凌晨三点的字节跳动安全中心,荧光屏的冷光在玻璃幕墙上来回反射,映得我指尖的咖啡渍都泛着蓝调。作为网络安全与风险控制部门的异常行为分析师,我的工作就是在亿万条数据流中打捞“不合逻辑的痕迹”——比如此刻屏幕上反复跳动的两个名字:张吉惟、林国瑞。
这是我盯着监控后台的第三个小时。系统自动触发的风险预警源于一份刚上传至某地方政府官网的采购评审公示,算法标记了“名单相似度98%”的异常。顺着溯源链路往下挖,我在百度文库找到一份《中国普通人名大全》,打开的瞬间,后背突然窜起一股凉意:公示名单里的15个评审员姓名、身份证号前六位,甚至联系电话前缀,都和这份十年前的文档完全重合。
“又来一个?”隔壁工位的老周端着保温杯凑过来,他的黑眼圈比键盘键帽还深。作为团队里经验最丰富的溯源专家,上周抚顺住建局用“孙俪”“鹿晗”做行政处罚备案的案子就是他揪出来的。“竹溪县3000万采购项目,评审名单照搬百度人名,现在全网都在扒后续。”我把监控截图推给他,指着“张吉惟”这个名字,“你看,这人和林国瑞还出现在宁夏那家环保公司的专利发明人列表里,澎湃新闻采访第一发明人,对方说根本不认识他们。”
老周的手指在触控板上飞快滑动,屏幕上弹出密密麻麻的关联图谱。“不止这些。”他调出最新的舆情监测数据,“杭师大的福彩助困项目,62个受助学生全是百度人名,45万公益金去向不明;还有《临床医学研究前沿》的编委会,之前全是这些虚构名字,被扒出来后连夜改成英文了。”
我的大脑突然闪过一个念头。作为长期跟踪网络黑产的分析师,我见过批量注册账号的脚本,见过伪造资质的模板,但这种跨地域、跨领域的“名单造假”太反常了——从政府采购到公益项目,从学术期刊到专利申报,仿佛有一个无形的幽灵,用同一套虚假身份在公共领域肆意穿行。
“查Ip链路了吗?”我端起咖啡抿了一口,苦涩的液体压下心头的不安。我们的系统能追踪到信息发布的终端设备和网络环境,这是找到造假源头的关键。
“正在跑。”老周指了指屏幕上滚动的代码,“竹溪县和杭师大的公示页面,发布Ip都指向同一个虚拟服务器集群,注册信息是假的,但服务器运营商在深圳。还有个有意思的发现,这些名单里的身份证号前六位,对应不同省份的行政区划代码,却都用了同一批生日数字——到,明显是批量生成的。”
这时,部门总监陈姐的消息弹了进来:“东方十一,老周,立刻来我办公室。”
陈姐的办公桌上摆着一份打印出来的舆情报告,标题用红笔圈了出来:《百度人名大全成造假模板,多地公共项目公信力遭重创》。“上级刚接到通知,要求我们协助各地调查组做技术支持。”她的声音带着一丝疲惫,却依旧沉稳,“这个事件不是简单的‘工作失误’,背后可能存在有组织的黑产链条。你们的任务是找到名单造假的技术源头,查清这些虚假身份的扩散路径,还有——确认是否存在数据泄露风险。”
我心里咯噔一下。数据泄露?如果这些虚构姓名对应的身份证号、联系方式是真实存在的,那后果不堪设想。“我们已经比对过全国人口信息库接口。”老周立刻回应,“张吉惟、林国瑞这些名字对应的身份证号都是无效编码,联系方式要么是空号,要么是已注销的虚拟号。但问题在于,为什么这么多单位会用同一套虚假信息?”
陈姐指尖敲击着桌面:“有一种可能,存在专门售卖‘公示名单模板’的黑产团伙。有些单位为了应付流程,或者想规避监管,直接购买现成的名单填充公示内容。你们要重点排查是否有地下论坛、即时通讯群组在交易这类模板,特别是包含虚假身份信息、资质证明的打包文件。”
回到工位时,天已经蒙蒙亮。我和老周分工合作,他继续追踪服务器集群的真实物理地址,我则负责筛查地下黑产平台。打开几个加密论坛,输入“名单模板”“评审员信息”等关键词,果然弹出了不少相关交易帖。其中一个Id为“模板供应商007”的用户,发帖记录显示他近半年来出售过“政府采购评审名单模板”“公益项目受助名单模板”等数十种商品,价格从几百到几千元不等。
“找到了。”我把帖子截图发给老周,“你看他的商品描述:‘包含100组真实格式身份信息,支持自定义地区、职称,可直接用于公示文件,规避查重系统’。”
老周立刻对这个Id进行画像分析,发现他的交易记录集中在夜间,收款账户是多个异地银行卡,且频繁进行小额转账。“Ip地址在广州,但用了三层代理,不好直接定位。”他皱了皱眉,“不过他的商品附件有个特征码,和竹溪县公示文件的特征码高度吻合。这说明,至少竹溪县的涉事名单是从这里购买的。”
就在这时,我的监控系统突然触发了新的预警。一份刚发布的某省教育厅科研项目立项公示,名单里再次出现了“张吉惟”“林国瑞”。我立刻点开公示页面,发现发布单位是该省某职业技术学院,立项金额50万元。更诡异的是,公示页面的底部标注着“技术支持:xx网络科技公司”——这家公司,正是之前为杭师大公益项目提供公示系统服务的服务商。
“线索连上了。”我兴奋地拍了下桌子,“这些涉事单位都用了同一家技术服务商!或者说,这家服务商在提供系统的同时,向客户兜售了造假模板。”
老周立刻查询这家网络科技公司的工商信息,发现其法定代表人名下有三家关联企业,经营范围涵盖“政务信息化服务”“公示系统开发”等。“他们的服务器地址和我们之前追踪到的虚拟集群有互联互通记录。”老周的眼睛亮了起来,“而且这家公司去年因为违规收集公民信息被处罚过,现在看来,他们根本没整改,反而把业务做成了‘一条龙’——既卖公示系统,又卖造假名单。”
我们立刻将这一发现同步给陈姐,同时整理技术证据提交给各地调查组。中午时分,竹溪县政府发布了最新通报:确认采购项目评审名单存在“故意造假”行为,涉事工作人员已被停职,调查组正在追查名单来源;抚顺住建局则公布了处理结果,对相关责任人给予记过处分,并重申将建立信息公示审核机制。
但事情并没有就此结束。下午,我在筛查专利数据库时发现,“张吉惟”“林国瑞”还被列为某医疗器械公司的实用新型专利发明人,而这家公司的产品正处于医保目录申报阶段。“如果医保申报材料里的发明人信息是假的,那产品的安全性和有效性能保证吗?”我越想越后怕,这些虚构姓名就像一个个隐藏的炸弹,埋在公共资源分配、公共服务提供的各个环节。
老周突然发来一条消息:“服务器集群的真实地址找到了,在深圳一个城中村的写字楼里,注册公司是一家空壳企业。我们联系了当地警方,他们已经上门核查了。”
我放下手里的工作,点开老周发来的现场照片。照片里,一间狭小的办公室里摆满了电脑,屏幕上还显示着名单生成软件的界面。“警方说,这里是一个黑产窝点,专门为客户提供‘公示文件代做’服务。”老周的语音消息传来,“他们开发了一套自动化软件,能从网络上抓取人名、身份证号格式,批量生成符合要求的名单,还能伪造评审意见、项目报告等配套文件。客户只需要提供项目名称和金额,他们就能在24小时内交付全套‘合规’的公示材料。”
随着调查的深入,更多细节浮出水面。这个黑产窝点的客户遍布全国,涵盖了政府部门、事业单位、企业等多个类型。有些客户是为了简化流程,有些则是为了套取公共资金——比如杭师大的福彩助困项目,45万公益金实际上被用于支付黑产服务费和单位福利,所谓的“受助学生”根本不存在。
“最可怕的是学术领域。”老周发给我一篇《临床医学研究前沿》的往期期刊,“你看,之前的编委会全是百度人名,这些虚假编委的存在,让这本期刊的学术 credibility 荡然无存。现在很多高校已经把这本期刊列为‘预警期刊’,发表在上面的论文不予认可。”
我突然想起上周处理的一起数据异常事件。有用户投诉自己的姓名被莫名用于某行业协会的专家名单,导致个人信息泄露。当时我以为只是个案,现在看来,这很可能是黑产团伙随机抓取真实姓名进行造假,进一步增加名单的“可信度”。
“我们得开发一个专门的筛查系统。”我对老周说,“把百度人名大全、常见虚构姓名库录入数据库,对接各地政务公示平台,一旦发现高度相似的名单,自动触发预警。”
老周点点头:“我已经向技术部提了需求。不过治标不治本,关键还是要推动建立信息公示的审核机制。现在很多单位的公示文件都是流于形式,没人认真核对信息的真实性。”
接下来的几天,我们全身心投入到筛查系统的开发中。与此同时,各地的处理结果陆续公布:竹溪县涉事3000万采购项目被叫停,相关责任人被移交纪检部门;杭师大退还了45万福彩公益金,涉事工作人员被开除;那家深圳的黑产窝点被依法取缔,抓获犯罪嫌疑人8名。
12月10日,我们的“虚假名单智能筛查系统”正式上线,首批对接了全国20多个省份的政务公示平台。上线当天,系统就触发了17条预警,其中3条被证实存在造假行为。看着后台不断跳动的预警数据,我突然意识到,这场与黑产的较量,才刚刚开始。
深夜,我坐在工位上,再次点开那份《中国普通人名大全》。文档里的名字密密麻麻,像一个个没有灵魂的幽灵。它们本应只是网络世界里的一串字符,却被别有用心之人变成了破坏公共信任的工具。
手机震动了一下,是陈姐发来的消息:“东方十一,国家网信办准备推广我们的筛查系统,后续还要建立全国统一的信息公示核查平台。你们的工作,守住了公共领域的一道重要防线。”
窗外,城市的灯光渐次亮起,驱散了深夜的黑暗。我端起早已凉透的咖啡,指尖划过键盘上的“确认”键。屏幕上,“张吉惟”“林国瑞”等名字被标记为“高风险虚构身份”,永久存入了系统的黑名单。
我知道,只要黑产的利益驱动还在,就会有新的造假手段出现。但作为网络安全分析师,我们能做的,就是用技术筑起一道高墙,让那些试图钻制度空子的人无处遁形。而这场关于名单造假的风波,也让更多人意识到:公共信任从来不是一纸空文,它需要每一个环节的严格把关,需要每一个人的坚守与守护。
在数据流的海洋里,我们就像灯塔的守望者,用代码和智慧照亮那些隐藏在黑暗中的裂缝,不让虚假与贪婪侵蚀社会的根基。而这,正是我们身为网络安全人的使命与担当。