孫冰

由0和1組成的比特世界，看似規(guī)則清晰、簡(jiǎn)單有序，但實(shí)際上，只要是能夠承載人性欲望的地方，就永遠(yuǎn)少不了正邪較量。日新月異的科技手段只是工具，正義者用其造福人類(lèi)，邪惡者則用其謀取私利。

有業(yè)內(nèi)人士測(cè)算，中國(guó)“網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈”（下稱(chēng)“網(wǎng)絡(luò)黑產(chǎn)”）的從業(yè)人員已經(jīng)超過(guò)150萬(wàn)人，他們專(zhuān)業(yè)化程度高，成組織運(yùn)作，分布在國(guó)內(nèi)及東南亞等海外地區(qū)。一般而言，網(wǎng)絡(luò)黑產(chǎn)的上游是利用技術(shù)手段竊取用戶(hù)信息、數(shù)據(jù)，或者操控用戶(hù)電腦、手機(jī)的黑客，下游則是通過(guò)詐騙、洗錢(qián)、騙貸、勒索、刷單、薅羊毛等各種方式牟利的犯罪團(tuán)伙。

在利益的驅(qū)使下，大數(shù)據(jù)、人工智能、區(qū)塊鏈等前沿?zé)衢T(mén)技術(shù)在正常產(chǎn)業(yè)還未成熟應(yīng)用之時(shí)，就被網(wǎng)絡(luò)黑產(chǎn)充分利用，使其非法牟利的手段和方式不斷變形升級(jí)。

中國(guó)擁有全球最龐大的互聯(lián)網(wǎng)用戶(hù)群體，另一方面我國(guó)也成為網(wǎng)絡(luò)黑產(chǎn)的重災(zāi)區(qū)。根據(jù)阿里云方面提供的數(shù)據(jù)，如今發(fā)生在全球范圍內(nèi)的DDoS攻擊（編者注：指分布式拒絕服務(wù)，攻擊者利用自己控制的終端對(duì)目標(biāo)網(wǎng)站在較短時(shí)間內(nèi)發(fā)起大量請(qǐng)求，大規(guī)模消耗目標(biāo)網(wǎng)站的主機(jī)資源，使其無(wú)法正常服務(wù)），有一半以上發(fā)生在中國(guó)，平均每分鐘就發(fā)生一次DDoS攻擊。據(jù)科技市場(chǎng)研究機(jī)構(gòu)IDC估算，全球每年因網(wǎng)絡(luò)攻擊造成的損失超過(guò)千億美元，中國(guó)占比超過(guò)十分之一。

一位“白帽黑客”（編者注：指用黑客技術(shù)維護(hù)網(wǎng)絡(luò)公平正義與安全的人）告訴《中國(guó)經(jīng)濟(jì)周刊》記者，貪小便宜的人永遠(yuǎn)存在，總有人會(huì)相信可以不勞而獲和一夜暴富，只要有可利用的人性弱點(diǎn)，網(wǎng)絡(luò)黑產(chǎn)就永遠(yuǎn)也不會(huì)消失。

玩游戲也可能中招？

為了能夠順暢討論網(wǎng)絡(luò)黑產(chǎn)，可能需要先了解幾個(gè)“術(shù)語(yǔ)”：

暗網(wǎng)——傳統(tǒng)搜索引擎能夠“看到”的表面網(wǎng)絡(luò)，只是網(wǎng)絡(luò)空間非常小的一部分，業(yè)內(nèi)人士估計(jì)只有4%左右，而大量存儲(chǔ)在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的內(nèi)容，不能通過(guò)超鏈接訪問(wèn)，需要通過(guò)動(dòng)態(tài)網(wǎng)頁(yè)技術(shù)才能獲取，這就是暗網(wǎng)。

暗網(wǎng)中有大量非法信息和違禁商品在售，比如身份賬戶(hù)信息、槍支毒品、色情視頻、假證偽鈔……據(jù)說(shuō)，被稱(chēng)為“黑暗版淘寶”的暗網(wǎng)平臺(tái)“silk road”上，還有信用評(píng)級(jí)體系出售，甚至還在“黑五”搞促銷(xiāo)。而比特幣就是暗網(wǎng)世界的通行貨幣，黑客敲詐案件索要的大多是比特幣。

肉雞——指受黑客遠(yuǎn)程控制的電腦、手機(jī)。大量已經(jīng)淪為肉雞的電腦、手機(jī)構(gòu)成了僵尸網(wǎng)絡(luò)（Botnet），黑客可以以一對(duì)多的形式控制網(wǎng)絡(luò)上的設(shè)備，并通過(guò)遠(yuǎn)程操控進(jìn)行各種不法活動(dòng)牟利。在美國(guó)甚至出現(xiàn)過(guò)“美國(guó)斷網(wǎng)事件”，半個(gè)互聯(lián)網(wǎng)都被黑客控制并導(dǎo)致癱瘓。

你或許會(huì)覺(jué)得這都是電視劇里的劇情，事不關(guān)己。但其實(shí)很多人都游走在網(wǎng)絡(luò)黑產(chǎn)的邊緣，甚至可能已經(jīng)跌落其中，只是并不知曉。

今年4月，山東警方在遼寧大連破獲了一起“tlMiner”挖礦木馬黑產(chǎn)大案。一家當(dāng)?shù)刂母咝驴萍计髽I(yè)，竟然掌控著一個(gè)擁有389萬(wàn)臺(tái)電腦終端的僵尸網(wǎng)絡(luò)。

警方最后查實(shí)，因?yàn)檫@家公司表面上偽裝成一家軟件公司，因此互聯(lián)網(wǎng)渠道資源非常豐富，分發(fā)一個(gè)病毒就變得非常容易。這家公司為非法牟利搭建木馬平臺(tái)，招募發(fā)展下級(jí)代理商近3500個(gè)，主要通過(guò)網(wǎng)吧渠道、“吃雞”外掛、盜版視頻軟件傳播投放木馬，非法控制用戶(hù)電腦終端。

通過(guò)這個(gè)超大的僵尸網(wǎng)絡(luò)，這家公司進(jìn)行數(shù)字加密貨幣挖礦、強(qiáng)制廣告等非法業(yè)務(wù)，合計(jì)挖掘DGB（極特幣）、HSR（紅燒肉幣）、XMR（門(mén)羅幣）、SHR（超級(jí)現(xiàn)金幣）、BCD（比特幣鉆石）、SIA（云儲(chǔ)幣）等各類(lèi)數(shù)字貨幣超過(guò)2000萬(wàn)枚，非法獲利1500余萬(wàn)元。

“這次很多用戶(hù)中招是因?yàn)榘惭b‘吃雞游戲外掛，使用外掛工具時(shí)用戶(hù)會(huì)被要求先把殺毒軟件退出或卸載，還有用戶(hù)到一些不正規(guī)的視頻網(wǎng)站去‘免費(fèi)觀看那些視頻網(wǎng)站的付費(fèi)內(nèi)容，或者一些不雅、盜版視頻，結(jié)果視頻中被植入了木馬。”騰訊電腦管家高級(jí)安全專(zhuān)家李鐵軍告訴《中國(guó)經(jīng)濟(jì)周刊》記者，騰訊電腦管家是破獲這起大案的線索提供方。

李鐵軍透露，這個(gè)團(tuán)伙控制了300多萬(wàn)臺(tái)電腦，只拿其中100多萬(wàn)臺(tái)“挖礦”，其他的用來(lái)做彈廣告、推廣等“傳統(tǒng)業(yè)務(wù)”?！八麄兲暨x了系統(tǒng)性能最好的電腦‘挖礦，‘吃雞游戲玩家的電腦配置都比較高，非常適合用來(lái)‘挖礦?！?h3>挖礦病毒風(fēng)靡，黑產(chǎn)為何“盯上”虛擬數(shù)字貨幣？

“從2017年至今，我們觀察到一個(gè)明顯的趨勢(shì)：這兩年圍繞虛擬數(shù)字貨幣的病毒木馬最為多見(jiàn)。挖礦病毒在2018年上半年尤其突出，這種情況跟這兩年區(qū)塊鏈經(jīng)濟(jì)火熱有關(guān)，虛擬數(shù)字貨幣行情很好，變現(xiàn)相對(duì)容易，且具有匿名性，不方便警方追查?！眮喰虐踩ㄓ冒踩a(chǎn)品總經(jīng)理童寧告訴《中國(guó)經(jīng)濟(jì)周刊》記者。

根據(jù)亞信安全發(fā)布的《2018年第一季度網(wǎng)絡(luò)安全威脅報(bào)告》，挖礦病毒已經(jīng)成為不法分子利用最為頻繁的攻擊方式之一?！巴诘V病毒具備非常好的隱蔽性，沒(méi)有廣告彈窗、也不會(huì)通過(guò)文件加密來(lái)勒索用戶(hù)，被用戶(hù)主動(dòng)發(fā)現(xiàn)的幾率很小，再加上挖礦病毒廣泛存在于PC、移動(dòng)設(shè)備中，所以會(huì)出現(xiàn)大量受害者?！蓖瘜幗榻B說(shuō)。

《2018年第一季度網(wǎng)絡(luò)安全威脅報(bào)告》指出，挖礦病毒對(duì)于個(gè)人中毒者來(lái)說(shuō)，會(huì)出現(xiàn)計(jì)算機(jī)運(yùn)行緩慢、耗電量大增、死機(jī)、電腦壽命降低等后果；而對(duì)于企業(yè)來(lái)說(shuō)，會(huì)破壞企業(yè)內(nèi)部IT環(huán)境、數(shù)據(jù)中心的正常運(yùn)行秩序以及關(guān)鍵應(yīng)用的交付。

李鐵軍表示，表面上看，相比彈廣告、鎖首頁(yè)、刪文件勒索、竊取信息的木馬病毒，挖礦木馬的危害好像比較輕，因?yàn)樗皇窍挠脩?hù)電腦的資源，增加耗電量而已。而且現(xiàn)在的挖礦木馬還特別“良心”，它只會(huì)占用用戶(hù)系統(tǒng)資源的一部分，基本會(huì)控制在50%以下，還會(huì)隨著用戶(hù)的使用情況自動(dòng)調(diào)整用量，達(dá)到讓人不易察覺(jué)，從而長(zhǎng)期挖礦的目的。

“但是，其中隱藏的風(fēng)險(xiǎn)是巨大的。因?yàn)橐坏╇娔X被遠(yuǎn)程控制，也就意味著他人可以在用戶(hù)的電腦上干任何事，比如獲取用戶(hù)數(shù)據(jù)、控制攝像頭……更可怕的是，如果近400萬(wàn)臺(tái)電腦組成的僵尸網(wǎng)絡(luò)攻擊某個(gè)網(wǎng)站，其基本上瞬間就會(huì)癱瘓?！崩铊F軍介紹說(shuō)。

童寧指出，虛擬貨幣在網(wǎng)絡(luò)黑產(chǎn)的另一重要角色是作為地下交易的介質(zhì)。在網(wǎng)絡(luò)地下黑色市場(chǎng)的運(yùn)行中，基于區(qū)塊鏈技術(shù)的虛擬貨幣由于去中心化、可自由交易等特性，為網(wǎng)絡(luò)黑產(chǎn)的交易提供了非常便捷的交易手段。

“為了增強(qiáng)交易的穩(wěn)定性，現(xiàn)在很多虛擬貨幣的網(wǎng)絡(luò)以及交易所開(kāi)始重視網(wǎng)絡(luò)安全。比如加強(qiáng)與網(wǎng)絡(luò)安全公司的合作，向社會(huì)招募相應(yīng)的漏洞挖掘者進(jìn)行懸賞，懸賞金額從5000到1萬(wàn)美元不等?！蓖瘜幷f(shuō)。

從廣告、軟件分發(fā)到挖幣、勒索、刷單，黑產(chǎn)也在追“風(fēng)口”

無(wú)論采取什么樣的手段和方式，網(wǎng)絡(luò)黑產(chǎn)的最終目標(biāo)是賺錢(qián)。記者采訪的多位安全專(zhuān)家都表示，這么多年來(lái)，黑色產(chǎn)業(yè)鏈的本質(zhì)并沒(méi)有變過(guò)，就是流量變現(xiàn)。哪里能夠最有效地變現(xiàn)，黑產(chǎn)的觸手就會(huì)伸向哪里。最早，互聯(lián)網(wǎng)主流的變現(xiàn)方式是廣告，主流互聯(lián)網(wǎng)公司靠廣告盈利，黑產(chǎn)也是如此。黑產(chǎn)通過(guò)木馬建立僵尸網(wǎng)絡(luò)，一個(gè)廣告看似被上百萬(wàn)用戶(hù)看到和點(diǎn)擊，但實(shí)際上都是僵尸肉雞在點(diǎn)擊，對(duì)于廣告主來(lái)說(shuō)毫無(wú)價(jià)值。即使到今天，彈廣告、鎖主頁(yè)、推廣軟件，這些套路都沒(méi)變過(guò)。

后來(lái)移動(dòng)互聯(lián)網(wǎng)興起，軟件分發(fā)成為一個(gè)盈利渠道。通過(guò)木馬，黑產(chǎn)從業(yè)者把軟件在用戶(hù)不知覺(jué)的情況下，裝到電腦或者手機(jī)上，甚至還卸載不了。

但廣告和軟件分發(fā)還需要建立代理網(wǎng)絡(luò)，與很多人分成，而隨著區(qū)塊鏈的火爆，挖礦可以直接變現(xiàn)。

李鐵軍表示，區(qū)塊鏈現(xiàn)在已經(jīng)成為網(wǎng)絡(luò)黑產(chǎn)的新風(fēng)口，挖礦病毒增長(zhǎng)非?？?，勒索病毒也都索要比特幣，可以說(shuō)現(xiàn)在的黑產(chǎn)犯罪大多與區(qū)塊鏈有關(guān)，這也是當(dāng)下網(wǎng)絡(luò)黑產(chǎn)的重要特征。

“挖礦讓網(wǎng)絡(luò)黑產(chǎn)的產(chǎn)業(yè)鏈變短了，門(mén)檻降低了，原本個(gè)體黑客只是一個(gè)有技術(shù)能力的人，可能沒(méi)有刷流量變現(xiàn)的渠道，又不敢打DDoS，但現(xiàn)在可以去挖礦?！崩铊F軍說(shuō)。在“tlMiner”案件中，“吃雞”外掛的“作者”發(fā)現(xiàn)自己的“作品”被這家大連公司植入了挖礦木馬從而盈利豐厚，于是后來(lái)就在外掛中留了“后門(mén)”，也為自己挖礦。

據(jù)記者了解，目前大多數(shù)挖礦病毒都在挖一些山寨幣，因?yàn)橹恍枰肅PU的算力就能挖。而挖比特幣的大多是專(zhuān)業(yè)礦機(jī)，必須有高性能的CPU，黑產(chǎn)者獲取比特幣更有效的方式是勒索。

李鐵軍表示，從去年下半年到現(xiàn)在，電腦病毒基本上有兩大類(lèi)，一是勒索病毒，二是挖礦病毒?！癉DoS攻擊目前是公安部的頭號(hào)打擊對(duì)象，而且一旦幾萬(wàn)臺(tái)電腦集中攻擊，國(guó)家互聯(lián)網(wǎng)應(yīng)急處理中心系統(tǒng)馬上會(huì)監(jiān)測(cè)到，所以現(xiàn)在不是特別流行了，一般也不敢搞了?！彼f(shuō)。

但是，黑產(chǎn)有自己的辦法，就是縮小攻擊范圍，做“精準(zhǔn)打擊”，這樣范圍較小，更隱蔽。因此，從各類(lèi)安全報(bào)告提供的數(shù)據(jù)看，今年以來(lái)，勒索病毒在感染數(shù)量上有所下降，但這并不意味勒索病毒的危害減輕了，而是攻擊者調(diào)整了策略：精確打擊最可能付費(fèi)的企業(yè)、事業(yè)單位等高價(jià)值目標(biāo)，基本放棄了中招就選擇重裝系統(tǒng)的普通網(wǎng)民。

“過(guò)去勒索病毒都是大面積攻擊，不管三七二十一，先把所有用戶(hù)電腦上的數(shù)據(jù)文檔都加密。但這幾年變化挺大的，現(xiàn)在控制者會(huì)先在云端瀏覽用戶(hù)電腦里的數(shù)據(jù)信息，識(shí)別出這是一個(gè)有錢(qián)人的電腦還是普通人的電腦，是一個(gè)普通職員的電腦還是企業(yè)高管的電腦，尤其是醫(yī)療機(jī)構(gòu)、政府部門(mén)等電腦，都會(huì)被篩選出來(lái)，進(jìn)行小范圍勒索。普通用戶(hù)中了勒索病毒基本就是重裝系統(tǒng)，他們掙不到錢(qián)?！崩铊F軍說(shuō)。

另外一個(gè)近年來(lái)的熱門(mén)發(fā)財(cái)之道就是刷單，比如一些微博、直播、短視頻平臺(tái)為了打造網(wǎng)紅或者營(yíng)銷(xiāo)號(hào)想擴(kuò)大影響力，就會(huì)下單雇傭黑產(chǎn)者幫助做流量、做粉絲、點(diǎn)贊、發(fā)評(píng)論……“這條路現(xiàn)在也非常賺錢(qián)，因?yàn)槭袌?chǎng)需求很大?！崩铊F軍說(shuō)，自己就親身經(jīng)歷過(guò)，在出差時(shí)連接了酒店的免費(fèi)WiFi，然后就發(fā)現(xiàn)自己的微博賬號(hào)在不停給人點(diǎn)贊。

黑產(chǎn)新套路：黑吃黑、做周邊……

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心將“網(wǎng)絡(luò)黑產(chǎn)”界定為三類(lèi)：一是發(fā)動(dòng)涉嫌拒絕服務(wù)式攻擊的黑客團(tuán)伙，即“黑客攻擊”；二是盜取個(gè)人信息和財(cái)產(chǎn)賬號(hào)的盜號(hào)團(tuán)伙，即“盜取賬號(hào)”；三是針對(duì)金融、政府類(lèi)網(wǎng)站的仿冒制作團(tuán)伙，即“釣魚(yú)網(wǎng)站”，這些都是典型的網(wǎng)絡(luò)違法犯罪行為。

據(jù)統(tǒng)計(jì)，我國(guó)網(wǎng)絡(luò)犯罪已占犯罪總數(shù)的三分之一，并以每年30%以上的速度增長(zhǎng)。

童寧認(rèn)為，目前網(wǎng)絡(luò)黑產(chǎn)呈現(xiàn)出越來(lái)越明顯的組織化與專(zhuān)業(yè)化趨勢(shì)。由于暗網(wǎng)的存在，不法分子可以通過(guò)互聯(lián)網(wǎng)的“地下黑市”買(mǎi)到網(wǎng)絡(luò)詐騙所需要的用戶(hù)數(shù)據(jù)、惡意軟件等產(chǎn)品與服務(wù)，在不需要了解攻擊技術(shù)的情況下，很多不法分子也可以通過(guò)網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈進(jìn)行攻擊，這讓網(wǎng)絡(luò)黑產(chǎn)的門(mén)檻大幅降低。

另一方面，這也使黑產(chǎn)間的競(jìng)爭(zhēng)加劇了。騰訊電腦管家安全團(tuán)隊(duì)監(jiān)控發(fā)現(xiàn)，挖礦木馬之間也會(huì)“黑吃黑”。 隨著挖礦木馬的流行，出現(xiàn)了很多重復(fù)感染的情況，即一個(gè)肉雞感染了多個(gè)挖礦木馬。這就使木馬之間開(kāi)始“斗法”，看誰(shuí)率先把其他木馬干掉，讓這個(gè)肉雞全身心為自己挖礦。

更有甚者干脆“截胡”，在其他黑客挖幣成功后，控制礦機(jī)與礦池之間的數(shù)據(jù)溝通，直接篡改礦機(jī)接收礦池獎(jiǎng)勵(lì)的地址為自己的錢(qián)包地址。

隨著傳統(tǒng)企業(yè)的數(shù)據(jù)化轉(zhuǎn)型，也增加了黑客們的撈金空間，甚至產(chǎn)生了“周邊”行業(yè)，比如現(xiàn)在火爆的“勒索病毒破解”，只要在百度搜索勒索病毒破解、解密，就會(huì)找到很多提供此類(lèi)上門(mén)服務(wù)的公司。

“要知道，勒索病毒加密后基本是解不了的。”李鐵軍說(shuō)，“大部分這類(lèi)公司其實(shí)是扮演‘談判中介的角色，大部分勒索索要比特幣等數(shù)字貨幣，很多被勒索者根本不知道去哪里買(mǎi)數(shù)字貨幣以及如何轉(zhuǎn)賬，而這些公司比較熟悉數(shù)字貨幣的交易，可以幫被勒索者與勒索者討價(jià)還價(jià)，賺取差價(jià)，并非真能解開(kāi)加密。這個(gè)行業(yè)已經(jīng)很成熟了，也不排除有一邊放毒，一邊過(guò)來(lái)解密收錢(qián)的不法分子。”

對(duì)于如何防止黑產(chǎn)侵害，童寧表示，對(duì)于專(zhuān)業(yè)機(jī)構(gòu)和企業(yè)來(lái)說(shuō)，最好能夠建立更全面的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，防護(hù)從各個(gè)層次入侵的網(wǎng)絡(luò)安全威脅，并通過(guò)威脅感知體系快捷獲取病毒木馬、釣魚(yú)詐騙、網(wǎng)絡(luò)安全預(yù)警、漏洞報(bào)告在內(nèi)的安全情報(bào)，一旦發(fā)生安全威脅能夠及時(shí)進(jìn)行處理。

而對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)，中了黑產(chǎn)的招，很大一部分原因就是安全意識(shí)不夠，存在僥幸、貪財(cái)?shù)刃睦恚@些因素會(huì)導(dǎo)致用戶(hù)比較容易受到詐騙信息的影響。因此，首先要增強(qiáng)網(wǎng)絡(luò)安全保護(hù)意識(shí)，在網(wǎng)絡(luò)生活中盡量減少對(duì)于個(gè)人信息的泄露，并主動(dòng)拒絕存在安全隱患的應(yīng)用。另外，個(gè)人用戶(hù)在生活中最好能關(guān)注手機(jī)、電腦的安全狀況，發(fā)現(xiàn)異常情況后通過(guò)殺毒軟件等方式進(jìn)行清理。最后，個(gè)人用戶(hù)應(yīng)該具備理性的判斷能力，對(duì)疑似網(wǎng)絡(luò)詐騙的活動(dòng)進(jìn)行核實(shí)，避免受騙。

責(zé)編：陳惟杉