“打劫”运营商窃取数据

　　警方侦查发现，涉案的瑞智华胜等三家公司主要成员均系同一伙人，办公地点也一样。同一个团伙为什么要开三家公司？原来是为了用不同的公司主体干不同的事情，掌控整个产业链：两家公司主要与运营商签订服务合同，获取权限，进而窃取数据，而瑞智华胜则主要将数据加工、处理，通过精准营销、恶意弹窗、加粉、刷量等方式获利变现。

　　据警方介绍，在“大老板”邢某的安排下，从2014年开始，黑产公司通过竞标的方式，先后与全国多家运营商签订正式的服务合同，为其提供精准广告投放系统的开发、维护。简单来说，每家运营商都要针对不同用户做比较精准的信息推送，比如流量使用提醒等，主要靠这个系统。

　　在提供软件服务的过程中，该犯罪团伙获得了运营商服务器的远程登录权限，并于2015年开始，在明知不合法的情况下，将自主编写的恶意程序放在运营商内部的服务器上，偷偷“劫取”流量，意即当用户的流量经过运营商的服务器时，该程序就自动工作，从中清洗、采集出用户cookie、访问记录等关键数据，再通过恶意程序将所有数据导出，存放在瑞智华胜境内外的多个服务器上。

　　办案民警单钟颖介绍，cookie相当于用户账号的登录凭证，不需要获取帐号和密码，通过cookie就可以进入用户账号，直接操作账号做任何事情。利用cookie数据，该犯罪团伙登录大量用户的账号，从用户账号中获取用户的搜索记录、账户注册资料等数据。

　　除了获取账号内的数据，该犯罪团伙还操纵账户加粉、刷量，并进行恶意弹窗推广等方式非法获利。

　　“在链路末端，为实现加粉、提升百度搜词排名等变现效果，瑞智华胜针对不同的软件研发了不同的加粉程序，犯罪手法极其专业，技术水平较高。”单钟颖表示。

　　为毁灭证据，今年4月犯罪嫌疑人团队还连夜删除多台服务器上的大量数据，警方初步估算已被删除的数据量也超过亿条。