揭秘中國互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈

文/諸葛建偉 谷亮

近日，清華大學(xué)信息與網(wǎng)絡(luò)安全實(shí)驗(yàn)室和趨勢科技聯(lián)合發(fā)布了《中國互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈調(diào)查報(bào)告》(以下簡稱報(bào)告)，揭示了中國互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈的構(gòu)成結(jié)構(gòu)、發(fā)展形態(tài)，以及運(yùn)作模式。

隨著中國互聯(lián)網(wǎng)的快速發(fā)展，中國互聯(lián)網(wǎng)網(wǎng)民在上網(wǎng)期間則頻繁地遭遇安全威脅。報(bào)告對中國互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈進(jìn)行了一次廣泛且深入的結(jié)構(gòu)性調(diào)查與實(shí)證數(shù)據(jù)分析，全面揭示了中國地下產(chǎn)業(yè)鏈的當(dāng)前情況、內(nèi)部特征以及發(fā)展趨勢。據(jù)報(bào)告顯示：在2011年，由中國互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈的總體贏利規(guī)模已超過50億元人民幣，監(jiān)測到地下黑市參與者超過9萬人。

結(jié)構(gòu)嚴(yán)密、體系完整

中國互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈在結(jié)構(gòu)上可分為真實(shí)資產(chǎn)盜竊、網(wǎng)絡(luò)虛擬資產(chǎn)盜竊、互聯(lián)網(wǎng)資源與服務(wù)濫用、黑帽技術(shù)工具與培訓(xùn)這四大產(chǎn)業(yè)鏈。其中，黑帽技術(shù)工具與培訓(xùn)產(chǎn)業(yè)鏈作為整個產(chǎn)業(yè)鏈的根源，為其他三大產(chǎn)業(yè)鏈提供技術(shù)基礎(chǔ)。而互聯(lián)網(wǎng)資源與服務(wù)濫用產(chǎn)業(yè)鏈則為真實(shí)資產(chǎn)盜竊、網(wǎng)絡(luò)虛擬資產(chǎn)盜竊兩大產(chǎn)業(yè)鏈提供了網(wǎng)絡(luò)資源條件。如圖1所示：

圖 中國互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈總體結(jié)構(gòu)

其中，真實(shí)資產(chǎn)盜竊地下產(chǎn)業(yè)鏈?zhǔn)侵袊ヂ?lián)網(wǎng)犯罪案件的首要驅(qū)動因素，對網(wǎng)民的真實(shí)財(cái)產(chǎn)安全造成了嚴(yán)重危害。這是由于網(wǎng)絡(luò)購物、網(wǎng)上支付等互聯(lián)網(wǎng)商務(wù)應(yīng)用的用戶群體、蘊(yùn)含財(cái)產(chǎn)規(guī)模巨大，吸引了眾多的不法分子參與其中，形成了從竊密到洗錢的完整地下產(chǎn)業(yè)鏈。

規(guī)模龐大，對信息安全構(gòu)成嚴(yán)重威脅

互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈?zhǔn)峭ㄟ^對互聯(lián)網(wǎng)的非法利用來獲取利益的。隨著網(wǎng)民人數(shù)的增加、互聯(lián)網(wǎng)產(chǎn)業(yè)的快速發(fā)展，互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈對用戶產(chǎn)生了越來越嚴(yán)重的威脅。報(bào)告估計(jì)，中國信息安全地下產(chǎn)業(yè)鏈整體盈利規(guī)模在2011年就可達(dá)53.6億元，威脅超過1.1081億網(wǎng)民，占總體5.13億網(wǎng)民數(shù)量的21.6%。威脅到105萬個網(wǎng)站，占總監(jiān)測網(wǎng)站數(shù)量553.3萬的19%(注：威脅人群根據(jù)各個安全廠商與國家安全監(jiān)管部門安全報(bào)告綜合統(tǒng)計(jì))。如表1所示。

報(bào)告還援引了CNNIC 2011年度報(bào)告數(shù)據(jù)，指出2011年上半年有8%的網(wǎng)民在網(wǎng)上遭遇過網(wǎng)購欺詐或資產(chǎn)被盜，該群體規(guī)模達(dá)到3880萬人，即每12位網(wǎng)民中就有1位遭遇過網(wǎng)購欺詐或資產(chǎn)被盜。

表1 2011年中國信息安全地下產(chǎn)業(yè)鏈整體盈利規(guī)模不完全估計(jì)

網(wǎng)絡(luò)釣魚成為最常用手段之一

報(bào)告顯示，網(wǎng)絡(luò)釣魚已經(jīng)成為互聯(lián)網(wǎng)地下產(chǎn)業(yè)鏈中最常使用的手段之一，給互聯(lián)網(wǎng)用戶造成了嚴(yán)重危害。在真實(shí)資產(chǎn)盜竊地下產(chǎn)業(yè)鏈中，網(wǎng)購與支付安全的威脅主要有網(wǎng)絡(luò)釣魚、惡意欺詐和賬戶被盜三大類。如表2所示。

我們認(rèn)為網(wǎng)絡(luò)釣魚本身的技術(shù)含量不高，入門要求很低，但攻擊成功后的回報(bào)很高，使得參與者人數(shù)眾多，因而成為網(wǎng)購與支付安全最大的危害。而且，網(wǎng)絡(luò)犯罪者為了躲避法律追查，避免國內(nèi)嚴(yán)格的網(wǎng)站備案流程，往往注冊國外域名部署釣魚網(wǎng)站以實(shí)施網(wǎng)絡(luò)釣魚攻擊，這給整頓釣魚網(wǎng)站帶來了很多不便。

組織隱蔽，增長速度快

與傳統(tǒng)犯罪方式不同，互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈主要通過互聯(lián)網(wǎng)“地下黑市”進(jìn)行交易。目前，中國信息安全地下黑市主要隱藏于百度貼吧與騰訊QQ社區(qū)，有大量專門用于地下產(chǎn)業(yè)鏈溝通交流的貼吧與QQ群，擁有從盜竊到銷售的完整產(chǎn)業(yè)鏈條。近幾年來，其參與者數(shù)量一直呈現(xiàn)快速增長趨勢。以百度貼吧為例，其黑市參與者在2006年至2011年間平均年增長率為144.74%，最高年增長率則達(dá)到495%，2011年超過9萬人。

在地下黑市，參與者非常普遍使用騰訊QQ號作為聯(lián)系方式，在帖子標(biāo)題、內(nèi)容或發(fā)布者昵稱中包含QQ號，要求廣告信息關(guān)注者通過QQ與其聯(lián)系。由于QQ號并非實(shí)名注冊，同時在地下產(chǎn)業(yè)鏈中盜竊與銷售QQ號的行為也非常普遍，因此QQ為地下產(chǎn)業(yè)鏈參與者提供了最便捷和最隱蔽的在線通訊方式。

表2 國內(nèi)個人安全廠商對2011年釣魚網(wǎng)站威脅的統(tǒng)計(jì)數(shù)據(jù)

在對“地下黑市”交易的內(nèi)容進(jìn)行分析后，報(bào)告發(fā)現(xiàn)，在真實(shí)資產(chǎn)盜竊鏈條的地下黑市中，最主流的商品是銀行卡資料，其次為采集器、POS機(jī)盜刷服務(wù)等。在網(wǎng)絡(luò)虛擬資產(chǎn)盜竊鏈條的地下黑市中，流行商品為Q幣、“信封”與“箱子”；在互聯(lián)網(wǎng)資源與服務(wù)濫用鏈條的地下黑市中，流行商品分別為受控“肉雞”、服務(wù)濫用業(yè)務(wù)和網(wǎng)站流量；在黑帽技術(shù)工具與培訓(xùn)鏈條地下黑市中，主流商品為木馬與攻擊工具、遠(yuǎn)程控制軟件和黑帽技術(shù)培訓(xùn)。其中黑帽技術(shù)培訓(xùn)的購買廣告數(shù)量超過了出售廣告，達(dá)54%左右。這說明大量新人希望學(xué)習(xí)和掌握黑帽技術(shù)，以便進(jìn)入到這一地下產(chǎn)業(yè)鏈中。

價(jià)格低廉，犯罪成本低

網(wǎng)絡(luò)犯罪需要使用的各種“犯罪工具”,都以商品的形式在地下產(chǎn)業(yè)鏈中明碼標(biāo)價(jià)出售。通過觀察和統(tǒng)計(jì)發(fā)現(xiàn)，主要的“地下商品”價(jià)格低廉，最貴的木馬程序也不過千元，而一臺“肉雞”價(jià)格則低至一毛錢。這樣低廉的價(jià)格，使得組織一次網(wǎng)絡(luò)犯罪所需要的成本比較低。例如，購買1000臺“肉雞”組織成一個頗具規(guī)模的僵尸網(wǎng)絡(luò)，它的成本只需要幾百元。如果利用這個僵尸網(wǎng)絡(luò)來發(fā)動分布式拒絕服務(wù)攻擊的話，造成的損失將是可觀的。

建設(shè)監(jiān)測體系，減輕網(wǎng)絡(luò)犯罪風(fēng)險(xiǎn)

對于如何治理互聯(lián)網(wǎng)地下產(chǎn)業(yè)鏈，趨勢科技、清華大學(xué)信息與網(wǎng)絡(luò)安全實(shí)驗(yàn)室在報(bào)告中給出建議：國內(nèi)網(wǎng)絡(luò)安全監(jiān)管部門與執(zhí)法部門非常有必要建設(shè)更加全面、覆蓋面更加廣泛的地下產(chǎn)業(yè)鏈監(jiān)測體系，并在法律授權(quán)范圍下建立對涉及網(wǎng)絡(luò)犯罪案件參與者進(jìn)行在線通訊與銀行支付等渠道的調(diào)查取證分析工作流程。這將有助于更好地通過法律手段打擊網(wǎng)絡(luò)犯罪行為，威懾地下產(chǎn)業(yè)鏈的參與者，從而保護(hù)互聯(lián)網(wǎng)用戶的財(cái)產(chǎn)與個人信息安全。

針對正在發(fā)生的網(wǎng)絡(luò)犯罪事件，地下黑市監(jiān)測信息中的線索能夠?yàn)榘讣刹樘峁椭Ｚ厔菘萍寂c清華大學(xué)研究人員基于這段時間對地下黑市的監(jiān)測信息，跟蹤到若干個仍活躍的網(wǎng)絡(luò)犯罪團(tuán)隊(duì)，并已經(jīng)為相關(guān)執(zhí)法部門提供了案件偵查線索。

而應(yīng)對地下產(chǎn)業(yè)鏈中如個人隱私信息竊取、互聯(lián)網(wǎng)服務(wù)濫用等尚未觸及現(xiàn)有法律條款的灰色盈利鏈條的行為，當(dāng)務(wù)之急是通過立法手段確立對個人信息與網(wǎng)絡(luò)資產(chǎn)的保護(hù)法案，以法律手段遏制目前中國互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈快速發(fā)展的趨勢，減輕互聯(lián)網(wǎng)網(wǎng)民遭受網(wǎng)絡(luò)犯罪的風(fēng)險(xiǎn)與危害。