當前位置:
首頁 > 新聞 > 走近黑客僱傭市場:刀尖上「跳舞」,懸崖邊狂歡

走近黑客僱傭市場:刀尖上「跳舞」,懸崖邊狂歡

隨著網路和數據化的普及,每個人的互聯網意識都逐步加強,開始更多地利用網路為自己服務。除了正常的需求之外,也許有某個嫉妒心爆棚的男孩子想要黑掉女朋友的社交賬號,看看她都跟哪些人往來;也許某個公司的離職員工心懷不滿,想要讓公司的系統癱瘓;也許某個剛剛入門的黑客急功近利,想要學習更多更高級的手段……所有這些都催生並壯大了黑客服務業務。



1. 前言

提起WannaCry,大家都很熟悉了。這個中文譯名為「想哭」的病毒在2017年5月中旬席捲了全球,造成規模不小的恐慌與大範圍的探討,的確讓很多人都想哭。


如果看過FreeBuf 的相關報道和解析,那麼你應該知道這個病毒的源頭就來自暗網,與著名的黑客組織Shadow Brokers(影子經紀人)在地下黑市公布的漏洞利用工具有關。


FreeBuf的讀者對暗網和黑市應該都不陌生了,暗網和地下黑市售賣武器毒藥、惡意軟體、漏洞利用工具等各種商品,也出售黑客服務。而且近年來,表網上也出現了一些黑客服務中介網站。這篇文章中,我們就來重點看一看黑客僱傭服務。



2. 暗網中的黑客僱傭服務


某網站上列出了一些暗網上常見的黑客服務網站,包含各種業務:




可以在這裡找到幫你做Doxing(信息搜集) 的人。要在暗網上才能打開這個網址。



你有技術或者非技術問題,想要找個厲害的人幫忙解決嗎?在這裡你可以找到幫你解決問題的人。這裡是你最好的選擇,你可以購買各種黑客服務,包括入侵、社交網路威脅、電腦監控監管、刪除鏈接、定位失蹤人員、背景調查、社會安全號碼(SSN)追蹤、跟蹤、獲取密碼、網路詐騙等等。




僱傭一個黑客——如果你需要完成某項與黑客服務有關的任務, 或者想要找黑客相關的服務,就訪問這個網站尋找幫助吧。


總結黑市裡常見的黑客服務,主要可以分為以下幾類。


指南與教程


對於新手黑客(常常被有經驗的黑客稱作「newbie」)而言,地下市場是絕妙之地,可以從經驗豐富的黑客那裡購買到各種教程,學到很多知識。黑客教程的主題從「基礎知識梳理」到「通過網上購物網站獲得個人信息包或信用卡信息」;從「如何攻擊ATM 獲取比賬戶餘額更多的錢」到「如何100%成功獲取銀行轉帳」。一個解釋各種網路犯罪活動的教程包也許只需30美元,而個人培訓教程甚至低至一美元。關於套件利用、加密、DDoS攻擊、垃圾郵件攻擊和網路釣魚的教程也可以在這裡找到。這些教程不僅解釋了加密、遠程訪問木馬(RAT)以及漏洞利用的概念,還介紹了它們的使用方法、受歡迎程度和常見的購買價格等,可以說是無比詳細。有些指南和教程是電子文檔的形式,有些則是視頻。高級黑客在視頻中直接演示了自己黑掉某個網站或者竊取到某張信用卡信息的全過程,同時再加上解說。這樣的教程更加直觀,更受歡迎。



黑市售賣的指南和教程服務


某視頻教程詳情頁



視頻:信用卡提現、獲取比特幣#2017最新#看我如何在你面前將信用卡餘額提現#15分鐘內將信用卡餘額轉為250比特幣(按照6月13日匯率約合人民幣4562150元)#如何登錄被入侵的Paypal賬戶#贈品(詳細指導)#可尋求更多幫助!!!


黑客工具指南以及黑客教程其實介於商品和服務之間。本文之所以把它歸為黑客服務類,是因為這些主要屬於黑客知識和智力的售賣,而且在許多指南或教程的售賣頁面,賣家都表示會提供售後服務,更新最新的工具或方法,及時解答顧客問題,如有需要,會針對指南或教程進行進一步講解。



某教程的詳情頁



親愛的用戶。我們在12月16日更新之後,現在又上線了最新版本:2017年5月20日的最新版本(以前的版本仍然有效)。有經驗的老手和沒經驗的新手都可使用本次更新的內容。


竊取信用卡、支付憑證、各類賬號密碼等數據信息

地下黑市較常見的黑客服務就是竊取信用卡、支付憑證、社交賬號、郵箱賬號等各種數據信息,與現成售賣的數字資產相比,竊取數據信息的服務更加私人化、定製化。


這類服務很受歡迎,是因為可以以很低的價格獲取巨額資金,不論對買家還是對黑客,性價比都很高。



信用卡竊取業務



銀行賬戶等數據信息竊取業務


研究人員表示,盜取信用卡類信息的服務價格自2013年到2016年有所上升。而參照下表第一欄的數據以及當前(2017年6月)該分類的信用卡信息盜取業務,可以發現價格仍然是上升的。這也許和今年來的物價上漲有關,也許是因為近年來各大公司逐漸重視信息安全,信息竊取不再唾手可得(雖然各種數據泄漏事件仍然頻發,但隨著科技的發展和安全大事件的刺激,信息安全整體越來越受到重視)



個人信息搜集和調查(Doxing)


如果有人懷疑自己的伴侶不忠想要跟蹤ta的手機,如果有上司懷疑員工是間諜想要調查員工背景,那麼可以使用黑客提供的Doxing服務。黑客會針對特定目標在社交媒體網站、公共信息網站或通過惡意軟體和社工手段查詢搜集背景信息。

這類服務的售價從20美元到100美元不等。




個人信息搜集與背景調查



購買本服務,你可以獲取目標的ssn信息、dob信息、姓名、住址、電話號碼、聯繫人、家庭情況、財產狀況、犯罪記錄、證件、婚姻狀況、社交網站賬號等。也可能會獲得工作履歷、信用卡積分、社交網站主頁內容等,但這部分不做保證。


DDoS攻擊服務



另一個常見的服務是DDoS攻擊。很多黑客都在網站上打廣告,表示自己的服務可靠、周到:


可以用DDoS攻擊競爭對手的網站,論壇等。我們會採取各種手段,可攻擊防護很弱的站點,也能攻擊安全性能較高的站點,快速幹掉您的對手!


DDoS攻擊還可以讓對手的網站排名下降,更有利於你自己網站的發展。

如果你要攻擊的網站採取了Cloudflare, Incapsula, Akami 或其他防護措施導致攻擊不成功,你可以再次聯繫我。



與商品不同,黑市的服務定價波動性更大。由於定製化的具體業務更加細節化,也更複雜。通常根據業務的難易程度不同、客戶的要求不同 ,黑客服務的收費也有所變化。以下圖A和圖B給出了某兩個黑客服務網站的價格列表,可以看到,相同、相似的服務在兩個網站上售價很接近 ,但是不同服務的價格差別就較大(如果以比特幣為單位,看起來差別可能不太大,但由於1比特幣約合1.8萬人民幣,所以換算成人民幣,就能比較出來差別 )。



黑客服務價格A(按照6月13日匯率,1比特幣約合人民幣18203元)



黑客服務價格B(按照6月13日匯率,1比特幣約合人民幣18203元)


有研究人員調查了2013年到2016年黑客服務的價格變化,如下所示:


如果將列表中的價格換算成人民幣,再跟當前(2017年6月)相關服務的售價(以人民幣為單位)相比較,可以看出,黑市的黑客服務價格整體還是有所上漲的。


參考上面的價格列表,可以看出,黑市的黑客服務交易常用的貨幣是比特幣,其實為了逃避追蹤,保證匿名性和安全,黑市多採用 數字貨幣進行交易 。常見的加密貨幣有比特幣(Bitcoin)、Monero、Zcash等。




— 你們是不是只接受比特幣付款?


— 是的,比特幣安全、匿名。我們不接受西聯匯款(WU)、速匯金(moneygram)和 PayPal等其他支付方式,只接受比特幣支付。


6月初,曾放出WannaCry在全球引起軒然大波的著名黑客組織Shadow Brokers推出月度服務,售賣NSA工具利用包等。他們就接收用戶使用Zcash付款。




問:我如何訂閱服務並獲取6月Shadow Brokers發布的工具包呢?


答:在2017年6月1日到6月30日之間,向如下地址匯款100Zcash就行。



黑市上的實時貨幣匯率頁面


此外,黑市中買賣雙方如果達成交易意向,就會在私密聊天系統或通過加密的電子郵件進行進一步交流(通常都需要邀請或多方驗證才能進入),確保匿名性並保護聊天信息不被第三方獲取。賣家往往會信誓旦旦地表示一定對買家的信息保密,凸顯自己的優質服務。很多賣家為了確保安全性(不論是從反追蹤的層面還是交易本身的可信度層面),多會使用第三方支付服務。採用第三方支付的服務詳情頁,會標註「Escrow」。



不過,黑市也有一些騙子賣家,甚至還有可能潛伏著FBI的特工。


上述的服務都是初入黑市可以查詢和瀏覽到的。曾有記者為了調查真相,在地下黑市買到了槍,還見到了改造槍支的賣主;也有記者在論壇里聊天,深入了解到黑市相關論壇中的色情內容(尤其是兒童色情內容)是如何打破道德和倫理底線。黑市中甚至還有人物虐待表演、買兇殺人等更加瘋狂的內容, 已經超出了黑客僱傭服務的範疇。當然,由於這些內容的高度危險性,它們都隱藏在暗網的更深處,更難以接觸和查詢。



某買兇殺人網站的聲明



注意:下單之後,我手下的殺手會去殺你指定的人,並通過郵件向你發送死者屍體照片。


3. 表網中的黑客僱傭服務


值得注意的是,不僅暗網上黑客僱傭服務繁榮發展,表網上如果搜索Hacker Service 也能看到一些專門出售黑客服務的網站,宣稱可以道德地提供黑客服務。



常見的幾個表網黑客僱傭服務網站如下:






這類網站通常充當平台和中介。它們會列出用戶的需求和要求,供黑客選擇業務;也會掛出黑客列表,由用戶自主選擇合作。



某表網網站的黑客服務價格表


這些網站的一大共同特點就是不斷地宣稱自己的「Ethical(道德)」與「Professional(專業) 」。在網頁上,他們用大段直白且看起來誠懇的的文字介紹自己,以此來獲取用戶信任。




為什麼選擇我們?


因為我們是最棒的黑客僱傭服務網站:


我們是唯一一家認證的道德黑客僱傭服務網站;


我們是唯一能確保完成您要求的道德黑客僱傭服務網站;


在項目正式開始前,您可以隨時返回,我們給您全額退款;


100%保密!我們不會將您的身份信息暴露給任何人;


您可以隨時登錄用戶平台,查看項目進程。


而事實上,這些網站提供的業務看起來並非真的「Ethical」,雖然不像黑市的黑客服務那樣明顯地觸犯了法律,但也的確侵犯了法律所規定的公民權利:



有一些業務宣稱是幫忙找回密碼、保護自身數據等所謂「合法」內容,但有一些業務如入侵Twitter等社交賬戶、入侵郵箱等,很明顯已經侵犯了公民隱私。而且跟黑市的某些黑客僱傭服務類似,表網上這些黑客僱傭服務也包括教程、貼士等內容。


近年來,隨著各國之間網路能力的比拼愈加激烈,政府僱傭黑客的現象也變得尋常。一些在網路發展方面比較靠前的政府或多或少都暗中與某些黑客組織有聯繫。當然,各國政府都不會承認自己與黑客組織有關,最多會在攻擊的IP地址或特徵分析曝光之後,說一句自己是被栽贓的。而事實究竟如何,大家可能都心知肚明。例如,很多份研究分析報告都說,頻繁干涉各國大選、秘密展開各種攻擊和間諜活動、臭名昭著的ATP28組織有俄羅斯政府撐腰,而普京大帝永遠都強硬地表示:不約,我們不約!




我們從來沒有在國家層面做過干預大選的事,並沒有理由要那樣做啊。


也許,隨著網路世界愈發成熟,攻防技術的要求會越來越高。而主動的攻擊總是比被動的防禦要走的快一些,黑客技術比防禦技術更先進,黑客才最有可能與黑客對抗。因此,政府與黑客組織之間的僱傭關係,短時間內並不會有大的改變甚至可能還會愈演愈烈。一方面,政府利用黑客組織的高超技術,可以秘密實施間諜活動、進行網路監聽等;另一方面,黑客組織有了政府支持,活動起來更加有恃無恐,甚至高枕無憂。


此外,國外的NSA、FBI,國內的互聯網巨頭公司也漸漸把目光轉向了黑客僱傭上。不過他們的黑客僱傭更確切一點講,可以叫做黑客人才發掘與培養。他們關注高校學生中有潛力的黑客群體,通過各類CTF比賽來發掘人才,招入麾下,為己所用。


4. 黑客服務:刀尖上「跳舞」?


除了明碼標價的業務和服務以外,黑客和中介們也在售後服務上下足了功夫。



某暗網網站的黑客聲明



講真,你讓我幹啥我就會幹啥的。毀掉一個公司也好,毀掉一個人也好,我都能幹,給錢就行。



某暗網網站的服務詳情頁表示



我們每天在線服務12小時。退單都會在24小時之內處理掉!我們每天有大量的單子要處理,但我們還是很nice地回應各種問題。


不接受差評!


諷刺之處也在於此:黑市的黑客們一方面提供違法且違背道德的服務,另一方面卻在匿名的網路中極力維護聲譽 。他們不斷強調自己技術過硬, 不接受任何差評,有差評也會解釋 。也只有這時,他們身上才顯示出一絲崇尚並追求更高技術的黑客精神。


相比之下,表網的相關聲明也是相當直白,他們會貼出用戶評論來吸引顧客:




我愛客戶,客戶愛我。


我們一心一意為客戶服務。您選擇在我們網站僱傭黑客服務,就不用擔心客戶支持的問題。我們有50000用戶,選擇我們不會錯!您可以查看用戶對我們的評價:


—— 哇!這是我見過的最好的網站!


運營者說


對於這些黑客服務,表網黑客服務的運營者與暗網背後的運營者各有看法,但他們都傾向於宣稱自己遵守道德,尊重人權。


某表網的黑客僱傭服務網站有著如下的聲明:




就算你深愛且深深信任的人背叛了你,我們還站在你身邊。不要讓懷疑吞噬了你的心智,來我們這裡僱傭一個黑客幫你解決問題,你就能繼續平靜地生活了。




我們的目的不是通過黑客攻擊賺錢,我們想讓黑客通過幫忙解決問題的方式與普通人交流,讓他們彼此了解,進而讓社會知道黑客不會威脅人們的安全。


這番說辭看起來是為黑客正名了,然而結合其網站的業務,這段話又頗為諷刺。一面宣稱自己遵守道德,一面又鑽人性弱點和法律與道德的空子,總有些以暴制暴、又當又立的意味。


而暗網某些伺服器的運營者也並不認為自己違法,他們認為自己是在維護人權,為人們的言論自由等權利奮戰到底。相關組織者認為暗網只是一種工具,就像鎚子一樣。鎚子可以用來殺人,也可以用來釘釘子。而除去暗網上的負面內容,Tor也起到了一些正面的作用。但是,少有的幫助很難改變Tor已經成為惡行幫凶的事實。當初為了保護信息安全而創建的Tor演變成售賣信息的平台保護傘,這也許值得其創建者、運維者和參與者深思。


黑客僱用市場正蓬勃發展,最初純粹的黑客精神 也許難以為繼。看起來,現在 很多黑客更多是在利益的驅使下開展各種活動。他們利用互聯網發展的大潮、利用網路的主體——無論如何都可能出現 bug的人,通過各種技術躲避法律的追查和道德的審判,遊走在法律和道德的邊緣。而隨著國家、企業和個人對網路安全的重視程度增加,各種網路安全法律相繼出台,安全措施越來越完善,這些提供黑客服務的賣家和中介,也許是在刀尖上跳舞,在懸崖邊狂歡。


5. 防守與反擊


黑客僱傭服務市場是客觀存在的,帶來的影響也在日漸凸顯。從國家到個人,從企業到研究人員,都可以從自身出發,對此類現象進行防守與反擊。


5.1 國家層面


2017年6月1日,《中華人民共和國網路安全法》正式全面施行,這意味著中國在網路安全方面邁出了重要一步。在內容上,從個人到政府到企業都有涉及。此外,2016年4月歐盟通過了《一般數據保護條例》(General Data Protection Regulation),將於2018年全面施行。條例對個人信息保護及監管非常嚴格,被稱為個人信息保護里程碑式法律。



各國政府在打擊暗網犯罪方面也有所突破。就在2017年5月31日,黑市中名噪一時的大型毒品交易網站「絲綢之路」創建者羅斯?烏布利希(Ross Ulbricht)上訴失敗,終審被判無期徒刑。早在2015年,烏布利希就被FBI逮捕,而這場艱辛的追捕是從2012年開始,長達三年之久。


近年來各國在網路安全和打擊黑市犯罪方面有所突破,但仍然任重而道遠。而且隨著技術的發展和網民的年齡越來越低,各國需要考慮從教育入手,給予學生在網路安全方面正面積極的引導,將相關領域有潛力的學生培養成可靠之才而非成為歪才。


5.2 企業層面


新實施的《網路安全法》明確了企業維護網路安全更具體的義務和責任。在網路安全發展和黑市打擊方面,企業首先要提高安全意識,認識到企業數據安全和用戶、客戶數據安全對企業發展的重要性以及信息泄露的危害性,並給員工開展安全培訓。其次,最好能設置專業的安全團隊或者與可靠的安全公司合作,為企業的網路安全保駕護航。


此外,近年來,有越來越多的大企業開始實施漏洞獎勵計劃,為主動提交漏洞的白帽黑客提供資金獎勵,這樣的舉措在一定程度上也有利於將黑市中的黑客拉到白帽的陣營。


對於本身就是安全公司的企業而言,可能需要加強信息共享,在安全應急響應方面更快,更團結,形成安全領域聯動共進的良好生態。


5.3 個人層面


對於普通網民而言,可以多了解網路和計算機基礎知識,提升自身的網路安全意識,在日常生活中學會識別並遠離釣魚、詐騙等,同時主動升級系統、使用可靠安全工具及時修復漏洞等,都能很好地保護自己,減小信息泄露的風險。此外,可以關注國內外信息安全領域的媒體,了解相關法律、資訊,也有助於自我保護。



從20世紀80年代末到90年代初,前華沙條約國家有很多優秀的程序員和數學家突然失業,轉型提供企業間諜服務(主要是偷IP等),此後,黑客僱傭服務與地下黑市開始經歷從無到有,從小到大的巨大轉變。


在2013年,沸沸揚揚的「稜鏡門」事件讓全世界都意識到了信息泄露的可怕性與網路安全的重要性。而國家和政府(尤其是美國)在暗網中參與程度之高也令人咋舌。再之後,「好萊塢影星隱私照片泄露」、「多所大公司遭到不同程度不同方式的攻擊」,這些新聞漸漸讓人們見怪不怪。這也說明,黑客市場的的商品尤其是黑客服務達到了空前繁榮。



本文僅從研究報告的角度進行分析,嚴禁用於不法用途。


本文作者AngelaY,未經許可禁止轉載。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

國內外電商平台反爬蟲機制報告
韓國網路託管公司Nayana向勒索軟體黑客支付100萬美元
盤點21世紀以來最臭名昭著的15起數據安全事件
Kali Linux中優秀Wifi滲透工具TOP 10

TAG:FreeBuf |

您可能感興趣

親歷邊境雷場:一場「刀尖上的舞蹈」
這些僧人喜歡「自虐」:在刀尖上行走,在荊棘上睡覺!
刀尖上跳舞的數字貨幣,你會為它投保嗎?
「撒鹽哥」刀尖挑肉喂進車臣總統口中,旁邊保鏢看呆了
安倍又在刀尖上「跳舞」,譴責俄羅斯是在挑戰世界!
狗狗模仿小羊跳真是在賣萌嗎?在刀尖上跳舞的痛你可知曉?
土豪刀刮錘砸狂虐三星S9 沒想到刀尖被頂彎了
遊走刀刃之上,刀尖舐血的生意「鏢師」
黑天白天都能打!中國艦載機飛行員終於練成「刀尖上的舞步」
奚夢瑤:踩在刀尖上
航母上最危險的崗位是哪個?簡直就是在刀尖上走路啊
航母艦載機起降有多難?飛行員直言簡直就是在「刀尖上跳舞」
刀尖起舞 六人挑戰嘲天宮
一圖了解鏡頭下「刀尖起舞的海空先鋒」
【壁紙】刀劍亂舞,又有誰能懂刀尖上的孤獨?
中國艦載直升機的日常就在跳刀尖上的舞蹈,降落在大驅上有多危險
為什麼捏刀尖扔飛刀的時候,幾乎都是刀尖先撞在目標物體上?
行走在刀尖上的翡翠藝術了解一下
海空先鋒演繹「刀尖上的舞者」
艦載機飛行員:刀尖起舞 翱翔藍天