2014年腾讯雷霆行动网络黑色产业链年度报告（上）

腾讯研究院

发布于 2018-02-05 16:40:51

1.9K0

发布于 2018-02-05 16:40:51

文章被收录于专栏：腾讯研究院的专栏腾讯研究院的专栏

年度报告摘要

网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势，对网民造成了金融资产和个人信息安全等多方面的危害，成为阻碍互联网发展的重要因素。2014年各种重大网络安全事件显示，网络黑产已经从半公开化的纯攻击模式转化为敛财工具和商业竞争手段，集团化、产业化趋势明显，跨境网络犯罪多发。
由腾讯各大安全平台提供的大数据显示，2014年网络黑产来势汹汹，全国日均54万部手机中毒，支付类病毒增长迅猛；网络社工类欺诈以广东发案量最大，男性及90后最好骗；四成恶意网站以色情网站的幌子行骗。
2014年腾讯雷霆行动通过开放黑产数据库和大数据分析能力，与全国警方及互联网合作伙伴建立多层次联动机制，全方位打击网络黑色产业链。110.qq.com反诈骗举报平台共收到举报信息250余万条，协助各地警方侦破网络欺诈案件200余起，抓获犯罪团伙嫌疑人700余人。腾讯社交产品累计封停打击违规公众帐号8.5万个，拦截各类恶意营销广告、恶意链接500万个。在打击网络色情上，处置LBS服务3000万次，删除淫秽色情及招嫖类信息500万条。
网络黑产犯罪团伙已经发展为跨平台、跨行业的集团式经营运作，成为移动互联网时代的毒瘤，政府、警方、各大互联网企业、银行、运营商和第三方安全机构等应尽快建立有效的合作与共享机制，从源头上遏制网络黑产的生存空间。

一、网络黑产正在渗透

1. 2014年度黑产危害五大事件

12306数据泄露事件

12月25日，中国铁路购票网站12306遭遇“撞库”攻击，超过13万条用户隐私数据在互联网疯传，用户帐号、密码、身份证号、注册邮箱等数据被大范围流传、买卖，铁路公安机关抓获犯罪嫌疑人两名。第三方安全厂商确认该批数据的真实性，指是由黑客通过“撞库”攻击所获得，网上并无更多12306用户数据遭流转的迹象。

索尼影业被入侵

11月24日，索尼影业电脑系统被黑客入侵，大量内部财务文档、员工信息、甚至四部原计划2015年发布的影片和内部往来邮件被陆续曝光。索尼公司发布内部备忘录，称此次攻击是“前所未有的、独一无二的”。

好莱坞艺人iCloud帐号被黑，艳照流出

8月31日，好莱坞爆发史上最严重的“裸照”风波，近百名好莱坞知名女星、歌手和名模的iCloud帐号被黑客攻击，大量储存在苹果iCloud云存储服务器的艳照被黑客盗取并上传至贴图网站。

Open SSL“心脏出血”

4月8日，网络加密软件Open SSL被爆出本年度最知名的安全漏洞“心脏出血”，黑客利用该漏洞可获取全球近三成以https开头网址的用户登录帐号和密码，包括网民最常用的购物、网银、社交、门户、微博、邮箱等知名网站和服务，影响至少两亿中国网民。

121中国互联网DNS大劫难

1月21日，国内通用顶级域的根服务器出现异常，导致全国三分之二的网站出现DNS解析故障，数千万网民无法正常上网。事故发生期间，超过85%的用户遭遇DNS故障，部分地区用户“断网”持续数小时。国家互联网应急中心通报指，此次事件是由于DNS根服务器遭攻击导致。

2. 解密网络黑产

结合上述案例可以看出，网络黑色产业链已经渗透到我们生活的方方面面，从影响全球的网络安全事件，到犯罪分子利用泄露的银行卡信息盗取用户存款，无一不关系到网络使用者的切身利益。

A．网络黑色产业链的分类：

所谓“网络黑色产业链”，就是指以计算机网络为工具，运用计算机和网络技术实施的以盈利为目的、有组织、分工明确的团伙式犯罪行为，主要可以分为技术类、社工类和涉黄涉非类三大类型。

技术类：指利用网络和计算机存在的安全漏洞和缺陷，窃取数据和信息，以及对网络和计算机发起的各类攻击。

社工类：指利用受害者的信任、好奇心和贪婪等心理弱点，以冒充熟人或博取同情等社会工程学的方式进行网络盗窃、诈骗和敲诈。

涉黄涉非类：指利用网络的便捷性和难以追查性，进行如网络色情、网络赌博、贩卖枪支弹药和违禁品等的涉黄涉非违法犯罪活动。

B. 网络黑色产业链的主要协作模式

注：黑帽专指对计算机系统及网络进行恶意攻击及破坏的人

社工库指整合多个被盗数据库、形成专门用于社工欺诈的多维度海量用户信息库

从上图可以看出，网络黑色产业链的上游为黑帽技术实施，中游为黑产犯罪团伙，下游则是支持黑产犯罪团伙的各种周边组织。位于上游端的木马病毒、钓鱼网站制作者和贩卖者普遍拥有较高的技术水平，靠散布病毒和钓鱼网址批量控制用户的终端设备，以达到诈骗和盗取财产的目的，平均一个上游端就可长期供养10个以上网络黑产犯罪团伙。

下面我们以一个真实的案例来看网络黑色产业链的分工。在公安部2014年11月公布的网络犯罪十大典型案例中，辽宁网安部门成功瓦解一个非法入侵韩国网站盗取韩国网民银行存款的特大团伙，抓获犯罪嫌疑人34名，涉案金额折合人民币1000余万元。

从上图可以看出，黑帽入侵韩国银行网站、植入盗号木马后，网络盗窃黑产团伙如何进一步窃取受害人的网银帐号和密码，环环相扣，最后通过下游的洗钱团伙和取钱团伙将韩国受害人的银行存款在境内变现。据统计，在仅半年时间内，该犯罪团伙就先后对100余家韩国网站实施入侵，感染计算机达千余台，盗窃韩国网民银行帐号密码4000余组。

3. 2014年全国各地涉网犯罪人员总数、涉案金额

来源：2014年国家网络安全宣传周资料

据统计，2013年我国公安机关全年抓获涉网犯罪嫌疑人达25.2万人，与2012年相比增长15%。据中国警察网报道，2012年至2014年，全国公安机关组织开展打击网络诈骗、网络淫秽色情、网络赌博、有组织传播谣言、销售违禁品等10余次专项打击行动和清理整治行动，办理案件30余万起，抓获涉网犯罪嫌疑人60余万名。

来源：各地公安机关公开数据

根据腾讯雷霆行动的网络黑产大数据分析显示，黑产犯罪团伙具有很强的区域聚集性，主要集中在广西宾阳、福建安溪、和海南儋州。广西宾阳聚集了超过3万人的各类网聊诈骗团伙，约占全国网络诈骗黑产人员总数的27%；福建安溪聚集了约1万人的网购诈骗、钓鱼网站诈骗团伙；海南儋州聚集了超过4万人的各类网络中奖、网络机票诈骗团伙，约占全国网络诈骗黑产人员总数的30%。除此以外，大量黑产从业人员分布在二三线城市，主要为年龄介于15-25岁之间的无业年轻人，他们在移动互联网领域里能够很敏锐地察觉到敛财的机会，主要瞄准网上购物、网络银行、网络游戏和聊天等用户群体。在洗劫一个用户资金的时候，金额都不大，花销一两百块钱或者八九百块钱，一些用户发现后可能会因为怕麻烦而没有报案，因此网络黑产犯罪人员的实际数量要远远高于我们从各类公开资料和统计数据中了解到的情况。

4. 2014年网络黑产新趋势

网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势，2014年各种重大网络安全事件显示，网络黑产已经从半公开的纯攻击模式转化成为敛财工具和商业竞争手段，集团化、产业化趋势明显。腾讯雷霆行动看到，俗称“拖库”的盗取网站数据库已成为黑产人员惯招，社工库为各种精准式网络诈骗提供数据来源，恶性商业竞争让网络攻击、网络敲诈成为常态。

A. “拖库”成惯招，精准式诈骗场景频出

黑客通过入侵有价值的网络站点，盗走用户数据库，这个过程在地下产业术语里被称为“拖库”；在取得大量的用户数据之后，黑客会通过一系列的技术手段清洗数据，并在黑市上将有价值的用户数据变现交易，通常被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆，叫做“撞库”，因为很多用户喜欢使用统一的用户名密码，“撞库”也可以使黑客收获颇丰。12月25日，中国铁路购票网站12306被爆有超过13万条用户隐私数据在互联网疯传，就是由黑客通过“撞库”攻击获得的数据。

最后，黑产人员还会把多个不同类型的数据库整合成社工库。随着社工库的日益完善，大量网络用户的隐私信息、上网行为、以及与个人金融财产安全相关的数据被重新整合，多维度的海量信息让有强针对性的精准式诈骗场景频现。

2014年下半年，大量冒充熟人诈骗、利用被泄露的银行卡信息进行盗刷等的网络黑产犯罪案件层出不穷，矛头直指用户个人隐私泄漏问题。腾讯雷霆行动观察到，从去年下半年开始，网络上有数以千计的黑产从业人员从传统的点卡、盗号诈骗转移到银行卡盗刷产业。

相应地，盗取用户身份证、银行卡号、手机号等隐私信息的黑产团伙周边产业链也不断完善，因网购订单泄漏、快递订单泄漏而导致的诈骗案件频频见诸报端，可见当前互联网黑产的主要危害已经从传统的帐号安全逐渐转移至用户个人信息安全。目前，互联网企业应对用户隐私数据被盗的防御措施和用户的自我保护意识都仍然较弱。

B. 恶性商业竞争推动网络攻击、网络敲诈

随着商业竞争的日趋激烈，网络黑色产业已经从以往单纯的攻击模式转化成为网络敲诈黑产团伙的敛财工具和半公开化的商业竞争手段。互联网深度数据分析公司TOMsInsight在其分析报告《互联网黑市分析：攻击敲诈勒索》中把网络攻击和敲诈分为了人肉型、信息型、技术型三大类。

人肉型攻击敲诈勒索指那些完全凭借人工完成的攻击，例如通过网络社交群组织几千人甚至几万人的大规模团伙，有组织有计划地针对电商、网购网站进行恶意购买、恶意差评、恶意投诉和恶意点击。

来源：TOMsInsight《互联网黑市分析：攻击敲诈勒索》

其在2014年上半年对178家网站进行随机调查的结果显示，针对网店的恶意投诉和差评为人肉型攻击敲诈勒索最常见的形式。

信息型攻击敲诈勒索则是通过在网络媒体、搜索引擎、微博、论坛等网上平台发布负面信息，给某一特定受害者造成负面影响，以进行敲诈勒索。其中，黑链是信息型攻击敲诈勒索中最普遍的一种手段。黑产者通过网络技术漏洞获取在搜索引擎中权重较高的网站权限，链接到自己的网站，然后通过关键词优化和黑链技巧，快速地把与受害者品牌相关的负面新闻优化到搜索引擎前几页，收钱后即快速删除。

技术型攻击敲诈勒索指攻击者利用黑客技术，通过DDOS攻击和入侵网站数据库等形式，对一些有规模的网站进行敲诈勒索的行为。所谓DDOS攻击（Distributed Denial of Service），通俗来说就是利用大量的虚假访问，占据了受害者网站的带宽，让真实的用户无法登陆。承载了电子商务、在线游戏、网银支付系统、社交网站等高利润在线业务的数据中心常常是DDOS攻击的重灾区。

2014年11月，网络游戏“魔兽世界”的北美服务器就遭到大型DDOS攻击，暴雪被迫对北美服务器进行长达4小时的服务器维护以修复问题，大批网游玩家受影响。

C. 黑产偏爱手机木马，移动端抵御能力弱

由于PC端在抵御病毒及保障网购、网上支付安全的软件和验证方式上相对于移动端更强大，网络黑产人员更倾向于对手机进行攻击，通过植入手机木马等方式取得用户个人信息，进而控制手机、拦截短信验证码，实施网络盗窃。

利用伪基站发送木马诈骗短信是2014年网络黑产团伙最爱用的诈骗手段之一，主要通过伪基站发送类似“卡内积分满多少，可以赠送话费”的短信内容，诱骗用户点击假冒中国移动服务号码10086短信中的木马链接，待用户输入个人信息后，银行卡资金随即被盗。

2014年6月以来，江苏省连续发生3起利用伪基站发送木马短信的电信诈骗案件，受害人的手机均收到假冒10086发来的积分兑奖短信，诱导受害人填写包括个人姓名、身份证号码、银行卡号等个人资料，并提示下载安装所谓“移动掌上营业厅.apk”的木马病毒。受害人在进行所谓的“兑奖”后，不久就发现自己银行卡里的余额莫名其妙地少了。