专栏名称: 安在

人物、热点、互动、传播，最有内涵的信息安全新媒体。

戏说“黑产”：网络黑客的地下“经济学”

安在 · 公众号 · 互联网安全 · 2017-07-01 20:02

正文

黑产的形成在于存在强大的市场需求，参与购买数据的最终需求者多种多样。如，一些商业机构是强大的需求方，他们为了获取潜在的客户资料、了解竞争对手的核心数据，从而从黑市购买数据。还有一些创业公司，是为了充实客户量，制造“虚假的繁荣”，以吸引风险投资。

天微微亮，大鸟（化名）结束了一晚上的任务，他用凉水洗了一把脸，起身，去公司上班。

在白天，他是某互联网公司的程序员。晚上，他是互联网论坛上活跃的“白帽子”。

“白帽子”是业内的俗称，即正面黑客，他们通过识别计算机系统或网络系统中的安全漏洞，发出漏洞警告，从而提醒企业或其他单位在被黑客侵入前修补漏洞。

由于白天工作时间不允许，大鸟只能用晚上的时间做“白帽子”的工作。这让他很疲惫，如果进入到了活动状态，大鸟可能会有很长一段时间都在高度紧张的精神状态中度过。

除了在论坛中得到被同行赞许的快感，很多时候，他们面对的是一群对漏洞不屑的人。因为每次被曝出漏洞之后，许多企业的第一反应是“辟谣”，而不是直面问题。

在大数据和云计算的时代，互联网正在重构整个制造业和服务业的运行体系，买方和卖方的对接越来越依赖于大数据，而不是实体的店面、中介。数据库的作用越来越重要，但安全却难有保障。

或许因为企业对漏洞不屑的态度，一些技术人员会警告企业——既然你不屑，我就干一单给你看。一些技术人员拿着漏洞去要挟企业，换取报酬，涉及利益巨大，一些人甚至很短时间就完成原始资本积累。白帽子是以其行为来判断，但也有可能在某些时间里，变成真正的黑客。

在国内，目前逐渐形成了一些漏洞举报的平台，如乌云网、360都建立了举报漏洞的机制，方法各不相同。国家互联网应急中心也建立了漏洞共享平台，每周发布信息安全漏洞周报。

一些企业的态度也变得开明起来，如2015年1月14日，特斯拉的官方订购平台被白帽子发现漏洞，原价30万元的预订金，白帽子可以在后台将之修改为一元钱。特拉斯得知后迅速修复了该漏洞，并承认该笔订单有效，同时还从总部邮寄了官方纪念品送给白帽子。

网安视界通过半个月的调查，接近了多位白帽子，他们中的部分不愿意透露真实姓名；同时，安在（ID:AnZer_SH）也试图从被业内称之为“社会学工程库”的论坛，寻找活跃在数据买卖链条上的人。此外，通过分析已有的案例和司法判决，也可以探寻这个庞大黑色产业在互联网时代日益形成的安全隐患。

入侵

“你不要社我啊。”这是一句从事网络安全程序员们的“行话”。“社”是指社会学工程库，他们把获取海量的个人信息称为社会学工程分析。

在社工论坛上，你可以找到各式各样的卖家和买家。他们明目张胆地买卖各种个人信息资料，如开房资料、考研学生资料、公积金信息等，一般都是几十上百万条信息打包出售，他们将这些打包出售的数据库俗称为“裤子”。

而“社”一个人，则意味着在网络上挖掘与这个人有关的各种资料，通过不同网站的海量数据，破解密码、下载资料……

一般而言，第一步需要入侵某个网站的后台系统。这个过程并不复杂，对一个电脑迷而言，一个刚入行的中学生就可能有能力侵入一个普通网站。

大鸟对安在（ID:AnZer_SH）讲述了他的故事。第一次学习黑客技术是大一的暑假，他花了一个月的时间在寝室自学。不久后，就已经可以进入学校网站的后台了。

从这一刻开始，数据就有了被泄露的危险。大鸟不会将数据下载下来用于己用，仅用来检测网站是否存在漏洞，但他告诉界小编，黑客入侵网站与白帽子检测网站，在技术路径上几乎是相同的。

大鸟不崇拜仪式感，他不喜欢称之为战斗，但这确实是一场战斗，虽然战利品只是为了满足一种孩童式的好奇、对技术偏执的渴望，但把它称之为一场发生在“入侵者”与技术“看守者”之间的战斗或许并不为过。

在大鸟的印象中，记忆最深的一次入侵行动是他在正式做一名职业白帽子之前。那是一次比较复杂的行动。大鸟发现了一家国外网站，对其原代码十分感兴趣，为了看到代码，他决定“入侵”这家网站。

大鸟先找拥有域名的这个人，查他的信息，发现此人是外国人。因为不是中国人，所以不能掌握太多他的信息。接下来寻找这个域名下的子域名。

经过分析，发现一些子域名放在几台普通VPS（Virtual Private Server虚拟专用服务器）上，打开几个页面是空的。扫了几个端口也没发现端倪，他知道从这几台VPS上很难找到问题，于是他决定找一下它的VPS提供商。

如果拿到VPS提供商的权限，就可以获取它所有VPS的权限，自然也就获取了该域名所指向的VPS权限。随后他发现这个VPS服务商的运维配置有一些问题，一步一步渗透下去，最终找到了该VPS提供商所有用户控制面板的账号密码，最后找到了对应人的账户密码。

拿到用户密码后，大鸟登陆了对方的控制面板。VPS是以控制面板进行操作的，进入控制面板就可以操控他服务器上的文件，但是没有文件打包编辑功能。最后，大鸟上传一个了网页后门，便获得了它的代码。

经过十分复杂的程序，大鸟获取了这台服务器的权限，顺利看到了代码。

或许从技术上，这并不算很难，但对于大鸟来说，这次“入侵”的复杂性远远高于技术，经过一个多月的“战斗”，看到代码后，他选择让自己大睡一场，进入冬眠。

窃取数据

对于白帽子而言，发现了网站的漏洞，他的工作就接近了尾声了。可对于黑色产业链（简称“黑产”）上的人来说，任务才刚刚开始，他们的目的是拿到数据，进而转化成金钱。

业内人士透露，黑客的惯用手法有很多种，但路径上存在相似性：获得外网服务器权限、进入内网、判断核心业务范围、获取核心业务服务器权限，找到数据库密码、看到核心数据、下载核心数据、拿到最高权限、抹掉所有痕迹。

这是一个相对理想的操作链条，但并不意味所有的黑客都能完成上述步骤，比如“拿到最高权限”并不容易，因此有些黑客下载了所有核心数据，但痕迹仍被记录。

对于目标的寻找，一位接近黑产的人士称，有时是黑客主动寻找“含金量高”的网站，侵入网站，窃取数据。这主要涉及的是一些与金钱交易有关的公共服务行业，如信用卡或网络支付、火车票购票网站、航空公司购票系统、网络购物网站等等。

还有一些则是接受定向委托，一般委托方来自商业竞争对手，需要获得竞争对手的客户数据，于是雇佣黑客。

在进入内网时，有时候黑客会直接查看对方的员工信息是否存在泄露，或根据常用密码top 100来进行测试，如果顺利登陆员工账号，就可以直接进入内网。

但对于需要核心数据的黑客而言，进入内网只是第一步。接下来，黑客需要对数据进行分析，判断核心数据所在位置。这就需要黑客对该网站的业务十分熟悉，甚至熟悉程度要高于网站运维人员，这样才能判断核心数据的子域名在哪一个IP段，进而找到核心数据。

当然，时机的选择十分重要，这一切都要在一个合适的时间里进行：一个网站流量大，看守者不容易发现的时间。比如，一般的社交网站，上午十点和下午三点比较活跃。在这样的时间里“拖库”相对不易被察觉。

“拖库”同样是行话，意思是将目标数据下载下来。但在许多时候，他们并非需要经过复杂的入侵程序获得数据。因为许多人在不同的网站注册信息时，会使用相同或相似的密码。因此，这就存在利用“撞库”的方式获得更多的数据的可能。

2014年底发生的12306网站用户信息泄露的事件，起初就被指是“撞库”行为，即用户的用户名和密码在其他网站泄露了。黑客利用其他网站获得的用户数据包，自动登录另一个网站，匹配出部分用户信息，形成数据库。

不过，即使是通过“撞库”发生的信息泄露，相关网站也难脱其责，因为只有存在安全漏洞，网站才可能被“撞库”。

目前，12306网站用户信息泄露事件发生的原因仍不明。官方仍未公布调查进展，网络也曾一度流传出泄露不是“撞库”行为产生用户信息泄露的例证。

黑色产业链

在数据被窃取之后，黑客不一定可以将这些数据销售出去。职业“中介”应运而生。黑产链条上，有人负责窃取数据，有人专门从事分销，寻找目标买家或帮买家寻找黑客。

安在（ID:AnZer_SH）试图寻找这样的人，于是在一些社工库论坛注册，发帖“雇佣黑客”，并且寻找一些专门从事数据交易的QQ群。在QQ群搜索功能中，只要输入“数据买卖”、“数据交易”等关键字就会看到有大量的活跃群，它们的名字直白简单，一般以“数据交易群”、“淘宝数据交易”等字样为主。

记者伪装成买家进入了其中一个交易群，并与一位声称可以提供“进线数据（打进某个电话的数据）”的人进行对接。该人士称，自己可以拿到每个行业里任意一家企业的进线数据。通过进入机房，实时监控拨打该公司号码的电话，并将其截取下来，进行销售。

但陌生人的网络交易，确保交易安全是个难题，数据提供方可能提供假数据，而数据购买方也不希望自己的购买行为被记录下来。对于这些疑问，该人士称，自己可以提供前一天的进线数据，并保证数据是一手信息。交易的过程，需要买家先少量购买，付钱后再工作，如果买家对第一批数据满意，再进行下一步更多数据的交易。

至于交易价格，该人士说，每个行业的价格不同，记者问到餐饮行业的某家巨头企业，他称这些数据价格1条10元，而这个价格称得上是“不便宜”。

数据交易达成的半年内，买家和数据提供商为唯一拥有者，数据商保证不会泄露给第三方。半年后，数据商就可以将数据打包销售，但此时数据已经大大贬值，一条的价格大概是几毛钱。

这时候，就产生了“二手数据”，二手数据一般会倒卖好几次，基本已经算是“公开”信息，这样的数据在一些社工网站上随处可见。记者潜水几个社工论坛多天，发现每天都会有几条数据供应帖发出。论坛用户只需要支付几个金币（一金币一元钱）的价钱就可以购买到大量数据，有的数据（如个别企业内部通讯录）甚至可以免费下载。

另外，在交易群里，经常出现一些交易请求，有的在寻找数据商，有的在出售数据。而在QQ群记录中，安在（ID:AnZer_SH）看到其中一条信息，涉及各公司大佬的手机号、邮箱等关键信息，该数据持有者将关键数字抹去，留下QQ号，吸引买家。

不过，拥有这类功能的QQ群有很多，记者申请进入数十个群，只有一个通过了请求。上述知情人士表示，这种情况并不意外。

需求方

一位业内人士对安在（ID:AnZer_SH）分析了几起案例，如2014年底，130万考研考生信息泄露。他分析称，许多考研培训机构需要这些数据，进而进行精准的市场推广。

与此同理，此前还发生过新生儿信息泄露事件。他称，许多母婴保健机构、培训机构、奶粉经销商、玩具经销商等各种盈利性组织对此类信息都有需求。

快递服务业同样是被黑产盯上的“重灾区”。有白帽子对安在表示，快递单号十分容易获得，只要对网址进行修改，就可以看到单号的具体信息。而在一些交易网站上，快递单号被明码标价，几毛钱就能买到一个单号信息。

这样的案例不胜枚举，交通、医疗、教育、金融服务、酒店业、快递业等公共服务行业机构都掌握了大量的用户信息，使之成为其上下游产业及类似机构觊觎的目标。

近年来，还有创业公司购买数据，迅速做大客户群，从而吸引外来投资。该人士举例，曾遇到过一位朋友的创业公司，通过购买数据，让自己的用户数据库看起来庞大一些。这种情况并不少见。

推荐人物阅读

人物

白健 | Coolfire ｜段海新｜杜跃进｜董志强｜于旸｜方小顿｜方兴｜范渊｜龚蔚｜黄鑫｜韩争光｜姜开达｜季昕华｜金湘宇｜刘春泉｜林伟｜马杰｜马坤｜聂万泉｜潘柱廷｜孙小美｜谈剑峰｜谭晓生｜吴翰清｜吴鲁加｜王琦｜薛峰｜杨卿 |云舒｜赵武 | 张照龙

白帽

聂万泉 | 笑然 |“先知”| 叶敏 | 黄源 | 刘健皓 | MJ | 大菠萝 | 衰大 | 乌云301

新锐

陈奋 | 陈新龙 | 陈宇森 | 高瀚昭 | 韩争光 | 罗启武 | 李术夫 | 刘士烨 | 马坤 | 吴志雄 | 宋国徽 | 权小文 | 薛锋 | 袁劲松 | 云舒 | 姚威 | 裔云天 | 赵武 | 朱林

安在
（ID:AnZer_SH）

新锐丨大咖丨视频丨白帽丨深度

长按识别二维码关注更多精彩