网络勒索成黑客掘金之路

ID：Computer-network

随着互联网技术的发展，网络黑色产业链的“玩法”推陈出新。曾经，盗取个人信息再将其出售是“黑产”流行的操作模式。如今，网络勒索成为新兴的“黑产”掘金之路，其特点是变现快、追查难。近年来，网络勒索的手段主要表现为三大套路，分别为用流量击溃网站、利用病毒软件大面积传播和传统勒索手段的再升级。

用流量击溃网站　勒索方式隐蔽

以流量攻击进行网络勒索已经成为“黑产”的新模式，且呈不断增长之势。

一起案件中，就职于北京市一家网络技术公司的“85后”潘峰，于2016年对国内的三家交易所发起流量攻击，索要了60余个比特币，当时价值20余万元，并与同伙李泳毅洗钱、分赃。2016年8月17日，潘峰被北京市公安局刑事拘留。去年10月，潘峰以敲诈勒索罪被判处有期徒刑3年。

DDoS流量攻击的非法目的，就是采用租用流量的方式对企业网站进行攻击，突破网站承载流量的极限使其崩溃。随着互联网的高速发展、网络云服务的高速增长，DDoS网络攻击流量峰值不断创新高。

采用DDoS攻击的黑客呈现团伙运作、资源整合、跨境指挥的特点，使用网络技术进行持续的大流量攻击，针对网络直播、网络游戏、网络云服务、金融教育医疗等政企网站实施攻击，继而对目标敲诈勒索钱财。

2017年9月，广东警方调查取证和分析，在柬埔寨抓获长期匿藏境外实施DDoS网络攻击、“黑产圈”排行第一的“暗夜”黑客犯罪团伙核心成员14人。2018年5月，江苏警方连续打掉3个利用新技术实施DDoS网络攻击的“黑产”团伙。

DDoS网络攻击“黑产”有以下几个特点：首先，流量大、峰值高，普通企业凭有限的安全防护能力难以对抗；其次，多采用反射放大攻击方式，以少量但高性能的网络资源撬动大流量攻击；第三，攻击后敲诈勒索换取利益的方式更隐蔽，DDoS网络攻击从传统的直接敲诈勒索钱财，已转化为威逼利诱入股、购买服务、强买强卖资源（如广告位）、同行竞品恶意竞争等获利方式。

病毒大面积勒索　三大软件活跃

通过软件大面积攻击，大量企业中招，是典型的病毒勒索套路。当前，国内活跃的勒索软件多为Cerber、Crysis、WannaCry“三大家族”。

2017年6月，国内一家新能源汽车制造商的工业控制系统出现异常，动力电池生产系统瘫痪。这是WannaCry勒索蠕虫再次突袭。

2017年1至11月，电脑端新增勒索软件变种183种，全国有472.5万多台用户电脑遭攻击，平均每天约有1.4万台国内电脑遭到勒索软件攻击，用户遍布所有省份。其中，广东占比最高，为14.9%，其次是浙江为8.2%，江苏为7.7%。

相较传统的黑客盗取再出售个人信息的模式，勒索的经济收益更为可观。按黑市定价，一条个人信息5分钱左右，而网络勒索要价在1至10万元。2017年，韩国网络服务商Nayana为勒索软件支付了100万美元赎金，震惊全球。随着虚拟货币的出现，为了方便洗钱、避免追踪，几乎所有黑客都索要比特币。

而“挖矿”的变现则更加迅速。如今挖矿木马的攻击者会直接入侵网站或云平台服务器，或是入侵手机及物联网设备，用木马控制这些设备帮助自己挖掘虚拟货币，之后直接将钱装入自己的口袋。

攻击者使用的加密算法都是符合国际密码标准的算法，已经被公认是不可破解的。攻击者甚至把备份服务器也锁上，让被害人在技术上无法解除攻击。

据了解，当前病毒勒索呈现三大新特点：其一，门槛逐渐降低，在暗网公开勒索病毒生成工具，黑客可定制专属勒索病毒；其二，大部分实施入侵植入病毒的黑客均位于境外，难以打击；其三，攻击目标多样化，以网络破坏、组织破坏为目的的勒索软件已经出现，其攻击目的不是为了钱，而只是单纯的破坏。

值得注意的是，国内活跃的勒索软件多为Cerber、Crysis、WannaCry“三大家族”，这也是世界上最常见的勒索软件。在勒索软件受害者中，“三大家族”的受害者占总量的58.4%。

传统手段升级　电话骚扰“云敲诈”

电话敲诈和色情勒索并非网络勒索的新手段，随着互联网技术的进步，这两大传统手段也全面升级换代。

如今“黑产”电话勒索开始广泛利用“呼死你”软件实施，为网络勒索分子提供收费服务。软件里有未实名登记的运营商“黑卡”号码池，还有借助云平台、软件、手机搭建的“云呼”系统。具体敲诈做法是，对指定电话号码用户进行勒索，如有不从，即实施恶意电话呼叫攻击，导致用户电话瘫痪。

2018年5月，安徽警方破获一起利用“呼死你”平台和软件敲诈勒索大量商业用户的案件。该案件中的犯罪团伙购买一定数量的手机，安装“云呼”App控制软件后，形成巨大的号码池，攻击者在软件上选定一个电话号码后，平台号码池内在线的所有号码就会形成交叉呼叫，对受害用户进行攻击骚扰。据统计，该“呼死你”平台累计发起电话呼叫攻击超过2800万次。

色情敲诈则主要面向男性。不法分子以网络交友视频裸聊为名，在网络聊天中播放女性大尺度视频，诱骗男性用户露脸裸聊，录制视频后勒索钱财。

2017年7月，湖南警方跨境打击色诱裸聊敲诈勒索犯罪团伙，最终，警方在柬埔寨抓获犯罪嫌疑人74人，案件涉及全国20余省份的受害人800余名。色诱裸聊敲诈勒索的特点是有“剧本”、获利快、个案金额小，受害人碍于颜面和声誉不愿报案。

黑产背后的真相

软件黑产商售卖几十种甚至上百种撞库软件，此类软件一般都集成有“打码”功能，通过链接到打码平台实现对验证码的识别破解。打码平台往往采用人工智能深度学习技术训练机器，使其有效识别字符、图片等验证码，大幅提升验证码的破解率。对于极其复杂、机器难以操作的情况，打码平台还提供基于众包的人工打码解决方案，发展大量网赚人员，以人工方式识别验证码。

秒拨动态IP黑产服务的背后，是可调用全国甚至国外的ADSL宽带动态IP资源，面向非法分子的界面只要通过简单配置，就可以实现IP的自动切换、秒级切换、断线重拨、清理COOKIES缓存、虚拟网卡（MAC）信息、多地域IP资源调换等服务，规避网站的限制策略。

当黑产人员获得了一批用户名和密码信息后，通过打码平台和秒拨服务就可以突破大部分网站的安全策略，获取更多个人隐私信息，造成更大的安全威胁。因为存在恶意商家竞争需求、黑产分子妄图牟取暴利等，秒拨动态IP服务得以快速发展，甚至在电商平台上堂而皇之地售卖。

除了在互联网领域对商家及个人造成危害以外，黑产还会威胁国家网络安全。市面上大部分动态IP黑产服务商，都有桥接境外多个国家的服务器、云主机等国际网络链路资源，能够接入境外服务器，用境外IP访问非法网站、发布非法信息，包括访问暗网、国际信用卡CVV盗刷、境外帐号作恶等多种场景。

电商平台放出优惠券和优惠码，或者红包奖励，以此进行拉新或促销，往往限制一个IP仅能参加一次领券活动。此时有黑产人员通过机器方式突破IP限制大量参与活动，用非法批量注册的帐号获取优惠券，这种行为被称为“薅羊毛”，这些人被叫做“羊毛党”。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】