互联网地下产业链调查

这条产业链的上游是以黑客技术为核心的，譬如制造木马、培训黑客技术等等，“科技含量”较高；而下游则是商业化运作为主，主要是上游生产的产品的流通、使用和变现。

“其实我把ppt拷贝到他人电脑里是个非常危险的事情，通过这一个行为我就可以知道他电脑里的资料、密码等等。这种技术不只我会，在座网络安全专家都可以做到。”2013年12月12日“互联网刑事法制高峰论坛”上，来自中国人民公安大学的徐云峰教授用一个现场细节阐述了网络中无处不在的安全威胁。

而来自清华大学网络与信息安全实验室的副研究员诸葛建伟则用一个关于“互联网地下产业链”的报告，向人们展示了一个虚拟空间里的黑色世界：这里“肉鸡”不是鸡，是被黑客远程控制的电脑主机；“信封”装的不是信件，是含有虚拟资产和个人信息的网络账号；“***支弹药”不是杀人利器，而是能感染电脑的木马、病毒……当网络犯罪以产业链的形式运转、协作并传承，谁能保证自己不是那只躺在案板上的“肉鸡”？

产业化、市场化的黑色经济

中国网民数量自从2008年跃居世界第一后，就再没有让出过这个位置。据CNNIC报告，截至2013年6月底，我国网民规模达5.91亿，其中手机网民超4亿，互联网普及率为44.1%。即时通讯、网络游戏、网络购物……每一项网络产业都高速发展。但频繁的网络安全威胁不断出现。

据腾讯qq电脑管家一项针对2000名网民的调查显示，45.5%的用户曾遭遇即时通讯账户被盗，32%的用户遭遇游戏账户被盗，而遭遇虚假中奖等网络钓鱼信息则更为频繁，最终导致支付被劫持或网银被盗窃的也分别有5.8%和5%的用户比例。

事实上，最近几年网络犯罪几乎都处在“高压”和“严打之下”。2010年以来，***先后开展了整治网络、打击网络***、整治“网络黑市”、打击黑客攻击破坏等诸多专项行动，但成果丰硕，案件却层出不穷。譬如***数据显示，公安机关受理的黑客攻击破坏案件数量每年增长均超过80%。

连年增长的案件数量背后，大多有黑色产业链的身影。“由巨额经济利益驱动，一些网络不法分子使用各种网络犯罪技术手段，并利用目前社会大众在个人信息资料安全和网络安全的各个薄弱环节，组织起具有明确社会角色分工并拥有多重环节的地下产业链，通过各种可能的非法利益链条危害网民的财产安全，攫取大量的非法收入。”诸葛建伟在论坛所做的关于互联网信息安全地下产业链调查报告中如是描述。“而随着地下产业链的不断发展与壮大，不法分子们也建立了大量隐匿在互联网阴暗角落中的地下黑市。”

地下产业链的基本运作程序

熊猫烧香病毒制造者李俊2010年出狱后，曾有媒体援引业内人士的话评价“害了他的是那条灰色的病毒产业链，而李俊的入狱对这条产业链并没有产生任何伤害。”一语成谶，熊猫烧香病毒后，各种病毒、木马仍然层出不穷，甚至愈演愈烈。此后2013年3月江苏徐州铜山区法院开庭审理的浮云木马盗窃案中，涉案犯罪嫌疑人多达40余人。

浮云木马的制造者高扬是河北唐山一名机械数控专业毕业的大专生，平时喜欢研究点网络技术。2011年底他在研究淘宝支付程序时，形成了一个编写盗窃网银的木马程序思路。苦于自己技术水平有限，他找到自称黑客高手的网友王超。王超花费了一个月的时间写出木马，并在网络上传了一个测试版供***。测试版的用户反馈良好，令两人大喜过望，还用年度流行词汇“浮云”对这个木马进行了命名。

此后，二人迅速组织了一个QQ聊天群，并规定只有花费3000元购买了浮云木马一个月使用权的人才能够获准进入该群，两人还定时对木马进行更新，通过用户的反馈不断调整程序功能，定时更新。截至案发，加入该群的已经超过80人。

对于购买了浮云木马使用权的人而言，他们的盗窃工作是从开设虚假淘宝店铺开始的。这些网店售卖产品的标示价格通常较低，用来吸引网购者点击。而买家进入页面咨询购买事宜时，这些商品页面上的病毒已经不知不觉“溜”进了他们的电脑。这种被木马控制了的电脑，在黑客界被称为“肉鸡”。

“肉鸡”买家在使用网银支付时，木马程序会自动改变买家指令，而是按照网银盗窃者的指令改变支付途径及金额，将资金充入腾讯、巨人、新浪等网络平台用于购买游戏点卷、点卡等虚拟货币，并存入黑客指定的游戏账户中。网银盗窃者再通过变卖点卡的方式获得赃款。而低价购买点卡的网络商人再以比游戏***更加便宜的价格卖给游戏用户，赚取差价。而此时在表面看来，只不过是买家的现金在游戏平台上完成了一次普通交易，赃款被自动“洗白”。

浮云木马盗窃案再一次阐释了互联网地下产业链的基本运作程序。：制造木马、病毒——使用木马病毒非法控制他人电脑——盗窃资产或信息——变现并洗钱。

这条产业链的上游是以黑客技术为核心的，譬如制造木马、培训黑客技术等等，“科技含量”较高；而下游则是商业化运作为主，主要是上游生产的产品的流通、使用和变现。

在这个链条里，上下游基本是***运作的，只是通过“购买木马使用权”这样的交易连接在一起，黑客这样的好处在于构成***的圈子，某一环节个别人、产品的消失，并无碍于整个黑色产业链条的运转。譬如但上下游有时也会勾结在一起，构成完整的产业链，以方便黑色经济的运行。。

无疑，在这样一个产业化、市场化的黑色环境下，个案更像是癌细胞，割掉多少都可能重复繁衍、再生。

细分市场的四大链条

当然，网络地下产业经济类型繁多，区分的方法也不尽相同。

例如中国人民公安大学警务改革与发展研究中心《2012年中国互联网违法犯罪问题年度报告》中，就将网络犯罪划分为网络诈骗、网络传销、网络***、网络贩卖公民个人信息、网络钓鱼、网络、网络黑客攻击、网络贩卖假冒伪劣产品、网络***和网络非法集资等十种。这些网络犯罪依附于产业链的不同阶段，并且随着网络创新，不断出现新的方式、方法。

诸葛建伟则按照地下产业链盈利模式与关联结构，将网络地下产业链细分为四大链条：黑帽技术工具与培训产业链、互联网资源与服务滥用产业链、真实资产盗窃地下产业链、虚拟资产盗窃地下产业链。这个四个链条也基本对应着前文所述的基本程序的各个阶段。

“其中黑帽技术工具与培训产业链作为整个产业链的根源，为其他三大产业链提供了技术基础，而互联网资源与服务滥用产业链则为网络虚拟资产和真实资产盗窃提供了网络资源条件。”诸葛建伟说。

这是一个巨大的市场，盈利规模通常以“亿”为单位计算。据诸葛建伟保守估算，仅2011年为例受到四大产业链威胁的网民就多达11.1亿，受威胁的网站105万个，保守估计盈利规模可达53.6亿。“如果再考虑到每个链条的上下游环节，以及其他利益反馈，整体经济总量或超百亿元。”

技术基础：黑帽技术、工具与培训

我的网银如何不翼而飞，个人身份证号和***码怎样泄露，QQ号码怎样被改了密码，黑客怎样控制我的电脑，垃圾邮件怎么会源源不断……这些问题的答案，对于绝大多数只会QQ聊天和上网看新闻的网民来讲都是不可思议的。

抛却复杂的技术概念，简单来说实现这些行为的方法都可以被笼统称为黑帽技术，浮云木马、熊猫烧香则就是黑帽工具。教会他人使用黑帽工具和技术的过程则是黑帽培训。

《方圆》记者在百度上输入“黑帽技术+培训”、“黑帽技术+工具”的关键词，可以得到500万以上的搜索结果。一些公开叫卖的“培训课程招生简章”显示，大多数黑帽技术培训教程开出的价格在3000元到8000元之间。这种培训通常不是实体的，而是通过网络视频、QQ流等形式完成的。而像“浮云木马”这样的黑客工具一个月的使用权叫价就高达3000元。

那么，为什么是黑帽技术而不是黑客技术呢？原来黑客一词最初的含义是精通计算机技术的电脑高手，后来其内部逐渐分化为白帽与黑帽：前者只为研究技术存在，后者是为了追逐短期利益侵入他人电脑。他所以，黑帽技术与互联网地下产业的关联更加紧密。

通常情况下，黑帽技术以产品和服务两种存在于地下产业链中。

“浮云木马”就是产品。黑帽利用自己所掌握的技术来编写各种恶意程序，或者挖掘软件漏洞，然后将恶意程序和安全漏洞作为自己的产品出售给另外三条产业链中的不法分子，为他们提供“武器弹药”，使他们有能力从事网络犯罪活动。

2012年曾经发生过一起案件，犯罪嫌疑人是姐弟俩，经营一家网络推广公司，承诺帮助客户在网上删除其遭受过广东省注册会计师协会处罚的信息。在联系网站未果的情况下，他们雇佣了一名黑客。该黑客通过远程控制100多台服务器向目标网站不间断地发送攻击数据包的方式，造成网站瘫痪无法访问。这就是“黑帽服务”。现实中，一些黑帽会接受临时的雇佣，完成雇主指定的入侵、黑站、窃取个人信息或情报等任务。

资源条件：滥用互联网服务

香港金融业在2012年曾经发生了轰动一时被黑客攻击网站敲诈勒索案。一群20多岁的年轻人通过黑客手段集中攻击了14家香港金融业及证券投资公司网站，使其客户不能正常访问网站或进行交易，引发了香港金融系统的恐慌。警方事后查明，这个团伙还涉嫌攻击国内多个网游服务器、窃取游戏币非法获利的犯罪事实。

金融公司网站给客户提供金融咨询和交易平台，这都属于典型的互联网服务，通过黑客攻击使得这种服务中断的行为就是滥用互联网服务。

生活中，我们每个人都享受着网络带来的各种便捷的互联网服务，像电子邮件、微博、信息搜索、网络购物等等，所以滥用网络资源与服务的种类非常繁杂，产业链分支也就非常多。普通网民常见的垃圾邮件、点击广告欺诈，刷搜索排名，窃取个人隐私信息，博客、微博刷人气排名，发动黑客攻击后敲诈勒索等等都属于此类。特别是随着这两年移动互联网的高速发展，智能手机终端的恶意扣费、软件推广欺诈等等也屡见不鲜。

那么，不法分子是如何盈利的呢？

网络虽然在很多人眼里是虚拟的空间世界，但特定的网络资源和服务都可以产生出经济价值。像香港那些被黑客勒索的金融业网站中，就有数家因网站被攻击无法向客户提供服务而被破缴纳了数十万的“保护费”。

黑客勒索只是盈利方法之一。大多数情况下。黑帽通过技术优势，控制庞大数量的计算机（这些计算机也被称为“肉鸡”），这些计算机在不知不觉中如同中国古老传说中的僵尸群一样被黑帽驱赶和指挥着，这个群体就构成了“僵尸网络”。这些“肉鸡”、被盗窃的个人隐私可以被出售给他人使用，用来计件收费；拥有或者购买了“僵尸网络”的人可以发送垃圾邮件、推广广告、刷点击量排名，向利用这些行为投放广告的商户可以收取服务费。

金钱诱惑：真实资产盗窃

无论是网络地下产业链上游提供的技术基础，还是下游完成商业化运作过程，除了个别以“炫技”为目的的黑客行为，其目的无非是金钱利益。这一点，在虚拟资产和真实资产这两条盗窃产业链上尤为突出。

“浮云木马”的制造者一开始就是针对淘宝支付程序进行针对性研究，说明真实资产盗窃者的目的性非常强。2014年双十一，仅淘宝一家电商交易额就高达350亿，足以说明真实财产已经在网络安家落户。不仅国内主流的五大银行，包括一些地方银行和外资银行，几乎没有不提供网络银行服务的。

一般情况下，网银的威胁主要来源于网络钓鱼和网银木马这两种技术手段，来获取真实资产账户的账号密码。像浮云木马盗窃案一样，整个过程全部在网络上完成。犯罪嫌疑人彼此之间根本不在现实中见面。

但也有例外。湖南衡阳曾发生过一起妨碍信用卡管理案件，犯规嫌疑人利用地下产业链中黑帽盗取的他人身份证信息办理假冒银行卡，而每张银行卡以60-80元的价格卖给他人用于犯罪。这个案件凸显真实资产网络盗窃的一个新特点：线上线下的紧密结合。此外也有境外网站从网络地下产业链中购买信用卡资料制作伪卡 ，并实施刷卡消费或套现的案件。

这几年各地不时发生网银盗窃案 ，但破获者却很少，从法律上的认定更是困难 。例如前文提及浮云木马网银盗窃案，虽然警方初步统计涉案额过千万，但由于技术手段限制无法找到全部的犯罪嫌疑人和被害人进行取证，庭审中只认定了27万，令不少人惊讶。

从网络到现实：虚拟资产盗窃

一件网络游戏人物穿的衣服可以价值数千，一个高等级qq号可以被卖出数万……这些都已经不是什么特别新鲜的新闻。在淘宝上，公开叫卖qq号的不计其数，其中一家网站叫卖的“99AAA”的五位qq号开价259999元。有业内人士认为“这些号码的来源都很成问题，盗号的可能性极大”。

相较于网络真实资产盗窃，网络虚拟财产的盗窃更加依赖于网络来完成整个过程。这条产业链随着网络游戏的兴起就已经诞生，无论是技术方法和环节也比较成熟。

虚拟资产盗窃之所以存在，主要是因为“信封”可以转化为现实的经济利益。“信封”是盗号行业，指网游、娱乐等互联网软件的账号，盗号者通过网络钓鱼或盗号木马控制“信封”，然后再通过“洗信”转移账号下虚拟货币、网游装备，或者修改账户认证密码，就可以通过网络营销渠道转化为现实社会中的金钱利益。

应该说虚拟资产盗窃的出现较早。深圳市南山区检察院2005年公诉的一起盗卖qq号案件，法院最终认定qq号不具备财产属性，而以侵犯通信自由罪对两被告人分别判处拘役六个月。而同样是该院2013年初公诉的一起腾讯员工盗卖qq号案，犯罪嫌疑人则被法院以非法获取计算机信息系统判处有期徒刑两年。

同案不同判，将法律在规制虚拟资产盗窃方面的困惑表露无遗 。核心原因在于“虚拟财产”是否具有财产属性十几年来法律界都争执不休。一旦出现相关案件，司法机关往往会转而寻求其他罪名，而非盗窃罪来定罪量刑。

利益链条上的逐利者们：黑客与网络黑商

庞大的互联网地下产业链，依附着形形的人。并不是所有的人都是技术高手，像电影《骇客帝国》一样历经沉浮，被万人崇拜。他们大都为了追名，或是逐利。网络流传甚广的一篇介绍中国黑客历史的博客文章中，作者形容这个群体“一再被捆绑和裹胁，先是民族精神，然后是商业利益，现在则几乎是犯罪的代名词。”

熊猫烧香病毒案中，李俊开始制造出病毒并没有想到出售牟利，只是在小范围内流传。直到认识一个名为张顺的人，才使得病毒在倒卖中大幅度扩展。再如前文提及的2013年腾讯员工盗卖qq号案，其中一名犯罪嫌疑人严某就属于社会游民。他本身不会盗号，但他却从不同的渠道收集qq号，进行囤货，然后再伺机出售。这个张顺和严某就是典型的网络黑商。

如果说黑帽们是产业链上游的主体，那么集中在产业链下游的很多人则可以称为网络黑商。这些网络黑商本身往往并不掌握相关网络技术，甚至学历水平很低，但他们在网络上却人脉广阔，能像现实中的商人一样，将产业链中的各类“产品”倒买倒卖。

此外，这个产业链上也衍生出一些特定的人群，他们不需要复杂的技术，简单操作就可获利。例如近几年方兴未艾的“刷客”。刷客最早是博客上通过软件程序人为增加点击量的作弊程序，后开扩展到为淘宝商户刷信誉、为微博刷点击量、为各种排名刷投票等等。

例如淘宝刷信誉是备受网络购物者诟病的行为，一般每单在2元-5元之间。通常淘宝信誉的评价规则是一个好评积一分，如此要刷出需要1万分以上的一皇冠店就需要花费2万元到5万元不等。

衍生的网络黑市

无论是黑客出售工具还是盗窃者倒卖qq号码，都同样需要固定的地点来方面交易鍀完成。这个地点就是网络黑市。

就像现实中有商业区、菜市场一样，随着产业链条上不同的人交换信息的需要渐渐增多，隐匿在网络角落里的黑市也渐渐形成了。网络黑市一般隐匿在相对固定的论坛、小众网站，聚集了黑色产业链条上各种各样的人，有厂家，有客户，有中间商。

在这个市场里，木马病毒、***支弹药、爆炸物品、管制刀具、弩、剧毒化学品、手机窃听软件、手机改号软件、汽车干扰器、身份证、银行卡、假证、假币、假发票、个人身份（证件）信息，乃至人体器官……用一句流行的话说“只有你想不到的，没有你买不到的”。

百度贴吧是网络黑市的主要聚集地之一。在专家看来，其原因在于“百度贴吧是国内最大的中文社区论坛，同时采用了基于关键字的论坛组织方式，并支持未经注册用户的匿名访问，地下产业链参与者可以使用业界行话创建出交尾隐蔽的交流论坛。”

以木马产业为例，一般木马的制造者被称为“造***的”，他们甚至会根据不同客户要求制造针对不同目标的木马；负责木马销售的则是“卖***的”，他们负责通过自建网站，向有意通过购买木马而实施网络盗窃的不法分子进行销售，完成资金回流；购买木马的盗窃实施者是“拿箱子的”；被雇佣散工将木马通过各种方式尽可能多地传播出去的是“挂马”人等等。

尽管这些行话已经渐渐为公众所知，百度贴吧也已经对几十个相关关键字进行了封禁处理。但记者以空格键等多种规避手段登录搜索，仍然发现有大量黑市贴的存在。清华大学信息与网络安全实验室的百度贴吧网络黑市的一项监测数据，截止2013年3月15日，共有相关主题帖31万余个，总帖子数110多万个。

一般来说，贴吧或论坛信息更多的是接头，大量的后续动作会转入即时通讯软件，最常见的是qq群。清华大学信息与网络安全实验室在2012年3月至5月对130个黑市qq群的监测，两个月间发现了7万余条消息、2万多个会话和近8千名参与者。黑市qq群的活跃程度可见一斑。

网络黑市的另一个特征是不会给出特别明确的定价，往往在私下进行磋商。一些工具可能价格会相对固定。譬如购买1000个“肉鸡”构成一定规模的僵尸网络进行攻击的成本仅需100元-500元。而在某些关于出售银行卡资料用于盗窃存款的广告帖中，甚至会给出“五五”或“”的分成比例。

传播与协作：地下产业链的延续法则

按照诸葛建伟的研究，互联网地下产业在2004年至2005年还处于发展萌芽状态，2006年则进入了飞速膨胀与发展阶段，地下黑市十分活跃，年平均发帖量增长达到184%，并在2008年达到一个阶段性的高峰。

2009年，意识到网络安全问题的有关部门开始加大了打击程度，在刑法修正案七中进一步明确了对网络犯罪的刑罚，并通过若干个个案处置对地下产业链形成了一定效果，因而产业链发展一度停止。

但随后，产业链在2010年继续前进，地下黑市又重新活跃。为此，***在2011年11月至2012年2月，一改以往针对某个产业，譬如网络、个人信息泄露等展开专项活动的传统做法，转而直接清理整治网络黑市。

但是，运动过后，常态复萌。《方圆》记者在网络上仍然可以搜到大量论坛、网站存在黑市交易帖，交易内容从肉鸡、木马、黑客工具，到***支、个人信息等等。一些被屏蔽的关键词，只要加上各类间隔符号，仍然可以搜索到。

任何产业的发展，都有一个“滚雪球”般不断壮大的过程。中国的互联网地下产业链之所以能在短短的二十年间，在面临***不断加大打击力度之下，仍然保持“蓬勃发展”，传播与协作是重要的生存法则。

据业内人士介绍，黑帽会通过“收徒”方式将黑帽技术无偿或有偿传授给新人，或者借无偿教学名义雇佣劳动力，为产业链源源不断地输送新鲜血液。

在网络地下产业链的严格分工和新鲜血液不断之下，个案的影响力显得薄弱了许多。如何挥刀断链，是值得人更加深思的问题。

几种典型的网络犯罪

网络诈骗

典型案例：江苏无锡“兼职信誉刷客”网络诈骗案

2013年2月，无锡市民周某在浏览某求职网站时，看到“兼职刷客”信息（通过帮人刷信誉获得佣金），于是通过QQ与网站客服取得联系。客服让周某到正规网站购买100元面额的充值卡，并将密码发送过来进行充值，成功后会将本金和佣金共计103.5元返回到周某银行卡上。首次交易成功后，周某多次到正规网站购买总计金额35万余元的充值卡，但客服以种种理由推脱不予返还。周某发现被骗后遂向公安机关报案。经查，该团伙8名犯罪嫌疑人已累计作案100余起，涉案金额200余万元。

网络钓鱼

典型案例：天津支付宝网络钓鱼案

天津的马小姐在淘宝上开了一家经营礼品销售的网店。2012年1月初，她的旺旺上接到一位买家发来的消息，称自己想在马小姐店里买东西，但发现马小姐的支付宝帐号“被暂时监管了”。马小姐赶紧进入邮箱查看，并根据邮件的要求点击链接去“解除账户监管”。这一点就中了骗子的圈套。马小姐输入的支付宝帐号、密码甚至数字证书的验证码都通过钓鱼页面落入了骗子手中，帐号中的14万多元都被骗子分批买了充值卡。而马小姐直到第二天才发现自己账户被盗了，并致电支付宝，但损失已经造成。案发后警方调查显示，该案2名犯罪嫌疑人共涉及类似案件47起，涉案资金37.8万余元。

网络***

典型案例：网络贩卖“盐酸曲马多”案

2010年，在仅有5万多人口的吉林通化县城，社区民警发现，约有30多名青少年在服用盐酸曲马多片剂（一种鸦片类药物）。警方从此至2012年查获了一起横跨全国18个省市、涉案人员达400多人的特大网络贩卖案。该案犯罪嫌疑人利用网络购物平台交易，支付宝付款，快递公司送货，从而布下“毒网”。

网络非法出售公民个人信息

典型案例：长沙倒卖个人信息团伙案

湖南长沙有一个专门从事数据倒卖的团伙，长期在网上以“中国资源部”、“移动数据专家”、“中国咨询”等网名，贩卖公务、公民、各运营商的用户机主资料等各种信息，涉及湖南、北京、福建等全国几乎所有省份，信息内容门类众多，从姓名、电话、住址、房产、车辆到手机通话详单、乘坐航班记录。该案勾画出一个典型的侵害公民个人信息犯罪网络***：泄露信息的源头（大量批发信息）买卖信息的数据平台（收集、加工信息并卖出）非法调查组织（购买指定人员信息，用来从事非法调查等）有需求的客户。

转载请注明出处学文网 » 互联网地下产业链调查