近几年,借助互联网产业发展的东风,网络黑产也迎来更加巅峰的状态,不论是从攻击效率,组织规模,亦或是收益变现能力,都在一天天变的成熟完善。根据艾瑞咨询 2020 年发布的《现代网络诈骗分析报告》,全国黑产从业者已经超过 40 万人,依托其从事网络诈骗的人数至少有 160 万人,“年产值”在 1000 亿元以上。
毫不夸张的讲,网络黑产从早期的小打小闹,发展成如今的多行业、多场景、多任务的全社会广泛渗透。在巨额经济利益的驱动下,黑灰产从业者游走在法律监管的边缘地带,利用各种网络犯罪技术与工具,逐渐形成一条分工明确、合作紧密的黑灰产业链条,并且以一种难以遏制的速度,成长起来。
简单来说,当下网络黑产产业链可分为上中下三个层级:上游黑产主要提供“武器弹药”,收集各种信息资源,并为中游提供工具和平台;中游黑产则是针对网络系统和计算机进行直接破坏、入侵,以各种各样的方式实施资源窃取的行为;下游则相当于是“销赃”,可将黑产转化为现金收益,例如利用中上游提供的信息实施诈骗、洗钱等。
网络黑产的快速膨胀以及对全社会的巨大危害,让全球警方深恶痛绝,各国开始制定各种政策、法规,持续打击网络黑产产业的发展。但是,它就像是融入了互联网的血液之中,在多重打击之下反而愈演愈烈,有的国家甚至已经成为网络黑产的温床。
同时,网络黑产的手段也越来越高明,有的是利用各种黑客技术,而有的则是深谙人性的阴暗面,以各种手法诱惑他人上当受骗,DDoS 攻击、网络赌博、网络招嫖、制作木马程序、内网渗透攻击等攻击手法。
本文列举当下最流行的网络黑产常用攻击方法,总结了 2022 全球网络黑产常用攻击方法 Top 10,带你更深刻认识网络黑产。
深度伪造技术是一种基于人工智能的音频、视频和图像合成技术,通过将图片、音频或视频合并叠加到源图片、音频或视频上,借助神经网络技术进行样本学习,将个人声音、面部表情及身体动作拼接合成虚假内容。
深度伪造最常见的方式主要包括 AI 换脸技术,语音模拟、人脸合成、视频生成等,技术人员通过样本学习,逼真模仿出原人物的面部表情、肢体语言。深度伪造技术民用化最早追溯到 2017 年,当时美国一个网友发布一款名为“深度伪造”的软件,两年后,我国出现了一款“ZAO”换脸社交软件,一时风靡。
2019 年 3·15 晚会期间,“探针盒子”第一次走进民众视线,当天记者曝光一种 WiFi 探针盒子,当用户手机处于 wifi 打开情况时,探针盒子发现信号后,会识别出手机的 MAC 地址,然后在根据 MAC 地址转换成 IMEI,之后再转换成用户手机号码。
直白讲,探针盒子就是一种 Wi-Fi 路由器,当用户手机连接“探针盒子”发出的 Wi-Fi 网络信号时,探针盒子会自动获得手机 MAC 地址,随后便将其上传至非法云端数据库进行匹配,在自动进行 MAC 地址、IMEI 串号、手机号之间的匹配关联,返回一系列的数据,其中有机主的号码、应用软件的下载和使用情况和相关浏览数据等。
日常生活中,许多商场、酒店、餐厅、咖啡厅、健身设施等场地都会突然弹出免费 WiFi 蹭网提示,这些如果是非法分子布置的探针盒子,一旦用户连接,便会悄无声息盗取手机号码,后续可以用于“精准营销”。
目前,生物识别信息已应用到社会各环节,生物识别信息技术利用开始逐渐平民化,极大提升了用户使用体验,但网络犯罪分子也开始盯上了这块“香饽饽”。
相较于其它民众个人信息,生物识别信息是物联网时代背景下,将民众指纹、人脸、声音、基因、虹膜等个人特征,进行数字化处理后的信息,具有不可替代性。因此,生物特征信息无可争议属于民众个人信息中最敏感的部分。
但近几年民众生物识别信息屡遭侵害,网络犯罪份子通过 AI 合成技术伪造人脸、声音、指纹,或者在未告知情况下,偷拍、收集民众人脸信息、指纹,进行非法行为,侵犯民众个人生命财产安全
此前,网络犯罪分子获取受害者账号信息主要通过感染系统后,横向移动破解,效率低、步骤繁琐,而且仅能获得单一账号详细信息,“撞库” 出现很好解决了这些问题,成为黑客盗号的重要手段。
对于普通民众而言,“撞库”无疑是一个专业名词。通俗讲,撞库是网络犯罪分子通过收集互联网已泄露的用户信息,生成对应字典表,尝试批量登陆其它网站后,便可以得获取一系列用户账号信息。许多用户在不同网站设置相同账号密码,可以利用获取的字典表随机登录任意网站,这个过程就可以简单理解为撞库攻击。
弱密码嗅探 : 类似 111111、123456 这样的简单密码因为很多人用,用这样的弱口令去试探大量的账号,就有一定概率能发现一些真正在使用弱密码的账号。
利用拖库数据 :这是攻击成功率更高的一种方式,原理是大多数人倾向于在多个站点上使用同一个密码。当攻击者成功入侵一个安全防护能力很弱的站点 A,并拿到其数据库的所有用户名密码组合,然后再拿着这些组合去站点 B 尝试,如果你两个站点都注册过并且使用了同样的密码……撞库就成功了。
钓鱼网站一般指诱骗用户填写信息的虚假网站,毋庸置疑是安全人最熟悉的黑产模式。钓鱼网站何以坚挺十几年?离不开其诈骗网页与真实网站界面别无二致,很难区分,一旦潜在受害者进入界面,所提交的账号和密码等敏感信息便会立刻被黑客抓取。
钓鱼网站作为网络黑产“钉子户”,虽难以彻底拔除,但也早已被安全人员研究透彻。通常情况下,网络犯罪分子会分发伪装成受害者企业内部邮箱或者某些权威性网站。这些邮箱或网站地址具有极高相似度,最大的区别在于其有且仅有几个页面,甚至只有一个页面 。
常见钓鱼方式主要包括“鱼叉攻击”、“商业邮件欺诈”、“灯笼式钓鱼”、“克隆钓鱼”、“域名欺骗”、“短信钓鱼”、“语音钓鱼”、“域欺骗”、“水坑攻击”等方式,攻击者利用上述方式进行非法信息收集,潜在受害者往往会泄露个人信息,如姓名、电话、家庭住址、身份 ID,甚至信用卡号、账户用户名和密码等内容也会被攻击者获取。
互联网江湖五花八门,黑客组织各显神通,色情网站自然占据一席之地,迫于法律法规,当下多采用地下模式存活。当用户偷偷摸摸访问这些网站时,自以为无人知悉、天衣无缝,殊不知获取视频数据过程中,网站内部嵌入程序已经在偷偷抓取用户手机信息,悄无声息窃取手机号码,浏览器记录、IP 地址,甚至相册、通讯录等机密信息也难逃一劫。
不止如此,某些色情 APP 还会雇佣黑客组织,利用境外服务器群发附有病毒的链接,一旦点击,木马病毒便会植入手机,横向获取银行卡信息、真实姓名、通讯录等敏感信息。更可怕的是,黑客还通过用户通讯录,群发所有好友。
部分色情网站窃取信息是征求用户同意后的行为。当用户打开一个视频,准备“欣赏”,突然弹出一个界面,需要获得存储权、相机、通讯录权限,一旦点击同意,无疑同意网站收集用户个人信息。不单技术手段,部分色情 APP 暗地里直接兜售用户个人数据,明码标价,“童叟无欺”。
色情网站的危害远不止于此,如何终止色情网站运行,阻断色情内容扩散,是社会以及各大网络搜索平台亟需解决的问题。
直接攻击获取信息的手段已经不能满足网络犯罪分子的野心了,目前,这群人也开始玩起无间道,培养内鬼。何为安全行业内鬼?潜伏在企业内部,为攻击者提供登陆凭证、漏洞情报,企业消息,资源详情的”特务人员“就是内鬼!
有道是日防夜防家贼难防,网络犯罪分子”火力全开“使用各种攻击手段,投入大量资源,不见得能够洞穿企业安全防护体系,但只需要很小的一部分资金便可以收买内鬼,轻松突破防线,盗取、锁定企业数据。
网络空间中,不仅有急需内鬼的买方,卖方同样无时无刻不在兜售自己。微信群聊中,部分人员打着“公司内部信息”旗号,倒卖数据的事件在日常正并不罕见,“内鬼监守自盗,成为民众、企业数据信息流向暗网交易市场的重要渠道之一。
伪基站顾名思义就是伪冒基站,是一种利用 GSM 单向认证漏洞的非法无线电通信设备,主要由主机和笔记本电脑组成,能够搜取以其为中心、一定半径范围内的 GSM 移动电话信息,并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信,常部署在汽车或者一个比较隐蔽区域。(伪基站产业猖狂时期,能够在街上看到某些车辆鬼鬼祟祟,围绕某片区域巡逻)。
伪基站原理相对简单,当运营时覆盖范围内的用户信号被强制连接到该设备上,无法连接到三大运营商的网络信号,以影响手机用户正常使用,之后利用移动信令监测系统监测移动通讯过程中的各种信令过程,获得手机用户当前的位置信息。
伪基站启动后会立刻工作,开始屏蔽一定范围内的信号,趁着用户信号短暂中断,搜索出附近连接伪基站的手机号,随机将短信发送到这些号码上。一般而言,伪基站的作用时间持续10 秒到 20 秒,恰好允许短信推送。
DDoS 攻击,官方定义为多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了多个位于不同位置的机器并利用这些机器对受害者同步实施攻击。直白点,就是攻击者利用已被攻陷的电脑,在较短时间内对目标网站发起大量请求,大规模消耗目标网站的主机资源,集中火力”围殴“受害者,使其无法正常服务。
DDoS 攻击表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机。另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或 CPU 被内核及应用程序占完而造成无法提供网络服务。
当被企业系统被 DDoS 攻击时,主要表现出以下几种情况:
\1. 被攻击主机上有大量等待的 TCP 连接。
\2. 网络中充斥着大量的无用的数据包,源地址为假。
\3. 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。
\4. 利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。
\5. 严重时会造成系统死机
针对企业的 DDoS 频频发生,从《2022 上半年全球 DDoS 威胁报告》数据显示,随着企业数字化、云化,DDoS 攻击次数已连续数年高速增长,已达去年同期的 3 倍,并且攻击手段、攻击烈度也在不断进化。
值得一提的是,网络犯罪分子为增加非法收入,会在暗网上出售 DDoS 服务,无差别攻击企业机构,获取佣金、赎金双倍利益。更有甚者部分勒索团伙毫无职业精神,即使受害者选择支付赎金,也不会解绑系统,甚至会“转卖受害者”,进行双重勒索。
随着移动互联网技术快速发展,APP 已成为民众获取获取信息、娱乐交流、消费投资等各类生活需求的主要媒介。APP 大量使用便利民众同时,假冒 APP 也随之出现,成为一些网络犯罪分子攫取利益的工具。
区分正规 APP 和假冒 APP 的关键点在于用户支付时资金流向问题。正规 APP 充值方式都是集成在平台上,在 APP 上可以直接用绑定的银行卡进行充值,假冒 APP 的充值方式通常是诱导受害者通过银行卡或者支付宝、微信直接转账到对方账户。
从以往暴雷的事件来看,假冒 APP 并不是简单页面相仿、操作流程相似,而是经过团伙内开发人员、运维、产品等相互协作,严格分工,流程化设计,精准仿冒,量身定制假冒 APP 中各种诈骗流程,最后经下游渠道封装和分发假冒 APP。
各环节疏通后,假冒 APP 最终流向诈骗团伙,随后诈骗团伙根据假冒 APP 的功能特点,将其包装成极具迷惑性的“正规”应用平台,诱使潜在受害人点击链接或扫描二维码下载 APP,进而实施诈骗活动。
网络黑产凭借其隐匿性、复杂性、灵活性,暗地里利用 DDos 攻击、钓鱼网站、色情网站等技术手段,谋取大量的经济利益。此外,为躲避法律监管,利益最大化,国内网络黑产组织彼此之间相互配合,形成上下游一体化“作案”,上游专门负责利用系统漏洞,盗取受害者数据信息,下游组织掌握庞大交易平台,分类数据,更为精准定位目标客户,最终实现利益最大化,俨然是一派分工明确、组织严密的“和谐景象”。
现阶段,网络黑产逐渐升级技术手段、转移运营区域、加强不同组织间协作、优化宣传方式、谋求合法身份,呈现出智能化、国际化、平台化、涉众化、产业化的发展趋势。更值得警惕的是,网络黑产早已盯上了年轻群体,青少年群体心智尚未成熟,法律意识薄弱,缺乏是非判断力,极易容易成为黑产引诱的对象。
网络黑产治理,任重道远!
近几年,随着移动互联网、大数据、云计算、人工智能等新一代信息技术的快速发展,围绕网络和数据的服务与应用呈现爆发式增长,丰富的应用场景下暴露出越来越多的网络安全风险和问题。
但是,我国网络安全整体投入不高。网络安全建设方面,国内网络安全投入占信息化的投入比例大概不到百分之3%,而欧美等发达国家均在10%以上,甚至有的超过了15%。我们无论是在投资规模,应对网络安全的认知等方面,我们与国外差距非常大。这与我们数字化依赖程度相比,还是一个非常大的反差。
据腾讯安全《2017上半年互联网安全报告》显示,近年我国高校教育培养的信息安全专业人才仅3万余人,而网络安全人才总需求量则超过70万人,缺口高达95%。
再次声明,此学习路线主打就业方向,如果只是感兴趣,想成为什么黑客的朋友可以划走了。
很多人上来就说想做想入行网络安全,但是连方向都没搞清楚就开始学习,最终也只是会无疾而终!黑客是一个大的概念,里面包含了许多方向,不同的方向需要学习的内容也不一样。
网络安全再进一步细分,还可以划分为: 网络渗透、逆向分析、漏洞攻击、内核安全、移动安全、破解PWN 等众多子方向。今天的这篇,主要是针对网络渗透方向,其他方向仅供参考,学习路线并不完全一样,有机会的话我再单独梳理。
今天,就为大家整理一份自己自学网络安全企业级的最主流的职业规划路线学习流程:
学前感言
你肯定需要一份完整的知识架构体系图。
如图片过大被平台压缩导致模糊,可以在文末下载高清无水印版
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。 (非常重要)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据 转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
①数据库基础
②SQL语言基础
③数据库安全加固
①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)
????网安(嘿客)全套学习视频????
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
面试题资料
独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
工欲善其事必先利其器。学习 嘿 客常用的开发软件都在这里了,给大家节省了很多时间。
