據統計，2013年我國公安機關全年抓獲涉網犯罪嫌疑人達25.2萬人，與2012年相比增長15%。據中國警察網報道，2012年至2014年，全國公安機關組織開展打擊網絡詐騙、網絡淫穢色情、網絡賭博、有組織傳播謠言、銷售違禁品等10余次專項打擊行動和清理整治行動，辦理案件30余萬起，抓獲涉網犯罪嫌疑人60余萬名。

網絡黑色產業鏈已經滲透到我們生活的方方面面，從影響全球的網絡安全事件，到犯罪分子利用泄露的銀行卡信息盜取用戶存款，無一不關系到網絡使用者的切身利益。

1、網絡黑色產業鏈的分類：

所謂“網絡黑色產業鏈”，就是指以計算機網絡為工具，運用計算機和網絡技術實施的以盈利為目的、有組織、分工明確的團伙式犯罪行為，主要可以分為技術類、社工類和涉黃涉非類三大類型。

技術類：指利用網絡和計算機存在的安全漏洞和缺陷，竊取數據和信息，以及對網絡和計算機發起的各類攻擊。

社工類：指利用受害者的信任、好奇心和貪婪等心理弱點，以冒充熟人或博取同情等社會工程學的方式進行網絡盜竊、詐騙和敲詐。

涉黃涉非類：指利用網絡的便捷性和難以追查性，進行如網絡色情、網絡賭博、販賣槍支彈藥和違禁品等的涉黃涉非違法犯罪活動。

2、網絡黑色產業鏈的主要協作模式

注：黑帽專指對計算機系統及網絡進行惡意攻擊及破壞的人

社工庫指整合多個被盜數據庫、形成專門用于社工欺詐的多維度海量用戶信息庫

從上圖可以看出，網絡黑色產業鏈的上游為黑帽技術實施，中游為黑產犯罪團伙，下游則是支持黑產犯罪團伙的各種周邊組織。位于上游端的木馬病毒、釣魚網站制作者和販賣者普遍擁有較高的技術水平，靠散布病毒和釣魚網址批量控制用戶的終端設備，以達到詐騙和盜取財產的目的，平均一個上游端就可長期供養10個以上網絡黑產犯罪團伙。

網絡黑產新趨勢

網絡黑色產業鏈已經呈現低成本、高技術、高回報的爆發性增長態勢，2014年各種重大網絡安全事件顯示，網絡黑產已經從半公開的純攻擊模式轉化成為斂財工具和商業競爭手段，集團化、產業化趨勢明顯。騰訊雷霆行動看到，俗稱“拖庫”的盜取網站數據庫已成為黑產人員慣招，社工庫為各種精準式網絡詐騙提供數據來源，惡性商業競爭讓網絡攻擊、網絡敲詐成為常態。

1、“拖庫”成慣招，精準式詐騙場景頻出

黑客通過入侵有價值的網絡站點，盜走用戶數據庫，這個過程在地下產業術語里被稱為“拖庫”；在取得大量的用戶數據之后，黑客會通過一系列的技術手段清洗數據，并在黑市上將有價值的用戶數據變現交易，通常被稱作“洗庫”。最后黑客將得到的數據在其它網站上進行嘗試登陸，叫做“撞庫”，因為很多用戶喜歡使用統一的用戶名密碼，“撞庫”也可以使黑客收獲頗豐。12月25日，中國鐵路購票網站12306被爆有超過13萬條用戶隱私數據在互聯網瘋傳，就是由黑客通過“撞庫”攻擊獲得的數據。

最后，黑產人員還會把多個不同類型的數據庫整合成社工庫。隨著社工庫的日益完善，大量網絡用戶的隱私信息、上網行為、以及與個人金融財產安全相關的數據被重新整合，多維度的海量信息讓有強針對性的精準式詐騙場景頻現。

互聯網深度數據分析公司TOMsInsight在其最新的分析報告《互聯網黑市分析：社工庫的傳說》中指出，全國流量排名前100的網站有近八成的用戶數據庫已被黑客盜取，變相為網絡黑色產業鏈提供大數據來源。2014年下半年，大量冒充熟人詐騙、利用被泄露的銀行卡信息進行盜刷等的網絡黑產犯罪案件層出不窮，矛頭直指用戶個人隱私泄漏問題。騰訊雷霆行動觀察到，從去年下半年開始，網絡上有數以千計的黑產從業人員從傳統的點卡、盜號詐騙轉移到銀行卡盜刷產業。

相應地，盜取用戶身份證、銀行卡號、手機號等隱私信息的黑產團伙周邊產業鏈也不斷完善，因網購訂單泄漏、快遞訂單泄漏而導致的詐騙案件頻頻見諸報端，可見當前互聯網黑產的主要危害已經從傳統的帳號安全逐漸轉移至用戶個人信息安全。目前，互聯網企業應對用戶隱私數據被盜的防御措施和用戶的自我保護意識都仍然較弱。

來源：TOMsInsight《互聯網黑市分析：社工庫的傳說》

2、惡性商業競爭推動網絡攻擊、網絡敲詐

隨著商業競爭的日趨激烈，網絡黑色產業已經從以往單純的攻擊模式轉化成為網絡敲詐黑產團伙的斂財工具和半公開化的商業競爭手段�；ヂ摼W深度數據分析公司TOMsInsight在其分析報告《互聯網黑市分析：攻擊敲詐勒索》中把網絡攻擊和敲詐分為了人肉型、信息型、技術型三大類。

人肉型攻擊敲詐勒索指那些完全憑借人工完成的攻擊，例如通過網絡社交群組織幾千人甚至幾萬人的大規模團伙，有組織有計劃地針對電商、網購網站進行惡意購買、惡意差評、惡意投訴和惡意點擊。

來源：TOMsInsight《互聯網黑市分析：攻擊敲詐勒索》

其在2014年上半年對178家網站進行隨機調查的結果顯示，針對網店的惡意投訴和差評為人肉型攻擊敲詐勒索最常見的形式。

信息型攻擊敲詐勒索則是通過在網絡媒體、搜索引擎、微博、論壇等網上平臺發布負面信息，給某一特定受害者造成負面影響，以進行敲詐勒索。其中，黑鏈是信息型攻擊敲詐勒索中最普遍的一種手段。黑產者通過網絡技術漏洞獲取在搜索引擎中權重較高的網站權限，鏈接到自己的網站，然后通過關鍵詞優化和黑鏈技巧，快速地把與受害者品牌相關的負面新聞優化到搜索引擎前幾頁，收錢后即快速刪除。

技術型攻擊敲詐勒索指攻擊者利用黑客技術，通過DDOS攻擊和入侵網站數據庫等形式，對一些有規模的網站進行敲詐勒索的行為。所謂DDOS攻擊（Distributed Denial of Service），通俗來說就是利用大量的虛假訪問，占據了受害者網站的帶寬，讓真實的用戶無法登陸。承載了電子商務、在線游戲、網銀支付系統、社交網站等高利潤在線業務的數據中心常常是DDOS攻擊的重災區。

2014年11月，網絡游戲“魔獸世界”的北美服務器就遭到大型DDOS攻擊，暴雪被迫對北美服務器進行長達4小時的服務器維護以修復問題，大批網游玩家受影響。

3、黑產偏愛手機木馬，移動端抵御能力弱

由于PC端在抵御病毒及保障網購、網上支付安全的軟件和驗證方式上相對于移動端更強大，網絡黑產人員更傾向于對手機進行攻擊，通過植入手機木馬等方式取得用戶個人信息，進而控制手機、攔截短信驗證碼，實施網絡盜竊。

利用偽基站發送木馬詐騙短信是2014年網絡黑產團伙最愛用的詐騙手段之一，主要通過偽基站發送類似“卡內積分滿多少，可以贈送話費”的短信內容，誘騙用戶點擊假冒中國移動服務號碼10086短信中的木馬鏈接，待用戶輸入個人信息后，銀行卡資金隨即被盜。

2014年6月以來，江蘇省連續發生3起利用偽基站發送木馬短信的電信詐騙案件，受害人的手機均收到假冒10086發來的積分兌獎短信，誘導受害人填寫包括個人姓名、身份證號碼、銀行卡號等個人資料，并提示下載安裝所謂“移動掌上營業廳.apk”的木馬病毒。受害人在進行所謂的“兌獎”后，不久就發現自己銀行卡里的余額莫名其妙地少了。

受害人收到的木馬短信截屏

2014年8月至11月，江蘇淮安市公安局分赴四個省抓獲犯罪嫌疑人鄭某、王某、李某等9名，繳獲電腦9臺、偽基站設備2臺，成功地偵破了這起由公安部掛牌督辦的利用偽基站發送木馬短信的系列詐騙案。

移動支付黑產數據研究

數據來源：騰訊手機管家、騰訊電腦管家

2014年移動端新增支付病毒包為13.7萬個，是2013年的三倍。共有1562萬個移動設備被感染，也就說每天有4.27萬個移動設備被支付類病毒感染。顯示通過支付類病毒感染用戶移動設備，獲取用戶個人信息，進而控制手機、攔截短信驗證碼，以盜取財產，已成為網絡黑產的新趨勢。

數據來源：騰訊手機管家、騰訊電腦管家

電子市場和手機論壇依然是支付病毒的主要傳播渠道，占比分別達到21%、20%，而軟件捆綁、ROM內置、二維碼、手機資源站分別占支付病毒傳播渠道的12-16%不等。

2014年移動端支付類病毒最大特征是表現為“偷短信”，即靜默刪除短信、靜默發送短信，再通過社工庫及社工類欺詐騙取用戶的銀行卡號、身份證、手機號等，把用戶設備變成“肉雞”，悄無聲息地盜走用戶網銀或第三方支付賬號的資金。

注：本文節選自《2014年騰訊雷霆行動網絡黑色產業鏈年度報告》