网络安全：全球最大风险，黑产规模惊人，领军人物不用智能手机

世界经济论坛发布的《2018年全球风险报告》中，网络安全已成为除自然灾害之外的最大风险。据统计，2017年从事黑色产业的人数超过150万人，市场规模达数千亿元……

2018年全球风险报告

网络安全已成为除自然灾害之外的最大风险

全球互联网的至暗时刻

早在2016年网络安全技术峰会上，全球著名信息安全专家、卡巴斯基公司创始人尤金·卡巴斯基就表示，网络安全目前正处于黑暗时代……

卡巴斯基首席执行官尤金·卡巴斯基发表演讲

讽刺的是，这位信息安全领域的全球领导者仍然不使用智能手机……

周杰伦，卡巴斯基前发言人

“网络黑色产业”，另一个平行的互联网世界

没错，不经意间，这群人确实把地下产业链做成了一个“产业”，而且市场规模高达数千亿……

摘自2017年网络黑色产业威胁源研究报告

黑产是黑色产业的简称，广义上包括贩毒、放高利贷、私人彩票、网络诈骗等行业，狭义上则是指利用互联网技术不正当获取利润的行业。现在我们提到黑产，一般都是指狭义的黑产。黑产一般都有交易链条，通常在搜索引擎无法搜索到、普通人难以进入的暗网进行大规模交易，也有在私人网站或交易论坛进行交易的。

暗网作为黑产重要的地下交易平台，其实是深网的一个子集。“暗网”一词最早由吉尔·埃尔斯沃斯博士于1994年提出，通常是指需要使用特殊软件、特殊授权或电脑上特殊设置才能连接的网络，其服务器地址和数据传输通常是匿名的，无法追踪。

根据美国Market Watch的调查数据，目前全球主要有三大暗网交易市场，分别是：Dream、Wall Street和PointMarketplace。

我们接触到更多的是暗网上出售的各大互联网巨头的敏感信息，包括

Gmail、Facebook、Uber和Grubhub的用户信息售价分别为1美元、5.2美元、7美元和9美元……

由于暗网的特殊性，参与交易的各方并不为公众所知，其中包括巨头Facebook......

2015 年从雅虎 (Yahoo) 加入 Facebook 的亚历克斯·斯塔莫斯 (Alex Stamos) 表示，为了验证用户是否选择了弱密码，该公司从黑市上购买了黑客出售的密码，并将其与网站使用的加密密码进行交叉引用。

Facebook 首席安全官 Alex Stamos

不幸的是，三年后真相大白，Facebook卷入信息泄露丑闻。多家英美媒体报道称，一家名为剑桥分析公司的数据分析公司未经授权获取了美国社交媒体Facebook多达5000万用户的个人信息，并利用这些信息设计出预测和影响选民投票的软件。在此次数据泄露引发的Facebook内部动荡中，首席安全官亚历克斯·斯塔莫斯也于8月宣布离职。

“互联网黑色产业”，千亿规模的市场

作为全球互联网黑色产业的风向标，中国互联网“黑色产业”的发展历史极具代表性：

这个千亿规模的市场，呈现出惊人的细分化，主流包括八大类：拉黑、电信金融诈骗、刷号刷单、木马病毒、网络私彩、知识盗版、搜索引擎“优化”、大流量DDoS攻击。而在这八大类之下，还有更多的细分领域。

黑市地图

1.木马病毒产业链：

这一产业链由来已久，并伴随计算机病毒的社会化而逐渐成熟。

从最早的兴趣制造病毒，到现在：设计制造木马病毒、交易购买流量推广、传播木马病毒、窃取被感染用户信息、套现信息和虚拟财产等，从而形成了一个暴利的产业。其能盈利的原因是：

1、最早厂商研发制作具有入侵攻击、远程控制、自动传播等功能的木马病毒，并根据当前热点问题设计该类木马的传播方式、触发环境，并及时开发杀毒软件的防杀功能，并及时更新维护；

2、提供流量交易的人相当复杂，有互联网业内人士、无良站长、黑客等，他们会采用各种手段实施“挂马”，为木马病毒的传播和生存提供平台和流量；

3、“付费木马”是这个产业链的核心，他们从上层购买木马病毒，从下层购买网络流量，在网络上安装木马后，开始窃取、收割各种有用信息并进行整理，主要是各种实名信息、隐私信息、各种网络账号以及账号内的虚拟财产；

4、最后就是变现阶段，其实这个阶段可能涉及很多正规企业、互联网品牌，他们会打着“大数据分析”的旗号从这里购买各种个人隐私信息，也有更多的诈骗团队甚至是犯罪团伙购买这些信息，然后进行各种诈骗活动或者欺骗性营销；

变体和扩展：

在这个黑色产业链中，除了特定的木马病毒外，还有人为在线钓鱼或设计程序试图攻击数据库，然后进行各种形式的账号盗窃，再通过筛选、“洗白”等方式，最后出售变现；

近期由于苹果设备的火爆，也有利用Apple ID管理规则提供被盗iPhone解锁服务等的研究，大致可以归入这个大的产业链之中。

2、账号维护、刷单产业链：

这个产业链主要包括账号维护、刷单、利润实现三个环节。

账号的维护来源有两个，一个是通过网络招人，但这类账号的平台非常分散，质量参差不齐，很难统一协调，所以越来越不重要了。

目前真正能够形成市场的是通过定制程序甚至是专用设备，可以批量拥有大量的手机号码、指定系统的账号，甚至有一定权限和级别的账号。

然后利用这些账户按照指定的规则生成所需要的相关数据和指标，最后用这个结果换取最终的利润；

虽然流程类似，但在具体实施上，按照刷单目的不同，可以分为刷数据服务、奖励补贴盈利、敲诈勒索等方向：

1、刷数据服务：多服务于淘宝卖家、APP或自媒体账号运营者、热门投票评选活动的参与者，他们要么想提升自己的排名、位置、形象，要么需要向外界展示一定的数据。根据不同平台对防刷的技术限制，该类服务会有相应的解决方案，其收费标准也有所不同；

2、打赏补贴获利：做这类工作的人也被称作白日梦党，主要针对电商平台、商家促销、媒体自身的打赏推广等活动，研究他们的规律和漏洞或模式，通过大量的账号维护、密集的运营和快速的技术响应赚取大量的奖品、兑换券、折扣券甚至直接返利，再通过相关渠道实现不同的收益；

3、敲诈勒索：最早出现的是电商平台上的职业差评者，他们会将自己的账号培养成非常有说服力的用户账号，然后研究各个大平台的管理规则，有针对性的利用这些平台的惩罚机制，大规模地发动各种差评、投诉、恶意评价行为，从而迫使差评对象支付相应的赔偿或费用，从中牟利；

变体和扩展：

当然正规的刷单平台只是赚中间的差价，或者包装成管理费，但现实中很多平台最终会把刷单带来的利润全部吞掉，甚至冒充刷单平台，利用人们对这个黑色产业链的基本了解，骗取人们加入，通过各种方式收取费用或者拿到收益后跑路，其实就是直接诈骗；

此外，网上引入低价游戏装备代购、低价充值服务等，是利用苹果或其他平台公司退款漏洞的黑色产业链，属于此类的变种；还有一些收取验证码、代他人注册账号的服务，也是此类羊毛党的变种；

3.流量劫持产业链：

这是最具互联网特征的黑色产业链。

因为大部分互联网公司都离不开流量，不管哪个行业，哪个品牌，都需要各种访问量，各种展示量，依赖广告收入的行业都离不开高流量的支撑。

那么，除了常规的广告推广、各种引导之外，还利用一些不光彩的技术手段，劫持、误导甚至取代网民的正常上网流量，从而催生出了一个非常庞大的应用市场；

1、不同电信服务商内部直属员工、技术人员私自在网络协议层面进行恶意分析，在保证劫持概率不容易被正常人察觉的前提下，故意将原本访问A的流量分析劫持到B，然后向B收取高额的流量推广费用；

2、黑客或木马病毒制作者通过攻击用户家中的路由器或者某些小区、单位的相关网络设备，从而获取大量可自行控制的“肉机”设备。然后根据不同用户的需求，直接劫持一定量的流量进行出售；

3、一些小品牌路由器厂商，以及各类品牌的电脑、山寨手机，会在硬件设备中留有后门；或者在产品中加入一些软件层面的误导、诱导功能，以便根据市场的业务需要随时开启、关闭流量劫持功能；

这个行业也存在一些灰色地带。

比如有一些号称是安全监控的软件，有一些号称是网址导航的产品，还有一些直接做浏览器、搜索引擎的软件。

他们会用各种花招，在特定的情况下诱骗用户进入他们的页面，这本质上还是一种劫持，然后他们会把劫持的流量卖给竞标者。

4、网络民间彩票产业链：

由于国家尚未开放网络彩票牌照申请，凡是在互联网上开展彩票业务的人都被认为是黑心行业。

总之，网络民间彩票的数据，无论是号称来自国内福利彩票、体育彩票，还是与国外知名彩票网站同步，都没有任何技术监控和公平性保障，当然更多的是民间彩票运营商自身提供的盘口；

民间彩票最大的问题是没有发牌部门和监管机构。

比如，有的网站宣称同步国内体彩、福利彩票数据，但实际上并不发票，这就是所谓的“吃票”。

如果中了小奖，民营彩票站会出钱买彩票，这个钱相对于买彩票的成本来说，是很小的一笔钱，如果中了大奖，民营彩票站就卷款跑路，最多换个名字再回来；

稍微正规一点的民间彩票网站其实是采用非法赌场的思路，他们看似比较讲信用，实则“长期投入资金，钓一条大鱼”，采用培养重度用户的策略，先分析找到有价值的用户，再用小奖品诱惑，让其踏入游戏。但整个过程中，所有的中奖率都完全被他们掌控。

5. 知识产权盗版产业链：

这条黑色产业链历史较长，衍生发展较多。

主要包括盗版影视网站、盗版图书阅读、盗版纸质搜索服务，以及大家更熟悉的游戏私服（盗版游戏），其主要涉足环节包括源头数据窃取（非法翻录、盗窃、复制、破解）、非法建站维护、收费或流量变现等。

这些网站在早期互联网上随处可见，但如今却销声匿迹，但随着知识产权的提升，其背后的利润空间却越来越丰厚。

六、电信及金融诈骗产业链

这种类型大家比较熟悉，之前主要是以手机为主，后来随着QQ、微信的普及，开始在互联网上普及。

主要涉及短信群发、客服接听电话、钓鱼诱导或直接诈骗、到账后迅速转账等多个环节的紧密配合。

这个产业链的手段不断更新，核心就是利用人的贪欲、懦弱和人性的弱点。有的冒充警察，有的冒充家人朋友，有的冒充领导客户，有的冒充明星。虽然手段多种多样，但都属于同一类型；

7.黑帽SEO

黑帽SEO，手法不遵守主要搜索引擎发布准则，黑帽SEO盈利的主要特点是为短期利益而采取的短平快的作弊手段。

目前对于白帽SEO和黑帽SEO尚无准确的定义，一般来说，凡是采用欺骗手段或者可疑手段（如博客欺骗、网页劫持、黑链接、垃圾链接、隐藏网页、蜘蛛池页面转移等）的都可以称为黑帽SEO。

8. 大容量 DDoS 攻击

DDOS（分布式拒绝服务）是一种以多台计算机为平台对服务器进行攻击的方法的总称。DDOS攻击又包括CC攻击、NTP攻击、SYN攻击、DNS攻击等。遭受DDOS攻击的网站会出现：网站无法访问、访问提示“服务器不可用”、服务器CPU使用率100%、内存使用率高的情况。

简单来说，类似电影里经常看到的场景，黑社会为了获取保护费，组织大量闲人恶意占座，导致个别企业无法正常运营，这种手段对被攻击企业来说，是毁灭性的，也是威力最大、最难防御的攻击方式之一。

专家观点：科技创新、人才培养与政府合作

安全圈目前还没有完美的方案来解决上述问题，Magiccc 在这里引用尤金·卡巴斯基的观点，因为我觉得这个思路是目前我看到的最靠谱的结论：

技术创新

信息安全领域的新技术应用是驱动力，一些新技术、新创新会逐渐应用在企业信息安全平台建设中。但这需要时间，信息安全技术融入关键技术需要很长时间，可能要五六年才能发酵。到那时，网络安全的黑暗时代就会像曲线一样滑向谷底，一定会结束（Magiccc一直觉得这是大佬们安慰客户的话）

）

人才创新

如果说技术创新是信息安全领域取得突破的驱动力，那么人才创新则是这一切的驱动力。世界各国需要很长时间才能将IT人员培养成信息安全专家。老板说得对。目前，信息安全领域的人才可以说关系到一个企业未来能走多远。

政府合作

黑色产业背后有一群人，仅靠企业、服务商、政府其中一方很难对付这群人，但如果三方合作，就会收到意想不到的效果。目前，互联网巨头们已经尝到了甜头，加大了与政府的合作与联系。

最后我想说，信息安全的攻防战将是一场持久战，我们都身在其中。只有重视安全建设，不断进行技术创新，才能在黑色产业组织进攻之前保卫自己，抵御住潜在的威胁。