揭秘2017網(wǎng)絡(luò)黑產(chǎn)四大新趨勢,威脅源全方位襲來 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2017-12-01 瀏覽次數(shù): |
信息來源:FreeBuf
2017年,隨著國內(nèi)互聯(lián)網(wǎng)金融、人工智能和大數(shù)據(jù)等產(chǎn)業(yè)繼續(xù)深化發(fā)展,互聯(lián)網(wǎng)為實體產(chǎn)業(yè)轉(zhuǎn)型升級所提供的幫助越來越明顯。但在另一面,潛伏在網(wǎng)絡(luò)暗處的黑產(chǎn)勢力也不斷升級作案手法,從傳統(tǒng)的病毒木馬和電話詐騙等模式,向更為先進(jìn)的撞庫拖庫、精準(zhǔn)詐騙等模式發(fā)展,黑產(chǎn)上游的危害顯得愈發(fā)嚴(yán)重。此外,黑產(chǎn)生態(tài)中的內(nèi)部分工也進(jìn)一步細(xì)化,出現(xiàn)了更為商業(yè)化運作的崗位。對此,騰訊推出的反網(wǎng)絡(luò)黑產(chǎn)公益平臺“守護(hù)者計劃”也與時俱進(jìn),今年在對抗黑產(chǎn)網(wǎng)絡(luò)方面全面升級,致力于打擊網(wǎng)絡(luò)黑產(chǎn)威脅源,從源頭遏制網(wǎng)絡(luò)犯罪。據(jù)相關(guān)負(fù)責(zé)人介紹,從今年“守護(hù)者計劃”團(tuán)隊協(xié)助警方破獲的網(wǎng)絡(luò)黑產(chǎn)典型案件來看,2017年的網(wǎng)絡(luò)黑產(chǎn)呈現(xiàn)四種新趨勢。 趨勢一:網(wǎng)絡(luò)基建日趨發(fā)展,犯案模式更簡單粗暴工信部發(fā)布的《2016年9月通信業(yè)主要指標(biāo)完成情況》中的數(shù)據(jù)表明,截至今年9月,國內(nèi)互聯(lián)網(wǎng)寬帶接入用戶總數(shù)超過3.37億戶;移動互聯(lián)網(wǎng)用戶總數(shù)超過12.34億戶;移動通信基站總數(shù)超過600萬個……這些數(shù)據(jù)表明,我國互聯(lián)網(wǎng)基建規(guī)模迅速擴(kuò)大。海量用戶、大帶寬一方面對推進(jìn)社會的智慧建設(shè)起到關(guān)鍵促進(jìn)作用,但也令黑產(chǎn)分子的膽子變得更“粗”。從2017年“守護(hù)者計劃”安全團(tuán)隊協(xié)助公安機(jī)關(guān)破獲的網(wǎng)絡(luò)黑產(chǎn)案件來看,黑產(chǎn)人員的作案模式已從偷偷摸摸的潛伏偷竊數(shù)據(jù)或詐騙,升級到更簡單粗暴的公然犯案。 在2017年以前,勒索贖金一直是黑客對以企業(yè)為目標(biāo)的施害手法。今年,隨著CIA所用病毒被公開,年輕的黑產(chǎn)分子有了樣本可循,就仿效相關(guān)PC病毒的制作方法,利用現(xiàn)有的病毒制作工具,制作出新的勒索病毒,公然向用戶個人索要贖金。今年6月,“守護(hù)者計劃”安全團(tuán)隊發(fā)現(xiàn),一種新型手機(jī)勒索病毒冒充時下熱門手游的輔助工具誘導(dǎo)用戶下載,且與PC版“永恒之藍(lán)”病毒的界面和勒索手法幾乎一致,病毒運行后會對手機(jī)中的照片、云盤等目錄下的文件進(jìn)行加密,向用戶索要贖金。 在病毒開始蔓延后,“守護(hù)者計劃”旗下的產(chǎn)品神羊情報分析平臺和騰訊手機(jī)管家在24小時內(nèi)完成了“樣本分析、變種跟蹤、病毒查殺和犯罪溯源”的全過程,并將黑產(chǎn)線索提供給河南安陽警方。專案組在“守護(hù)者計劃”安全團(tuán)隊的協(xié)助下,很快在蕪湖和安陽兩地將勒索病毒制作者陳某及主要傳播者晉某抓獲。 (圖:病毒制造者被警方抓獲) 同時,由于國內(nèi)網(wǎng)絡(luò)帶寬、服務(wù)器群規(guī)模和終端的不斷升級,讓昔日需要整個黑客團(tuán)體協(xié)同作戰(zhàn)的DDoS攻擊,變得越來越容易,往往一兩個犯罪分子也能進(jìn)行簡單粗暴的DDoS攻擊。除了向用戶個人索取贖金之外,DDoS攻擊已經(jīng)從傳統(tǒng)的攻擊企業(yè),發(fā)展到攻擊特定個人。今年4月,重慶警方在“守護(hù)者計劃”安全團(tuán)隊的協(xié)助下,查獲一起致使某區(qū)2萬多寬帶用戶斷網(wǎng)接近1小時的DDoS攻擊案件,發(fā)現(xiàn)作案者是20歲出頭的小伙,作案原因竟然是為了攻擊某直播平臺的主播。這種個人泄憤式的DDos攻擊在此前十分少見。 據(jù)“守護(hù)者計劃”安全團(tuán)隊介紹,今年以來,團(tuán)隊已經(jīng)陸續(xù)協(xié)助全國多地警方,破獲多起DDoS攻擊案件,抓獲DDoS攻擊黑產(chǎn)人員100余人。綜合已偵破的案件情況來看,隨著黑產(chǎn)的分工精細(xì)化和商業(yè)化,DDos攻擊已經(jīng)從專業(yè)黑客實施全部攻擊過程的傳統(tǒng)模式,發(fā)展成由發(fā)單人、攻擊實施人、肉雞商、流量出量人、黑客軟件作者、資金擔(dān)保人等多個犯罪個體共同參與實施的產(chǎn)業(yè)化犯罪行為。DDoS攻擊鏈條的產(chǎn)業(yè)化不僅增加了打擊難度,還降低了攻擊的實施門檻。 對應(yīng)這種新趨勢,騰訊云聯(lián)合騰訊電腦管家已率先布署云端防御,構(gòu)建“云+端”的立體化防御體系。此外,騰訊云還聯(lián)合多家企業(yè)共同成立DDoS防護(hù)聯(lián)盟,在DDoS大數(shù)據(jù)及態(tài)勢感知、協(xié)同防護(hù)、黑產(chǎn)打擊方面進(jìn)行深度合作。 趨勢二:犯罪團(tuán)伙披上合法外衣,綿里藏針誘導(dǎo)更可怕在去年,如果有人聲稱網(wǎng)絡(luò)色情誘導(dǎo)詐騙會發(fā)展成一種年收入過億的“生意”,公眾大多會對這種說法存疑。但是,今年以來,色情誘導(dǎo)詐騙已經(jīng)從當(dāng)初不入流的網(wǎng)站或者論壇廣告小生意,不斷拓展,發(fā)展成為規(guī)?;?、組織化、產(chǎn)業(yè)鏈完善的流水性作業(yè)程序,有些黑產(chǎn)團(tuán)伙甚至披著科技公司的外殼,表面上做著正經(jīng)業(yè)務(wù),暗地里卻引誘用戶連環(huán)充值。因此,這種新型威脅源“收入過億”的規(guī)模,已經(jīng)不只是空想。 2017年4月,“守護(hù)者計劃”安全團(tuán)隊先后協(xié)助武漢、大連、廣東警方,打掉了3個大型公司化運營色情誘導(dǎo)詐騙團(tuán)伙及其黑色產(chǎn)業(yè)鏈,共計抓獲犯罪嫌疑人120余人,初步查明涉案金額達(dá)6億元。在偵破過程中發(fā)現(xiàn),如今的網(wǎng)絡(luò)色情誘導(dǎo)詐騙,比起傳統(tǒng)的赤裸裸色情詐騙更為綿里藏針,其展示出來的內(nèi)容都是經(jīng)過精心剪輯的邊角料,游走于法律界定的“淫穢物品”的邊緣。據(jù)了解,當(dāng)前的色情誘導(dǎo)詐騙黑色產(chǎn)業(yè)鏈的每一個環(huán)節(jié),都是經(jīng)過精心設(shè)計、有規(guī)模、系統(tǒng)化運作的。 以被查獲的武漢雷**科技公司為例,他們所制作的色情誘導(dǎo)詐騙App或網(wǎng)站,主界面會有各種勾人心弦的畫面,誘導(dǎo)用戶點擊觀看。但是,顯示為2小時時長的影片,往往只能看20秒。接下來,就是提示付費充值的對話框。根據(jù)提示的步驟充值成功后,用戶會發(fā)現(xiàn),也僅僅能再多看20秒的畫面。要繼續(xù)觀看,還得充值。
(圖:色情誘導(dǎo)網(wǎng)站界面) 在內(nèi)容剪輯方面,他們的網(wǎng)站和App在上架應(yīng)用市場時,為了能通過審核,其展示出來的內(nèi)容都是經(jīng)過精心剪輯的,很難直接用“淫穢物品”來界定。在支付環(huán)節(jié),也有成熟的運作流程與渠道,通過“三證”黑市弄到企業(yè)資格,再以欺詐手段獲取多個第三方支付接口,或開發(fā)短時間切換接口的平臺逃避風(fēng)控打擊。
(圖:色情誘導(dǎo)詐騙黑色產(chǎn)業(yè)鏈) 盡管色情誘導(dǎo)詐騙團(tuán)伙的每一個環(huán)節(jié)都是精心設(shè)計的,但仍處于法律的規(guī)制之中:色誘詐騙團(tuán)伙通過虛構(gòu)商戶身份獲取支付接口,利用非法渠道進(jìn)行推廣,同時虛假宣傳以牟取巨額非法利益的行為,構(gòu)成刑法第264條的詐騙罪;為色誘詐騙提供網(wǎng)頁制作等技術(shù)支持的不法分子可能構(gòu)成《刑法》第287條之一“非法利用信息網(wǎng)絡(luò)罪”;為惡意推廣編寫木馬程序的不法分子可能構(gòu)成《刑法》第285條第3款“提供侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具罪”等等。 此外,從技術(shù)分析層面來看,不論犯罪分子的作案手法多么隱蔽,都始終難逃警方與互聯(lián)網(wǎng)公司安全產(chǎn)品的強(qiáng)大分析與追蹤能力。 趨勢三:從2C延伸到2B,刷粉、搶票、褥羊毛無所不入線上應(yīng)用高度融入各大線下商業(yè)場景,線下社交模式換個方法轉(zhuǎn)化為線上社交方式……這一切都讓2017年的互聯(lián)網(wǎng)變得格外精彩。這一年來,大家不僅習(xí)慣線上搶紅包、在網(wǎng)上為自己的小孩和歌星票選活動投票,也習(xí)慣了通過手機(jī)的實名認(rèn)證辦理各種公共服務(wù)和商業(yè)應(yīng)用。然而,這一切線上場景應(yīng)用所開辟出來的全新市場,也同時面臨著聞風(fēng)而至的黑產(chǎn)威脅。與過去不同的是,今年的線上新場景威脅源,開始把黑手向企業(yè)全面伸去。 其中,企業(yè)對用戶信息把關(guān)的第一道關(guān)卡“實名認(rèn)證”,是目前黑產(chǎn)最為感興趣的突破口——越來越多的黑產(chǎn)分子通過提供假的實名認(rèn)證信息來覓得市場,應(yīng)用于寄送快遞、移動支付、網(wǎng)絡(luò)直播、網(wǎng)絡(luò)貸款、交通購票等場景。 因此,在今年的黑產(chǎn)市場中,跟實名認(rèn)證相關(guān)的資源相當(dāng)搶手:PS一張包括正反面信息的身份證相片,只需花50-100元;如果想注冊企業(yè)賬號,花上800-1000元能弄到一整套的企業(yè)五證……很多企業(yè)此前以為有了動態(tài)認(rèn)證視頻就能阻止這些虛假實名認(rèn)證的蔓延,但是,在“守護(hù)者計劃”安全團(tuán)隊協(xié)助湖北武穴警方搗毀的一起販賣公民身份證團(tuán)伙的過程中卻發(fā)現(xiàn),黑產(chǎn)分子只需要獲得一張與賬號注冊者身份一致的大頭照,就能夠PS出一整套手持身份證的高清照,并且制作出抬頭、低頭、眨眨眼睛、讀文字等一系列動作的動態(tài)認(rèn)證錄像。
(圖為偽造動態(tài)認(rèn)證錄像的制作過程之一) 如果說互聯(lián)網(wǎng)行業(yè)面對全新的虛假實名認(rèn)證挑戰(zhàn)已經(jīng)困難重重的話,那么互聯(lián)網(wǎng)企業(yè)還將面對洶涌而來的“刷票黨”、“羊毛黨”、 “刷粉黨”等各種挑戰(zhàn),對抗壓力更大。以“刷票黨”為例,黑產(chǎn)分子通過使用“秒撥”客戶端軟件,進(jìn)行簡單配置,就可以實現(xiàn)自動變換IP地址,以規(guī)避投票平臺的IP安全策略,實現(xiàn)對某一選項的海量投票,嚴(yán)重危害網(wǎng)絡(luò)誠信?!懊霌堋眲討B(tài)IP非法服務(wù)還提供:“自動切換”、“秒級切換”、“斷線重?fù)堋?、清理COOKIES緩存、虛擬網(wǎng)卡(MAC)信息、多地域IP資源調(diào)換等功能,挑戰(zhàn)互聯(lián)網(wǎng)企業(yè)的IP策略。刷票只是“秒撥”動態(tài)IP非法服務(wù)的冰山一角,黑產(chǎn)分子還能夠?qū)崿F(xiàn)對電商平臺刷單和自媒體平臺刷閱讀量等違反規(guī)則、破壞誠信的操作。 “刷票黨”還會演變成為“羊毛黨”——當(dāng)商家在電商平臺上做拉新促銷活動時,“羊毛黨”利用“秒撥”動態(tài)IP服務(wù)繞過安全規(guī)則,用非法批量注冊的帳號獲取優(yōu)惠券。2017年,“守護(hù)者計劃”安全團(tuán)隊協(xié)助警方打掉以陳某、曹某為首的非法提供“秒撥”動態(tài)IP服務(wù)的黑產(chǎn)團(tuán)伙,發(fā)現(xiàn)該團(tuán)伙可“秒撥”動態(tài)IP技術(shù),可調(diào)用全國25個省、上百個地市的ADSL寬帶動態(tài)IP資源,IP池極其龐大,嚴(yán)重危害網(wǎng)絡(luò)生態(tài)安全。 而且,眾多電商平臺所采用的驗證碼策略,也在黑產(chǎn)分子今年所采用的人工智能化破解驗證碼的方法面前變得弱化。今年第二季度,“守護(hù)者計劃”安全團(tuán)隊協(xié)助浙江紹興警方打掉了國內(nèi)最大打碼平臺“快啊答題”,發(fā)現(xiàn)該平臺提運用人工智能神經(jīng)網(wǎng)絡(luò)的深度學(xué)習(xí)技術(shù)訓(xùn)練機(jī)器,識別破解驗證碼的精準(zhǔn)度超過80%,極大提升了單位時間內(nèi)識別破解驗證碼的數(shù)量,2017年一季度打碼量高達(dá)259億次。
(圖:撞庫-曬密-打碼過程的整個黑色產(chǎn)業(yè)鏈) 如果說“刷票黨”和“羊毛黨”還只是靠IP來作惡的話,那么 “刷粉黨”的作案工具就更驚心怵目了——黑產(chǎn)人員通過把用戶的手機(jī)變成被病毒木馬控制的“肉雞”來“刷粉”。今年7月底,“守護(hù)者計劃”安全團(tuán)隊協(xié)助江蘇邳州警方破獲一起非法控制他人手機(jī)的 “刷粉案”,就發(fā)現(xiàn)超過94萬臺手機(jī)在用戶不知情的情況下通過遠(yuǎn)程指令下載安裝木馬,變成了 “肉雞”,替自媒體平臺刷流量,從自媒體平臺那里獲取流量分成。
(圖:警方抓獲“刷粉案”的犯罪嫌疑人) 趨勢四:入侵政企服務(wù)器,損害社會信用隨著我國進(jìn)一步構(gòu)建信用社會的形勢發(fā)展,黑產(chǎn)也在今年將魔爪伸到信用建設(shè)相關(guān)領(lǐng)域,各類買賣公民個人信息和篡改學(xué)歷的案件陸續(xù)出現(xiàn)。 今年11月,“守護(hù)者計劃”安全團(tuán)隊協(xié)助江蘇常州警方破獲的一起案件中,就發(fā)現(xiàn)犯罪分子招募黑客,侵入gov、edu、org等政府及教育部門的網(wǎng)站,通過漏洞掃描、上傳木馬程序等手段獲得后臺管理權(quán)限,篡改關(guān)于學(xué)歷方面的信息內(nèi)容,方便偽造的教師資格證書等國家機(jī)關(guān)證件能夠通過“驗證”,并組織代理商進(jìn)行買賣。在這個案例中,黑產(chǎn)所用的手法,比此前做假證等傳統(tǒng)做法要更為惡劣。
(圖:嫌疑人在網(wǎng)上公開出售“可驗證”的假證) 買賣公民個人信息,盜取他人信用,也是今年黑產(chǎn)的專攻的方向之一。當(dāng)前,黑產(chǎn)團(tuán)伙主要通過“撞庫拖庫”等手法,侵入政企服務(wù)器,竊取公民個人信息,并從事網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)詐騙等不法活動。 今年年初,“守護(hù)者計劃”安全團(tuán)隊發(fā)揮技術(shù)優(yōu)勢,協(xié)助公安部及安徽、北京、遼寧、河南等地公安機(jī)關(guān)偵破了“9.27”特大竊取販賣公民個人信息案,物流、醫(yī)療、社交、銀行等各類被盜公民個人信息50億條。被抓獲的96名犯罪嫌疑人,各自負(fù)責(zé)不同的環(huán)節(jié),有人入侵政企服務(wù)器,有人出售竊取的信息,有人從事盜刷銀行卡等違法犯罪活動。在利益驅(qū)使下,黑產(chǎn)形成了無縫連接的合作鏈條,國內(nèi)信用安全及信息保護(hù)問題愈發(fā)嚴(yán)峻。
(圖:“9.27”特大竊取販賣公民個人信息案犯罪嫌疑人被審訊) 魔高一尺,道高一丈。隨著網(wǎng)絡(luò)黑產(chǎn)犯罪趨勢的不斷變化,“守護(hù)者計劃”也在不斷完善升級。2017年,在安全技術(shù)方面,“守護(hù)者計劃”旗下的反詐騙實驗室,在此前的“麒麟偽基站定位系統(tǒng)”和“鷹眼智能反電話詐騙系統(tǒng)”的基礎(chǔ)上,又開發(fā)出事前感知的“安全態(tài)勢感知”系統(tǒng)、事中分析攔截的“神荼網(wǎng)址反詐騙系統(tǒng)”、事后情報分析的“神羊情報分析平臺”,為打擊網(wǎng)絡(luò)黑產(chǎn)、協(xié)助公安、工商部門破獲各類網(wǎng)絡(luò)安全案件立下汗馬功勞;在生態(tài)建設(shè)方面,騰訊建立起全新的警企民聯(lián)合運作模式,于8月舉辦了“2017守護(hù)者計劃”反詐騙公益行動,包括順豐、滴滴出行、去哪兒、京東等近50家知名企業(yè)積極參與,李晨、陳喬恩、何穗等30余位明星也加入到了這場反電信網(wǎng)絡(luò)詐騙的公益行動中;從合作模式方面,騰訊聯(lián)手上海市反電信網(wǎng)絡(luò)詐騙中心正式成立“騰訊上海反電信網(wǎng)絡(luò)詐騙聯(lián)合實驗室”,警企聯(lián)合打造AI全鏈條反詐體系。
(圖為騰訊上海反電信網(wǎng)絡(luò)詐騙聯(lián)合實驗室揭牌儀式) 這是一場針鋒相對的網(wǎng)絡(luò)斗爭,這也是一場高科技之間的直接較量。大數(shù)據(jù)、人工智能、移動網(wǎng)絡(luò)應(yīng)用等等新興技術(shù),都是雙方爭分奪秒的攻防手段。2017年,縱使網(wǎng)絡(luò)黑產(chǎn)的作案手法不斷翻新,威脅源態(tài)勢日益兇猛,“守護(hù)者計劃”在依然不斷致力于構(gòu)建更完善的安全生態(tài)體系,聯(lián)手政府、行業(yè)、民眾共同對抗,協(xié)助公安機(jī)關(guān)取得了一個又一個戰(zhàn)役的勝利。同時,他們也在部署著來年的新戰(zhàn)役。 |