有8000万个手机号码被用来注册微信。
这些为不法分子输送利益的人,在运营商省级公司里大多是手中有权,身居要职的中层管理人员。他们虽然知道自己的行为违规,但从未想过违法。
随着最后一名电信运营商内鬼的到案,一个由淄博警方侦办了近两年的特大黑灰产案宣告侦办终结。这起公安部督办的“9·16”特大黑灰产系列案,打掉犯罪团伙10个,抓获犯罪嫌疑人135名,查扣涉案资产两亿余元,作案手机5000余部,彻底斩断了一个向境外犯罪团伙提供微信账号等服务的黑灰产利益链条。