由0和1組成的比特世界,看似規則清晰、簡單有序,但實際上,隻要是能夠承載人性欲望的地方,就永遠少不了正邪較量。日新月異的科技手段隻是工具,正義者用其造福人類,邪惡者則用其謀取私利。
有業内人士測算,中國“網絡黑色産業鍊”(下稱“網絡黑産”)的從業人員已經超過150萬人,他們專業化程度高,成組織運作,分布在國内及東南亞等海外地區。一般而言,網絡黑産的上遊是利用技術手段竊取用戶信息、數據,或者操控用戶電腦、手機的黑客,下遊則是通過詐騙、洗錢、騙貸、勒索、刷單、薅羊毛等各種方式牟利的犯罪團夥。
在利益的驅使下,大數據、人工智能、區塊鍊等前沿熱門技術在正常産業還未成熟應用之時,就被網絡黑産充分利用,使其非法牟利的手段和方式不斷變形升級。
中國擁有全球最龐大的互聯網用戶群體,另一方面我國也成為網絡黑産的重災區。根據阿裡雲方面提供的數據,如今發生在全球範圍内的DDoS攻擊(編者注:指分布式拒絕服務,攻擊者利用自己控制的終端對目标網站在較短時間内發起大量請求,大規模消耗目标網站的主機資源,使其無法正常服務),有一半以上發生在中國,平均每分鐘就發生一次DDoS攻擊。據科技市場研究機構IDC估算,全球每年因網絡攻擊造成的損失超過千億美元,中國占比超過十分之一。
一位“白帽黑客”(編者注:指用黑客技術維護網絡公平正義與安全的人)告訴《中國經濟周刊》記者,貪小便宜的人永遠存在,總有人會相信可以不勞而獲和一夜暴富,隻要有可利用的人性弱點,網絡黑産就永遠也不會消失。
玩遊戲也可能中招?
為了能夠順暢讨論網絡黑産,可能需要先了解幾個“術語”:
暗網——傳統搜索引擎能夠“看到”的表面網絡,隻是網絡空間非常小的一部分,業内人士估計隻有4%左右,而大量存儲在網絡數據庫的内容,不能通過超鍊接訪問,需要通過動态網頁技術才能獲取,這就是暗網。
暗網中有大量非法信息和違禁商品在售,比如身份賬戶信息、槍支毒品、色情視頻、假證僞鈔……據說,被稱為“黑暗版淘寶”的暗網平台“silkroad”上,還有信用評級體系出售,甚至還在“黑五”搞促銷。而比特币就是暗網世界的通行貨币,黑客敲詐案件索要的大多是比特币。
肉雞——指受黑客遠程控制的電腦、手機。大量已經淪為肉雞的電腦、手機構成了僵屍網絡(Botnet),黑客可以以一對多的形式控制網絡上的設備,并通過遠程操控進行各種不法活動牟利。在美國甚至出現過“美國斷網事件”,半個互聯網都被黑客控制并導緻癱瘓。
你或許會覺得這都是電視劇裡的劇情,事不關己。但其實很多人都遊走在網絡黑産的邊緣,甚至可能已經跌落其中,隻是并不知曉。
今年4月,山東警方在遼甯大連破獲了一起“tlMiner”挖礦木馬黑産大案。一家當地知名的高新科技企業,竟然掌控着一個擁有389萬台電腦終端的僵屍網絡。
警方最後查實,因為這家公司表面上僞裝成一家軟件公司,因此互聯網渠道資源非常豐富,分發一個病毒就變得非常容易。這家公司為非法牟利搭建木馬平台,招募發展下級代理商近3500個,主要通過網吧渠道、“吃雞”外挂、盜版視頻軟件傳播投放木馬,非法控制用戶電腦終端。
通過這個超大的僵屍網絡,這家公司進行數字加密貨币挖礦、強制廣告等非法業務,合計挖掘DGB(極特币)、HSR(紅燒肉币)、XMR(門羅币)、SHR(超級現金币)、BCD(比特币鑽石)、SIA(雲儲币)等各類數字貨币超過2000萬枚,非法獲利1500餘萬元。
“這次很多用戶中招是因為安裝‘吃雞’遊戲外挂,使用外挂工具時用戶會被要求先把殺毒軟件退出或卸載,還有用戶到一些不正規的視頻網站去‘免費’觀看那些視頻網站的付費内容,或者一些不雅、盜版視頻,結果視頻中被植入了木馬。”騰訊電腦管家高級安全專家李鐵軍告訴《中國經濟周刊》記者,騰訊電腦管家是破獲這起大案的線索提供方。
李鐵軍透露,這個團夥控制了300多萬台電腦,隻拿其中100多萬台“挖礦”,其他的用來做彈廣告、推廣等“傳統業務”。“他們挑選了系統性能最好的電腦‘挖礦’,‘吃雞’遊戲玩家的電腦配置都比較高,非常适合用來‘挖礦’。”
挖礦病毒風靡,黑産為何“盯上”虛拟數字貨币?
“從2017年至今,我們觀察到一個明顯的趨勢:這兩年圍繞虛拟數字貨币的病毒木馬最為多見。挖礦病毒在2018年上半年尤其突出,這種情況跟這兩年區塊鍊經濟火熱有關,虛拟數字貨币行情很好,變現相對容易,且具有匿名性,不方便警方追查。”亞信安全通用安全産品總經理童甯告訴《中國經濟周刊》記者。
根據亞信安全發布的《2018年第一季度網絡安全威脅報告》,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。“挖礦病毒具備非常好的隐蔽性,沒有廣告彈窗、也不會通過文件加密來勒索用戶,被用戶主動發現的幾率很小,再加上挖礦病毒廣泛存在于PC、移動設備中,所以會出現大量受害者。”童甯介紹說。
《2018年第一季度網絡安全威脅報告》指出,挖礦病毒對于個人中毒者來說,會出現計算機運行緩慢、耗電量大增、死機、電腦壽命降低等後果;而對于企業來說,會破壞企業内部IT環境、數據中心的正常運行秩序以及關鍵應用的交付。
李鐵軍表示,表面上看,相比彈廣告、鎖首頁、删文件勒索、竊取信息的木馬病毒,挖礦木馬的危害好像比較輕,因為它隻是消耗用戶電腦的資源,增加耗電量而已。而且現在的挖礦木馬還特别“良心”,它隻會占用用戶系統資源的一部分,基本會控制在50%以下,還會随着用戶的使用情況自動調整用量,達到讓人不易察覺,從而長期挖礦的目的。
“但是,其中隐藏的風險是巨大的。因為一旦電腦被遠程控制,也就意味着他人可以在用戶的電腦上幹任何事,比如獲取用戶數據、控制攝像頭……更可怕的是,如果近400萬台電腦組成的僵屍網絡攻擊某個網站,其基本上瞬間就會癱瘓。”李鐵軍介紹說。
童甯指出,虛拟貨币在網絡黑産的另一重要角色是作為地下交易的介質。在網絡地下黑色市場的運行中,基于區塊鍊技術的虛拟貨币由于去中心化、可自由交易等特性,為網絡黑産的交易提供了非常便捷的交易手段。
“為了增強交易的穩定性,現在很多虛拟貨币的網絡以及交易所開始重視網絡安全。比如加強與網絡安全公司的合作,向社會招募相應的漏洞挖掘者進行懸賞,懸賞金額從5000到1萬美元不等。”童甯說。
從廣告、軟件分發到挖币、勒索、刷單,黑産也在追“風口”
無論采取什麼樣的手段和方式,網絡黑産的最終目标是賺錢。記者采訪的多位安全專家都表示,這麼多年來,黑色産業鍊的本質并沒有變過,就是流量變現。哪裡能夠最有效地變現,黑産的觸手就會伸向哪裡。最早,互聯網主流的變現方式是廣告,主流互聯網公司靠廣告盈利,黑産也是如此。黑産通過木馬建立僵屍網絡,一個廣告看似被上百萬用戶看到和點擊,但實際上都是僵屍肉雞在點擊,對于廣告主來說毫無價值。即使到今天,彈廣告、鎖主頁、推廣軟件,這些套路都沒變過。
後來移動互聯網興起,軟件分發成為一個盈利渠道。通過木馬,黑産從業者把軟件在用戶不知覺的情況下,裝到電腦或者手機上,甚至還卸載不了。
但廣告和軟件分發還需要建立代理網絡,與很多人分成,而随着區塊鍊的火爆,挖礦可以直接變現。
李鐵軍表示,區塊鍊現在已經成為網絡黑産的新風口,挖礦病毒增長非常快,勒索病毒也都索要比特币,可以說現在的黑産犯罪大多與區塊鍊有關,這也是當下網絡黑産的重要特征。
“挖礦讓網絡黑産的産業鍊變短了,門檻降低了,原本個體黑客隻是一個有技術能力的人,可能沒有刷流量變現的渠道,又不敢打DDoS,但現在可以去挖礦。”李鐵軍說。在“tlMiner”案件中,“吃雞”外挂的“作者”發現自己的“作品”被這家大連公司植入了挖礦木馬從而盈利豐厚,于是後來就在外挂中留了“後門”,也為自己挖礦。
據記者了解,目前大多數挖礦病毒都在挖一些山寨币,因為隻需要用CPU的算力就能挖。而挖比特币的大多是專業礦機,必須有高性能的CPU,黑産者獲取比特币更有效的方式是勒索。
李鐵軍表示,從去年下半年到現在,電腦病毒基本上有兩大類,一是勒索病毒,二是挖礦病毒。“DDoS攻擊目前是公安部的頭号打擊對象,而且一旦幾萬台電腦集中攻擊,國家互聯網應急處理中心系統馬上會監測到,所以現在不是特别流行了,一般也不敢搞了。”他說。
網友演示如何破解WIFI密碼,并順利利用黑客軟件将微博賬戶“劫持”。視覺中國但是,黑産有自己的辦法,就是縮小攻擊範圍,做“精準打擊”,這樣範圍較小,更隐蔽。因此,從各類安全報告提供的數據看,今年以來,勒索病毒在感染數量上有所下降,但這并不意味勒索病毒的危害減輕了,而是攻擊者調整了策略:精确打擊最可能付費的企業、事業單位等高價值目标,基本放棄了中招就選擇重裝系統的普通網民。
“過去勒索病毒都是大面積攻擊,不管三七二十一,先把所有用戶電腦上的數據文檔都加密。但這幾年變化挺大的,現在控制者會先在雲端浏覽用戶電腦裡的數據信息,識别出這是一個有錢人的電腦還是普通人的電腦,是一個普通職員的電腦還是企業高管的電腦,尤其是醫療機構、政府部門等電腦,都會被篩選出來,進行小範圍勒索。普通用戶中了勒索病毒基本就是重裝系統,他們掙不到錢。”李鐵軍說。
另外一個近年來的熱門發财之道就是刷單,比如一些微博、直播、短視頻平台為了打造網紅或者營銷号想擴大影響力,就會下單雇傭黑産者幫助做流量、做粉絲、點贊、發評論……“這條路現在也非常賺錢,因為市場需求很大。”李鐵軍說,自己就親身經曆過,在出差時連接了酒店的免費WiFi,然後就發現自己的微博賬号在不停給人點贊。
黑産新套路:黑吃黑、做周邊……
國家互聯網應急中心将“網絡黑産”界定為三類:一是發動涉嫌拒絕服務式攻擊的黑客團夥,即“黑客攻擊”;二是盜取個人信息和财産賬号的盜号團夥,即“盜取賬号”;三是針對金融、政府類網站的仿冒制作團夥,即“釣魚網站”,這些都是典型的網絡違法犯罪行為。
據統計,我國網絡犯罪已占犯罪總數的三分之一,并以每年30%以上的速度增長。
童甯認為,目前網絡黑産呈現出越來越明顯的組織化與專業化趨勢。由于暗網的存在,不法分子可以通過互聯網的“地下黑市”買到網絡詐騙所需要的用戶數據、惡意軟件等産品與服務,在不需要了解攻擊技術的情況下,很多不法分子也可以通過網絡黑色産業鍊進行攻擊,這讓網絡黑産的門檻大幅降低。
另一方面,這也使黑産間的競争加劇了。騰訊電腦管家安全團隊監控發現,挖礦木馬之間也會“黑吃黑”。随着挖礦木馬的流行,出現了很多重複感染的情況,即一個肉雞感染了多個挖礦木馬。這就使木馬之間開始“鬥法”,看誰率先把其他木馬幹掉,讓這個肉雞全身心為自己挖礦。
更有甚者幹脆“截胡”,在其他黑客挖币成功後,控制礦機與礦池之間的數據溝通,直接篡改礦機接收礦池獎勵的地址為自己的錢包地址。
随着傳統企業的數據化轉型,也增加了黑客們的撈金空間,甚至産生了“周邊”行業,比如現在火爆的“勒索病毒破解”,隻要在百度搜索勒索病毒破解、解密,就會找到很多提供此類上門服務的公司。
“要知道,勒索病毒加密後基本是解不了的。”李鐵軍說,“大部分這類公司其實是扮演‘談判中介’的角色,大部分勒索索要比特币等數字貨币,很多被勒索者根本不知道去哪裡買數字貨币以及如何轉賬,而這些公司比較熟悉數字貨币的交易,可以幫被勒索者與勒索者讨價還價,賺取差價,并非真能解開加密。這個行業已經很成熟了,也不排除有一邊放毒,一邊過來解密收錢的不法分子。”
對于如何防止黑産侵害,童甯表示,對于專業機構和企業來說,最好能夠建立更全面的網絡安全防護系統,防護從各個層次入侵的網絡安全威脅,并通過威脅感知體系快捷獲取病毒木馬、釣魚詐騙、網絡安全預警、漏洞報告在内的安全情報,一旦發生安全威脅能夠及時進行處理。
而對于個人用戶來說,中了黑産的招,很大一部分原因就是安全意識不夠,存在僥幸、貪财等心理,這些因素會導緻用戶比較容易受到詐騙信息的影響。因此,首先要增強網絡安全保護意識,在網絡生活中盡量減少對于個人信息的洩露,并主動拒絕存在安全隐患的應用。另外,個人用戶在生活中最好能關注手機、電腦的安全狀況,發現異常情況後通過殺毒軟件等方式進行清理。最後,個人用戶應該具備理性的判斷能力,對疑似網絡詐騙的活動進行核實,避免受騙。
責編:陳惟杉
美編:孟凡婷