連載：2008信息安全威脅綜合報告上半年(2)

【賽迪網-IT技術報道】前文對2008上半年度的計算機病毒疫情進行了統計與分析(詳見《連載：2008信息安全威脅綜合報告上半年(1)》)，本文您將看到對今年很流行的黑客地下經濟體系與產業鏈的分析。

2.黑客地下經濟體系與產業鏈分析

黑客地下經濟體系分析

黑客地下經濟產業鏈中的信息竊取分支，是以特洛伊木馬（Trojan horse）程序為核心主體的網絡黑客行為。對於黑客獲利點更加細化，定向性要求更加專業，以及黑色網絡安全所可能面對的刑民事法律制裁，單兵作戰的信息竊取模式已經漸漸淡出歷史舞台，取而代之的是專業化程度更高，隱蔽性更強的集團化信息竊取模式，在該模式中，有專門負責木馬編寫的程序員，有負責搭建網站專門負責木馬兜售的銷售人員（據不完全統計，目前國內銷售特洛伊木馬的站點超過6000個。他們有效利用網絡屏障迴避了傳播的法律風險），有使用和散播木馬的網絡黑客，而這些黑客的信息竊取服務也日顯「人性化」，有些黑客甚至把信息接收郵箱直接設定為信息購買者，從而使得竊取到信息只被信息購買者掌握，而信息購買者中的一部分人網游信息竊取者，又直接把從黑客手中購得的賬號、裝備發送到收購銷售者手中，從而迴避盜竊的法律風險。整個鏈條形成一種上游廠商不知中游所在，中游廠商不知去處，下游廠商不知來源的森嚴結構。整個產業鏈可以表示如下圖：

對黑客地下經濟產業鏈簡圖進行簡要的分析與說明：木馬編寫者可以在專職盜號者訂購後製造木馬，此木馬供專職盜號者用；也可自己製造木馬。木馬製造者自製的木馬可以自己發佈到網站上銷售，也可以出售給木馬銷售者。無論是木馬製造者還是木馬銷售者賣出的木馬最終還是被各種專職盜號者購得。專職盜號者熟悉銷售渠道，掌握對大量的敏感信息的整理、處理、在線銷售流程的各個環節，他們可以完全不懂病毒技術，只要知道木馬的操作流程就可以。專職盜號者可以直接攻擊用戶機器，也可以利用第三方擅長網絡攻擊的黑客進行木馬傳播（網絡掛馬就是一個很好的例子）。攻擊成功後，木馬將用戶的敏感信息（用戶的個人信息、賬號、遊戲裝備、私人照片、私人視頻等）回傳給專職盜號者，專職盜號者可以將信息出售給信息購買者，也可以到正規的網絡交易平台進行正常的交易。當所有的交易是由一個集團操控的話，就會涉及到最後一步洗錢的過程，將非法得來的大量資金合法化。

除了木馬，還有許許多多竊取網絡信息的手段，他們雖然各具特色，但其竊取信息的本質，及其運作模式日益集團化、專門化的特性與木馬大同小異，這裡就不再做過多闡述。

黑客技術最快傳承方式

在百度上搜索關鍵詞「黑客教程」，顯示出的搜索結果超過59.8萬條（2008-7-9 上午11點08分），這個數字雖然不十分精確，但卻充分說明了這樣一個事實，即黑客雖黑，其傳承所走的路線卻一點也不黑，這不光是中國，在全球都是一個普遍的問題。

如上所示，黑客培訓產業鏈的主要傳播途徑是利用網絡，這樣既可以實現圖文並茂的教學過程，網站和論壇製作者又可以很好的將自己隱藏在網絡屏障之後。這些網站和論壇不但為學員提供大量的黑客教程，還附有大量的相關軟體和腳本，在上一節所提到的木馬程序，有很多可以從這些黑客培訓網站和論壇上進行下載。而黑客培訓產業鏈的具體運營模式如下圖：

對黑客地下經濟培訓產業簡圖進行簡要的分析與說明：網站製作者自己製作或者從第三方購得網站，然後收集整理各種黑客教程與軟體，這裡也包括了從木馬製作者手中購得的木馬與教程。同時拉入第三方廣告商投放廣告。當一切準備完成後正式發佈，一些網絡用戶就可以付費購買各種教程及軟體。網站管理人員及各大論壇的版主被稱為「大蝦」，付費購買教程及軟體的網絡用戶的被稱為「徒弟」。「大蝦」開始招募「徒弟」， 「徒弟」購得教程後學習木馬盜號等黑客技術，之後「徒弟」也可以成為「大蝦」下線分銷商，大量的散播木馬等，以輔助「大蝦」完成其它牟利活動。

網絡教程產業鏈可以說是網絡黑客得以延續和傳承的命脈，它直接養活的那些不法分子對於互聯網所造成的危害，或許遠不如通過黑客教程逐步成長起來的新興黑客。面對著黑色網絡安全產業鏈這塊肥田，越來越多的技術人才趨之若鶩；而且木馬後門等惡意代碼編寫入門門檻相對感染式病毒低、技術含量少的特徵也為黑客地下經濟產業鏈的發展壯大提供了絕好的條件。另外，黑客文化目中無人的傳媒方式，以及社會各界的漠視態度，是比黑客教程產業鏈更可怕的事情。

掛馬分析

安天實驗室每天最少捕獲3個被掛馬的網站，根據2008年上半年的所有掛馬網站數量的總體分析，每月都要比上一月有顯著增長；隨著大量黑客網站與論壇中的教程對掛馬技術「掃盲」，預計在2008年下半年網站掛馬在中國會更加瘋狂的出現。掛馬技術普及更助長了木馬的傳播與黑客地下經濟產業鏈的發展壯大。

掛馬在黑客地下經濟產業鏈中起著傳播木馬與其它惡意程序的作用。在黑客地下經濟產業鏈簡圖中擅長網絡攻擊的黑客利用傳播木馬的主要手段之一就是掛馬。通過掛馬廣泛傳播木馬後，專職盜號者就可以獲得用戶的敏感信息，之後將這些信息出售。

第三方漏洞

在人們日漸明白操作系統打補丁的重要性時，黑客們利用操作系統漏洞的機會便越來越少，為了能夠達到攻入用戶電腦的非法目的，黑客們把目標轉移到應用軟體漏洞上來。被黑客們關注的應用軟體都是裝機量很大，用戶量很多的熱門軟體。例如迅雷軟體，暴風影音軟體，Realplayer軟體，網際快車軟體，PPlive軟體等，都成為了黑客們重點挖掘漏洞的對象。

在黑客地下經濟產業鏈中主攻第三方漏洞的人佔少數，大多數的病毒製造者是把別人挖掘的漏洞加入自己的程序中。但隨著黑客地下經濟交易市場的「繁榮興旺」、「發展壯大」，黑客地下經濟產業鏈中的漏洞技術人員會日益增多，便會有越來越多的第三方軟體漏洞被黑客發現利用。

網游木馬

黑客地下經濟產業鏈完全以銷售市場為導向，敏感度遠遠高於現實中的市場響應速度。由於網絡遊戲的普及性、玩家的大眾化、虛擬遊戲世界的被認知性、虛擬裝備的稀缺性等原因，導致這方面的市場需求十分旺盛。因此交易內容也多以網絡遊戲的賬號、密碼、虛擬錢幣、虛擬遊戲裝備為主。正是在這種市場環境下，網絡遊戲盜號者在盜取完成後，在正規的網絡交易平台進行正常的交易；交易完成，虛擬世界的錢幣與物品得以兌換成為現實貨幣，最終虛擬財產便就此具備了現實的實際價值。

通過以上的分析可知網游木馬在以後仍然會不斷的增加，做好各種防護準備是保護虛擬網絡遊戲財產的前提條件。

網絡釣魚

隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及，網絡釣魚事件在我國層出不窮。網絡釣魚是黑客使用虛假網站來誘騙瀏覽者提供信用卡賬號、用戶名、密碼、詳細的個人信息等，而欺騙手段一般是假冒成確實需要這些信息的可信方。隨後利用騙得的賬號和密碼竊取受騙者金錢。從涉及領域來看，大多數釣魚網站案件集中在金融和電子商務兩個行業。釣魚網站表現在黑客地下經濟產業鏈中並不是很複雜，只需要把一個虛假網站散播出去，讓用戶受騙，即可完成非法獲利的目的。

(1) 網絡釣魚的靶心－－仿冒網絡銀行

仿冒網絡銀行行騙的大致方法是不法分子申請、製作一個類似某銀行的網站主頁，然後通過群發郵件、短信等誘惑性信息或利用網站上的鏈接誘騙用戶登錄假冒網站，誘使用戶輸入信用卡或網上銀行的用戶名和密碼，在盜取相關資料之後轉賬盜款。隨著使用網絡銀行用戶的增多，仿冒銀行網站的釣魚事件越來越多。網絡釣魚沒有太多技術含量，其攻擊道理非常簡單：主要是利用人們的疏忽，用欺騙郵件和虛假網頁設計（網頁與真正的銀行域名相似）讓人們填寫重要的個人信息，從而盜竊這些信息，使人防不甚防。

已經發生過的仿冒網絡銀行的釣魚網址有：www.bank-off-china.com (仿冒中國銀行，中國銀行真實網址為：www.bank-of-china.com) ，www.lcbc.com.cn/index.jsp (仿冒中國工商銀行，中國工商銀行真實網址為：www.icbc.com.cn) ，www.cmb95555.com（仿冒招商銀行，招商銀行的真實網址為：www.cmbchina.com）等。從上面幾個已發生過的案例可以看出假的銀行網址與真實的網址十分相似，除此之外，假銀行網址的頁面與實際的銀行也是難辨真偽。下面以仿冒招商銀行的案例為例子來揭穿不法分子的詭計。

仿冒招商銀行的假域名：　www.cmb95555.com（招商銀行的真正網址是：www.cmbchina.com，「cmb」是招行的英文China Merchants Bank的首字毒組合，而「95555」是招行的全國統一客戶服務號碼，不法分子將cmb與95555組合在一起，就會讓用戶不會對它產生懷疑，甚至達到以假亂真的目的。）

仿冒招商銀行的假網頁：此假網頁無論是從頁面佈局，還是具體內容都仿冒得極其相似，足以使用戶上當受騙，不是專業人士很難辨認出是真是假。

冒充招商銀行名義的郵件：郵件以核對賬目、核實賬戶消費記錄等名義要求客戶登錄招行網站查詢具體的詳情，並提供招商銀行網站的超級鏈接，但這個超級鏈接的指向卻是冒充的網站www.cmb95555.com，如果點擊鏈接就會打開此假招商銀行的頁面。

騙取賬號密碼等敏感信息：用戶點擊郵箱中的假鏈接進入冒充的網站www.cmb95555.com後，便會登錄網上銀行核實賬目等信息，而在用戶登錄的瞬間所有的登錄所填的信息（賬號密碼等）已全部發送到不法分子手中。

迅速轉賬盜款：不法分子在得到用戶網上銀行登錄信息後，迅速對用戶賬目中的資金進行轉賬，完成最後的盜款操作。

仿冒招商銀行的不法分子正是利用以上的步驟對網絡用戶進行欺騙達到快速騙取錢財的目的。下面兩個圖，一個是「仿冒招商銀行網頁圖（www.cmb95555.com）」，另一個是「真正的招商銀行主頁（www.cmbchina.com）」，這兩個圖無論是域名還是網頁內容都是極其相似，普通的網絡用戶很難辨認真偽。

瞭解不法分子行騙的方法後，要採取相應措施進行防範，使不法分子以後無機可乘，下面介紹幾種常用的防範方法：

１ 避免使用搜索引擎：登陸網銀時盡量避免使用搜索引擎或網絡實名，以免混淆視聽；最好在正規銀行網點獲取網絡銀行網址。

２ 妥善保管數字證書： 避免在公共場所的電腦上使用網銀業務，以防數字證書等機密資料外洩。

３ 警惕電子郵件等信息：不輕信不明來歷的郵件、信件、電話、短信等，如收到相應信息，請先咨詢銀行部門是否有相應信息，然後進行操作，以防網絡釣魚襲擊。

４ 設置混合密碼、雙密碼：密碼設置應避免與個人資料相關，建議選用數字、字母混合密碼，提高密碼破解難度並妥善保管，保證密碼不易被猜測。交易密碼盡量與信用卡密碼不同。而且要定期更換密碼。

５ 定期查看交易記錄：定期檢查賬戶餘額、轉賬和支付等業務記錄，隨時掌握賬戶變動情況。

６ 做好病毒防範：做好防止木馬攻擊與入侵等安全措施，如發現異常交易及時與銀行聯絡。

(2) 網絡釣魚新趨勢－－仿冒大眾網站

網絡銀行釣魚雖然獲取金錢迅速，但其影響大，存活時間短，往往剛剛出現釣魚網站便被關閉，所以不法分子把網絡釣魚的矛頭漸漸轉移到了大眾的網站，大眾的網站風險小，而且存活時間長，獲得的不法收入相比網絡銀行釣魚有過之而無不及。下面以一個到目前為止還存活的仿冒OICQ虛假消息來騙取高額信息費的網絡釣魚事件來說明仿冒大眾網站過程。

此釣魚事件是以OICQ進行虛假消息傳播，如下圖所示：

此虛假信息是以奧運聖火為由，欺騙用戶可以免費申請6位QQ號，關鍵處在於有一個網頁鏈接：

hxxp://love21cn.msn.com.cn////%73%74/?id=%30%31&url=http://baidu101.id666.com

當選擇「點擊獲取6位QQ號機會」後進入下一選QQ號界面，選擇一個6位QQ號然後輸入手機號碼便會跳到下圖所示界面。

通過上面圖示可知不法分子真正的面目是：欺騙要申請6位QQ號的用戶發短信，騙取高額信息費。通過上圖可見一次欺騙的獲利很少，但存活時間長，受騙申清6位QQ號的用戶多，便會使獲利增加。

類似的網址還有：hxxp://www.97zb.cn/wud88.html。

網絡詐騙

虛假中獎或欺騙信息蜂擁而來，讓人們日漸對網絡產生了不可信的印象。在單一的OICQ虛假中獎信息被曝光後，一些網絡不法分子將目標轉移到網絡遊戲，各種論壇，甚至直接公開發送到正常的學習生活論壇的回帖中，讓人真假難辨。目前隨著中國2008奧運會的臨近，各種奧運相關的虛假欺騙信息衝擊著我們的眼球。此種虛假信息的網絡詐騙手段還沒有比較好的防範措施，因此請廣大網絡用戶一定要注意不要上當受騙。

網絡詐騙在黑客地下經濟產業鏈中尚處於初步階段，在以後漸漸「成熟」的過程中會在網絡中更加猖狂的散佈，最好的防範方法就是提高廣大網絡用戶的安全意識，大家共同抵制已有的和新生的各種黑客地下經濟產業鏈的發展與壯大。網絡詐騙可以是網絡直接詐騙，也可以是手機形式詐騙，但大多是兩種方式結合進行詐騙活動。下面以冒充QQ中獎來進行詐騙的方式來說明詐騙過程。

傳播方式：發送QQ [會員賀卡]

賀卡內容：敬愛的用戶:恭喜您!您的QQ已被十週年活動抽到，[￥38000元現金及手機N93i一部]!詳細請登:qqhkhd.cn查看,幸運字:【6633】電話:089-86778-2668

當點擊進入qqhkhd.cn鏈接後，出現下面所示的頁面：中間是一個系統消息框，消息框後是一個仿冒QQ主頁的頁面，頁面中清晰可見被改後顯示的：黃金七月歡樂慶典「騰訊幸運之星」的圖片。

當點擊系統消息框中官網鏈接後，進入的不是官網，而是不法分子自製專門用來詐騙的頁面，如下圖所示。

當錄入QQ號與幸運碼查詢並按照提示操作後，便會有如下提示和頁面出現：

頁面信息很多這裡不再一一貼出，此詐騙行為是以網頁和「客服」的形式對網絡用戶詐騙，主要是以「辦理手續費」的形式進行詐騙獲利。廣大用戶在網絡上不要輕易相信中獎及其它誘惑性信息，以免掉進詐騙者的陷阱。

(