所谓的“网络黑色产业链”，是指以互联网为载体，以盈利为目的的有组织、分工明确的团伙式犯罪行为。一般来说，上游为提供技术支持的黑客或泄露个人隐私数据的内鬼，下游则是实施黑产犯罪行为（如诈骗、洗钱、骗贷）的团伙。本文节选了汪德嘉博士《身份危机》一书中的“黑色产业”，告诉大家黑色产业链是如何运作有着怎样的危害？会给我们造成什么损失？

相信大家时常会碰到浏览器弹出广告，电脑突然蓝屏，个人电脑资料泄露，微博被盗，QQ被盗，游戏账号被盗，手机收到莫名其妙消费短信，接到各类推销电话对方对你的信息了如执掌，上网进入钓鱼网站等情况。不仅仅个人的电脑出现问题，各大企业的服务器网站被黑，国家政府网站和军用系统被黑的事件，各大网络公司例如去哪儿网，如家酒店等客户信息泄露等等。近年来此类新闻报道层出不穷，这背后就隐藏着黑色产业链。

黑产是什么

黑产是黑色产业链的简称，就是黑客利用技术手段如流氓软件、数据库拖库撞库等进行违法犯罪活动。

所谓的流氓软件就是骗你说是某个正规软件，当你打开后，各种各样的安装包病毒等就会入侵进你的电脑，你的电脑就成为了案板上的鱼肉任黑客宰割，进行DDoS攻击或者通过你的电脑获取隐私数据等，以此获得利益。

所谓拖库，顾名思义就是把数据库拖出来，将网站的数据导出保存。而撞库，就是利用拖出来的数据去尝试登录其它网站。此前CSDN数据泄露，之所以成为互联网史上规模最大泄露事件，有一部份原因是用户在其它网站也使用与CSDN相同的账号和密码，黑客进行批量撞库攻击盗取账户。

黑客先对不法操作所得的数据进行洗库，即层层利用数据库中的资源，全方面发掘里面资源进的价值。然后将部分数据做成社工库，用以收取会员注册费用，会员能直接查询到泄密的明文。

由于黑色产业链的蓬勃发展，以及快速的盈利模式，引起了很多人的关注，业内业外人士都开始从事黑色产业，甚至出现了黑客培训的网络教育产业，这进一步导致国内黑产的层出不穷，欺诈案件的不断发生。下图是黑色产业链其中一种犯罪模式。

网络犯罪过程

钓鱼网站

“钓鱼”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。

通常，钓鱼网站看起来像来自一家合法公司，有的钓鱼网站还有商标，和真正的网站界面相似，让用户信以为真。它试图诱惑用户把账号和相关密码给他们。钓鱼网站经常解释说，公司记录需要更新，或者正在修改一个安全程序，要求用户确认你的账户，以便继续使用。

黑客通过钓鱼网站牟利的方式有在钓鱼网站设下陷阱，大量收集用户个人隐私信息，通过贩卖个人信息或利用隐私信息敲诈用户；利用钓鱼网站收集、记录用户网上银行账号、密码，盗取用户的网银资金；假冒网上购物、在线支付网站如淘宝、工行电子银行网页版等，欺骗用户直接将钱打入黑客账户；通过假冒产品和广告宣传获取用户信任、骗取用户金钱；伪造团购网站或购物网站，假借“限时抢购”、“秒杀”、“一元购”等噱头，让用户不假思索提供个人信息和银行卡号，这些恶意网站直接获取用户输入的个人资料和网银账号密码信息，进而获利。多地出现的仿冒“非常6+1”节目中奖信息骗取网民钱财的网络诈骗事件，就是以中奖为诱饵，欺骗网民填写身份信息、银行账户等信息。

恶意代码

恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。最常见的恶意代码有计算机病毒（简称病毒）、特洛伊木马（简称木马）、计算机蠕虫（简称蠕虫）、后门、逻辑炸弹等。

计算机病毒是利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能潜伏在计算机的存储介质（或程序）里，条件满足时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序，对计算机资源进行破坏。计算机病毒就如同生物病毒一样进行繁殖，当正常程序运行时，它也进行运行自身复制。计算机病毒也具有传染性，通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上。此外，计算机病毒还有潜伏期，可以依附于其它媒体寄生的能力，侵入后的病毒潜伏到条件成熟才发作，会使电脑变慢。2017年席卷全球的勒索病毒，就是一种典型的计算机病毒（见下图）。

WannaCry病毒

计算机病毒有许多的分类方式，按照根据病毒存在的媒体划分：网络病毒、文件病毒、引导型病毒和混合型病毒。按照病毒传染渠道划分：驻留型病毒、非驻留型病毒。根据算法划分：伴随型病毒、“蠕虫”型病毒、寄生型病毒、练习型病毒、诡秘型病毒、变型病毒等等。这里就不一一赘述了。我们主要介绍特洛伊木马病毒和蠕虫病毒。

特洛伊木马的故事大家都听过，古希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷。木马病毒是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。灰鸽子是一款远程控制软件（见下图），有时也被视为一种集多种控制方法于一体的木马病毒，黑客利用灰鸽子窃取账号、密码、照片、重要文件都轻而易举。

灰鸽子产业链

蠕虫病毒与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，其通过操作系统漏洞传播、通过电子邮件传播、通过网络攻击传播、通过移动设备进行传播、通过即时通讯等社交网络传播。大名鼎鼎的“熊猫烧香”就是蠕虫病毒。跟灰鸽子不同，它是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒，不但能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。

恶意应用

而随着移动互联网的发展，欺诈分子的犯罪手段也在不断升级，黑色产业扩展到移动服务中。比如类似钓鱼网站的山寨应用（盗版APP），黑客将正版APP进行破解、篡改后重新打包，再上架到移动应用市场让广大手机用户下载使用。盗版App的作者常常会在盗版应用中植入恶意广告插件。这些恶意广告插件不仅会在手机上乱弹广告，骚扰用户，还常常会偷偷在后台自动下载其它应用，消耗用户手机流量与存储空间。更有甚者，一些恶意广告插件还会盗取用户的通信录、短信、通话记录以及账号密码等信息。

面对黑客各式各样的欺诈行为，工信部发布了《八大恶意应用标准》，具体内容如下。

八大恶意行为描述

根据《2016年度中国移动APP安全监测报告》数据显示（见下图），截止2016年底，全国共监测到24,973个恶意应用，12,657个仿冒伪造应用，813,066个高危应用，危险应用占全网应用的比例为29.48%，即每10个应用中有3个危险应用，可能对用户的隐私、财产等产生不良影响，整体安全形势不容乐观。

2017上半年度Android恶意应用类型分布

结语：

就像电影《欺诈游戏》里伊甸园的果实那样，因为玩家需要在游戏里互相欺骗来获得巨额奖金，人性的弱点被暴露出来。现实中，电信网络欺诈层出不穷，而且已经发展到了方法专业化、欺诈人员职业化的阶段。网络黑产也已经从过去的黑客攻击模式转化成为犯罪分子的敛财工具和商业竞争手段，呈现出明显的组织化、产业化趋势。然而“免费的奶酪只存在于捕鼠器上”。世界上并没有免费午餐，假如习惯于去尝免费甜头，势必会为此付出惨痛代价。