網(wǎng)絡黑產(chǎn)變形升級,你中招了嗎�����?
由0和1組成的比特世界�����,看似規(guī)則清晰����、簡單有序����,但實際上,只要是能夠承載人性欲望的地方��,就永遠少不了正邪較量����。日新月異的科技手段只是工具,正義者用其造福人類��,邪惡者則用其謀取私利����。
有業(yè)內(nèi)人士測算,中國“網(wǎng)絡黑色產(chǎn)業(yè)鏈”(下稱“網(wǎng)絡黑產(chǎn)”)的從業(yè)人員已經(jīng)超過150萬人,他們專業(yè)化程度高��,成組織運作����,分布在國內(nèi)及東南亞等海外地區(qū)�����。一般而言��,網(wǎng)絡黑產(chǎn)的上游是利用技術手段竊取用戶信息、數(shù)據(jù)����,或者操控用戶電腦�����、手機的黑客,下游則是通過詐騙��、洗錢��、騙貸����、勒索����、刷單、薅羊毛等各種方式牟利的犯罪團伙����。
在利益的驅(qū)使下����,大數(shù)據(jù)、人工智能��、區(qū)塊鏈等前沿熱門技術在正常產(chǎn)業(yè)還未成熟應用之時�����,就被網(wǎng)絡黑產(chǎn)充分利用,使其非法牟利的手段和方式不斷變形升級����。
中國擁有全球最龐大的互聯(lián)網(wǎng)用戶群體����,另一方面我國也成為網(wǎng)絡黑產(chǎn)的重災區(qū)�����。根據(jù)阿里云方面提供的數(shù)據(jù)��,如今發(fā)生在全球范圍內(nèi)的DDoS攻擊(編者注:指分布式拒絕服務,攻擊者利用自己控制的終端對目標網(wǎng)站在較短時間內(nèi)發(fā)起大量請求,大規(guī)模消耗目標網(wǎng)站的主機資源��,使其無法正常服務)��,有一半以上發(fā)生在中國����,平均每分鐘就發(fā)生一次DDoS攻擊�����。據(jù)科技市場研究機構(gòu)IDC估算�����,全球每年因網(wǎng)絡攻擊造成的損失超過千億美元,中國占比超過十分之一�����。
一位“白帽黑客”(編者注:指用黑客技術維護網(wǎng)絡公平正義與安全的人)告訴《中國經(jīng)濟周刊》記者��,貪小便宜的人永遠存在,總有人會相信可以不勞而獲和一夜暴富�����,只要有可利用的人性弱點��,網(wǎng)絡黑產(chǎn)就永遠也不會消失����。
玩游戲也可能中招����?
為了能夠順暢討論網(wǎng)絡黑產(chǎn),可能需要先了解幾個“術語”:
暗網(wǎng)傳統(tǒng)搜索引擎能夠“看到”的表面網(wǎng)絡,只是網(wǎng)絡空間非常小的一部分�����,業(yè)內(nèi)人士估計只有4%左右��,而大量存儲在網(wǎng)絡數(shù)據(jù)庫的內(nèi)容����,不能通過超鏈接訪問����,需要通過動態(tài)網(wǎng)頁技術才能獲取,這就是暗網(wǎng)����。
暗網(wǎng)中有大量非法信息和違禁商品在售����,比如身份賬戶信息��、槍支毒品��、色情視頻、假證偽鈔……據(jù)說��,被稱為“黑暗版淘寶”的暗網(wǎng)平臺“silk road”上��,還有信用評級體系出售�����,甚至還在“黑五”搞促銷。而比特幣就是暗網(wǎng)世界的通行貨幣,黑客敲詐案件索要的大多是比特幣。
肉雞指受黑客遠程控制的電腦�����、手機�����。大量已經(jīng)淪為肉雞的電腦��、手機構(gòu)成了僵尸網(wǎng)絡(Botnet),黑客可以以一對多的形式控制網(wǎng)絡上的設備��,并通過遠程操控進行各種不法活動牟利�����。在美國甚至出現(xiàn)過“美國斷網(wǎng)事件”��,半個互聯(lián)網(wǎng)都被黑客控制并導致癱瘓�����。
你或許會覺得這都是電視劇里的劇情��,事不關己。但其實很多人都游走在網(wǎng)絡黑產(chǎn)的邊緣����,甚至可能已經(jīng)跌落其中��,只是并不知曉。
今年4月,山東警方在遼寧大連破獲了一起“tlMiner”挖礦木馬黑產(chǎn)大案�����。一家當?shù)刂母咝驴萍计髽I(yè)��,竟然掌控著一個擁有389萬臺電腦終端的僵尸網(wǎng)絡����。
警方最后查實�����,因為這家公司表面上偽裝成一家軟件公司�����,因此互聯(lián)網(wǎng)渠道資源非常豐富,分發(fā)一個病毒就變得非常容易�����。這家公司為非法牟利搭建木馬平臺��,招募發(fā)展下級代理商近3500個,主要通過網(wǎng)吧渠道、“吃雞”外掛��、盜版視頻軟件傳播投放木馬����,非法控制用戶電腦終端��。
通過這個超大的僵尸網(wǎng)絡,這家公司進行數(shù)字加密貨幣挖礦、強制廣告等非法業(yè)務�����,合計挖掘DGB(極特幣)�����、HSR(紅燒肉幣)��、XMR(門羅幣)、SHR(超級現(xiàn)金幣)����、BCD(比特幣鉆石)����、SIA(云儲幣)等各類數(shù)字貨幣超過2000萬枚����,非法獲利1500余萬元。
“這次很多用戶中招是因為安裝‘吃雞’游戲外掛,使用外掛工具時用戶會被要求先把殺毒軟件退出或卸載,還有用戶到一些不正規(guī)的視頻網(wǎng)站去‘免費’觀看那些視頻網(wǎng)站的付費內(nèi)容����,或者一些不雅��、盜版視頻�����,結(jié)果視頻中被植入了木馬��。”騰訊電腦管家高級安全專家李鐵軍告訴《中國經(jīng)濟周刊》記者,騰訊電腦管家是破獲這起大案的線索提供方。
李鐵軍透露��,這個團伙控制了300多萬臺電腦�����,只拿其中100多萬臺“挖礦”����,其他的用來做彈廣告����、推廣等“傳統(tǒng)業(yè)務”。“他們挑選了系統(tǒng)性能最好的電腦‘挖礦’��,‘吃雞’游戲玩家的電腦配置都比較高�����,非常適合用來‘挖礦’��。”
挖礦病毒風靡,黑產(chǎn)為何“盯上”虛擬數(shù)字貨幣��?
“從2017年至今����,我們觀察到一個明顯的趨勢:這兩年圍繞虛擬數(shù)字貨幣的病毒木馬最為多見。挖礦病毒在2018年上半年尤其突出�����,這種情況跟這兩年區(qū)塊鏈經(jīng)濟火熱有關��,虛擬數(shù)字貨幣行情很好,變現(xiàn)相對容易�����,且具有匿名性��,不方便警方追查����。”亞信安全通用安全產(chǎn)品總經(jīng)理童寧告訴《中國經(jīng)濟周刊》記者。
根據(jù)亞信安全發(fā)布的《2018年第一季度網(wǎng)絡安全威脅報告》��,挖礦病毒已經(jīng)成為不法分子利用最為頻繁的攻擊方式之一����。“挖礦病毒具備非常好的隱蔽性,沒有廣告彈窗����、也不會通過文件加密來勒索用戶�����,被用戶主動發(fā)現(xiàn)的幾率很小,再加上挖礦病毒廣泛存在于PC��、移動設備中����,所以會出現(xiàn)大量受害者。”童寧介紹說����。
《2018年第一季度網(wǎng)絡安全威脅報告》指出,挖礦病毒對于個人中毒者來說��,會出現(xiàn)計算機運行緩慢�����、耗電量大增�����、死機、電腦壽命降低等后果;而對于企業(yè)來說�����,會破壞企業(yè)內(nèi)部IT環(huán)境����、數(shù)據(jù)中心的正常運行秩序以及關鍵應用的交付。
李鐵軍表示����,表面上看����,相比彈廣告����、鎖首頁、刪文件勒索����、竊取信息的木馬病毒,挖礦木馬的危害好像比較輕,因為它只是消耗用戶電腦的資源����,增加耗電量而已�����。而且現(xiàn)在的挖礦木馬還特別“良心”,它只會占用用戶系統(tǒng)資源的一部分,基本會控制在50%以下,還會隨著用戶的使用情況自動調(diào)整用量��,達到讓人不易察覺����,從而長期挖礦的目的。
“但是,其中隱藏的風險是巨大的。因為一旦電腦被遠程控制�����,也就意味著他人可以在用戶的電腦上干任何事,比如獲取用戶數(shù)據(jù)、控制攝像頭……更可怕的是,如果近400萬臺電腦組成的僵尸網(wǎng)絡攻擊某個網(wǎng)站����,其基本上瞬間就會癱瘓����。”李鐵軍介紹說����。
童寧指出,虛擬貨幣在網(wǎng)絡黑產(chǎn)的另一重要角色是作為地下交易的介質(zhì)����。在網(wǎng)絡地下黑色市場的運行中�����,基于區(qū)塊鏈技術的虛擬貨幣由于去中心化��、可自由交易等特性����,為網(wǎng)絡黑產(chǎn)的交易提供了非常便捷的交易手段����。
“為了增強交易的穩(wěn)定性,現(xiàn)在很多虛擬貨幣的網(wǎng)絡以及交易所開始重視網(wǎng)絡安全��。比如加強與網(wǎng)絡安全公司的合作����,向社會招募相應的漏洞挖掘者進行懸賞,懸賞金額從5000到1萬美元不等��。”童寧說�����。
從廣告����、軟件分發(fā)到挖幣��、勒索����、刷單�����,黑產(chǎn)也在追“風口”
無論采取什么樣的手段和方式,網(wǎng)絡黑產(chǎn)的最終目標是賺錢����。記者采訪的多位安全專家都表示��,這么多年來,黑色產(chǎn)業(yè)鏈的本質(zhì)并沒有變過�����,就是流量變現(xiàn)����。哪里能夠最有效地變現(xiàn),黑產(chǎn)的觸手就會伸向哪里��。最早��,互聯(lián)網(wǎng)主流的變現(xiàn)方式是廣告����,主流互聯(lián)網(wǎng)公司靠廣告盈利�����,黑產(chǎn)也是如此�����。黑產(chǎn)通過木馬建立僵尸網(wǎng)絡��,一個廣告看似被上百萬用戶看到和點擊,但實際上都是僵尸肉雞在點擊�����,對于廣告主來說毫無價值��。即使到今天,彈廣告����、鎖主頁�����、推廣軟件,這些套路都沒變過。
后來移動互聯(lián)網(wǎng)興起,軟件分發(fā)成為一個盈利渠道��。通過木馬����,黑產(chǎn)從業(yè)者把軟件在用戶不知覺的情況下,裝到電腦或者手機上,甚至還卸載不了�����。
但廣告和軟件分發(fā)還需要建立代理網(wǎng)絡����,與很多人分成,而隨著區(qū)塊鏈的火爆�����,挖礦可以直接變現(xiàn)����。
李鐵軍表示,區(qū)塊鏈現(xiàn)在已經(jīng)成為網(wǎng)絡黑產(chǎn)的新風口��,挖礦病毒增長非?���??�,勒索病毒也都索要比特幣����,可以說現(xiàn)在的黑產(chǎn)犯罪大多與區(qū)塊鏈有關����,這也是當下網(wǎng)絡黑產(chǎn)的重要特征。
“挖礦讓網(wǎng)絡黑產(chǎn)的產(chǎn)業(yè)鏈變短了�����,門檻降低了����,原本個體黑客只是一個有技術能力的人,可能沒有刷流量變現(xiàn)的渠道,又不敢打DDoS����,但現(xiàn)在可以去挖礦�����。”李鐵軍說。在“tlMiner”案件中�����,“吃雞”外掛的“作者”發(fā)現(xiàn)自己的“作品”被這家大連公司植入了挖礦木馬從而盈利豐厚,于是后來就在外掛中留了“后門”,也為自己挖礦。
據(jù)記者了解,目前大多數(shù)挖礦病毒都在挖一些山寨幣�����,因為只需要用CPU的算力就能挖��。而挖比特幣的大多是專業(yè)礦機,必須有高性能的CPU����,黑產(chǎn)者獲取比特幣更有效的方式是勒索�����。
李鐵軍表示,從去年下半年到現(xiàn)在�����,電腦病毒基本上有兩大類����,一是勒索病毒,二是挖礦病毒��。“DDoS攻擊目前是公安部的頭號打擊對象����,而且一旦幾萬臺電腦集中攻擊,國家互聯(lián)網(wǎng)應急處理中心系統(tǒng)馬上會監(jiān)測到����,所以現(xiàn)在不是特別流行了��,一般也不敢搞了。”他說��。
但是�����,黑產(chǎn)有自己的辦法,就是縮小攻擊范圍��,做“精準打擊”����,這樣范圍較小,更隱蔽��。因此�����,從各類安全報告提供的數(shù)據(jù)看�����,今年以來,勒索病毒在感染數(shù)量上有所下降�����,但這并不意味勒索病毒的危害減輕了�����,而是攻擊者調(diào)整了策略:精確打擊最可能付費的企業(yè)�����、事業(yè)單位等高價值目標,基本放棄了中招就選擇重裝系統(tǒng)的普通網(wǎng)民�����。
“過去勒索病毒都是大面積攻擊��,不管三七二十一�����,先把所有用戶電腦上的數(shù)據(jù)文檔都加密。但這幾年變化挺大的����,現(xiàn)在控制者會先在云端瀏覽用戶電腦里的數(shù)據(jù)信息��,識別出這是一個有錢人的電腦還是普通人的電腦,是一個普通職員的電腦還是企業(yè)高管的電腦�����,尤其是醫(yī)療機構(gòu)�����、政府部門等電腦�����,都會被篩選出來,進行小范圍勒索。普通用戶中了勒索病毒基本就是重裝系統(tǒng),他們掙不到錢。”李鐵軍說�����。
另外一個近年來的熱門發(fā)財之道就是刷單�����,比如一些微博�����、直播����、短視頻平臺為了打造網(wǎng)紅或者營銷號想擴大影響力,就會下單雇傭黑產(chǎn)者幫助做流量、做粉絲�����、點贊��、發(fā)評論……“這條路現(xiàn)在也非常賺錢��,因為市場需求很大。”李鐵軍說�����,自己就親身經(jīng)歷過��,在出差時連接了酒店的免費WiFi��,然后就發(fā)現(xiàn)自己的微博賬號在不停給人點贊。
黑產(chǎn)新套路:黑吃黑��、做周邊……
國家互聯(lián)網(wǎng)應急中心將“網(wǎng)絡黑產(chǎn)”界定為三類:一是發(fā)動涉嫌拒絕服務式攻擊的黑客團伙�����,即“黑客攻擊”;二是盜取個人信息和財產(chǎn)賬號的盜號團伙��,即“盜取賬號”;三是針對金融、政府類網(wǎng)站的仿冒制作團伙����,即“釣魚網(wǎng)站”,這些都是典型的網(wǎng)絡違法犯罪行為����。
據(jù)統(tǒng)計�����,我國網(wǎng)絡犯罪已占犯罪總數(shù)的三分之一�����,并以每年30%以上的速度增長。
童寧認為�����,目前網(wǎng)絡黑產(chǎn)呈現(xiàn)出越來越明顯的組織化與專業(yè)化趨勢����。由于暗網(wǎng)的存在,不法分子可以通過互聯(lián)網(wǎng)的“地下黑市”買到網(wǎng)絡詐騙所需要的用戶數(shù)據(jù)�����、惡意軟件等產(chǎn)品與服務����,在不需要了解攻擊技術的情況下,很多不法分子也可以通過網(wǎng)絡黑色產(chǎn)業(yè)鏈進行攻擊����,這讓網(wǎng)絡黑產(chǎn)的門檻大幅降低�����。
另一方面�����,這也使黑產(chǎn)間的競爭加劇了�����。騰訊電腦管家安全團隊監(jiān)控發(fā)現(xiàn),挖礦木馬之間也會“黑吃黑”����。 隨著挖礦木馬的流行��,出現(xiàn)了很多重復感染的情況,即一個肉雞感染了多個挖礦木馬����。這就使木馬之間開始“斗法”����,看誰率先把其他木馬干掉����,讓這個肉雞全身心為自己挖礦。
更有甚者干脆“截胡”,在其他黑客挖幣成功后��,控制礦機與礦池之間的數(shù)據(jù)溝通����,直接篡改礦機接收礦池獎勵的地址為自己的錢包地址。
隨著傳統(tǒng)企業(yè)的數(shù)據(jù)化轉(zhuǎn)型�����,也增加了黑客們的撈金空間����,甚至產(chǎn)生了“周邊”行業(yè)�����,比如現(xiàn)在火爆的“勒索病毒破解”�����,只要在百度搜索勒索病毒破解��、解密,就會找到很多提供此類上門服務的公司。
“要知道����,勒索病毒加密后基本是解不了的��。”李鐵軍說,“大部分這類公司其實是扮演‘談判中介’的角色,大部分勒索索要比特幣等數(shù)字貨幣����,很多被勒索者根本不知道去哪里買數(shù)字貨幣以及如何轉(zhuǎn)賬�����,而這些公司比較熟悉數(shù)字貨幣的交易,可以幫被勒索者與勒索者討價還價����,賺取差價��,并非真能解開加密。這個行業(yè)已經(jīng)很成熟了����,也不排除有一邊放毒,一邊過來解密收錢的不法分子����。”
對于如何防止黑產(chǎn)侵害��,童寧表示,對于專業(yè)機構(gòu)和企業(yè)來說����,最好能夠建立更全面的網(wǎng)絡安全防護系統(tǒng)�����,防護從各個層次入侵的網(wǎng)絡安全威脅,并通過威脅感知體系快捷獲取病毒木馬�����、釣魚詐騙�����、網(wǎng)絡安全預警����、漏洞報告在內(nèi)的安全情報�����,一旦發(fā)生安全威脅能夠及時進行處理����。
而對于個人用戶來說����,中了黑產(chǎn)的招�����,很大一部分原因就是安全意識不夠�����,存在僥幸、貪財?shù)刃睦?�,這些因素會導致用戶比較容易受到詐騙信息的影響�����。因此����,首先要增強網(wǎng)絡安全保護意識,在網(wǎng)絡生活中盡量減少對于個人信息的泄露����,并主動拒絕存在安全隱患的應用�����。另外,個人用戶在生活中最好能關注手機��、電腦的安全狀況����,發(fā)現(xiàn)異常情況后通過殺毒軟件等方式進行清理�����。最后��,個人用戶應該具備理性的判斷能力,對疑似網(wǎng)絡詐騙的活動進行核實,避免受騙�����。
標簽:
網(wǎng)絡黑產(chǎn)
游戲
