2.黑客地下经济体系与产业链分析

黑客地下经济体系分析

黑客地下经济产业链中的信息窃取分支，是以特洛伊木马（Trojan horse）程序为核心主体的网络黑客行为。对于黑客获利点更加细化，定向性要求更加专业，以及黑色网络安全所可能面对的刑民事法律制裁，单兵作战的信息窃取模式已经渐渐淡出历史舞台，取而代之的是专业化程度更高，隐蔽性更强的集团化信息窃取模式，在该模式中，有专门负责木马编写的程序员，有负责搭建网站专门负责木马兜售的销售人员（据不完全统计，目前国内销售特洛伊木马的站点超过6000个。他们有效利用网络屏障回避了传播的法律风险），有使用和散播木马的网络黑客，而这些黑客的信息窃取服务也日显“人性化”，有些黑客甚至把信息接收邮箱直接设定为信息购买者，从而使得窃取到信息只被信息购买者掌握，而信息购买者中的一部分人――网游信息窃取者，又直接把从黑客手中购得的账号、装备发送到收购销售者手中，从而回避盗窃的法律风险。整个链条形成一种上游厂商不知中游所在，中游厂商不知去处，下游厂商不知来源的森严结构。整个产业链可以表示如下图：

对黑客地下经济产业链简图进行简要的分析与说明：木马编写者可以在专职盗号者订购后制造木马，此木马供专职盗号者用；也可自己制造木马。木马制造者自制的木马可以自己发布到网站上销售，也可以出售给木马销售者。无论是木马制造者还是木马销售者卖出的木马最终还是被各种专职盗号者购得。专职盗号者熟悉销售渠道，掌握对大量的敏感信息的整理、处理、在线销售流程的各个环节，他们可以完全不懂病毒技术，只要知道木马的操作流程就可以。专职盗号者可以直接攻击用户机器，也可以利用第三方擅长网络攻击的黑客进行木马传播（网络挂马就是一个很好的例子）。攻击成功后，木马将用户的敏感信息（用户的个人信息、账号、游戏装备、私人照片、私人视频等）回传给专职盗号者，专职盗号者可以将信息出售给信息购买者，也可以到正规的网络交易平台进行正常的交易。当所有的交易是由一个集团操控的话，就会涉及到最后一步洗钱的过程，将非法得来的大量资金合法化。

除了木马，还有许许多多窃取网络信息的手段，他们虽然各具特色，但其窃取信息的本质，及其运作模式日益集团化、专门化的特性与木马大同小异，这里就不再做过多阐述。

黑客技术最快传承方式

在百度上搜索关键词“黑客教程”，显示出的搜索结果超过59.8万条（2008-7-9 上午11点08分），这个数字虽然不十分精确，但却充分说明了这样一个事实，即黑客虽黑，其传承所走的路线却一点也不黑，这不光是中国，在全球都是一个普遍的问题。

如上所示，黑客培训产业链的主要传播途径是利用网络，这样既可以实现图文并茂的教学过程，网站和论坛制作者又可以很好的将自己隐藏在网络屏障之后。这些网站和论坛不但为学员提供大量的黑客教程，还附有大量的相关软件和脚本，在上一节所提到的木马程序，有很多可以从这些黑客培训网站和论坛上进行下载。而黑客培训产业链的具体运营模式如下图：

对黑客地下经济培训产业简图进行简要的分析与说明：网站制作者自己制作或者从第三方购得网站，然后收集整理各种黑客教程与软件，这里也包括了从木马制作者手中购得的木马与教程。同时拉入第三方广告商投放广告。当一切准备完成后正式发布，一些网络用户就可以付费购买各种教程及软件。网站管理人员及各大论坛的版主被称为“大虾”，付费购买教程及软件的网络用户的被称为“徒弟”。“大虾”开始招募“徒弟”， “徒弟”购得教程后学习木马盗号等黑客技术，之后“徒弟”也可以成为“大虾”下线分销商，大量的散播木马等，以辅助“大虾”完成其它牟利活动。

网络教程产业链可以说是网络黑客得以延续和传承的命脉，它直接养活的那些不法分子对于互联网所造成的危害，或许远不如通过黑客教程逐步成长起来的新兴黑客。面对着黑色网络安全产业链这块肥田，越来越多的技术人才趋之若鹜；而且木马后门等恶意代码编写入门门槛相对感染式病毒低、技术含量少的特征也为黑客地下经济产业链的发展壮大提供了绝好的条件。另外，黑客文化目中无人的传媒方式，以及社会各界的漠视态度，是比黑客教程产业链更可怕的事情。

挂马分析

安天实验室每天最少捕获3个被挂马的网站，根据2008年上半年的所有挂马网站数量的总体分析，每月都要比上一月有显著增长；随着大量黑客网站与论坛中的教程对挂马技术“扫盲”，预计在2008年下半年网站挂马在中国会更加疯狂的出现。挂马技术普及更助长了木马的传播与黑客地下经济产业链的发展壮大。

挂马在黑客地下经济产业链中起着传播木马与其它恶意程序的作用。在黑客地下经济产业链简图中擅长网络攻击的黑客利用传播木马的主要手段之一就是挂马。通过挂马广泛传播木马后，专职盗号者就可以获得用户的敏感信息，之后将这些信息出售。

第三方漏洞

在人们日渐明白操作系统打补丁的重要性时，黑客们利用操作系统漏洞的机会便越来越少，为了能够达到攻入用户电脑的非法目的，黑客们把目标转移到应用软件漏洞上来。被黑客们关注的应用软件都是装机量很大，用户量很多的热门软件。例如迅雷软件，暴风影音软件，Realplayer软件，网际快车软件，PPlive软件等，都成为了黑客们重点挖掘漏洞的对象。

在黑客地下经济产业链中主攻第三方漏洞的人占少数，大多数的病毒制造者是把别人挖掘的漏洞加入自己的程序中。但随着黑客地下经济交易市场的“繁荣兴旺”、“发展壮大”，黑客地下经济产业链中的漏洞技术人员会日益增多，便会有越来越多的第三方软件漏洞被黑客发现利用。

网游木马

黑客地下经济产业链完全以销售市场为导向，敏感度远远高于现实中的市场响应速度。由于网络游戏的普及性、玩家的大众化、虚拟游戏世界的被认知性、虚拟装备的稀缺性等原因，导致这方面的市场需求十分旺盛。因此交易内容也多以网络游戏的账号、密码、虚拟钱币、虚拟游戏装备为主。正是在这种市场环境下，网络游戏盗号者在盗取完成后，在正规的网络交易平台进行正常的交易；交易完成，虚拟世界的钱币与物品得以兑换成为现实货币，最终虚拟财产便就此具备了现实的实际价值。

通过以上的分析可知网游木马在以后仍然会不断的增加，做好各种防护准备是保护虚拟网络游戏财产的前提条件。

网络钓鱼

随着电子商务、网上结算、网上银行等业务在日常生活中的普及，网络钓鱼事件在我国层出不穷。网络钓鱼是黑客使用虚假网站来诱骗浏览者提供信用卡账号、用户名、密码、详细的个人信息等，而欺骗手段一般是假冒成确实需要这些信息的可信方。随后利用骗得的账号和密码窃取受骗者金钱。从涉及领域来看，大多数钓鱼网站案件集中在金融和电子商务两个行业。钓鱼网站表现在黑客地下经济产业链中并不是很复杂，只需要把一个虚假网站散播出去，让用户受骗，即可完成非法获利的目的。

(1) 网络钓鱼的靶心——仿冒网络银行

仿冒网络银行行骗的大致方法是不法分子申请、制作一个类似某银行的网站主页，然后通过群发邮件、短信等诱惑性信息或利用网站上的链接诱骗用户登录假冒网站，诱使用户输入信用卡或网上银行的用户名和密码，在盗取相关资料之后转账盗款。随着使用网络银行用户的增多，仿冒银行网站的钓鱼事件越来越多。网络钓鱼没有太多技术含量，其攻击道理非常简单：主要是利用人们的疏忽，用欺骗邮件和虚假网页设计（网页与真正的银行域名相似）让人们填写重要的个人信息，从而盗窃这些信息，使人防不甚防。

已经发生过的仿冒网络银行的钓鱼网址有：www.bank-off-china.com (仿冒中国银行，中国银行真实网址为：www.bank-of-china.com) www.lcbc.com.cn/index.jsp (仿冒中国工商银行，中国工商银行真实网址为www.icbc.com.cn) www.cmb95555.com（仿冒招商银行，招商银行的真实网址为www.cmbchina.com）等。从上面几个已发生过的案例可以看出假的银行网址与真实的网址十分相似，除此之外，假银行网址的页面与实际的银行也是难辨真伪。下面以仿冒招商银行的案例为例子来揭穿不法分子的诡计。

仿冒招商银行的假域名：www.cmb95555.com（招商银行的真正网址是www.cmbchina.com，“cmb”是招行的英文China Merchants Bank的首字毒组合，而“95555”是招行的全国统一客户服务号码，不法分子将cmb与95555组合在一起，就会让用户不会对它产生怀疑，甚至达到以假乱真的目的。）

仿冒招商银行的假网页：此假网页无论是从页面布局，还是具体内容都仿冒得极其相似，足以使用户上当受骗，不是专业人士很难辨认出是真是假。

冒充招商银行名义的邮件：邮件以核对账目、核实账户消费记录等名义要求客户登录招行网站查询具体的详情，并提供招商银行网站的超级链接，但这个超级链接的指向却是冒充的网www.cmb95555.com，如果点击链接就会打开此假招商银行的页面。

骗取账号密码等敏感信息：用户点击邮箱中的假链接进入冒充的网www.cmb95555.com后，便会登录网上银行核实账目等信息，而在用户登录的瞬间所有的登录所填的信息（账号密码等）已全部发送到不法分子手中。

迅速转账盗款：不法分子在得到用户网上银行登录信息后，迅速对用户账目中的资金进行转账，完成最后的盗款操作。

仿冒招商银行的不法分子正是利用以上的步骤对网络用户进行欺骗达到快速骗取钱财的目的。下面两个图，一个是“仿冒招商银行网页图www.cmb95555.com）”，另一个是“真正的招商银行主页www.cmbchina.com）”，这两个图无论是域名还是网页内容都是极其相似，普通的网络用户很难辨认真伪。