1、互联网地下产业链调查这条产业链的上游是以黑客技术为核心的,譬如制造木马、培训黑客技术等等, “科技含量”较高;而下游则是商业化运作为主,主要是上游生产的产品的流通、使用和变现。 “其实我把 ppt 拷贝到他人电脑里是个非常危险的事情,通过这一个行为我就可以知道他电脑里的资料、密码等等。这种技术不只我会,在座网络安全专家都可以做到。 ”2013 年 12 月 12 日“互联网刑事法制高峰论坛”上,来自中国人民公安大学的徐云峰教授用一个现场细节阐述了网络中无处不在的安全威胁。 而来自清华大学网络与信息安全实验室的副研究员诸葛建伟则用一个关于“互联网地下产业链”的报告,向人们展示了一个虚拟空间里的黑
2、色世界:这里“肉鸡”不是鸡,是被黑客远程控制的电脑主机;“信封”装的不是信件,是含有虚拟资产和个人信息的网络账号;“枪支弹药”不是杀人利器,而是能感染电脑的木马、病毒当网络犯罪以产业链的形式运转、协作并传承,谁能保证自己不是那只躺在案板上的“肉鸡”? 产业化、市场化的黑色经济 中国网民数量自从 2008 年跃居世界第一后,就再没有让出过这个位置。据 CNNIC 报告,截至 2013 年 6 月底,我国网民规模达 5.91 亿,其中手机网民超 4 亿,互联网普及率为 44.1%。即时通讯、网络游戏、网络购物每一项网络产业都高速发展。但频繁的网络安全威胁不断出现。据腾讯 qq 电脑管家一项针对 2
3、000 名网民的调查显示,45.5%的用户曾遭遇即时通讯账户被盗,32%的用户遭遇游戏账户被盗,而遭遇虚假中奖等网络钓鱼信息则更为频繁,最终导致支付被劫持或网银被盗窃的也分别有 5.8%和 5%的用户比例。 事实上,最近几年网络犯罪几乎都处在“高压”和“严打之下” 。2010 年以来,公安部先后开展了整治网络赌博、打击网络色情、整治“网络黑市” 、打击黑客攻击破坏等诸多专项行动,但成果丰硕,案件却层出不穷。譬如官方数据显示,公安机关受理的黑客攻击破坏案件数量每年增长均超过 80%。 连年增长的案件数量背后,大多有黑色产业链的身影。 “由巨额经济利益驱动,一些网络不法分子使用各种网络犯罪技术手段
4、,并利用目前社会大众在个人信息资料安全和网络安全的各个薄弱环节,组织起具有明确社会角色分工并拥有多重环节的地下产业链,通过各种可能的非法利益链条危害网民的财产安全,攫取大量的非法收入。 ”诸葛建伟在论坛所做的关于互联网信息安全地下产业链调查报告中如是描述。 “而随着地下产业链的不断发展与壮大,不法分子们也建立了大量隐匿在互联网阴暗角落中的地下黑市。 ” 地下产业链的基本运作程序 熊猫烧香病毒制造者李俊 2010 年出狱后,曾有媒体援引业内人士的话评价“害了他的是那条灰色的病毒产业链,而李俊的入狱对这条产业链并没有产生任何伤害。 ”一语成谶,熊猫烧香病毒后,各种病毒、木马仍然层出不穷,甚至愈演愈
5、烈。此后 2013 年 3 月江苏徐州铜山区法院开庭审理的浮云木马盗窃案中,涉案犯罪嫌疑人多达 40 余人。 浮云木马的制造者高扬是河北唐山一名机械数控专业毕业的大专生,平时喜欢研究点网络技术。2011 年底他在研究淘宝支付程序时,形成了一个编写盗窃网银的木马程序思路。苦于自己技术水平有限,他找到自称黑客高手的网友王超。王超花费了一个月的时间写出木马,并在网络上传了一个测试版供下载。测试版的用户反馈良好,令两人大喜过望,还用年度流行词汇“浮云”对这个木马进行了命名。 此后,二人迅速组织了一个 QQ 聊天群,并规定只有花费 3000 元购买了浮云木马一个月使用权的人才能够获准进入该群,两人还定时
6、对木马进行更新,通过用户的反馈不断调整程序功能,定时更新。截至案发,加入该群的已经超过 80 人。 对于购买了浮云木马使用权的人而言,他们的盗窃工作是从开设虚假淘宝店铺开始的。这些网店售卖产品的标示价格通常较低,用来吸引网购者点击。而买家进入页面咨询购买事宜时,这些商品页面上的病毒已经不知不觉“溜”进了他们的电脑。这种被木马控制了的电脑,在黑客界被称为“肉鸡” 。 “肉鸡”买家在使用网银支付时,木马程序会自动改变买家指令,而是按照网银盗窃者的指令改变支付途径及金额,将资金充入腾讯、巨人、新浪等网络平台用于购买游戏点卷、点卡等虚拟货币,并存入黑客指定的游戏账户中。网银盗窃者再通过变卖点卡的方式获
7、得赃款。而低价购买点卡的网络商人再以比游戏官方更加便宜的价格卖给游戏用户,赚取差价。而此时在表面看来,只不过是买家的现金在游戏平台上完成了一次普通交易,赃款被自动“洗白” 。 浮云木马盗窃案再一次阐释了互联网地下产业链的基本运作程序。:制造木马、病毒使用木马病毒非法控制他人电脑盗窃资产或信息变现并洗钱。 这条产业链的上游是以黑客技术为核心的,譬如制造木马、培训黑客技术等等, “科技含量”较高;而下游则是商业化运作为主,主要是上游生产的产品的流通、使用和变现。 在这个链条里,上下游基本是独立运作的,只是通过“购买木马使用权”这样的交易连接在一起,黑客这样的好处在于构成独立的圈子,某一环节个别人、
8、产品的消失,并无碍于整个黑色产业链条的运转。譬如但上下游有时也会勾结在一起,构成完整的产业链,以方便黑色经济的运行。 。 无疑,在这样一个产业化、市场化的黑色环境下,个案更像是癌细胞,割掉多少都可能重复繁衍、再生。 细分市场的四大链条 当然,网络地下产业经济类型繁多,区分的方法也不尽相同。 例如中国人民公安大学警务改革与发展研究中心发布2012 年中国互联网违法犯罪问题年度报告中,就将网络犯罪划分为网络诈骗、网络传销、网络色情、网络贩卖公民个人信息、网络钓鱼、网络赌博、网络黑客攻击、网络贩卖假冒伪劣产品、网络贩毒和网络非法集资等十种。这些网络犯罪依附于产业链的不同阶段,并且随着网络创新,不断出
9、现新的方式、方法。 诸葛建伟则按照地下产业链盈利模式与关联结构,将网络地下产业链细分为四大链条:黑帽技术工具与培训产业链、互联网资源与服务滥用产业链、真实资产盗窃地下产业链、虚拟资产盗窃地下产业链。这个四个链条也基本对应着前文所述的基本程序的各个阶段。 “其中黑帽技术工具与培训产业链作为整个产业链的根源,为其他三大产业链提供了技术基础,而互联网资源与服务滥用产业链则为网络虚拟资产和真实资产盗窃提供了网络资源条件。 ”诸葛建伟说。 这是一个巨大的市场,盈利规模通常以“亿”为单位计算。据诸葛建伟保守估算,仅 2011 年为例受到四大产业链威胁的网民就多达 11.1亿,受威胁的网站 105 万个,保
10、守估计盈利规模可达 53.6 亿。 “如果再考虑到每个链条的上下游环节,以及其他利益反馈,整体经济总量或超百亿元。 ” 技术基础:黑帽技术、工具与培训 我的网银如何不翼而飞,个人身份证号和手机号码怎样泄露,QQ 号码怎样被改了密码,黑客怎样控制我的电脑,垃圾邮件怎么会源源不断这些问题的答案,对于绝大多数只会 QQ 聊天和上网看新闻的网民来讲都是不可思议的。 抛却复杂的技术概念,简单来说实现这些行为的方法都可以被笼统称为黑帽技术,浮云木马、熊猫烧香则就是黑帽工具。教会他人使用黑帽工具和技术的过程则是黑帽培训。 方圆记者在百度上输入“黑帽技术+培训” 、 “黑帽技术+工具”的关键词,可以得到 50
11、0 万以上的搜索结果。一些公开叫卖的“培训课程招生简章”显示,大多数黑帽技术培训教程开出的价格在 3000 元到8000 元之间。这种培训通常不是实体的,而是通过网络视频、QQ 群交流等形式完成的。而像“浮云木马”这样的黑客工具一个月的使用权叫价就高达 3000 元。 那么,为什么是黑帽技术而不是黑客技术呢?原来黑客一词最初的含义是精通计算机技术的电脑高手,后来其内部逐渐分化为白帽与黑帽:前者只为研究技术存在,后者是为了追逐短期利益侵入他人电脑。他所以,黑帽技术与互联网地下产业的关联更加紧密。 通常情况下,黑帽技术以产品和服务两种存在于地下产业链中。 “浮云木马”就是产品。黑帽利用自己所掌握的
12、技术来编写各种恶意程序,或者挖掘软件漏洞,然后将恶意程序和安全漏洞作为自己的产品出售给另外三条产业链中的不法分子,为他们提供“武器弹药” ,使他们有能力从事网络犯罪活动。 2012 年曾经发生过一起案件,犯罪嫌疑人是姐弟俩,经营一家网络推广公司,承诺帮助客户在网上删除其遭受过广东省注册会计师协会处罚的信息。在联系网站未果的情况下,他们雇佣了一名黑客。该黑客通过远程控制 100 多台服务器向目标网站不间断地发送攻击数据包的方式,造成网站瘫痪无法访问。这就是“黑帽服务” 。现实中,一些黑帽会接受临时的雇佣,完成雇主指定的入侵、黑站、窃取个人信息或情报等任务。资源条件:滥用互联网服务 香港金融业在
13、2012 年曾经发生了轰动一时被黑客攻击网站敲诈勒索案。一群 20 多岁的年轻人通过黑客手段集中攻击了 14 家香港金融业及证券投资公司网站,使其客户不能正常访问网站或进行交易,引发了香港金融系统的恐慌。警方事后查明,这个团伙还涉嫌攻击国内多个网游服务器、窃取游戏币非法获利的犯罪事实。 金融公司网站给客户提供金融咨询和交易平台,这都属于典型的互联网服务,通过黑客攻击使得这种服务中断的行为就是滥用互联网服务。生活中,我们每个人都享受着网络带来的各种便捷的互联网服务,像电子邮件、微博、信息搜索、网络购物等等,所以滥用网络资源与服务的种类非常繁杂,产业链分支也就非常多。普通网民常见的垃圾邮件、点击广
14、告欺诈,刷搜索排名,窃取个人隐私信息,博客、微博刷人气排名,发动黑客攻击后敲诈勒索等等都属于此类。特别是随着这两年移动互联网的高速发展,智能手机终端的恶意扣费、软件推广欺诈等等也屡见不鲜。 那么,不法分子是如何盈利的呢? 网络虽然在很多人眼里是虚拟的空间世界,但特定的网络资源和服务都可以产生出经济价值。像香港那些被黑客勒索的金融业网站中,就有数家因网站被攻击无法向客户提供服务而被破缴纳了数十万的“保护费” 。 黑客勒索只是盈利方法之一。大多数情况下。黑帽通过技术优势,控制庞大数量的计算机(这些计算机也被称为“肉鸡” ) ,这些计算机在不知不觉中如同中国古老传说中的僵尸群一样被黑帽驱赶和指挥着,
15、这个群体就构成了“僵尸网络” 。这些“肉鸡” 、被盗窃的个人隐私可以被出售给他人使用,用来计件收费;拥有或者购买了“僵尸网络”的人可以发送垃圾邮件、推广广告、刷点击量排名,向利用这些行为投放广告的商户可以收取服务费。 金钱诱惑:真实资产盗窃 无论是网络地下产业链上游提供的技术基础,还是下游完成商业化运作过程,除了个别以“炫技”为目的的黑客行为,其目的无非是金钱利益。这一点,在虚拟资产和真实资产这两条盗窃产业链上尤为突出。 “浮云木马”的制造者一开始就是针对淘宝支付程序进行针对性研究,说明真实资产盗窃者的目的性非常强。2014 年双十一,仅淘宝一家电商交易额就高达 350 亿,足以说明真实财产已
16、经在网络安家落户。不仅国内主流的五大银行,包括一些地方银行和外资银行,几乎没有不提供网络银行服务的。 一般情况下,网银的威胁主要来源于网络钓鱼和网银木马这两种技术手段,来获取真实资产账户的账号密码。像浮云木马盗窃案一样,整个过程全部在网络上完成。犯罪嫌疑人彼此之间根本不在现实中见面。 但也有例外。湖南衡阳曾发生过一起妨碍信用卡管理案件,犯规嫌疑人利用地下产业链中黑帽盗取的他人身份证信息办理假冒银行卡,而每张银行卡以 60-80 元的价格卖给他人用于犯罪。这个案件凸显真实资产网络盗窃的一个新特点:线上线下的紧密结合。此外也有境外网站从网络地下产业链中购买信用卡资料制作伪卡 ,并实施刷卡消费或套现
17、的案件。 这几年各地不时发生网银盗窃案 ,但破获者却很少,从法律上的认定更是困难 。例如前文提及浮云木马网银盗窃案,虽然警方初步统计涉案额过千万,但由于技术手段限制无法找到全部的犯罪嫌疑人和被害人进行取证,庭审中只认定了 27 万,令不少人惊讶。 从网络到现实:虚拟资产盗窃 一件网络游戏人物穿的衣服可以价值数千,一个高等级 qq 号可以被卖出数万这些都已经不是什么特别新鲜的新闻。在淘宝上,公开叫卖 qq 号的不计其数,其中一家网站叫卖的“99AAA”的五位 qq 号开价259999 元。有业内人士认为“这些号码的来源都很成问题,盗号的可能性极大” 。 相较于网络真实资产盗窃,网络虚拟财产的盗窃
18、更加依赖于网络来完成整个过程。这条产业链随着网络游戏的兴起就已经诞生,无论是技术方法和环节也比较成熟。 虚拟资产盗窃之所以存在,主要是因为“信封”可以转化为现实的经济利益。 “信封”是盗号行业,指网游、娱乐等互联网软件的账号,盗号者通过网络钓鱼或盗号木马控制“信封” ,然后再通过“洗信”转移账号下虚拟货币、网游装备,或者修改账户认证密码,就可以通过网络营销渠道转化为现实社会中的金钱利益。 应该说虚拟资产盗窃的出现较早。深圳市南山区检察院 2005 年公诉的一起盗卖 qq 号案件,法院最终认定 qq 号不具备财产属性,而以侵犯通信自由罪对两被告人分别判处拘役六个月。而同样是该院 2013 年初公
19、诉的一起腾讯员工盗卖 qq 号案,犯罪嫌疑人则被法院以非法获取计算机信息系统判处有期徒刑两年。 同案不同判,将法律在规制虚拟资产盗窃方面的困惑表露无遗 。核心原因在于“虚拟财产”是否具有财产属性十几年来法律界都争执不休。一旦出现相关案件,司法机关往往会转而寻求其他罪名,而非盗窃罪来定罪量刑。 利益链条上的逐利者们:黑客与网络黑商 庞大的互联网地下产业链,依附着形形色色的人。并不是所有的人都是技术高手,像电影骇客帝国一样历经沉浮,被万人崇拜。他们大都为了追名,或是逐利。网络流传甚广的一篇介绍中国黑客历史的博客文章中,作者形容这个群体“一再被捆绑和裹胁,先是民族精神,然后是商业利益,现在则几乎是犯罪的代名词。 ” 熊猫烧香病毒案中,李俊开始制造出病毒并没有想到出售牟利,只是在小范围内流传。直到认识一个名为张顺的人,才使得病毒在倒卖中大幅度扩展。再如前文提及的 2013 年腾讯员工盗卖 qq 号案,其中一名犯罪嫌疑人严某就属于社会游民。他本身不会盗号,但他却从不同的渠道收集 qq 号,进行囤货,然后再伺机出售。这个张顺和严某就是典型的网络黑商。 如果说黑帽们是产业链上游的主体,那么集中在产业链下游的很多人则可以称为网络黑商。这些网络黑商本身往往并不掌握相关网络技术,甚至学历水平很低,但他们在网络上却人脉广阔,能像现实中的商人一样,将产业链中的各类“产品”倒买倒卖。
