淺析：互聯(lián)網(wǎng)黑市 攻擊敲詐勒索

【計算機論文】淺析：互聯(lián)網(wǎng)黑市攻擊敲詐勒索

互聯(lián)網(wǎng)世界更是一個江湖。我們寫完代碼搬完磚后津津樂道中國互聯(lián)網(wǎng)三大幫派的歷史恩怨，邪教數(shù)字公司的劍走偏鋒，新興糧食幫的快速擴張；我們喜歡把這個江湖中的英雄稱之為“大佬”或者“大咖”，談論著他們的奇聞異事與貪鎮(zhèn)癡；我們喜歡江湖故事，大家會有滋有味的看著某個幫派的新品發(fā)布會，或比武論劍；我們喜歡參加各位幫派聚會，江湖八卦新聞那是必看；我們不斷的學著黑話，和特定的英文單詞來武裝自己，在剛入行小弟面前，充當江湖老鳥：“那一次在肉餅的review會上”、“pony當年可是有這個idea的”、“code寫的不錯，但是你得加點花指令迷糊下破解者啊”。我們嘲笑著那些沒落的幫派，什么諾記，什么巨硬，什么破18摸，看著那些最近不斷驅逐兄弟的幫派，或心中暗爽或莫名悲涼；我們最喜歡的還是想方設法加入走紅的幫派，然后驕傲的喊一聲：我廠、我司、我鵝！感覺從此入了山頭，有了底氣。我們書生意氣，揮斥方遒，指點江山，激揚文字，糞土當年萬戶侯！終于有一天，我們覺得在幫派混也沒啥意思，也就那么回事。不如下山單干，自己成立一個幫派，幾個兄弟幾把劍，行俠仗義，改變世界！當然，主要也是看到那些不斷成立的小幫派，才半年，就獲得大財主資助，要錢有錢，要名有名的，比朝六晚九的給別的老大干活強太多了。于是約了幾個兄弟，拿著這些年在幫派混分到的所有的碎銀子，準備好好闖蕩一番。但是萬萬沒想到的是，第一天下山住店，就被下三濫的土匪強盜破窗紙用迷香迷翻，搶走了所有的碎銀子、寶劍不說，還扒光了威脅要在身上用靛青刺下SB兩字，再勒索幾百兩銀子！這TMD和之前想象中的行走江湖落差也太大了吧！當年在中國互聯(lián)網(wǎng)前三大幫派的“我廠”山頭混了N年，T9高工啊，怎可能遇到這樣的侮辱！這個故事演義了點但是不偏激，互聯(lián)網(wǎng)確實是充滿了機遇挑戰(zhàn)，中國互聯(lián)網(wǎng)也逐步的走出一味模仿，開始創(chuàng)新和顛覆。但是不可否認的是，中國互聯(lián)網(wǎng)也有其特色：網(wǎng)絡攻擊敲詐勒索，從互聯(lián)網(wǎng)在國內落地的第一天開始就伴隨著成長、發(fā)展、創(chuàng)新、壯大，最后形成一條讓人恨之入骨又不可奈何的產(chǎn)業(yè)鏈。TOMsInsight繼續(xù)互聯(lián)網(wǎng)黑市的分析報告系列，今天的主角就是：攻擊敲詐勒索。網(wǎng)絡攻擊敲詐勒索的發(fā)展本分析報告把攻擊敲詐勒索的個人或團隊稱之為：攻擊者。而被攻擊的網(wǎng)站稱之為：受害者。對于所有的中國互聯(lián)網(wǎng)中小企業(yè)主、創(chuàng)業(yè)者、站長來說，網(wǎng)絡攻擊敲詐勒索都是橫著眼前的一道非?，F(xiàn)實的關卡。為什么我們要把“敲詐勒索”要和“攻擊”放在一起呢，敲詐勒索的法律定義是“以非法占有為目的，對被害人使用威脅或要挾的方法，強行索要公私財物的行為”，現(xiàn)實社會中由于人與人之間關系的復雜，可以通過各種方式來抓住把柄、或者依仗勢力進行威脅要挾。而對于互聯(lián)網(wǎng)而言，一切反而回歸到最簡單，那就是先攻擊，后敲詐勒索。我們來看看網(wǎng)絡攻擊敲詐勒索的歷史：在中國互聯(lián)網(wǎng)發(fā)展早期，大概96-97年，當大家還都撥號上網(wǎng)，沒有免費郵箱的時候，互聯(lián)網(wǎng)服務提供商一般在提供電話撥號上網(wǎng)服務的同時，送一個郵箱。由于當時存儲空間昂貴，這一個郵箱會有容量限制，超出限制，就要收費，一起計算到電話費中，而這個費用是非常貴(根據(jù)地域不同，一般1k一塊錢)，所以如果是超出了幾百K幾M，就是幾百幾千費用。早期網(wǎng)絡大家也就是泡泡BBS玩玩MUD再就是聊天室，不管是灌水殺鬼子還是聊天泡妞，經(jīng)常發(fā)生爭吵有火氣，有一些人就開始去“炸”對方的郵箱，其實很簡單，往對方信箱發(fā)一個幾百K的郵件，就讓人抓狂。那個年代，“我炸了你郵箱”是一句很牛逼的話！大家紛紛把自己郵箱地址保護的比密碼還小心。有一些人因為爭風吃醋，偽裝成mm在聊天室套出受害者郵箱，威脅炸掉，讓受害者離開特定的BBS或者聊天室，就成了當時的流行套路。而這估計也是中國互聯(lián)網(wǎng)形態(tài)里面最早的攻擊勒索敲詐吧。在2002年之前，網(wǎng)絡攻擊敲詐勒索行業(yè)發(fā)展緩慢，主要是那個年代的中國互聯(lián)網(wǎng)經(jīng)濟還處于燒錢狀態(tài)，直接變現(xiàn)機會很少。稍微成點規(guī)模的敲詐也就存在于網(wǎng)絡新聞領域(后面我們會具體分析)，所以那個年代的互聯(lián)網(wǎng)記者地位那也是相當高。但是2002年以后，網(wǎng)游和電商的發(fā)展讓互聯(lián)網(wǎng)有了直接變現(xiàn)的渠道，所以也導致了攻擊敲詐勒索行業(yè)也贏來了自己的輝煌。下圖是我們調查了7個創(chuàng)立在2000年前的網(wǎng)站，在這15年被攻擊敲詐勒索的次數(shù)，由于網(wǎng)站類型和規(guī)模不同，我們通過算法處理加權平均，僅僅供大家參考趨勢的變化(可以看出2014年凈網(wǎng)行動還是很有成效)：到了最近幾年，這個產(chǎn)業(yè)已經(jīng)形成規(guī)模，從低端到高端都有細分產(chǎn)業(yè)鏈的形成。大概分類成：人肉型、信息型、技術型、創(chuàng)意型。接下來我們逐一分析。人肉型攻擊敲詐勒索人肉型是指那些純憑人工完成的攻擊，這也是中國互聯(lián)網(wǎng)的一大特色。近幾年有一些人肉型攻擊者，通過QQ群、YY群組織幾千人甚至幾萬人的大規(guī)模團伙，有組織有紀律的去完成任務，形成極大的力量并有獨到的優(yōu)勢來騙過代碼。惡意購買：很多電商網(wǎng)站都有貨到付款的服務，特別是百度生態(tài)圈的單頁電商、或者是一些特殊垂直行業(yè)電商網(wǎng)站(例如成人用品)，通過物流公司的代收費業(yè)務，貨款由物流公司代收。人肉攻擊團伙采用下假單的方式，由于找不到用戶，只能把郵包再退出來，一發(fā)一退對于受害者來說就是幾十元的成本。接下來攻擊者就會去受害者和談，一次性或者每月收“廣告費”、“公關費”、“營銷費”、“顧問費”等打著各類名義的敲詐勒索費用。惡意差評：差評師主要存在淘寶網(wǎng)，大家可能比較熟悉。差評師對賣家傷害很大，皇冠級別的賣家來說幾個差評起不了多大作用。而對于心級賣家來說，幾個差評基本上就宣布店鋪倒閉了。交納了保證金的賣家都是誠心想要把網(wǎng)店做好，為了自己的生計，多數(shù)賣家會選擇忍氣吞聲的交錢。差評師會注冊很多小號，拍店鋪商品的時候十分爽快，但買回之后，問題就一連串地找上門來，稱要給你選差評，店方老實地給了錢還好，對于店方比較強硬的，差評師們死纏爛打，團伙作案，大規(guī)模作案，直到就范為止。惡意投訴：惡意投訴主要針對京東、亞馬遜等平臺的第三方加盟店，這些平臺并不存在淘寶那么核心的信用等級機制，但是非?？粗丶用说甑男庞每诒?。攻擊者一般會用幾十個甚至上百個ID去受害者店鋪去購買，然后去平臺投訴買到了假東西、不開發(fā)票、存在欺詐、服務不到位等等。由于投訴眾多，平臺一般還是會對加盟店進行審核整治，甚至撤掉資格。由于成為京東、亞馬遜等平臺的加盟店都會有一定的資質審核和保證金要求，所以店主更多的時候也希望息事寧人，交保護費了事。惡意點擊：惡意點擊是針對網(wǎng)站的廣告投放。比如說CPC廣告，是按照點擊計費，我們之前也貼過百度的CPC廣告數(shù)據(jù)，每一次點擊都幾元甚至幾十元。攻擊者采用人肉戰(zhàn)術，每天幾百幾千人去點擊受害者網(wǎng)站的廣告，直接造成大量的廣告費用浪費；再比如在app分發(fā)領域的CPA激活，攻擊者定向下載app再卸載掉，造成極大的廣告費用浪費，對中小創(chuàng)業(yè)者來說是致命打擊。過不了多久，被攻擊者就會收到一個QQ消息或者短信：“每天你都損失幾千元廣告費啊，不如給我們每日一千，我們保證不搗亂了，行不？”能把人氣的肝顫。我們用實際的例子舉例：某互聯(lián)網(wǎng)巨頭T9高工F哥準備創(chuàng)業(yè)了，F(xiàn)哥看準了目前火熱的“小資生活”概念單品電商，準備包裝出一個高大上的品牌專賣滋補類農(nóng)產(chǎn)品，例如：山藥、紫薯等，專注品質，定位北上廣高收入白領，走精品小資路線。F哥和幾個合伙人拿出來幾十萬創(chuàng)業(yè)，經(jīng)過幾個月的準備網(wǎng)站開張，不僅有自己的獨立網(wǎng)站，也同時在淘寶、京東、亞馬遜、微信小店、口袋通同時開店。沒幾天，F(xiàn)哥的獨立網(wǎng)站支持貨到付款的訂單就發(fā)現(xiàn)幾乎全部都是虛假訂單，看上去每天幾千個訂單，送過去都TMD沒人收！電話確認吧？招了幾個小mm客服專門確認，但是確認沒問題，送過去還是沒人收！這還沒完，自己的淘寶店全是差評，京東、亞馬遜、微信小店、口袋通也被人瘋狂的投訴！天天去處理這些投訴都處理不了，眼瞅著就要都被下線了。更慘的是，自己在百度移動端、微博上投的廣告，每天消費幾千，好像沒幾個有用的IP，而且?guī)浊У念A算幾乎在一瞬間就被消耗了。接下來F哥接到了一個匿名短信：“哥們，看你做的品牌挺高大上的，給我們兄弟一個月2萬塊，從此就不搗亂了，行不？”F哥哪見過這樣的流氓，直接氣炸了！但是報警吧，沒啥用。防范吧，好像也沒啥好辦法，兩敗俱傷的，耗不起啊，還要去拿融資呢，算了，破財消災吧。但是這才是F哥的遇到的最簡單的攻擊。信息型攻擊敲詐勒索人肉型攻擊敲詐勒索幾乎沒有什么技術門檻，就是組織大量的人有紀律的搗亂。而接下來信息型的攻擊敲詐勒索，就開始有一些門檻了。媒體負面信息：媒體通過負面消息敲詐好像已經(jīng)不算什么黑市的分析范疇了，已經(jīng)成為了一個行業(yè)常態(tài)，所以我們在此也不再拿出來多說什么。值得一提的是，大多數(shù)媒體負面消息并不是媒體本身所為，而是一些記者、編輯。在黑市上，很多網(wǎng)絡媒體的記者、編輯直接明碼標價負面新聞，而大量的攻擊者在黑市上去購買這些發(fā)文權，有目的的去攻擊，最后敲詐勒索的也是這些攻擊者，記者編輯只是產(chǎn)業(yè)鏈中最底層的一環(huán)，而網(wǎng)絡媒體只是被利用而已。水軍負面信息：水軍負面消息是用大量的ID去發(fā)帖子、博客、知道問答、微博等，在網(wǎng)絡上給某一特定受害者造成負面影響。在2010年之前，這些信息主要都存在與論壇上，比如著名的天涯論壇，如果經(jīng)常上的朋友甚至都會收到一些“專注于網(wǎng)絡報仇十幾年的公關公司”的廣告。但是在2010年以后，攻擊者很少采取用這些的大量水軍負面消息了，而這些手段主要由一些公關公司使用，用在同行之間的攻擊，這是為什么呢？攻擊敲詐勒索關鍵是為了錢，受害者交了保護費后就需要放過，不然怎么能有連續(xù)收入。但是水軍負面信息，發(fā)起來容易，刪起來難。比如天涯論壇信息后不能刪帖，必須版主完成，而水軍采取發(fā)帖機發(fā)帖，刪除有很大的難度。目前升級成SEO負面消息手法。SEO負面信息：SEO負面消息主要是指攻擊者利用搜索引擎：我不發(fā)你很多負面消息，只需要在百度上搜索你的品牌或者關鍵詞，前幾頁都負面信息即可。這足夠造成破壞，而且這些前幾頁的負面信息都是攻擊者可以控制的，說刪就刪。這又是怎么做到的呢？主要是使用黑鏈。黑鏈是SEO手法中相當普遍的一種手段，是指一些人用非正常的手段(黑客攻擊或內鬼出售)獲取的網(wǎng)站的反向鏈接，最常見的黑鏈就是通過各種網(wǎng)站程序漏洞獲取搜索引擎權重較高的網(wǎng)站權限，鏈接自己的網(wǎng)站，其性質與明鏈一致，都是屬于為高效率提升排名，而使用的作弊手法。黑鏈在互聯(lián)網(wǎng)黑市上明碼標價的售賣，所以攻擊者很容易去購買。(TOMsInsight以后會推出分析報告專題介紹黑鏈)接下來攻擊者簡單的通過程序模版加數(shù)據(jù)抓取，制作一批新聞類、博客類的網(wǎng)站，通過關鍵詞優(yōu)化和黑鏈技巧，快速的把自己網(wǎng)站上的一些新聞在每一個特定的關鍵詞上(一般是受害者品牌相關詞)優(yōu)化到前幾頁，這樣，完全可以控制信息，收錢后秒刪。下圖可以看出來，大多數(shù)黑鏈目前鏈接存放時間都在40天之內，而這個時間絕對只能是恰好做好優(yōu)化后就刪除，這些黑鏈的作用也很明顯了。我們接著用F哥舉例：F哥咬牙切齒的每個月交了兩萬的保護費，沒想到又出來一個攻擊者，攻擊者越來越多，每個月的保護費開支都要十幾萬了。好在F哥和合伙人起早貪黑的拼命干，定位準、包裝到位，竟然也沒賠錢。但是F哥想，這樣下去不行啊，玩了有一年多了，不賺錢??！都TMD給一些流氓打工了！靈機一動，我們可以賺風投的錢嘛！反正這行都是這樣，不賺錢就只能玩資本游戲了。再說了我是著名的“我廠”T9高工出身，項目新穎并切合熱點，前景有想象空間等等，整合投資人的口味，先騙幾百萬花花，自己洗出來一部分是正道！說干就干，F(xiàn)哥放出消息，接受各種科技媒體采訪，見投資人。但是幾天后F哥百度了下自己的品牌關鍵詞，直接楞了。幾乎一夜間，百度的前幾頁全都是負面新聞?。骸笆裁瓷剿幚锩嬗幸怀唛L的毛毛蟲啊”，“紫薯是染色的吃完嘴唇都紫，親嘴還相互染啊”，甚至還有F哥本人的“T9高工時期曾經(jīng)性騷擾公司打掃衛(wèi)生的大媽啊”。幾天后，F(xiàn)哥收到匿名短信“哥們，你弄投資挺爽的，但是先給兄弟一點花花唄，反正都不是咱們的錢？對不？”F哥直接氣瘋了。不過，更氣人的還在后面。技術型攻擊敲詐勒索技術型攻擊敲詐勒索和之前都不一樣，攻擊者利用黑客技術，敲詐勒索的金額放大很多倍。當然，這些技術的運用，也有更大的成本，這里面就包括網(wǎng)絡攻擊的第一常規(guī)性武器：DDOS。DDOS：DDOS指分布式拒絕服務攻擊(DistributedDenialofService)，借助于分布式技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動攻擊，從而成倍地提高拒絕服務攻擊的威力。在此我們不過多的探討技術層面，以后TOMsInsight會有專題分析針對這國內第一網(wǎng)絡常規(guī)性攻擊武器。大家可以這樣理解：用大量的虛假訪問，占據(jù)了被受害者網(wǎng)站的帶寬，讓真實的用戶沒法登陸。春運時候的火車票訂票網(wǎng)站經(jīng)常上不去吧？這就好比是一次DDOS的效果。DDOS攻擊在國內有兩種情況，一種是黑客控制大量肉雞網(wǎng)絡(被黑客控制的電腦)進行攻擊，或者是擁有帶寬資源的IDC機房背地攻擊。后者多出現(xiàn)在一些很特殊的情況中，而對于網(wǎng)絡攻擊敲詐勒索，主要是前者。在這個產(chǎn)業(yè)鏈中，黑客一般不會直接參與攻擊敲詐，只提供肉雞網(wǎng)絡的使用權；DDOS攻擊服務提供商租用肉雞網(wǎng)絡進行攻擊；而攻擊者去購買DDOS服務。所以這種三層模式中，攻擊者的成本是相當?shù)母?，特別是一些有規(guī)模的網(wǎng)站都有足夠的帶寬去扛DDOS。所以與之對應，一旦到了DDOS攻擊的地步，相對的敲詐勒索金額也會隨之增加了。對于一些特殊行業(yè)的DDOS的攻擊敲詐是可以產(chǎn)生暴利的，特別是講究實時運行的網(wǎng)站，例如之前一段時間火熱的比特幣交易平臺，或者電商網(wǎng)站的搶購時段。黑客攻擊：DDOS的攻擊黑客是不屑于參與的，但是黑客也會直接充當攻擊者，主要是對網(wǎng)站的用戶數(shù)據(jù)進行入侵并獲取。一旦獲取了網(wǎng)站的數(shù)據(jù)庫，就會直接聯(lián)系改網(wǎng)站進行“贖回”，并威脅一旦不贖回，就會進行“撕票”。“撕票”的意思就是公開受害者網(wǎng)站的用戶數(shù)據(jù)庫，由于此威脅是一次性的，有些網(wǎng)站還真的不會贖回數(shù)據(jù)庫，例如歷史上有過幾次著名網(wǎng)站(CSDN、天涯等)的數(shù)據(jù)庫泄露，都是屬于“撕票”。但是漸漸地，由于金錢誘惑，黑客這個圈子也開始變得魚龍混雜，很多攻克了數(shù)據(jù)庫的黑客，不遵循“贖回”和“撕票”的古老行規(guī)，而是直接賣給受害者的競爭對手獲利。我們繼續(xù)用F哥來舉例：F哥花了50萬把負面新聞都拿掉了，也利用自己的三寸不爛之舌忽悠到了天使投資500萬，開始了高舉高打。繼續(xù)著不盈利，燒著錢，尋找著各種創(chuàng)新概念，刷著假數(shù)據(jù)，忽悠A輪投資的典型中國互聯(lián)網(wǎng)精英創(chuàng)業(yè)之路。A輪談妥，馬上到位，處于關鍵期。沒想到的是，F(xiàn)哥的網(wǎng)站開始被DDOS攻擊，而且攻擊的時間點都是自己網(wǎng)站搞秒殺活動的關鍵點。更可氣的是，自己的用戶數(shù)據(jù)庫不知道怎么被泄露了，有人威脅說必須拿出來1000萬贖回，不然給每一個客戶發(fā)一份郵件外加短信聲稱是F哥網(wǎng)站出賣用戶信息。F哥傻眼了，這是搭上自己名聲信譽再加法律風險的問題了。F哥想著這幾年創(chuàng)業(yè)，辛辛苦苦卻一分錢沒賺到，還花出去很多沒法見光的錢，承受著投資人、合伙人懷疑自己洗錢的眼光，留下了委屈的淚水，也體會到了“江湖險惡”。創(chuàng)意型攻擊敲詐勒索以上是目前基本的攻擊手法。但攻擊敲詐勒索行業(yè)發(fā)展至今，開始出現(xiàn)了各種創(chuàng)意型的手段，各種組合拳的運用