浅谈黑产利益链及入侵者风险

有很多人一开始走上渗透测试的道路都是因为"兴趣"。

想象自己在学校官网上留下自己的大名?想象自己精心制作的网页留在某个很出名的网站?想象自己在某台计算机或服务器内为所欲为?也有甚者想的很简单，就是单纯的觉得这个软件很拽，我要破解它。这个入侵很好玩，我要学会它。

为了这么简单又这么困难的"梦想"付出了多少汗水，付出了多少个孤寂的夜晚，失去了多少游戏的欢笑......

我想很多人已经"学有所成"了吧?不少人已经干掉自己的学校了吧?不少人已经尝试过挂黑页的感觉了吧?不少人已经进入过服务器留挂马了吧?

但是这些人还有多少是为了当初的"兴趣"?不少人在学习过程中已经听过网络黑产了吧?

有一句话是这样说的：如果资本家有百分之十的利润，它就敢保证到处被使用;有百分之二十的利润，它就活跃起来;有百分之五十的利润，它就铤而走险;为了百分之一百的利润，它就敢践踏一切人间法律;有百分之三百的利润，它就敢犯下任何罪行。

相信听过黑产的巨大利益不少人已经砰然心动了吧?已经不再是单纯的为了学习而学习了吧?为了$而学习、为了$而熬夜的人数不胜数吧!?那么我们来聊聊黑产的模式及风险。(以下内容纯属个人见解，不对的地方多多指正。牛逼之处多表扬，傻逼之处多批评，绝不装逼)

风险评级只是针对入侵者!

订单数据利益链

1.入侵者(负责拿数据)

2.中介(也有可能没有这一环)

3.诈骗团伙(收数据的人)

大的商城、如唯品会、京东、万能宝，小的商城数不胜数。 这些人收数据有个硬性标准、一个商城每天数据至少要一百以上(也就是订单量要在一百以上)他们才会勉强收购你的数据。通常一条数据是5-15$，这得看你是什么商城，什么商品，商品的价格。

如果是批发数据那要相对便宜一点。如果是同城，比如爱尚鲜花这样的数据就可能只值1-2元、甚至一文不值。

为什么呢?拿到数据的人要干嘛呢?他们首先要求最低规格的数据格式：订单号、下单时间、买家电话、商品名字、商品价格、已付款、未发货。货到付款的是不能运作的!!

如这样↓

有了这些信息他们就可以构成诈骗了。通常这种商城都是数据在后台的，而后台也很少能getshell(具体看程序)而且商城的权限很容易掉，因为诈骗会让官方很快收到消息排查起来。所以一般在渗透商城的骇客都会很小心很小心的隐藏自己IP。顺便提一下、商城大部分都是xss漏洞进入。

风险：★★★

航空数据利益链

也是诈骗，这个风险比较大，他们首先要求最低规格的数据格式：下单时间、旅客姓名、旅客电话、订单号、未起飞等(没深入了解这个、欢迎补充)

如这样↓

搞航空数据被抓的比比皆是!且行且珍惜。

风险：★★★★★

贵金属、原油、纸黄金等利益链

还是那三种人，不过这个风险相对低一点、而且这个比较“千姿百态”，你可以入侵某个理财公司的呼叫系统!如下↓

他们要求的数据很简单，电话、姓名。但是这种数据需要先入侵者发一点数据过去让诈骗团伙测试。这里也顺便提一下，这里的诈骗团伙不同于上面两种，一般是有正规营业执照，有公司的，但是公司是什么样的呢?看图↓

这是一家比较小的"理财"公司，15个电话手，两个管理人员。管理人员把在网上拿到的数据(或者测试的数据)打印出来删除收到的数据记录。

把一张张纸发给各位电话手，由电话手去.......让人来开户。然后滚着滚着￥就到公司手上了。就给客户说亏了。

一般这种数据出自什么地方?交易所绝对是各大黑阔“重点关照”的对象!通常这种数据是稳定每日出货，一条数据5毛-2元。

风险：★★

洗钱利益链：

洗钱有很多种，最最最暴利的是比特币，有大黑阔掌握一个0day可以日如五十万以上!一点都不夸张，一点都不虚假。他利用自己拿到的权限给幕后的洗钱团队合作，老板指定冲某某账户、然后团队进行一系列操作通过中国澳门等地方洗来洗去。一会就洗白白了。这种很高端也很神秘。普遍大家接触不到,说说大家经常接触到的，钓鱼!屡见不鲜.

考试数据：同样是两种，高三报考数据、人事报考数据。高三的很好理解，拿到数据交给诈骗团伙，团伙打过去就说有答案。但是现在好像很少有做这个的了。人事数据反而最火。

看一下有多少类型的数据，受欢迎程度超乎你的想象，最欢迎之一的城市应该是成都。。可能是这个市的人好骗吧，我真的没有地域黑。。。

如下。

而且这个不是一锤子买卖，如果你能长期掌握权限，那么每次报考的数据都够你吃一个月了!

风险：★★★