黑产神器NZT的“地下王国”覆灭记

 

大家好，我是鹅师傅。

 

今天和大家聊聊网络黑产的一个犯罪工具：一个拥有超强分身能力，能把一部手机能变作成百上千部手机的软件，名为 NZT。

 

在 NZT 这个手机群控软件背后，有着至少三级代理和几十个资金量较大的代理，堪称隐藏在网络阴暗面里的“地下王国”。

 

在这个犯罪团伙被端之前，他们已经让接近 100 万台手机使用 NZT。而这些手机也是黑客攻击、网络黄赌、网络诈骗、网络盗窃等各类违法犯罪活动的作案工具。

 

NZT 软件名字是“牛轧糖”的缩写。

 

随着 NZT 背后开发、销售的地下王国覆灭，同时也揭开了全国十几个城市的多起网络犯罪新型案件的工具源头。

 

NZT这颗“牛轧糖”，目前已经成为犯罪嫌疑人的“苦果”。

 

 1 部 iPhone 变 1000 部 iPhone

 

这要从一次羊毛党黑产的攻击讲起。

 

我们在文章《为什么你总是抢不到电商平台的优惠？》中曾讲过，“羊毛党”会使用大量恶意注册的网络账号，以及仿冒真实用户的设备，对各类企业活动进行领优惠券、领红包、刷单、刷榜等。

 

去年 7 月，某电商平台一个指定城市的活动，也惨遭羊毛党搜刮。重庆警方在接到报案、案件侦破后，抓获了犯罪嫌疑人。

 

此案的破获是重庆警方按照公安部“净网 2019 专项行动”整体部署，严厉打击网络违法的重要成果。

 

警察叔叔表示，按照报案所说的损失金额三十多万计算，恶意账号应该有一万个，活动规定每个手机号码只能注册一个账号，按道理嫌疑人手上应该有一万部手机，但是他们现场看到的明显不是这样子。

 

就算嫌疑人用的是苹果旧手机，按照每台 500 元左右的回收价格计算，一万部手机需要 5,000,000 元。

 

狡猾的嫌疑人怎么会做这种“用 100 元制 1 毛钱假币”的亏本生意呢？

 

实际上，警方在现场只是搜获了几十部手机。

 

这个几十部手机，是怎么修炼出分身术，快速模拟出上万部手机呢？

 

答案就是一个名为 NZT 的软件。

 

据鹅师傅了解，这是一个专门为苹果手机 iOS 系统开发的多开软件，可以通过修改参数给手机“改头换面”，从而把一部 iPhone 伪装有成百上千部 iPhone。

 

也就是说，只要装上这个软件，羊毛党黑产只需要几个人员，就能轻松控制上万个账号，薅走了电商平台的优惠券。

 

而那些早早围在路由器旁边，提前准备准点下单的真实用户，只能白费一番功夫，最后得到平台“优惠券已抢光”、“你来晚了，活动已结束”这些忧桑的提示。

 

 

这个场景，像极了平时总是抢不到电商促销活动的我们。

 

警方通过嫌疑人的手机里的线索进行侦破，很快锁定了 NZT 软件的总代理商：重庆市的于某和郑某，将其抓捕归案。

 

新版《铁窗泪》了解一下

 

总代理被抓捕的第二天，迫于压力，NZT 软件的制作人沈某从北京赶到重庆自首。

 

NZT 代理网络

由于 NZT 的功能强大稳定、更新快，其开发者和总代理在两年多时间里，就非法获利 7000 多万元。

 

NZT 是网络黑产的工具

 

对于网络上的犯罪分子而言，NZT 这个软件主要满足了他们的两个需求：其一是隐藏自己的身份，其二是以小博大，降低成本。

 

鹅师傅和小伙伴们曾发现，一些恶意注册、养号的黑产，会配合自动脚本、群控等技术，使用 NZT 软件养号。

 

这些属于网络犯罪上游的团伙。

 

随着互联网平台对恶意账号的防控在加强，黑产在使用 NZT 软件养号的过程中，还会使用非法买卖的公民个人信息进行养号，企图绕过平台的监管。

 

可以说，NZT 是网络犯罪上游为下游团伙生产提供原材料的工具。

 

在焦点访谈中，参与案件的警方雷渊认为，类似 NZT 的软件，它主要功能就是隐藏自己的身份。

 

网络诈骗、网络盗窃、网络赌博等网络常见的犯罪活动，都是需要隐蔽自己身份的活动。因此这些犯罪嫌疑人，都是 NZT 软件的潜在用户。

 

NZT 这类具备隐藏身份功能的软件，不仅让网上的黑灰产更加猖獗，还让网络诈骗、网上赌博、网络贩毒等犯罪行为升级换代，帮助他们节约犯罪成本，导致犯罪数量爆发式增长。

 

当杀猪盘用上 NZT

 

据鹅师傅了解，NZT 软件不仅被用于持续性地攻击购物支付的平台，在网络社交平台等其它领域，犯罪分子也利用 NZT 等软件恶意注册账号，实施犯罪行为。

 

其中一个例子就是：当杀猪盘用上 NZT 软件，这种本已相当可怕的诈骗，变得更加疯狂。

 

“杀猪盘”是近两年发案率比较高的一种网络诈骗方式，就是诈骗分子在网络交友、婚恋等平台搜罗受害者，利用网上谈恋爱的套路对受害者骗取钱财。

 

早几年，诈骗分子是广撒网，再逐个给被害人打电话、加好友，从而实施诈骗，人力成本比较高。

 

 

毕竟人肉聊天，即使是从预设的话术、剧本上复制粘贴，再点击发送，也是需要时间和人力成本的。

 

然而使用了 NZT 等软件后，一部手机就能注册控制几百个账号。

诈骗分子把预设的话术、剧本输进去，机器人就会变成一个温柔体贴、事业有成的理想伴侣。

 

机器人通过在线群发消息、聊天，一旦把受害人的钱骗到手，就会立即消失。

 

没想到吧，杀猪盘里让受害者放松警惕、沉迷恋情、掏空钱包的情话，居然是机器人发的。

 

 

鹅师傅和小伙伴也参与了打击“黑链条”

 

鹅师傅想说的是，杀猪盘只是我们今年接触过的大量诈骗案例中的其中一类而已。

 

如果其他诈骗团伙也在使用 NZT 等同类软件，真的是后果不堪设想，鹅师傅想想都觉得脑阔疼。

 

据焦点访谈报道，NZT软件能够侵入、非法控制计算机信息系统，并且能干扰系统正常获取数据。

 

下游使用它进行的黑产攻击并不是针对某一家公司，而是普遍性地针对于所有的互联网公司。

 

鹅师傅的小伙伴杨建

鹅师傅的小伙伴杨建也参与了这次对网络黑产“黑链条”的打击，在接受焦点访谈采访时，他说：

 

事实上，我们在了解中，NZT 是没有任何合法的应用场景的，在普通用户中也基本上不会有人使用这个东西，而真正使用 NZT 这个软件的，都是一些从事黑灰产业，做违法事情的人才会使用这个工具。

2018 年 7 月，鹅师傅和小伙伴同时向警方举报了 NZT，以及跟它攻击功能相似的另一个软件 XXT。

 

今年 5 月，XXT 软件的制作人和总代理被辽宁省朝阳县法院以提供侵入、非法控制计算机信息系统程序、工具罪判决。

 

NZT 这个软件以及背后“地下王国”的覆灭、涉案人员到案，揭开了全国十几个城市的多起网络犯罪新型案件的工具源头。

 

据统计，仅一年多时间，在中国裁判文书网上以 NZT 为关键字搜索，就有广东、吉林、重庆、安徽等省市的多份判决书，涉及到各种类型的网络犯罪。

正如鹅师傅的小伙伴杨建说：

 

NZT 的存在给了恶意注册一个具体实施的门槛，切实培养了下游犯罪，为下游犯罪提供了账号工具，这些账号工具一方面可能在一些黄、赌、骗的犯罪领域，给普通群众造成了财产的危害。

 

它是这个领域的头部软件，对它的打击，其实是可以震慑到下面的犯罪行为。

对于这类网络犯罪，我国的《刑法》规定了提供侵入、非法控制计算机信息系统程序、工具罪，最高处以三年以上七年以下有期徒刑并处以罚金。

 

打击网络黑产需多方共治

 

中国政法大学网络法学研究院副院长王立梅，在接受焦点访谈采访时说道：

 

网络犯罪特征是广撒网，哪些人中招了或者说进入到这个网，并没有针对性，并不是针对某一个人，但会针对某一类人，所以它的危害性很大的。

 

中国大多数网民实际上是不懂技术的，只是使用而已，所以很容易就掉到这里面来。

 

我们现在说网络等级保护是分等级的，有些业务是非常安全，但某些业务可能它的安全等级本来要求就不高，因此肯定就不那么安全，所以要求网民自己要有一个判断能力，不要轻信。

 

网络犯罪可以打破地域甚至国界的限制，参与人员也常常分布在不同地区，警方办案往往需要跨数省或者跨国，动辄需要联合作战、跨国取证，动用大量社会资源，打击网络犯罪成本很高，因此从源头上打击网络犯罪已成大势所趋。

 

网络黑产正呈现出公司化、平台化和跨国化的特征，以及新技术的应用让黑产活动出现“智能化”的趋势。

 

网络黑产并非发生于个别互联网企业，而是广泛地滋生于整个互联网行业，不仅威胁着网络空间的安全，更与下游多种违法犯罪、侵犯法益的行为密切相关，对现实社会的安全与秩序也产生巨大危害。

 

因此，打击治理网络黑产，必须依靠多方联动机制，如公安司法机关、工商管理部门、银行、通信运营商、互联网企业和学界，推动共同建立预警机制、信息共享机制、反馈机制等，形成合力。

 

面对网络犯罪，个人更需要有网络安全方面的意识和知识，比如不随意泄露个人信息；不点击来历不明的链接；不要轻易相信网络陌生人的套路话术等等。

 

参考资料：

1. 央视《焦点访谈》， 20190827 期《挖出“黑账号” 斩断“黑链条”》

2. 重庆网警微信公众号，《央视焦点访谈：重庆网警挖出“黑账号”，斩断“黑链条”！| 净网2019》，2018-08-28

原文始发于微信公众号（腾讯网络安全与犯罪研究基地）：黑产神器NZT的“地下王国”覆灭记