做巨頭生意,也囤洗髮水,黑產江湖你不知道的那些事
在世界經濟論壇發布的《The Global Risks Report 2018》中,網路安全已經成為除自然災害以外,最大的風險所在。據統計,2017 年黑產從業人員超 150 萬,市場規模更是達到了千億級別……
2018年全球風險報告
網路安全已經成為除自然災害以外,最大的風險所在
1
全球互聯網的至暗時刻
早在2016年網路安全技術高峰論壇上,全球著名信息安全專家,卡巴斯基創始者尤金?卡巴斯基曾表示,目前網路安全正處於一個黑暗時代……
卡巴斯基公司CEO 尤金?卡巴斯基先生髮表講話
網路威脅呈現幾何式增長
從1986年出現的第一次網路威脅,20年間,數據顯示有100萬惡意軟體的攻擊。20年後,在2006年的短短一周內,惡意攻擊數據已達到220萬。而如今,僅是發現的漏洞就超過40億,網路威脅已超過了前兩年的總和……
全球資產損失達千億美元
尤金·卡巴斯基表示網路犯罪每年造成的全球損失在4千億到5千億美元之間,而隨著全球企業和政府對數字系統的依賴日益增加,「網路攻擊」已經取代「社會兩極分化」成為影響未來十年經濟穩定最大的風險。
全球最大的保險公司Lloyd』s of London在2017年發布報告表示,大型全球性網路攻擊可能會使得全球經濟平均損失530億美元,而這一數據甚至已超過 2012年導致美國113人死亡,聯合國總部受損的颶風「桑迪」(颶風「桑迪」所帶來的經濟損失,總計300億至500億美元之間)。Lloyd』sof London向全球發出警告,網路攻擊帶來的經濟損失堪比颶風或其它自然災難!
網路威脅更加複雜
隨著物聯網的發展,以及人工智慧技術的突破,讓網路攻擊形式與手段變得愈發多樣。曾以為辦公室系統或手機是最容易被攻擊的,事實上很多連接到物聯網上的設備都可能受到攻擊。包括:智能家居、智能汽車、智能火車、地鐵甚至一些電廠電站等,現在它們都變成最容易被攻擊的目標。另外一方面,人工智慧技術應用逐漸滲透到各個領域,黑產組織已實現高度還原自然人行為的技術突破,騙過傳統風控體系,給政府以及企業帶來致命打擊。
然而諷刺的是,這位全球信息安全的領軍人物,至今不用智能手機.....
前卡巴斯基代言人 周杰倫
2
「網路黑產」,另一個平行的互聯網世界
沒錯,不經意間,這群人的確將地下產業鏈玩成了「產業」,而且市場規模更是達到了千億級別……
源自《2017年度網路黑產威脅源研究報告》
黑產是黑色產業的簡稱,廣義上包括販毒、高利貸、私彩、網路詐騙等行業,狹義上是指利用互聯網技術不正當獲取利益的一個行業,現在提到黑產一般指狹義上的黑產。黑產一般都有交易鏈,通常在搜索引擎搜索不到、一般人也難以進入的暗網進行大規模交易,也會在私人網站或者交易論壇進行交易。
而作為黑產的重要地下交易變現的平台,其實暗網是深網(Deep Web)的一個子集,「暗網」一詞最初由Dr.Jill Ellsworth於1994年提出。通常指只能用特殊軟體、特殊授權、或對電腦做特殊設置才能連上的網路,其伺服器地址和數據傳輸也通常是匿名、匿蹤的。
根據美國Market Watch調查數據顯示,目前全球範圍內,存在三大黑網交易市場,分別為:Dream、Wall Street與PointMarketplace。
Dream市場
作為深網最古老的市場,Dream從2013年就屹立不倒,而這對於黑網來說,可以說是歷史悠久了。詐騙和蕭條通常會在一年內終結一家暗網市場,而Dream仍然存在,這證明其穩健強大。它接受比特幣核心錢包,比特幣現金和門羅幣,擁有50,000個數字商品和63,000個藥品目錄。在「其他業務」類別中又包括:復古Air Jordan運動鞋、500歐元紙幣、信用卡號碼和變態色情訂閱。還有一個「服務」部分,在這個部分你可以購買假身份證或針對Youtube上您特別討厭的視頻訂購差評服務。只需0.8 BTC,你可以完全消失,然後以全新的身份出現。
Wall Street
充滿惡意和雙重交易的Wall Street是一個罪惡與陰謀彙集地。該網站聲稱擁有將近3000個供應商和400,000個客戶,並接受BTC和XMR。相對於Dream而言,WallStreet的產品較少,但擁有更多的類別包括「安全與託管」,就在「欺詐」一欄邊上。並非所有可以在深網上購買的東西都是非法的,比如,曾有媒體表示,在上面看到過有人賣代餐食品。
Point MarketplacePoint
前身為Tochka,是自2015年以來一直運行的俄羅斯DNM。它具有許多創新特性,包括秘密交收情報點,使供應商可以將產品留在某個位置,買家隨後收集。該網站的正常運行時間比Wall Street和Dream的要少(三者分別為90%和97%和98%),並且在過去幾天內一直處於離線狀態。不過,Point的客戶服務得到高度評價,並且該網站會儲存你期望在深網上找到的所有常用物品。
而我們接觸到更多的還是在暗網上售賣的各類互聯網巨頭的敏感信息,其中就包括
Gmail、Facebook、Uber以及Grubhub等用戶信息,售價分別為每份1美元、5.2美元、7美元、9美元......
而在上面交易的各方,因為暗網的特殊性,並不為人所知。這裡面就包括巨頭Facebook……
2015年從雅虎跳槽到Facebook的阿列克斯·斯塔莫斯(Alex Stamos)表示,曾經為核查用戶有沒有選擇弱口令,公司從黑市購入黑客售賣的口令,與網站所用的加密口令進行交叉參照。
Facebook首席安全官AlexStamos
遺憾的是,3年後東窗事發,Facebook曝出信息泄露醜聞。多家英美媒體披露一家名為「劍橋分析公司」的數據分析企業,在未經授權的情況下,獲取了美國社交媒體臉書多達5000萬用戶的個人信息,用於軟體設計以預測並影響選民投票。而在這次數據泄露事件引發Facebook內部動蕩中,首席安全官AlexStamos也宣布將於8月離職。
3
「網路黑產」,一個規模達千億級的市場
作為全球互聯網黑色產業的風向標,網路「黑產」在中國的發展史極具代表性:
2003年前後,互聯網剛剛開始在大眾中普及。QQ號被盜,幾乎就是當時出現最多的網路安全事件。不過,這樣的互聯網安全事件當時大多以個體行為進行,其目的大多是窺探隱私等個人目的,或為了獲取「靚號」給自己用,並未造成太大的社會危害;
2005年到2006年前後,一批以盈利為目的、小作坊式的批量盜號團伙開始出現,盜號開始成為違法分子獲取非法收入的一個重要途徑;
2016年之後,互聯網金融、區塊鏈等熱門行業,均成為「黑產」從業者瞄準的對象。從虛擬賬戶、虛擬貨幣以及虛擬財產,轉向人們的銀行卡資產升級
而這個規模達千億級的市場,更是表現出驚人的細分,其中主流的包括:薅羊毛、電信金融詐騙、養號刷單、木馬病毒、網路私彩、知識盜版、搜索引擎「優化」、大流量DDoS攻擊八大類。在這八大類下,又延伸細分出更多領域。
黑產圖譜
一、木馬病毒產業鏈:
這一產業鏈歷史悠久,也是伴隨著電腦病毒的社會化而逐漸成熟。
從最早的興趣無意製造病毒開始,變成了:設計製造木馬病毒、交易買入流量推廣、傳播擴散木馬病毒、對中毒用戶進行信息竊取、對信息及虛擬財產套現等多個鏈條環節,從而形成一種暴利行業。它之所以可以贏利的模式是:
1,最早的製造者開發並製作具有盜號、遠程控制、自動傳播等功能的木馬病毒,並根據時事熱點設計這類木馬的傳播方式、觸發環境,並及時針對殺毒軟體開發出免殺功能,及時更新並維護;
2,提供流量交易環節的人比較複雜,有網路行業的內鬼、有無良站長,也有黑客,他們會通過各種手段實施「掛馬」為木馬病毒提供傳播與存在的平台及流量;
3,「包馬人」是這一產業鏈的核心,他們對上購買木馬病毒,對下採購網路流量,實施網路「掛馬」之後,開始從中竊取收穫各類有用信息並進行整理,主要是各種實名信息、隱私信息以及各類網路帳號以及帳號內的虛擬財產;
4,最後就是變現環節,實際上許多正規企業以及互聯網品牌都有可能涉及這一塊。他們會以「大數據分析」為由,採購各類來自於這裡的個人隱私信息。也有更多的會是一些詐騙團隊甚至犯罪團伙,採購了此類信息,然後進行各種詐騙活動或者是欺騙式營銷;
變種與擴展:
這一黑色產業鏈中,也有從具體的木馬病毒之外,通過人工網上釣魚或者是設計的程序進行撞庫嘗試等手法,同樣進行各類盜取帳號的行為,然後再進行整理、「洗號」等等手法,最後再出售變現;
最近由於蘋果設備的流行,更有研究利用Apple ID的管理規則為被盜iPhone進行解鎖服務的等等,都大致可以屬於這一大類產業鏈中。
二、養號刷單產業鏈:
這一產業鏈包括:養號、刷單與利益變現這三個主要環節。
養號這一塊有兩個來源,一是通過網路招募人來參加,只是這類號的平台非常分散,質量參差不齊,而且也難以統一調度,越來越不被重視。
而眼下真正能夠形成市場的是通過定製開發的程序甚至是專門設備,可以批量擁有大批的手機號、指定系統的帳號甚至是能擁有一定許可權與層別的帳號。
然後以這些帳號按照指定規則去生成所需要的相關數據與指標,最後拿這一結果來兌換最終的收益;
雖說是流程相似,但是在具體的實施操作中,會根據刷單的目的分為數據刷量服務、獎勵補貼盈利以及敲詐勒索等多種方向:
1,數據刷量服務:多服務於淘寶賣家、APP或自媒體號運營者以及眼下到處熱門的投票評選活動的參加對象。他們或者想提升自已的排名、名次、形象,或者需要一定的對外展示數據。根據不同平台對於反刷量的技術限制,這類服務都會有對應的解決方案,其收費標準也不一樣;
2,獎勵補貼盈利:做這一類工作的也稱羊毛黨。主要是針對電商平台、商家促銷、媒體自身有獎推廣等活動,研究其規則漏洞或規律,以大量的養號、密集的操作以及快速的技術應對,從中賺取大量的獎品、兌換券、優惠券甚至是直接的返利金額,再將不同收益通過相關渠道進行變現;
3,敲詐勒索:最早的是電商平台上的職業差評師。它們會把手中的號養成非常具有說服力的用戶帳號,然後再研究各個大型平台的管理規則,有針對性地利用這些平台的懲罰機制,大規模發起各種差評、投訴以及惡意評價行為,藉此逼迫被差評對象支付相應的賠償或費用,並從中盈利;
變種與擴展:
正規的刷單平台,當然只是賺取中間的差價,或者被他們包裝成為管理費。但是在現實中,更會有許多平台最終會直接吞掉刷單帶來的所有收益,甚至根本就是假裝成刷單平台,利用大家對這一黑色產業鏈的基本認知,騙人加入,通過各種方法收費或拿到收入後直接跑路,實質淪為直接的詐騙行為;
此外,網路上也經常介紹的遊戲裝備低價代購、低價代充值等等黑產業鏈,利用的是蘋果公司或其它平台公司的退款漏洞,這是屬於這一條里的變種;還有一些代收驗證碼、代註冊帳號等,也是這一類里羊毛黨里的變種;
三、流量劫持產業鏈:
這是最具互聯網特質的黑色產業鏈。
因為網路企業大多都離不開流量,無論哪個行業、哪個品牌,都需要各種訪問量、展示量。依賴於廣告營收的行業更是離不到高流量的支撐。
那麼,除了常規的廣告推廣與各種引導之外。通過一些不光彩的技術手段,對正常網民上網的訪問流量進行劫持、誤導甚至是替換,就有了非常大的應用市場;
1,有直接在不同電信服務商內部的員工與技術人員,私自進行網路協議層面的惡意解析,在確保劫持概率在正常人不易發覺的前提下,將原本是訪問A的流量故意解析劫持到B處去,再向B收取高額的流量推廣費用;
2,有黑客或木馬病毒的製造者,通過攻擊用戶家裡的路由器或者某些小區、單位里的相關網路設備,從而掌握一大批能夠被自己所控制的「肉機」設備,然後針對不同用戶的需求,直接將這裡所能擁有的一定流量進行劫持後出賣;
3,更有一些小品牌的路由器廠家,也有各類雜牌電腦、山寨手機,都會在它們的硬體設備內部,留有後門;又或者會在產品內加入一些軟體層面的誤導與誘導,從而可以根據市場上的業務需求,可以隨時開關、啟動流量的劫持功能;
在這一產業中,也會有一些灰色部分。
比如說某些打著安全監控名義的軟體,某些打著網址導航旗號的產品,也有直接做瀏覽器、搜索引擎的軟體方。
會以各種擦邊球,誘導用戶在指定情況下進入它們的頁面。這本質仍然是一種劫持。然後再把劫持下來的流量變賣給出價的一方;
四、網路私彩產業鏈:
由於國內至今為止都未對網路彩票開放牌照申請,因此,凡是在網路上開展彩票業務的,均屬於黑色產業。
簡單來說,網路私彩其開彩的數據,無論是聲稱來源於國內的福彩體彩,還是說同步於國外的知名彩票網站,這些都不具備任何技術監控與公平保證。當然更多的就是開設私彩方自己所提供的盤口;
私彩最大的問題就在於,沒有任何授權許可部門以及監管力量。
比如說,某些自稱同步於國內體彩與福彩數據的站點。對方根本就沒有真實出票,這被叫做「吃票」。
而萬一有人中了不大的獎金,私彩站也就自己出了,這與購買費用來比,是小巫見大巫。而萬一有人中了大獎金,私彩站也就直接卷錢跑路,大不了改頭換臉再來;
稍微正規一點的私彩站,實際採取的是非法賭場的思路,它們看起來似乎更講究信用,實際上卻是「放長錢釣大魚」,採取的是培養重度用戶的策略,最早是分析並發現有價值的用戶,然後通過小獎誘惑,讓他們步步入局,但是在整個過程之中,所有的中獎率都是被它們完全控制的;
五、知識盜版產業鏈:
這一條黑色產業鏈的歷史更為悠久,衍生髮展的也非常之多。
主要包括有盜版影視網站、盜版書籍閱讀、盜版論文檢索服務、還有大家更熟悉的遊戲私服(盜版遊戲)。其主要參與環節包括源數據竊取(非法翻錄、盜竊、複製、破解)、非法站點建立及維護、收費或流量變現。
這類站點從最早的互聯網上遍地都有,到目前的躲躲藏藏,但其背後的利潤率,卻隨著知識產權的水漲船高而變得越來越豐厚;
六、電信金融詐騙產業鏈
這一類大家更熟悉了,之前主要基於電話手機進行,之後隨著QQ、微信的普及,開始在互聯網上漫延。
主要由群發信息撒網、客服接聽收線、釣魚誘導或直接詐騙、錢款到帳後快速轉移等多個環節密切配合。
這類產業鏈的手法不斷更新換代,其核心就是利用人的貪念、色慾、膽小及人情弱點。有冒充公檢法警、有冒充家人親友、有冒充領導客戶、有冒充名人大腕,雖然花樣百出,但均屬同一類型;
七、黑帽SEO
黑帽seo,手法不符合主流搜索引擎發行方針規定。黑帽SEO獲利主要的特點就是短平快,為了短期內的利益而採用的作弊方法。
目前,白帽seo與黑帽seo沒有一個精準的定義。籠統來說,所有使用作弊手段或一些可疑手段(如博客作弊、網頁劫持、掛黑鏈、垃圾鏈接,隱藏網頁、蜘蛛池頁面引流等)的都可稱為黑帽SEO。
八、大流量DDoS攻擊
DDOS(Distributed Denial of Service),中文全稱分散式拒絕服務,就是藉助多台計算機作為平台來攻擊伺服器的一種方式的統稱,DDOS攻擊還包括 CC攻擊、NTP攻擊、SYN攻擊、DNS攻擊等。遭受DDOS攻擊的網站會出現:網站無法訪問、訪問提示「server unavailable」、伺服器CPU使用率100%、內存高佔用率。
通俗一點,類似於電影裡面經常出現的橋段,黑勢力為了獲取保護費,組織大量社會閑散人員惡意佔座,導致個體商戶無法正常經營。而這一手段,對受攻擊企業來說,其危害可能是毀滅性的。也是目前最強大、最難防禦的攻擊之一。
4
專家意見:技術創新、人才培養和政府合作
針對上面一系列問題,目前安全圈還未有一個趨近完美的解決方案。Magiccc這裡就搬運尤金·卡巴斯基的意見,因為覺得這個思路是當前看到最為靠譜的論斷:
技術創新
新技術在信息安全領域的應用,這個是源動力。一些新的技術、新的創新,會逐漸應用在企業信息安全平台建設中。但是這需要時間,要很久才能夠把信息安全技術整合在關鍵的技術上,可能未來的五六年後才會發酵。到那時,網路安全的黑暗時代,就像曲線一樣會滑到谷底,必將會被終結(Magiccc始終覺得這是大佬們安慰客戶爸爸的說法)
人才創新
如果說技術創新是信息安全領域突破的源動力,那麼人才創新則是這一切的源動力。世界各國要花很長的時間才能讓IT人員變成信息安全類的專家。大佬說的很對,目前信息安全這塊的人才,可以說已關乎到一個企業未來能走多遠。
政府合作
黑產背後都是一群人,針對這群人,僅憑企業、服務商以及政府中的一個,可以說很難應對。但是,如果三方合作,將獲得意想不到的效果。目前,互聯網巨頭們已嘗到甜頭,加緊了與政府的合作與聯繫。
最後,還是想說,信息安全的攻與防將是一場持久戰,我們均在其中,唯有重視安全建設,不斷技術創新才有可能在黑產組織攻擊之前做好防禦,抵禦潛在威脅。
TAG:極驗 |