连载：2008信息安全威胁综合报告上半年(2)-DOIT

2.黑客地下经济体系与产业链分析

黑客地下经济体系分析

黑客地下经济产业链中的信息窃取分支，是以特洛伊木马（Trojan horse）程序为核心主体的网络黑客行为。对于黑客获利点更加细化，定向性要求更加专业，以及黑色网络安全所可能面对的刑民事法律制裁，单兵作战的信息窃取模式已经渐渐淡出历史舞台，取而代之的是专业化程度更高，隐蔽性更强的集团化信息窃取模式，在该模式中，有专门负责木马编写的程序员，有负责搭建网站专门负责木马兜售的销售人员（据不完全统计，目前国内销售特洛伊木马的站点超过6000个。他们有效利用网络屏障回避了传播的法律风险），有使用和散播木马的网络黑客，而这些黑客的信息窃取服务也日显"人性化"，有些黑客甚至把信息接收邮箱直接设定为信息购买者，从而使得窃取到信息只被信息购买者掌握，而信息购买者中的一部分人–网游信息窃取者，又直接把从黑客手中购得的账号、装备发送到收购销售者手中，从而回避盗窃的法律风险。整个链条形成一种上游厂商不知中游所在，中游厂商不知去处，下游厂商不知来源的森严结构。整个产业链可以表示如下图：

对黑客地下经济产业链简图进行简要的分析与说明：木马编写者可以在专职盗号者订购后制造木马，此木马供专职盗号者用；也可自己制造木马。木马制造者自制的木马可以自己发布到网站上销售，也可以出售给木马销售者。无论是木马制造者还是木马销售者卖出的木马最终还是被各种专职盗号者购得。专职盗号者熟悉销售渠道，掌握对大量的敏感信息的整理、处理、在线销售流程的各个环节，他们可以完全不懂病毒技术，只要知道木马的操作流程就可以。专职盗号者可以直接攻击用户机器，也可以利用第三方擅长网络攻击的黑客进行木马传播（网络挂马就是一个很好的例子）。攻击成功后，木马将用户的敏感信息（用户的个人信息、账号、游戏装备、私人照片、私人视频等）回传给专职盗号者，专职盗号者可以将信息出售给信息购买者，也可以到正规的网络交易平台进行正常的交易。当所有的交易是由一个集团操控的话，就会涉及到最后一步洗钱的过程，将非法得来的大量资金合法化。

除了木马，还有许许多多窃取网络信息的手段，他们虽然各具特色，但其窃取信息的本质，及其运作模式日益集团化、专门化的特性与木马大同小异，这里就不再做过多阐述。

黑客技术最快传承方式

在百度上搜索关键词"黑客教程"，显示出的搜索结果超过59.8万条（2008-7-9 上午11点08分），这个数字虽然不十分精确，但却充分说明了这样一个事实，即黑客虽黑，其传承所走的路线却一点也不黑，这不光是中国，在全球都是一个普遍的问题。

如上所示，黑客培训产业链的主要传播途径是利用网络，这样既可以实现图文并茂的教学过程，网站和论坛制作者又可以很好的将自己隐藏在网络屏障之后。这些网站和论坛不但为学员提供大量的黑客教程，还附有大量的相关软件和脚本，在上一节所提到的木马程序，有很多可以从这些黑客培训网站和论坛上进行下载。而黑客培训产业链的具体运营模式如下图：

对黑客地下经济培训产业简图进行简要的分析与说明：网站制作者自己制作或者从第三方购得网站，然后收集整理各种黑客教程与软件，这里也包括了从木马制作者手中购得的木马与教程。同时拉入第三方广告商投放广告。当一切准备完成后正式发布，一些网络用户就可以付费购买各种教程及软件。网站管理人员及各大论坛的版主被称为"大虾"，付费购买教程及软件的网络用户的被称为"徒弟"。"大虾"开始招募"徒弟"， "徒弟"购得教程后学习木马盗号等黑客技术，之后"徒弟"也可以成为"大虾"下线分销商，大量的散播木马等，以辅助"大虾"完成其它牟利活动。

网络教程产业链可以说是网络黑客得以延续和传承的命脉，它直接养活的那些不法分子对于互联网所造成的危害，或许远不如通过黑客教程逐步成长起来的新兴黑客。面对着黑色网络安全产业链这块肥田，越来越多的技术人才趋之若鹜；而且木马后门等恶意代码编写入门门槛相对感染式病毒低、技术含量少的特征也为黑客地下经济产业链的发展壮大提供了绝好的条件。另外，黑客文化目中无人的传媒方式，以及社会各界的漠视态度，是比黑客教程产业链更可怕的事情。

挂马分析

安天实验室每天最少捕获3个被挂马的网站，根据2008年上半年的所有挂马网站数量的总体分析，每月都要比上一月有显著增长；随着大量黑客网站与论坛中的教程对挂马技术"扫盲"，预计在2008年下半年网站挂马在中国会更加疯狂的出现。挂马技术普及更助长了木马的传播与黑客地下经济产业链的发展壮大。

挂马在黑客地下经济产业链中起着传播木马与其它恶意程序的作用。在黑客地下经济产业链简图中擅长网络攻击的黑客利用传播木马的主要手段之一就是挂马。通过挂马广泛传播木马后，专职盗号者就可以获得用户的敏感信息，之后将这些信息出售。

第三方漏洞

在人们日渐明白操作系统打补丁的重要性时，黑客们利用操作系统漏洞的机会便越来越少，为了能够达到攻入用户电脑的非法目的，黑客们把目标转移到应用软件漏洞上来。被黑客们关注的应用软件都是装机量很大，用户量很多的热门软件。例如迅雷软件，暴风影音软件，Realplayer软件，网际快车软件，PPlive软件等，都成为了黑客们重点挖掘漏洞的对象。

在黑客地下经济产业链中主攻第三方漏洞的人占少数，大多数的病毒制造者是把别人挖掘的漏洞加入自己的程序中。但随着黑客地下经济交易市场的"繁荣兴旺"、"发展壮大"，黑客地下经济产业链中的漏洞技术人员会日益增多，便会有越来越多的第三方软件漏洞被黑客发现利用。

网游木马

黑客地下经济产业链完全以销售市场为导向，敏感度远远高于现实中的市场响应速度。由于网络游戏的普及性、玩家的大众化、虚拟游戏世界的被认知性、虚拟装备的稀缺性等原因，导致这方面的市场需求十分旺盛。因此交易内容也多以网络游戏的账号、密码、虚拟钱币、虚拟游戏装备为主。正是在这种市场环境下，网络游戏盗号者在盗取完成后，在正规的网络交易平台进行正常的交易；交易完成，虚拟世界的钱币与物品得以兑换成为现实货币，最终虚拟财产便就此具备了现实的实际价值。

通过以上的分析可知网游木马在以后仍然会不断的增加，做好各种防护准备是保护虚拟网络游戏财产的前提条件。

网络钓鱼

随着电子商务、网上结算、网上银行等业务在日常生活中的普及，网络钓鱼事件在我国层出不穷。网络钓鱼是黑客使用虚假网站来诱骗浏览者提供信用卡账号、用户名、密码、详细的个人信息等，而欺骗手段一般是假冒成确实需要这些信息的可信方。随后利用骗得的账号和密码窃取受骗者金钱。从涉及领域来看，大多数钓鱼网站案件集中在金融和电子商务两个行业。钓鱼网站表现在黑客地下经济产业链中并不是很复杂，只需要把一个虚假网站散播出去，让用户受骗，即可完成非法获利的目的。

(1) 网络钓鱼的靶心–仿冒网络银行

仿冒网络银行行骗的大致方法是不法分子申请、制作一个类似某银行的网站主页，然后通过群发邮件、短信等诱惑性信息或利用网站上的链接诱骗用户登录假冒网站，诱使用户输入信用卡或网上银行的用户名和密码，在盗取相关资料之后转账盗款。随着使用网络银行用户的增多，仿冒银行网站的钓鱼事件越来越多。网络钓鱼没有太多技术含量，其攻击道理非常简单：主要是利用人们的疏忽，用欺骗邮件和虚假网页设计（网页与真正的银行域名相似）让人们填写重要的个人信息，从而盗窃这些信息，使人防不甚防。

已经发生过的仿冒网络银行的钓鱼网址有：www.bank-off-china.com (仿冒中国银行，中国银行真实网址为：www.bank-of-china.com) ，www.lcbc.com.cn/index.jsp (仿冒中国工商银行，中国工商银行真实网址为：www.icbc.com.cn) ，www.cmb95555.com（仿冒招商银行，招商银行的真实网址为：www.cmbchina.com）等。从上面几个已发生过的案例可以看出假的银行网址与真实的网址十分相似，除此之外，假银行网址的页面与实际的银行也是难辨真伪。下面以仿冒招商银行的案例为例子来揭穿不法分子的诡计。

仿冒招商银行的假域名：　www.cmb95555.com（招商银行的真正网址是：www.cmbchina.com，"cmb"是招行的英文China Merchants Bank的首字毒组合，而"95555"是招行的全国统一客户服务号码，不法分子将cmb与95555组合在一起，就会让用户不会对它产生怀疑，甚至达到以假乱真的目的。）

仿冒招商银行的假网页：此假网页无论是从页面布局，还是具体内容都仿冒得极其相似，足以使用户上当受骗，不是专业人士很难辨认出是真是假。

冒充招商银行名义的邮件：邮件以核对账目、核实账户消费记录等名义要求客户登录招行网站查询具体的详情，并提供招商银行网站的超级链接，但这个超级链接的指向却是冒充的网站www.cmb95555.com，如果点击链接就会打开此假招商银行的页面。

骗取账号密码等敏感信息：用户点击邮箱中的假链接进入冒充的网站www.cmb95555.com后，便会登录网上银行核实账目等信息，而在用户登录的瞬间所有的登录所填的信息（账号密码等）已全部发送到不法分子手中。

迅速转账盗款：不法分子在得到用户网上银行登录信息后，迅速对用户账目中的资金进行转账，完成最后的盗款操作。

仿冒招商银行的不法分子正是利用以上的步骤对网络用户进行欺骗达到快速骗取钱财的目的。下面两个图，一个是"仿冒招商银行网页图（www.cmb95555.com）"，另一个是"真正的招商银行主页（www.cmbchina.com）"，这两个图无论是域名还是网页内容都是极其相似，普通的网络用户很难辨认真伪。

仿冒招商银行网页图（www.cmb95555.com）

真正的招商银行主页（www.cmbchina.com）
了解不法分子行骗的方法后，要采取相应措施进行防范，使不法分子以后无机可乘，下面介绍几种常用的防范方法：

① 避免使用搜索引擎：登陆网银时尽量避免使用搜索引擎或网络实名，以免混淆视听；最好在正规银行网点获取网络银行网址。

② 妥善保管数字证书：避免在公共场所的电脑上使用网银业务，以防数字证书等机密资料外泄。

③ 警惕电子邮件等信息：不轻信不明来历的邮件、信件、电话、短信等，如收到相应信息，请先咨询银行部门是否有相应信息，然后进行操作，以防网络钓鱼袭击。

④ 设置混合密码、双密码：密码设置应避免与个人资料相关，建议选用数字、字母混合密码，提高密码破解难度并妥善保管，保证密码不易被猜测。交易密码尽量与信用卡密码不同。而且要定期更换密码。

⑤ 定期查看交易记录：定期检查账户余额、转账和支付等业务记录，随时掌握账户变动情况。

⑥ 做好病毒防范：做好防止木马攻击与入侵等安全措施，如发现异常交易及时与银行联络。

(2) 网络钓鱼新趋势–仿冒大众网站

网络银行钓鱼虽然获取金钱迅速，但其影响大，存活时间短，往往刚刚出现钓鱼网站便被关闭，所以不法分子把网络钓鱼的矛头渐渐转移到了大众的网站，大众的网站风险小，而且存活时间长，获得的不法收入相比网络银行钓鱼有过之而无不及。下面以一个到目前为止还存活的仿冒OICQ虚假消息来骗取高额信息费的网络钓鱼事件来说明仿冒大众网站过程。

此钓鱼事件是以OICQ进行虚假消息传播，如下图所示：

此虚假信息是以奥运圣火为由，欺骗用户可以免费申请6位QQ号，关键处在于有一个网页链接：

hxxp://love21cn.msn.com.cn//%73%74/?id=%30%31&url=http://baidu101.id666.com

当用户点击进入此链接后，便会弹出如下页面。

当选择"点击获取6位QQ号机会"后进入下一选QQ号界面，选择一个6位QQ号然后输入手机号码便会跳到下图所示界面。

通过上面图示可知不法分子真正的面目是：欺骗要申请6位QQ号的用户发短信，骗取高额信息费。通过上图可见一次欺骗的获利很少，但存活时间长，受骗申清6位QQ号的用户多，便会使获利增加。

类似的网址还有：hxxp://www.97zb.cn/wud88.html。

网络诈骗

虚假中奖或欺骗信息蜂拥而来，让人们日渐对网络产生了不可信的印象。在单一的OICQ虚假中奖信息被曝光后，一些网络不法分子将目标转移到网络游戏，各种论坛，甚至直接公开发送到正常的学习生活论坛的回帖中，让人真假难辨。目前随着中国2008奥运会的临近，各种奥运相关的虚假欺骗信息冲击着我们的眼球。此种虚假信息的网络诈骗手段还没有比较好的防范措施，因此请广大网络用户一定要注意不要上当受骗。

网络诈骗在黑客地下经济产业链中尚处于初步阶段，在以后渐渐"成熟"的过程中会在网络中更加猖狂的散布，最好的防范方法就是提高广大网络用户的安全意识，大家共同抵制已有的和新生的各种黑客地下经济产业链的发展与壮大。网络诈骗可以是网络直接诈骗，也可以是手机形式诈骗，但大多是两种方式结合进行诈骗活动。下面以冒充QQ中奖来进行诈骗的方式来说明诈骗过程。

传播方式：发送QQ [会员贺卡]

贺卡内容：敬爱的用户:恭喜您!您的QQ已被十周年活动抽到，?[￥38000元现金及手机N93i一部]!详细请登:qqhkhd.cn查看,幸运字:【6633】电话:089-86778-2668

当点击进入qqhkhd.cn链接后，出现下面所示的页面：中间是一个系统消息框，消息框后是一个仿冒QQ主页的页面，页面中清晰可见被改后显示的：黄金七月欢乐庆典"腾讯幸运之星"的图片。