凌晨三点的字节跳动安全中心,荧光屏的冷光在玻璃幕墙上来回反射,映得我指尖的咖啡渍都泛着蓝调。作为网络安全与风险控制部门的异常行为分析师,我的工作就是在亿万条数据流中打捞“不合逻辑的痕迹”——比如此刻屏幕上反复跳动的两个名字:张吉惟、林国瑞。
这是我盯着监控后台的第三个小时。系统自动触发的风险预警源于一份刚上传至某地方政府官网的采购评审公示,算法标记了“名单相似度98%”的异常。顺着溯源链路往下挖,我在百度文库找到一份《中国普通人名大全》,打开的瞬间,后背突然窜起一股凉意:公示名单里的15个评审员姓名、身份证号前六位,甚至联系电话前缀,都和这份十年前的文档完全重合。
“又来一个?”隔壁工位的老周端着保温杯凑过来,他的黑眼圈比键盘键帽还深。作为团队里经验最丰富的溯源专家,上周抚顺住建局用“孙俪”“鹿晗”做行政处罚备案的案子就是他揪出来的。“竹溪县3000万采购项目,评审名单照搬百度人名,现在全网都在扒后续。”我把监控截图推给他,指着“张吉惟”这个名字,“你看,这人和林国瑞还出现在宁夏那家环保公司的专利发明人列表里,澎湃新闻采访第一发明人,对方说根本不认识他们。”
老周的手指在触控板上飞快滑动,屏幕上弹出密密麻麻的关联图谱。“不止这些。”他调出最新的舆情监测数据,“杭师大的福彩助困项目,62个受助学生全是百度人名,45万公益金去向不明;还有《临床医学研究前沿》的编委会,之前全是这些虚构名字,被扒出来后连夜改成英文了。”
我的大脑突然闪过一个念头。作为长期跟踪网络黑产的分析师,我见过批量注册账号的脚本,见过伪造资质的模板,但这种跨地域、跨领域的“名单造假”太反常了——从政府采购到公益项目,从学术期刊到专利申报,仿佛有一个无形的幽灵,用同一套虚假身份在公共领域肆意穿行。
“查IP链路了吗?”我端起咖啡抿了一口,苦涩的液体压下心头的不安。我们的系统能追踪到信息发布的终端设备和网络环境,这是找到造假源头的关键。
“正在跑。”老周指了指屏幕上滚动的代码,“竹溪县和杭师大的公示页面,发布IP都指向同一个虚拟服务器集群,注册信息是假的,但服务器运营商在深圳。还有个有意思的发现,这些名单里的身份证号前六位,对应不同省份的行政区划代码,却都用了同一批生日数字——到,明显是批量生成的。”
这时,部门总监陈姐的消息弹了进来:“东方十一,老周,立刻来我办公室。”
陈姐的办公桌上摆着一份打印出来的舆情报告,标题用红笔圈了出来:《百度人名大全成造假模板,多地公共项目公信力遭重创》。“上级刚接到通知,要求我们协助各地调查组做技术支持。”她的声音带着一丝疲惫,却依旧沉稳,“这个事件不是简单的‘工作失误’,背后可能存在有组织的黑产链条。你们的任务是找到名单造假的技术源头,查清这些虚假身份的扩散路径,还有——确认是否存在数据泄露风险。”
我心里咯噔一下。数据泄露?如果这些虚构姓名对应的身份证号、联系方式是真实存在的,那后果不堪设想。“我们已经比对过全国人口信息库接口。”老周立刻回应,“张吉惟、林国瑞这些名字对应的身份证号都是无效编码,联系方式要么是空号,要么是已注销的虚拟号。但问题在于,为什么这么多单位会用同一套虚假信息?”
陈姐指尖敲击着桌面:“有一种可能,存在专门售卖‘公示名单模板’的黑产团伙。有些单位为了应付流程,或者想规避监管,直接购买现成的名单填充公示内容。你们要重点排查是否有地下论坛、即时通讯群组在交易这类模板,特别是包含虚假身份信息、资质证明的打包文件。”
回到工位时,天已经蒙蒙亮。我和老周分工合作,他继续追踪服务器集群的真实物理地址,我则负责筛查地下黑产平台。打开几个加密论坛,输入“名单模板”“评审员信息”等关键词,果然弹出了不少相关交易帖。其中一个ID为“模板供应商007”的用户,发帖记录显示他近半年来出售过“政府采购评审名单模板”“公益项目受助名单模板”等数十种商品,价格从几百到几千元不等。
“找到了。”我把帖子截图发给老周,“你看他的商品描述:‘包含100组真实格式身份信息,支持自定义地区、职称,可直接用于公示文件,规避查重系统’。”
老周立刻对这个ID进行画像分析,发现他的交易记录集中在夜间,收款账户是多个异地银行卡,且频繁进行小额转账。“IP地址在广州,但用了三层代理,不好直接定位。”他皱了皱眉,“不过他的商品附件有个特征码,和竹溪县公示文件的特征码高度吻合。这说明,至少竹溪县的涉事名单是从这里购买的。”
这章没有结束,请点击下一页继续阅读!