2022 全球网络黑产常用攻击方法 Top 10

原创 james_23 FreeBuf

近几年，借助互联网产业发展的东风，网络黑产也迎来更加巅峰的状态，不论是从攻击效率，组织规模，亦或是收益变现能力，都在一天天变的成熟完善。根据艾瑞咨询 2020 年发布的《现代网络诈骗分析报告》，全国黑产从业者已经超过 40 万人，依托其从事网络诈骗的人数至少有 160 万人，“年产值”在 1000 亿元以上。

毫不夸张的讲，网络黑产从早期的小打小闹，发展成如今的多行业、多场景、多任务的全社会广泛渗透。在巨额经济利益的驱动下，黑灰产从业者游走在法律监管的边缘地带，利用各种网络犯罪技术与工具，逐渐形成一条分工明确、合作紧密的黑灰产业链条，并且以一种难以遏制的速度，成长起来。

简单来说，当下网络黑产产业链可分为上中下三个层级：上游黑产主要提供“武器弹药”，收集各种信息资源，并为中游提供工具和平台；中游黑产则是针对网络系统和计算机进行直接破坏、入侵，以各种各样的方式实施资源窃取的行为；下游则相当于是“销赃”，可将黑产转化为现金收益，例如利用中上游提供的信息实施诈骗、洗钱等。

网络黑产的快速膨胀以及对全社会的巨大危害，让全球警方深恶痛绝，各国开始制定各种政策、法规，持续打击网络黑产产业的发展。但是，它就像是融入了互联网的血液之中，在多重打击之下反而愈演愈烈，有的国家甚至已经成为网络黑产的温床。

同时，网络黑产的手段也越来越高明，有的是利用各种黑客技术，而有的则是深谙人性的阴暗面，以各种手法诱惑他人上当受骗，DDoS 攻击、网络赌博、网络招嫖、制作木马程序、内网渗透攻击等攻击手法。

本文列举当下最流行的网络黑产常用攻击方法，总结了 2022 全球网络黑产常用攻击方法 Top 10，带你更深刻认识网络黑产。

深度伪造

深度伪造技术是一种基于人工智能的音频、视频和图像合成技术，通过将图片、音频或视频合并叠加到源图片、音频或视频上，借助神经网络技术进行样本学习，将个人声音、面部表情及身体动作拼接合成虚假内容。

深度伪造最常见的方式主要包括 AI 换脸技术，语音模拟、人脸合成、视频生成等，技术人员通过样本学习，逼真模仿出原人物的面部表情、肢体语言。深度伪造技术民用化最早追溯到 2017 年，当时美国一个网友发布一款名为“深度伪造”的软件，两年后，我国出现了一款“ZAO”换脸社交软件，一时风靡。

深度伪造技术不断演进，几乎可以达到以假乱真的地步，民众仅通过肉眼无法辨别真伪，使得篡改或生成高度逼真且难以甄别的音视频内容成为可能，带来一系列安全问题，部分不法分子利用该技术恶意拼接色情视频，进行勒索活动，产生极其恶劣的社会影响。

或许，人脸、声音、视频替换将成为网络黑产下一个阶段的重点发展方向，黑客将使用这项技术进行恐吓诈骗，网络欺诈。不仅如此，生产变脸和变声工具、提供虚假语音和视频合成服务也会成为网络黑色产业链中一个新的环节。

探针盒子

2019 年央视 3·15 晚会期间，“探针盒子”第一次走进民众视线，当天记者曝光一种 WiFi 探针盒子，当用户手机处于 wifi 打开情况时，探针盒子发现信号后，会识别出手机的 MAC 地址，然后在根据 MAC 地址转换成 IMEI，之后再转换成用户手机号码。

直白讲，探针盒子就是一种 Wi-Fi 路由器，当用户手机连接“探针盒子”发出的 Wi-Fi 网络信号时，探针盒子会自动获得手机 MAC 地址，随后便将其上传至非法云端数据库进行匹配，在自动进行 MAC 地址、IMEI 串号、手机号之间的匹配关联，返回一系列的数据，其中有机主的号码、应用软件的下载和使用情况和相关浏览数据等。

日常生活中，许多商场、酒店、餐厅、咖啡厅、健身设施等场地都会突然弹出免费 WiFi 蹭网提示，这些如果是非法分子布置的探针盒子，一旦用户连接，便会悄无声息盗取手机号码，后续可以用于“精准营销”。

目前，网上仍有许多售卖 WiFi 探针盒子设备的网店，并表示帮助对接到代理商平台，导出探针盒子附近采集到的手机数字信息。我国法律规定，利用探针盒子获取他人手机号等隐私信息的行为，涉嫌侵犯他人隐私，严重情况下可能面临民事侵权责任及治安管理处罚责任。

窃取指纹面容声音等生物信息的方式

目前，生物识别信息已应用到社会各环节，生物识别信息技术利用开始逐渐平民化，极大提升了用户使用体验，但网络犯罪分子也开始盯上了这块“香饽饽”。

相较于其它民众个人信息，生物识别信息是物联网时代背景下，将民众指纹、人脸、声音、基因、虹膜等个人特征，进行数字化处理后的信息，具有不可替代性。因此，生物特征信息无可争议属于民众个人信息中最敏感的部分。

但近几年民众生物识别信息屡遭侵害，网络犯罪份子通过 AI 合成技术伪造人脸、声音、指纹，或者在未告知情况下，偷拍、收集民众人脸信息、指纹，进行非法行为，侵犯民众个人生命财产安全。

目前，生物识别信息技术广泛应用于支付、日常通行、通信等几个方面，违法收集、盗取转移、贩卖民众生物识别信息构成了上下游产业链。生物识别信息如此重要，相关机构势必要对实行人脸识别、录入的单位及相关人员严格限制，应当对拥有类似虹膜、指纹、刷脸等一些生物特征识别技术的企业进行规范监管。

政府部门已经在加快推进个人信息保护立法，近些年，网信办、工信部、信息安全标准化技术委员会等部门接连发布文件，对生物识别信息实行规范性管理。

撞库攻击

此前，网络犯罪分子获取受害者账号信息主要通过感染系统后，横向移动破解，效率低、步骤繁琐，而且仅能获得单一账号详细信息，“撞库” 出现很好解决了这些问题，成为黑客盗号的重要手段。

对于普通民众而言，“撞库”无疑是一个专业名词。通俗讲，撞库是网络犯罪分子通过收集互联网已泄露的用户信息，生成对应字典表，尝试批量登陆其它网站后，便可以得获取一系列用户账号信息。许多用户在不同网站设置相同账号密码，可以利用获取的字典表随机登录任意网站，这个过程就可以简单理解为撞库攻击。

常见的撞库场景主要有以下两种：

弱密码嗅探：类似 111111、123456 这样的简单密码因为很多人用，用这样的弱口令去试探大量的账号，就有一定概率能发现一些真正在使用弱密码的账号。

利用拖库数据：这是攻击成功率更高的一种方式，原理是大多数人倾向于在多个站点上使用同一个密码。当攻击者成功入侵一个安全防护能力很弱的站点 A，并拿到其数据库的所有用户名密码组合，然后再拿着这些组合去站点 B 尝试，如果你两个站点都注册过并且使用了同样的密码……撞库就成功了。

钓鱼网站

钓鱼网站一般指诱骗用户填写信息的虚假网站，毋庸置疑是安全人最熟悉的黑产模式。钓鱼网站何以坚挺十几年？离不开其诈骗网页与真实网站界面别无二致，很难区分，一旦潜在受害者进入界面，所提交的账号和密码等敏感信息便会立刻被黑客抓取。

钓鱼网站作为网络黑产“钉子户”，虽难以彻底拔除，但也早已被安全人员研究透彻。通常情况下，网络犯罪分子会分发伪装成受害者企业内部邮箱或者某些权威性网站。这些邮箱或网站地址具有极高相似度，最大的区别在于其有且仅有几个页面，甚至只有一个页面。

常见钓鱼方式主要包括“鱼叉攻击”、“商业邮件欺诈”、“灯笼式钓鱼”、“克隆钓鱼”、“域名欺骗”、“短信钓鱼”、“语音钓鱼”、“域欺骗”、“水坑攻击”等方式，攻击者利用上述方式进行非法信息收集，潜在受害者往往会泄露个人信息，如姓名、电话、家庭住址、身份 ID，甚至信用卡号、账户用户名和密码等内容也会被攻击者获取。

钓鱼网站最早案例可能要追溯到美国，几十年前，美国互联网产业发展迎来高峰期，无数网络犯罪分子企图通过钓鱼网站，攫取经济利益。随着全球互联网产业融合发展，亚非拉等区域计算机产业井喷，钓鱼网站攻击开始蔓延全球。

钓鱼网站难以彻底拔除，根源在于即使大多数民众很清楚钓鱼网站的套路，但还是难以抵挡各种诱惑。钓鱼网站运营者熟练运用社会从工程学，抓住人类贪婪、恐惧、羡慕、虚荣、善良等各种情绪，付出极小代价便可获得受害者“秘密信息”。

色情网站

互联网江湖五花八门，黑客组织各显神通，色情网站自然占据一席之地，迫于法律法规，当下多采用地下模式存活。当用户偷偷摸摸访问这些网站时，自以为无人知悉、天衣无缝，殊不知获取视频数据过程中，网站内部嵌入程序已经在偷偷抓取用户手机信息，悄无声息窃取手机号码，浏览器记录、IP 地址，甚至相册、通讯录等机密信息也难逃一劫。

不止如此，某些色情 APP 还会雇佣黑客组织，利用境外服务器群发附有病毒的链接，一旦点击，木马病毒便会植入手机，横向获取银行卡信息、真实姓名、通讯录等敏感信息。更可怕的是，黑客还通过用户通讯录，群发所有好友。

部分色情网站窃取信息是征求用户同意后的行为。当用户打开一个视频，准备“欣赏”，突然弹出一个界面，需要获得存储权、相机、通讯录权限，一旦点击同意，无疑同意网站收集用户个人信息。不单技术手段，部分色情 APP 暗地里直接兜售用户个人数据，明码标价，“童叟无欺”。

色情网站的危害远不止于此，如何终止色情网站运行，阻断色情内容扩散，是社会以及各大网络搜索平台亟需解决的问题。

收买内鬼

直接攻击获取信息的手段已经不能满足网络犯罪分子的野心了，目前，这群人也开始玩起无间道，培养内鬼。何为安全行业内鬼？潜伏在企业内部，为攻击者提供登陆凭证、漏洞情报，企业消息，资源详情的”特务人员“就是内鬼！

有道是日防夜防家贼难防，网络犯罪分子”火力全开“使用各种攻击手段，投入大量资源，不见得能够洞穿企业安全防护体系，但只需要很小的一部分资金便可以收买内鬼，轻松突破防线，盗取、锁定企业数据。

网络空间中，不仅有急需内鬼的买方，卖方同样无时无刻不在兜售自己。微信群聊中，部分人员打着“公司内部信息”旗号，倒卖数据的事件在日常正并不罕见，“内鬼监守自盗，成为民众、企业数据信息流向暗网交易市场的重要渠道之一。

在 2020 年，公安机关办理的数据安全案件中，涉及到内鬼利用工作之便窃取、泄露公民个人信息的违法犯罪行为，查获重点行业内部涉案人员 500 余名。目前，圈内最火的黑客组织 LAPSUS$ 也是收买企业内鬼的”忠实拥趸“，为轻松突破目标企业安全防御体系， LAPSUS$ 提出一种创新型方法，针对目标企业，在论坛或者社交软件 Telegram 上，用各种语言广发“英雄贴”，蓄意丰厚报酬，试图招募目标企业员工献出其内部登录凭证。

”内鬼“之所以如此具有价值，归咎于企业机构中，对数据信息权限的管理不够明确，许多企业存在内部数据无分级，任何人都能查看、下载等情况。在高额金钱诱惑下，难免有小部分人员动歪心思。

伪基站

伪基站顾名思义就是伪冒基站，是一种利用 GSM 单向认证漏洞的非法无线电通信设备，主要由主机和笔记本电脑组成，能够搜取以其为中心、一定半径范围内的 GSM 移动电话信息，并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信，常部署在汽车或者一个比较隐蔽区域。（伪基站产业猖狂时期，能够在街上看到某些车辆鬼鬼祟祟，围绕某片区域巡逻）。

伪基站原理相对简单，当运营时覆盖范围内的用户信号被强制连接到该设备上，无法连接到三大运营商的网络信号，以影响手机用户正常使用，之后利用移动信令监测系统监测移动通讯过程中的各种信令过程，获得手机用户当前的位置信息。

伪基站启动后会立刻工作，开始屏蔽一定范围内的信号，趁着用户信号短暂中断，搜索出附近连接伪基站的手机号，随机将短信发送到这些号码上。一般而言，伪基站的作用时间持续10 秒到 20 秒，恰好允许短信推送。

伪基站具有隐蔽性、持久性等特点，加上往往部署在灵活性较高的汽车上，因此伪基站还具有较强流动性。目前，伪基站仍然可以通过特殊渠道购买，国家已经出台相应法规，例如《中华人民共和国刑法》第 288 条和《中华人民共和国治安处罚法》第 28 条都分别规定，擅自使用无线电台，经无线电管理部门责令停止使用后拒不停止使用的，或故意干扰无线电业务经有关部门指出后拒不采取有效措施消除的，移送司法部门处罚。

DDoS攻击

DDoS 攻击，官方定义为多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了多个位于不同位置的机器并利用这些机器对受害者同步实施攻击。直白点，就是攻击者利用已被攻陷的电脑，在较短时间内对目标网站发起大量请求，大规模消耗目标网站的主机资源，集中火力”围殴“受害者，使其无法正常服务。

DDoS 攻击表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机。另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或 CPU 被内核及应用程序占完而造成无法提供网络服务。

当被企业系统被 DDoS 攻击时，主要表现出以下几种情况：

1. 被攻击主机上有大量等待的 TCP 连接。
2. 网络中充斥着大量的无用的数据包，源地址为假。
3. 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。
4. 利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求。
5. 严重时会造成系统死机

针对企业的 DDoS 频频发生，从《2022 上半年全球 DDoS 威胁报告》数据显示，随着企业数字化、云化，DDoS 攻击次数已连续数年高速增长，已达去年同期的 3 倍，并且攻击手段、攻击烈度也在不断进化。

值得一提的是，网络犯罪分子为增加非法收入，会在暗网上出售 DDoS 服务，无差别攻击企业机构，获取佣金、赎金双倍利益。更有甚者部分勒索团伙毫无职业精神，即使受害者选择支付赎金，也不会解绑系统，甚至会“转卖受害者”，进行双重勒索。

假冒 APP

随着移动互联网技术快速发展，APP 已成为民众获取获取信息、娱乐交流、消费投资等各类生活需求的主要媒介。APP 大量使用便利民众同时，假冒 APP 也随之出现，成为一些网络犯罪分子攫取利益的工具。

区分正规 APP 和假冒 APP 的关键点在于用户支付时资金流向问题。正规 APP 充值方式都是集成在平台上，在 APP 上可以直接用绑定的银行卡进行充值，假冒 APP 的充值方式通常是诱导受害者通过银行卡或者支付宝、微信直接转账到对方账户。

从以往暴雷的事件来看，假冒 APP 并不是简单页面相仿、操作流程相似，而是经过团伙内开发人员、运维、产品等相互协作，严格分工，流程化设计，精准仿冒，量身定制假冒 APP 中各种诈骗流程，最后经下游渠道封装和分发假冒 APP。

各环节疏通后，假冒 APP 最终流向诈骗团伙，随后诈骗团伙根据假冒 APP 的功能特点，将其包装成极具迷惑性的“正规”应用平台，诱使潜在受害人点击链接或扫描二维码下载 APP，进而实施诈骗活动。

网络黑产发展趋势

网络黑产凭借其隐匿性、复杂性、灵活性，暗地里利用 DDos 攻击、钓鱼网站、色情网站等技术手段，谋取大量的经济利益。此外，为躲避法律监管，利益最大化，国内网络黑产组织彼此之间相互配合，形成上下游一体化“作案”，上游专门负责利用系统漏洞，盗取受害者数据信息，下游组织掌握庞大交易平台，分类数据，更为精准定位目标客户，最终实现利益最大化，俨然是一派分工明确、组织严密的“和谐景象”。

现阶段，网络黑产逐渐升级技术手段、转移运营区域、加强不同组织间协作、优化宣传方式、谋求合法身份，呈现出智能化、国际化、平台化、涉众化、产业化的发展趋势。更值得警惕的是，网络黑产早已盯上了年轻群体，青少年群体心智尚未成熟，法律意识薄弱，缺乏是非判断力，极易容易成为黑产引诱的对象。

网络黑产治理，任重道远！

精彩推荐