据统计,2013年我国公安机关全年抓获涉网犯罪嫌疑人达25.2万人,与2012年相比增长15%。据中国警察网报道,2012年至2014年,全国公安机关组织开展打击网络诈骗、网络淫秽色情、网络赌博、有组织传播谣言、销售违禁品等10余次专项打击行动和清理整治行动,办理案件30余万起,抓获涉网犯罪嫌疑人60余万名。
网络黑色产业链已经渗透到我们生活的方方面面,从影响全球的网络安全事件,到犯罪分子利用泄露的银行卡信息盗取用户存款,无一不关系到网络使用者的切身利益。
1、网络黑色产业链的分类:
所谓“网络黑色产业链”,就是指以计算机网络为工具,运用计算机和网络技术实施的以盈利为目的、有组织、分工明确的团伙式犯罪行为,主要可以分为技术类、社工类和涉黄涉非类三大类型。
技术类:指利用网络和计算机存在的安全漏洞和缺陷,窃取数据和信息,以及对网络和计算机发起的各类攻击。
社工类:指利用受害者的信任、好奇心和贪婪等心理弱点,以冒充熟人或博取同情等社会工程学的方式进行网络盗窃、诈骗和敲诈。
涉黄涉非类:指利用网络的便捷性和难以追查性,进行如网络色情、网络赌博、贩卖枪支弹药和违禁品等的涉黄涉非违法犯罪活动。
2、网络黑色产业链的主要协作模式
注:黑帽专指对计算机系统及网络进行恶意攻击及破坏的人
社工库指整合多个被盗数据库、形成专门用于社工欺诈的多维度海量用户信息库
从上图可以看出,网络黑色产业链的上游为黑帽技术实施,中游为黑产犯罪团伙,下游则是支持黑产犯罪团伙的各种周边组织。位于上游端的木马病毒、钓鱼网站制作者和贩卖者普遍拥有较高的技术水平,靠散布病毒和钓鱼网址批量控制用户的终端设备,以达到诈骗和盗取财产的目的,平均一个上游端就可长期供养10个以上网络黑产犯罪团伙。
网络黑产新趋势
网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势,2014年各种重大网络安全事件显示,网络黑产已经从半公开的纯攻击模式转化成为敛财工具和商业竞争手段,集团化、产业化趋势明显。腾讯雷霆行动看到,俗称“拖库”的盗取网站数据库已成为黑产人员惯招,社工库为各种精准式网络诈骗提供数据来源,恶性商业竞争让网络攻击、网络敲诈成为常态。
1、“拖库”成惯招,精准式诈骗场景频出
黑客通过入侵有价值的网络站点,盗走用户数据库,这个过程在地下产业术语里被称为“拖库”;在取得大量的用户数据之后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,通常被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以使黑客收获颇丰。12月25日,中国铁路购票网站12306被爆有超过13万条用户隐私数据在互联网疯传,就是由黑客通过“撞库”攻击获得的数据。
最后,黑产人员还会把多个不同类型的数据库整合成社工库。随着社工库的日益完善,大量网络用户的隐私信息、上网行为、以及与个人金融财产安全相关的数据被重新整合,多维度的海量信息让有强针对性的精准式诈骗场景频现。
互联网深度数据分析公司TOMsInsight在其最新的分析报告《互联网黑市分析:社工库的传说》中指出,全国流量排名前100的网站有近八成的用户数据库已被黑客盗取,变相为网络黑色产业链提供大数据来源。2014年下半年,大量冒充熟人诈骗、利用被泄露的银行卡信息进行盗刷等的网络黑产犯罪案件层出不穷,矛头直指用户个人隐私泄漏问题。腾讯雷霆行动观察到,从去年下半年开始,网络上有数以千计的黑产从业人员从传统的点卡、盗号诈骗转移到银行卡盗刷产业。
相应地,盗取用户身份证、银行卡号、手机号等隐私信息的黑产团伙周边产业链也不断完善,因网购订单泄漏、快递订单泄漏而导致的诈骗案件频频见诸报端,可见当前互联网黑产的主要危害已经从传统的帐号安全逐渐转移至用户个人信息安全。目前,互联网企业应对用户隐私数据被盗的防御措施和用户的自我保护意识都仍然较弱。
来源:TOMsInsight《互联网黑市分析:社工库的传说》
2、恶性商业竞争推动网络攻击、网络敲诈
随着商业竞争的日趋激烈,网络黑色产业已经从以往单纯的攻击模式转化成为网络敲诈黑产团伙的敛财工具和半公开化的商业竞争手段。互联网深度数据分析公司TOMsInsight在其分析报告《互联网黑市分析:攻击敲诈勒索》中把网络攻击和敲诈分为了人肉型、信息型、技术型三大类。
人肉型攻击敲诈勒索指那些完全凭借人工完成的攻击,例如通过网络社交群组织几千人甚至几万人的大规模团伙,有组织有计划地针对电商、网购网站进行恶意购买、恶意差评、恶意投诉和恶意点击。
来源:TOMsInsight《互联网黑市分析:攻击敲诈勒索》
其在2014年上半年对178家网站进行随机调查的结果显示,针对网店的恶意投诉和差评为人肉型攻击敲诈勒索最常见的形式。
信息型攻击敲诈勒索则是通过在网络媒体、搜索引擎、微博、论坛等网上平台发布负面信息,给某一特定受害者造成负面影响,以进行敲诈勒索。其中,黑链是信息型攻击敲诈勒索中最普遍的一种手段。黑产者通过网络技术漏洞获取在搜索引擎中权重较高的网站权限,链接到自己的网站,然后通过关键词优化和黑链技巧,快速地把与受害者品牌相关的负面新闻优化到搜索引擎前几页,收钱后即快速删除。
技术型攻击敲诈勒索指攻击者利用黑客技术,通过DDOS攻击和入侵网站数据库等形式,对一些有规模的网站进行敲诈勒索的行为。所谓DDOS攻击(Distributed Denial of Service),通俗来说就是利用大量的虚假访问,占据了受害者网站的带宽,让真实的用户无法登陆。承载了电子商务、在线游戏、网银支付系统、社交网站等高利润在线业务的数据中心常常是DDOS攻击的重灾区。
2014年11月,网络游戏“魔兽世界”的北美服务器就遭到大型DDOS攻击,暴雪被迫对北美服务器进行长达4小时的服务器维护以修复问题,大批网游玩家受影响。
3、黑产偏爱手机木马,移动端抵御能力弱
由于PC端在抵御病毒及保障网购、网上支付安全的软件和验证方式上相对于移动端更强大,网络黑产人员更倾向于对手机进行攻击,通过植入手机木马等方式取得用户个人信息,进而控制手机、拦截短信验证码,实施网络盗窃。
利用伪基站发送木马诈骗短信是2014年网络黑产团伙最爱用的诈骗手段之一,主要通过伪基站发送类似“卡内积分满多少,可以赠送话费”的短信内容,诱骗用户点击假冒中国移动服务号码10086短信中的木马链接,待用户输入个人信息后,银行卡资金随即被盗。
2014年6月以来,江苏省连续发生3起利用伪基站发送木马短信的电信诈骗案件,受害人的手机均收到假冒10086发来的积分兑奖短信,诱导受害人填写包括个人姓名、身份证号码、银行卡号等个人资料,并提示下载安装所谓“移动掌上营业厅.apk”的木马病毒。受害人在进行所谓的“兑奖”后,不久就发现自己银行卡里的余额莫名其妙地少了。
受害人收到的木马短信截屏
2014年8月至11月,江苏淮安市公安局分赴四个省抓获犯罪嫌疑人郑某、王某、李某等9名,缴获电脑9台、伪基站设备2台,成功地侦破了这起由公安部挂牌督办的利用伪基站发送木马短信的系列诈骗案。
移动支付黑产数据研究
数据来源:腾讯手机管家、腾讯电脑管家
2014年移动端新增支付病毒包为13.7万个,是2013年的三倍。共有1562万个移动设备被感染,也就说每天有4.27万个移动设备被支付类病毒感染。显示通过支付类病毒感染用户移动设备,获取用户个人信息,进而控制手机、拦截短信验证码,以盗取财产,已成为网络黑产的新趋势。
数据来源:腾讯手机管家、腾讯电脑管家
电子市场和手机论坛依然是支付病毒的主要传播渠道,占比分别达到21%、20%,而软件捆绑、ROM内置、二维码、手机资源站分别占支付病毒传播渠道的12-16%不等。
2014年移动端支付类病毒最大特征是表现为“偷短信”,即静默删除短信、静默发送短信,再通过社工库及社工类欺诈骗取用户的银行卡号、身份证、手机号等,把用户设备变成“肉鸡”,悄无声息地盗走用户网银或第三方支付账号的资金。
注:本文节选自《2014年腾讯雷霆行动网络黑色产业链年度报告》