机场、支付行业将在未来一段时间内被列为地方公安重点关注对象
自2022年10月起,由于长时间的疫情影响各地政府财政吃紧,各地公安部门尤其是地方公安(县级为主)开始重点关注机场、支付等流水大、无社会危害性行业。
由于这类案件具有流水大、结案快、定性范围广的特点,地方公安开始重点关注查处这类案件,相关从业者请务必重视未雨绸缪。
机场、支付行业主要罪名为:
1.提供侵入、非法控制计算机信息系统程序、工具罪,
2.非法经营罪
这两个罪名都有口袋罪的性质,且都有量刑起点低,量刑跨度大的特点,且案件往往具有关联性一旦认定有其他人关联就会被认定团伙作案,一旦确定证据基本不可能做到不起诉,一般都会在公安阶段没收违法所得,在法院阶段判刑+罚款。
自2022年10月起,由于长时间的疫情影响各地政府财政吃紧,各地公安部门尤其是地方公安(县级为主)开始重点关注机场、支付等流水大、无社会危害性行业。
由于这类案件具有流水大、结案快、定性范围广的特点,地方公安开始重点关注查处这类案件,相关从业者请务必重视未雨绸缪。
机场、支付行业主要罪名为:
1.提供侵入、非法控制计算机信息系统程序、工具罪,
2.非法经营罪
这两个罪名都有口袋罪的性质,且都有量刑起点低,量刑跨度大的特点,且案件往往具有关联性一旦认定有其他人关联就会被认定团伙作案,一旦确定证据基本不可能做到不起诉,一般都会在公安阶段没收违法所得,在法院阶段判刑+罚款。
新修订的反间谍法正式施行,国安执法范围扩大
1. 新法拓展间谍行为定义的外延。(1)在参加间谍组织或者接受间谍组织及其代理人的任务之外,新法增加规定投靠间谍组织及其代理人也属于间谍行为;(2)新法将关系国家安全和利益的文件、数据、资料、物品与国家秘密、情报一并保护,增加规定对上述文件、数据、资料或物品实施窃取、刺探、收买、非法提供的行为以及胁迫国家工作人员叛变的活动均为间谍行为;(3)新法增加规定了针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动为间谍行为。
2. 新法明确规定间谍组织及其代理人在中华人民共和国领域内,或者利用中华人民共和国的公民、组织或者其他条件,从事针对第三国的间谍活动,危害中华人民共和国国家安全的,也将应适用《反间谍法》。
其中和广大网民关系较近的内容为“增加规定了针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动为间谍行为”
这意味着在某种程度上很多犯罪活动有了更深更严重的定罪依据
相关法律依据:
1.中华人民共和国反间谍法
2.关键信息基础设施安全保护条例
1. 新法拓展间谍行为定义的外延。(1)在参加间谍组织或者接受间谍组织及其代理人的任务之外,新法增加规定投靠间谍组织及其代理人也属于间谍行为;(2)新法将关系国家安全和利益的文件、数据、资料、物品与国家秘密、情报一并保护,增加规定对上述文件、数据、资料或物品实施窃取、刺探、收买、非法提供的行为以及胁迫国家工作人员叛变的活动均为间谍行为;(3)新法增加规定了针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动为间谍行为。
2. 新法明确规定间谍组织及其代理人在中华人民共和国领域内,或者利用中华人民共和国的公民、组织或者其他条件,从事针对第三国的间谍活动,危害中华人民共和国国家安全的,也将应适用《反间谍法》。
其中和广大网民关系较近的内容为“增加规定了针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动为间谍行为”
这意味着在某种程度上很多犯罪活动有了更深更严重的定罪依据
相关法律依据:
1.中华人民共和国反间谍法
2.关键信息基础设施安全保护条例
👍3❤1
近期假APP横行,注意甄别防止财产损失
近期市面上出现很多第三方高仿Telegram(电脑客户端、安卓客户端、网页)、数字货币钱包(IMToken、TokenPocket、MetaMask等),甚至已经可以看到以上盗U源码在市面上流传开。
假Telegram客户端盗U手段主要为替换数字货币钱包地址,将你发送的数字货币钱包地址替换,对方看到的是盗U者的数字货币地址。
假钱包盗U手段更为直接,用户使用假钱包创建或导入数字货币地址后直接将地址、助记词、私钥等发送给盗U者后台。
请务必从官方渠道下载正版APP,切忌因贪图方便造成财产损失。
近期市面上出现很多第三方高仿Telegram(电脑客户端、安卓客户端、网页)、数字货币钱包(IMToken、TokenPocket、MetaMask等),甚至已经可以看到以上盗U源码在市面上流传开。
假Telegram客户端盗U手段主要为替换数字货币钱包地址,将你发送的数字货币钱包地址替换,对方看到的是盗U者的数字货币地址。
假钱包盗U手段更为直接,用户使用假钱包创建或导入数字货币地址后直接将地址、助记词、私钥等发送给盗U者后台。
请务必从官方渠道下载正版APP,切忌因贪图方便造成财产损失。
❤2
尽量避免截图国内应用界面以及避免使用国内应用自带的截图
图片隐写(盲水印)过去用在企业内部知识产权保护及企业员工内网,意在防止员工泄漏企业隐私,发生泄漏问题可以第一时间找到源头。
2022年年底到现在,微博、知乎、豆瓣、QQ邮箱等先后爆出在用户界面使用不可见的图片隐写技术(盲水印)
习惯使用QQ或微信截图的用户也注意,重要信息尽量避免使用国内程序截图插件,建议使用独立截图工具防止被溯源风险。
图片隐写(盲水印)过去用在企业内部知识产权保护及企业员工内网,意在防止员工泄漏企业隐私,发生泄漏问题可以第一时间找到源头。
2022年年底到现在,微博、知乎、豆瓣、QQ邮箱等先后爆出在用户界面使用不可见的图片隐写技术(盲水印)
习惯使用QQ或微信截图的用户也注意,重要信息尽量避免使用国内程序截图插件,建议使用独立截图工具防止被溯源风险。
❤2
避免使用国内浏览器上网,ip上报、浏览器指纹足以关联溯源个人
由于很多系统功能及硬件特性,很多内容都可作为指纹被记录,常见的指纹如图可见。
使用国内系统或程序,在侦查力度足够的情况下,是有技术支持能够通过相关指纹溯源到个人的。
由于很多系统功能及硬件特性,很多内容都可作为指纹被记录,常见的指纹如图可见。
使用国内系统或程序,在侦查力度足够的情况下,是有技术支持能够通过相关指纹溯源到个人的。
❤2
关于近期公安绕过Windows开机密码取证及硬盘加密恢复
案情相关原文链接
近日,某公司接到某地市公安的案件技术协助请求,要求协助解密一台笔记本电脑硬盘的数据。电脑使用了BitLocker硬盘加密,拒不承认自己与案件相关,不交代电脑的开机密码。
工作人员用内存直接访问(DMA)尝试对启用TPM+PIN保护的BitLocker加密的Windows 10系统进行绕过登陆。很快在十多分钟内就成功绕过Windows 10系统的锁屏密码,进入系统后,成功获取到了该BitLocker加密磁盘的48位的恢复密钥。最终成功解密了硬盘数据。找到了连接服务器的历史记录,形成了证据链。
—————————————————
PCILeech-DMA内存攻击是较老的免费开源出来的技术,该公司将免费开源的技术包装成产品做成服务对口公安做技术取证。
该取证恢复数据成功过程主要有这两点关键
1. 如果不开启TPM记忆密钥,只使用纯密码方式启动Bitlocker 那就不会被恢复。在组策略中可以关闭Bitlocker使用TPM ,以允许仅限密码的启动方式。
2.案件中的HP Envy X360是16年上市的老电脑,用的是 TPM 一代, 新的二代TPM这种方式无法生效。
案情相关原文链接
近日,某公司接到某地市公安的案件技术协助请求,要求协助解密一台笔记本电脑硬盘的数据。电脑使用了BitLocker硬盘加密,拒不承认自己与案件相关,不交代电脑的开机密码。
工作人员用内存直接访问(DMA)尝试对启用TPM+PIN保护的BitLocker加密的Windows 10系统进行绕过登陆。很快在十多分钟内就成功绕过Windows 10系统的锁屏密码,进入系统后,成功获取到了该BitLocker加密磁盘的48位的恢复密钥。最终成功解密了硬盘数据。找到了连接服务器的历史记录,形成了证据链。
—————————————————
PCILeech-DMA内存攻击是较老的免费开源出来的技术,该公司将免费开源的技术包装成产品做成服务对口公安做技术取证。
该取证恢复数据成功过程主要有这两点关键
1. 如果不开启TPM记忆密钥,只使用纯密码方式启动Bitlocker 那就不会被恢复。在组策略中可以关闭Bitlocker使用TPM ,以允许仅限密码的启动方式。
2.案件中的HP Envy X360是16年上市的老电脑,用的是 TPM 一代, 新的二代TPM这种方式无法生效。
👍3
2022下半年被抓的多家支付多地已成立专案调查
与2020年番茄支付相似,目前已知多家大型机场被去年年底抓捕的多家支付供出且被统一定性团伙作案将支付与机场关联并案处理。
2022年下半年消失的多家支付,如果机场规模较大且有接入请尽早咨询律师做好相关应对准备。
与2020年番茄支付相似,目前已知多家大型机场被去年年底抓捕的多家支付供出且被统一定性团伙作案将支付与机场关联并案处理。
2022年下半年消失的多家支付,如果机场规模较大且有接入请尽早咨询律师做好相关应对准备。
👍5
数字货币转账只能增加侦办难度,并非一劳永逸。
凡是公开账本形式的区块链数字货币转账记录在区块中可以查询的数字货币,理论上讲都可以溯源,只是增加侦办难度,从技术上并非一劳永逸。
篇幅限制本篇不展开讲解,点赞表态较多的话以后会考虑出专题进行相关介绍。
一、基于区块链分布式节点的特性,任何服务器都可以加入成为节点,成为区块链节点也就意味着获得所有区块链的实时数据,拿比特币举例,比特币原生基于P2P并未原生使用VPN或Tor技术进行IP隐藏,Bitnodes等这种节点网站可以轻松精确的对比特币客户端的国家进行分析统计。如果有意对交易者进行定位找到参与IP,只需在对应区域部署相应数量的探针节点,再对发起交易的客户端IP进行算法筛选即可找到参与者IP。
二、目前监管部门对各币种都建立了较为完善的交易所KYC机制,各国交易所将地址与KYC信息进行绑定,交易链中只要有一个地址数字货币流向实名KYC交易所,那么就意味着存在突破口,相关部门可以就此切入开展调查,当然如果中间转账中介越多意味着侦办难度越大,并不意味着侦办束手无策。
三、侦办力度足够的情况下,混币其实意义不大。各币种总地址数量有限,存在余额、某时间段有过转账的地址等条件都可以基于区块链分布式节点的特性轻易查询,根据地址交易特征(支出总次数、支出总金额、收入总次数、收入总金额、第一次最后一次收支时间等等)对相应币种进行全量的交易关系分析及标记,完全有能力将目标缩小到一个可侦办的范围内。
以上只是简单从侦办经历中做基本的归纳总结,实际实施过程还有更多可以考虑的技术点。当然一切的前提是侦办的投入与产出比例,生活中大部分案件因为流水较小公安侦办不会如此大费周章,更多采用心里技巧即可完成取证与笔录记录,故小流水的犯罪案件也不在本次讨论范围内。
凡是公开账本形式的区块链数字货币转账记录在区块中可以查询的数字货币,理论上讲都可以溯源,只是增加侦办难度,从技术上并非一劳永逸。
篇幅限制本篇不展开讲解,点赞表态较多的话以后会考虑出专题进行相关介绍。
一、基于区块链分布式节点的特性,任何服务器都可以加入成为节点,成为区块链节点也就意味着获得所有区块链的实时数据,拿比特币举例,比特币原生基于P2P并未原生使用VPN或Tor技术进行IP隐藏,Bitnodes等这种节点网站可以轻松精确的对比特币客户端的国家进行分析统计。如果有意对交易者进行定位找到参与IP,只需在对应区域部署相应数量的探针节点,再对发起交易的客户端IP进行算法筛选即可找到参与者IP。
二、目前监管部门对各币种都建立了较为完善的交易所KYC机制,各国交易所将地址与KYC信息进行绑定,交易链中只要有一个地址数字货币流向实名KYC交易所,那么就意味着存在突破口,相关部门可以就此切入开展调查,当然如果中间转账中介越多意味着侦办难度越大,并不意味着侦办束手无策。
三、侦办力度足够的情况下,混币其实意义不大。各币种总地址数量有限,存在余额、某时间段有过转账的地址等条件都可以基于区块链分布式节点的特性轻易查询,根据地址交易特征(支出总次数、支出总金额、收入总次数、收入总金额、第一次最后一次收支时间等等)对相应币种进行全量的交易关系分析及标记,完全有能力将目标缩小到一个可侦办的范围内。
以上只是简单从侦办经历中做基本的归纳总结,实际实施过程还有更多可以考虑的技术点。当然一切的前提是侦办的投入与产出比例,生活中大部分案件因为流水较小公安侦办不会如此大费周章,更多采用心里技巧即可完成取证与笔录记录,故小流水的犯罪案件也不在本次讨论范围内。
👍4❤1
警惕近期出现较多的“收机场”情况
各地公安尤其是网安部门与一些安全企业之间是存在合作关系的,大部分公安为了每年的业绩都会从安全公司购买情报、或后续购买溯源服务来协助破案(俗称’打金’)满足业绩需求。
目前已有机场主因为安全公司广撒网的“收机场”模式的情报搜集落网(俗称’出金’)。
各地公安尤其是网安部门与一些安全企业之间是存在合作关系的,大部分公安为了每年的业绩都会从安全公司购买情报、或后续购买溯源服务来协助破案(俗称’打金’)满足业绩需求。
目前已有机场主因为安全公司广撒网的“收机场”模式的情报搜集落网(俗称’出金’)。
❤1
今年3月中旬某社工库曝出的4亿中国公民户籍信息内容已被证实
事件过程:在该社工库公布该数据来源于Breach论坛后不久,一周后Breach论坛管理员Baphomet曝出论坛遭到入侵,随后这个以黑客分享贩卖泄漏的数据出名的论坛被迫关闭,结束运营。
事件过程:在该社工库公布该数据来源于Breach论坛后不久,一周后Breach论坛管理员Baphomet曝出论坛遭到入侵,随后这个以黑客分享贩卖泄漏的数据出名的论坛被迫关闭,结束运营。