本文结合《中国互联网地下产业链分析白皮书》和《永安在线 – 2021年黑灰产行业研究及趋势洞察报告》总结概括,文档微信公众号回复:互联网地下产业链,自取。思维导图上传至知识星球:移动安全
两份报告讲的非常翔实,作者只是把其中大部分常见的内容整理出来,对产业链感兴趣的小伙伴推荐阅读原报告,会对我们的的原有认知产生颠覆性的影响。
总概
外行看热闹,内行看门道。中国互联网行业高速发展,越来越繁华,也越来越浮躁:如同冰山效应,大量“专家”只盯着冰山浮出来的表象做文章,却没人深入水下探索。久而久之,水下的世界越来越不为人知,也越来越复杂。这些复杂的利益关系,商业模式,各种对于漏洞的利用,打擦边球的做法,和一些封闭的信息孤岛,错综复杂,但是也构建了目前中国互联网的部分现状,我们称之为地下产业链。
对于地下产业链来说,本质是利用目前国内互联网用户对网络的认知水平不同,精心打造产品,进行的各种获利;而吸附于某互联网细分生态系统中,利用信息差,吸收养分;更有甚者是利用技术水平的优势,进行破坏、侵权及获利。总而言之,地下产业链发展至今,已经不能明确的把它剥离出来,所谓清水池塘不养鱼,这可能也是每一个行业发展都会遇到的规律。
中国互联网地下产业链发展到目前阶段,已经渗透到互联网行业几乎所有的细分行业中。从整体互联网的生态结构上来说,我们可以从三个方面来分析目前地下产业链的发展现状,这也是本报告的整体结构:
-
• 流量获取分发:流量的获取和分发是互联网的最基本的入口。获取用户访问的流量,是互联网最基本也是最原生的形态。流量入口造就了互联网巨头,特别是百度更是占据了传统 PC互联网的流量入口,通过分发流量发展到了几百亿美元市值的规模。采购和获取用户流量更是互联网企业的最基础的生存保证。而地下产业链更是在围绕流量的获取分发产业链做足了文章,也是最重要一环。
-
• 流量变现盈利:流量变现是任何互联网创新服务的基本形态,采购流量->提供增值服务->变现,也是大多数互联网创新的最基础的原理。对于概念投资型互联网项目来说,也许流量变现盈利并不是眼前的问题,但是长期来说,盈利模式也是无法避开的话题。而对于地下产业链来说,由于生存周期一般较短,变现盈利,是最根本的生存法则。
-
• 数据信息安全:除了流量获取分发,和流量变现盈利以外,还有一部分地下产业链在围绕数据服务、信息服务、信息与数据安全或是攻击敲诈勒索诈骗上做文章。这一类地下产业链更多的是服务于其他的产业链,但是牵扯更多非法的交易,和对互联网商业环境、互联网终端用户的影响。这部分产业链是影响最大也是最复杂的一部分。
-
• 黑灰产业链作案工具:黑灰产在进行作恶时,会采用各类工具进行批量、自动化攻击,以达到短时间内获得更多收益的目的。主要的黑灰产工具分为定制型和通用型,黑灰产定制型又分为电脑端的协议工具和手机端的脚本工具,通用型主要是各类改机工具、虚拟定位工具等。
下面内容我们会简要描述前两个产业链,着重讲解一下“数据信息安全相关产业链”和“产业链工具”。
流量获取分发产业链
流量获取分发产业链整体情况
很少有人去抽象出来互联网的最简洁的模型,但是假设我们真的去做,我们会发现流量获取分发几乎是一种最精简的抽象方式,特别是在中国互联网行业,在很多意义上,流量的入口和流量的分发权力几乎成了互联网上最重要的资源。
有了流量,就有了在互联网行业生存的能力,而占据了大的流量入口,也就成为了互联网巨头。其实根本的原理就是这么简单。而大量的互联网精英创新者,有先进的理念和方法论,有好的产业设计和完美的商业模式,到最后却没有好的流量获取方式。拿到风投后,大肆的采购流量,却发现几百万在这个行业里面几乎连水花都打不起来。
流量获取分发由于大量的地下产业链的存在,变得极其复杂和水深,有时候懂行的人流量的获取成本非常的低,但有时候却又高的吓人。真实流量和虚假流量很难分清楚,让网络推广也变成了一个热门而又邪乎的行业。
流量变现盈利相关产业链
流量变现盈利产业链整体情况
互联网行业最终变现盈利在国内主要是广告、游戏和电商。其实广告只是流量再分发的过程,并不能算是最终的终端出口,所以也就只剩下电商和游戏了。看似热闹非凡,创新不断的互联网行业,最终的盈利模型和传统行业比反而异常的简单。
互联网地下产业链其实也是如此,把流量变现需要很强的盈利能力,而一般主流的变现很难支撑的起流量采购成本,特别是地下产业链的流量时效性强、风险大、而且充满了骗术,如果没有变现能力的支撑,很难在地下生存。
所以地下产业链拥有很特殊的变现环境,但是如果抽象到极简,其实就是:黄、赌、骗。
色情APP产业链—跑分平台
很早之前写过一篇文章黑灰产的廉价“温床”—跑分平台,关于裸聊诈骗的,其中最主要的产业链就是跑分平台。所谓“跑分”,是利用正常用户的微信、支付宝收款码以及银行卡替别人收款,从中赚取佣金。而“跑分平台”就是专门为“跑分”搭建的一个网站或APP平台。通过搭建平台网站,以类似网约车“抢单”的模式进行运作。
主流的“跑分”有微信跑分、支付宝跑分、银行卡跑分,最近看到很多平台又推出了“拼多多”跑分平台。
数据信息安全相关产业链
数据窃取与非法交易产业链
数据泄露主因—黑产泛滥,内鬼猖獗
受益于数据量及数据应用的快速增加,全球大数据市场规模增长较快。数据显示,全球大数据市场规模由2016年的280亿美元增长至2020年的572亿美元,年复合增长率约为19.55%,预计2022年将达718亿美元。
数据来源:弗若斯特沙利文、中商产业研究院整理
我国大数据市场规模也呈增长趋势,2022年我国大数据市场规模达849亿元,同比增长19.1%,预计2022年将达1049亿元。
数据来源:弗若斯特沙利文、中商产业研究院整理
据不完全统计,国内个人信息泄露数达55.3亿条左右,平均每人就有四条相关的个人信息泄露,这些信息最终的命运,是在黑市中反复倒手,直至被榨干价值,而大数据的的价值爆发,让黑产看到了更大的市场。
追究泄露源,事实不免让人悲哀,我们总是在谈黑客、谈攻击、谈病毒……然而,一位前黑客对记者说:80%的数据泄露是企业内鬼所为,黑客和其他方式仅占20%。
一位从事数据交易超过十年的从业者道出了“内鬼”频出的重要原因:
由于体量庞大,外包公司和经销商过于分散,大型企业这样的问题很难根治。
过去一些运营商的数据库内部人能直接访问,现在要求内外网隔离,生产库查询库隔离,堡垒机、数据库审计,就是为了避免内鬼往外倒腾数据。
掌握大量数据资产的企业也开始有所动作,一些运营商已经开始上马数据安全项目。这一点,作为安全企业的我们更加清楚。近年,越来越多的用户在谈到自己的安全需求时,除了老生常谈的外部攻击,多半还会提到防内部人员或第三方公司的数据窃取和篡改,希望能通过第三方的数据库安全运维工具限制运维侧高权限人员的数据访问。
黑客生态,打造完整“产业链”
一线黑客多是学历低下、没有固定工作的年轻人,赚来的黑钱大半被“师父”拿走,而“师父”之上还有“师父”。
内鬼、黑客、爬虫以及手握数据的公司与个人之间的数据互换,是构成地下数据交易的主要来源,这些数据再经过清洗、分类,可以从不同的渠道销售出去。数据用途主要是精准营销,也包括身份认证和诈骗。
写文章之际正好遇到了比较严重的数据泄漏事件,当下,不管我们注册什么网站,干什么事情都需要手机号,我们很多人也只有一个手机号,因为绑定账号较多,很多人也不愿意换手机号,因此手机号也成了很多人的唯一ID,这就使得手机号以及其相关的数据尤为重要,在此有必要针对此次事件给出几点建议:
-
• 有条件的情况下准备两个手机号,一个办公,一个生活(也可以使用虚拟电话服务);
-
• 填写的住址不要太详细,在预留手机号的情况下,我们地址不用太详细,不管是快递还是其他需要找到你的人,可以通过电话获悉你更详细的地址,并且现在很多都有快递柜,我们可以直接地址写到某小区快递柜即可;
-
• 一些快递之类的需要姓名的可以用昵称,这样我们的家人被电诈时告知的姓名与真实姓名不符,家人会有所警觉;
-
• 在已有信息中增加一些不相关的数据,比如快递地址,可以增加一些完全不相干的地址作为埋点,诈骗团伙如果在剧本中说到“您的地址是某某某”,触发了你的埋点,这样你和你的家人都知道这是数据泄漏后造成的诈骗;
严刑峻法,能否让灰色地带的企业收回脚
《网络安全法》规定了企业收集个人信息必须征得用户同意,否则就是违法。配套出台的《两高个人信息司法解释》则从刑法层面进一步明确了侵犯公民个人信息行为的定罪量刑标准,为执法扫清障碍。
根据《网安法》,企业有责任确保其收集的个人信息的安全。如果用户个人信息丢失,企业必须通知用户,用户有权追责;所有企业都需要一个网络安全负责人,此人应是创始人或高管等对企业有支配能力的人。
许多数据泄露是公司内鬼或黑客所为,这种情况不可能禁绝,但公司若有证据显示自己已设立比较完善的数据安全管理体系,相关刑罚就有可能减免。
《两高个人信息司法解释》制定了极低的入罪门槛——非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的即可入罪,如果上述是公司行为,25条即可入罪。某专业人士认为,这意味着,数据地下产业从业者只要被抓,就可能被刑责。
随着网安法的出台,我国在该领域不仅实现了与国际接轨,而且惩处力度有过之而无不及。处在这种新形势下,一些曾游走在灰色地带的企业将脚收了回来。企业开始主动规范数据使用,这是新法压力下的重大进步。据中央网信办网络安全协调局负责人透露,《网安法》的配套法规正在抓紧制定中,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、个人信息安全规范等。
产业链工具
定制型黑灰产作恶工具
手机端黑灰产作恶工具中,主要作恶类型是:按键精灵、autojs、多开/分身、Xposed、代理工具、虚拟定位,。
其中,占比最高的是按键精灵和 autojs,合计超 42%。可以看出,手机端还是以脚本类型的作恶工具为主。
通用型黑灰产作恶工具
4 大改机工具类型中,安卓端改机工具可以概括为三种,分别是:软改、ROM改机、硬改,在2021年,我们共监控到 10 余种此类工具;苹果端改机工具以佐罗为主,类 似的,还有爱伪装、爱新机、爱立思等。
此外,依托于改机技术的云手机平台,也逐渐成为了黑灰产使用的工具。黑灰产往往通过会员充值或租赁的形式,借助远程连接获取云手机的使用权限后进行攻击,一次攻击成功后,再借助平台的一键新机功能实现改机。此类云手机平台有:河马云、红手指、多多云手机、雷电云手机、云帅云手机、华云云手机、双子星云手机、NBE云、 点动云手机等。
参考链接:
https://developer.aliyun.com/article/259052
https://www.seccw.com/Document/detail/id/16730.html
https://mp.weixin.qq.com/s/FcQM8uhWd23qQXQbtlOXRw
参考书籍:
《中国互联网地下产业链分析白皮书》
《永安在线 – 2021年黑灰产行业研究及趋势洞察报告》
推荐阅读:
随手分享、点赞、在看是对我们最大的支持
原文始发于微信公众号(移动安全星球):互联网黑灰产业链解读