”成惯招，精准式诈骗场景频出 A. “拖库 拖库” 黑客通过入侵有价值的网络站点， 盗走用户数据库， 这个过程在地下产业术语里 被称为“拖库”；在取得大量的用户数据之后，黑客会通过一系列的技术手段清洗数 据，并在黑市上将有价值的用户数据变现交易，通常被称作“洗库”。最后黑客将得 到的数据在其它网站上进行尝试登陆，叫做“撞库”，因为很多用户喜欢使用统一的 用户名密码， “撞库” 也可以使黑客收获颇丰。 12 月 25 日， 中国铁路购票网站 12306 被爆有超过 13 万条用户隐私数据在互联网疯传，就是由黑客通过“撞库”攻击获得 的数据。
2014 年腾讯雷霆行动 网络黑色产业链年度报告
2015 年 1 月 20 日
本报告版权归腾讯公司所有 报告内引用信息均来源于公开资料，内容仅供参考 文中观点不代表腾讯公司立场
年度报告摘要
�
网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势，对网民 造成了金融资产和个人信息安全等多方面的危害，成为阻碍互联网发展的重要 因素。2014 年各种重大网络安全事件显示，网络黑产已经从半公开化的纯攻 击模式转化为敛财工具和商业竞争手段，集团化、产业化趋势明显，跨境网络 犯罪多发。
2. 解密网络黑产
结合上述案例可以看出，网络黑色产业链已经渗透到我们生活的方方面面，从影响 全球的网络安全事件，到犯罪分子利用泄露的银行卡信息盗取用户存款，无一不关系到 网络使用者的切身利益。
A．网络黑色产业链的分类：
4
所谓“网络黑色产业链”，就是指以计算机网络为工具，运用计算机和网络技术实 施的以盈利为目的、有组织、分工明确的团伙式犯罪行为，主要可以分为技术类、社工 类和涉黄涉非类三大类型。
技术类：指利用网络和计算机存在的安全漏洞和缺陷，窃取数据和信息，以及 对网络和计算机发起的各类攻击。
社工类：指利用受害者的信任、好奇心和贪婪等心理弱点，以冒充熟人或博取 同情等社会工程学的方式进行网络盗窃、诈骗和敲诈。
涉黄涉非类 ：指利用网络的便捷性和难以追查性，进行如网络色情、网络赌博、 涉黄涉非类： 贩卖枪支弹药和违禁品等的涉黄涉非违法犯罪活动。
�
网络黑产犯罪团伙已经发展为跨平台、跨行业的集团式经营运作，成为移动互 联网时代的毒瘤，政府、警方、各大互联网企业、银行、运营商和第三方安全 机构等应尽快建立有效的合作与共享机制，从源头上遏制网络黑产的生存空 间。
1
目录
一、网络黑产正在渗透............................................................................................... 3
“雷霆 ”在行动......................................................... 25 三、让光明驱散黑暗，腾讯 三、让光明驱散黑暗，腾讯“ 雷霆”
1. 与警方、合作伙伴建立全方位联动机制..................................................................... 2. 不断升级各平台和产品的打击策略.............................................................................
……………………………………………………………………………… ..31 编后语 编后语……………………………………………………………………………… ………………………………………………………………………………..31
2
一、 网络黑产正在渗透
1. 2014 年度黑产危害五大事件
12306 数据泄露事件 12 月 25 日，中国铁路购票网站 12306 遭遇“撞库”攻击，超过 13 万条用户隐私 数据在互联网疯传，用户帐号、密码、身份证号、注册邮箱等数据被大范围流传、买卖， 铁路公安机关抓获犯罪嫌疑人两名。第三方安全厂商确认该批数据的真实性，指是由黑 客通过“撞库”攻击所获得，网上并无更多 12306 用户数据遭流转的迹象。 索尼影业被入侵 11 月 24 日，索尼影业电脑系统被黑客入侵，大量内部财务文档、员工信息、甚至 四部原计划 2015 年发布的影片和内部往来邮件被陆续曝光。 索尼公司发布内部备忘录， 称此次攻击是“前所未有的、独一无二的”。 好莱坞艺人 iCloud 帐号被黑，艳照流出 8 月 31 日，好莱坞爆发史上最严重的“裸照”风波，近百名好莱坞知名女星、歌 手和名模的 iCloud 帐号被黑客攻击， 大量储存在苹果 iCloud 云存储服务器的艳照被黑 客盗取并上传至贴图网站。 “心脏出血 ” Open SSL SSL“ 心脏出血” 4 月 8 日，网络加密软件 Open SSL 被爆出本年度最知名的安全漏洞“心脏出血”， 黑客利用该漏洞可获取全球近三成以 https 开头网址的用户登录帐号和密码，包括网民 最常用的购物、网银、社交、门户、微博、邮箱等知名网站和服务，影响至少两亿中国 网民。
1. 2014 年度黑产危害五大事件....................................................................................... 2. 解密网络黑产................................................................................................................. 3. 2014 年全国各地涉网犯罪人员总数、涉案金额....................................................... 4. 2014 年网络黑产新趋势............................................................................................... A. “拖库”成惯招，精准式诈骗场景频出 B. 恶性商业竞争推动网络攻击、网络敲诈 C. 黑产偏爱手机木马，移动端抵御能力弱
6
从上图可以看出，黑帽入侵韩国银行网站、植入盗号木马后，网络盗窃黑产团伙如何 进一步窃取受害人的网银帐号和密码， 环环相扣， 最后通过下游的洗钱团伙和取钱团伙将 韩国受害人的银行存款在境内变现。据统计，在仅半年时间内，该犯罪团伙就先后对 100 余家韩国网站实施入侵，感染计算机达千余台，盗窃韩国网民银行帐号密码 4000 余组。
8
来源：各地公安机关公开数据
根据腾讯雷霆行动的网络黑产大数据分析显示，黑产犯罪团伙具有很强的区域聚集 性，主要集中在广西宾阳、福建安溪、和海南儋州。广西宾阳聚集了超过 3 万人的各类 网聊诈骗团伙 ，约占全国网络诈骗黑产人员总数的 27%；福建安溪聚集了约 1 万人的 、钓鱼网站诈骗团伙；海南儋州聚集了超过 4 万人的各类网络中奖 、网络机票 网购诈骗 网购诈骗、 网络中奖、 诈骗团伙，约占全国网络诈骗黑产人员总数的 30%。除此以外，大量黑产从业人员分布 在二三线城市， 主要为年龄介于 15-25 岁之间的无业年轻人， 他们在移动互联网领域里 能够很敏锐地察觉到敛财的机会，主要瞄准网上购物、网络银行、网络游戏和聊天等用 户群体。在洗劫一个用户资金的时候，金额都不大，花销一两百块钱或者八九百块钱， 一些用户发现后可能会因为怕麻烦而没有报案，因此网络黑产犯罪人员的实际数量要远 远高于我们从各类公开资料和统计数据中了解到的情况。
10
最后， 黑产人员还会把多个不同类型的数据库整合成社工库。 随着社工库的日益 完善，大量网络用户的隐私信息、上网行为、以及与个人金融财产安全相关的数据被 重新整合，多维度的海量信息让有强针对性的精准式诈骗场景频现。
2014 年下半年，大量冒充熟人诈骗、利用被泄露的银行卡信息进行盗刷等的网 络黑产犯罪案件层出不穷，矛头直指用户个人隐私泄漏问题。腾讯雷霆行动观察到， 从去年下半年开始， 网络上有数以千计的黑产从业人员从传统的点卡、 盗号诈骗转移 到银行卡盗刷产业。 相应地，盗取用户身份证、银行卡号、手机号等隐私信息的黑产团伙周边产业链 也不断完善，因网购订单泄漏、快递订单泄漏而导致的诈骗案件频频见诸报端，可见 当前互联网黑产的主要危害已经从传统的帐号安全逐渐转移至用户个人信息安全。 目 前，互联网企业应对用户隐私数据被盗的防御措施和用户的自我保护意识都仍然较 弱。
3
121 中国互联网 DNS 大劫难 1 月 21 日，国内通用顶级域的根服务器出现异常，导致全国三分之二的网站出 现 DNS 解析故障，数千万网民无法正常上网。事故发生期间，超过 85%的用户遭遇 DNS 故障，部分地区用户“断网”持续数小时。国家互联网应急中心通报指，此次事件是由 于 DNS 根服务器遭攻击导致。
9
4. 2014 年网络黑产新趋势
网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势，2014 年各 种重大网络安全事件显示， 网络黑产已经从半公开的纯攻击模式转化成为敛财工具和商 业竞争手段，集团化、产业化趋势明显。腾讯雷霆行动看到，俗称“拖库”的盗取网站 数据库已成为黑产人员惯招， 社工库为各种精准式网络诈骗提供数据来源， 恶性商业竞 争让网络攻击、网络敲诈成为常态。
7
3. 2014 年全国各地涉网犯罪人员总数、涉案金额
来源：2014 年国家网络安全宣传周资料
பைடு நூலகம்
据统计，2013 年我国公安机关全年抓获涉网犯罪嫌疑人达 25.2 万人，与 2012 年 相比增长 15%。据中国警察网报道，2012 年至 2014 年，全国公安机关组织开展打击 网络诈骗、网络淫秽色情、网络赌博、有组织传播谣言、销售违禁品等 10 余次专项打 击行动和清理整治行动，办理案件 30 余万起，抓获涉网犯罪嫌疑人 60 余万名。
�
由腾讯各大安全平台提供的大数据显示，2014 年网络黑产来势汹汹，全国日 均 54 万部手机中毒，支付类病毒增长迅猛；网络社工类欺诈以广东发案量最 大，男性及 90 后最好骗；四成恶意网站以色情网站的幌子行骗。