杀猪盘、黑公关、刷流量首当其冲， *** 黑产日赚千万元_网赌追款

广西的宋女士谈了一场2个月的恋爱，价值500万。

今年年初，她通过某知名婚恋网站认识了一名自称来自广东，从事软件维护、开发工作的男子。聊得火热的二人很快确定恋爱关系。不久，“男友”告诉她，自己能通过 *** 平台赌博赚钱。感兴趣的宋女士前前后后充值金额超500万元，最终网站无法提现，男友人间蒸发，钱也打了水漂。但爱情，从未来过。

这种新兴的 *** 骗局被业界俗称 “杀猪盘”。骗子的目标是成年单身女性，这些受害者被称作“猪”，建立恋爱关系的过程称作“养猪”，各类交友应用称为“猪圈”，聊天工具称作“猪食槽”，一套培养感情的剧本称为“猪饲料”，“屠夫”步步下套，最终“养肥”的受害者走向爱情的“屠宰场”。

以“杀猪盘”为代表的 *** 赌博，撕开了 *** 黑产的冰山一角。“杀猪盘”、 *** 诈骗、退单诈骗，正在成为目前更流行的 *** 诈骗类型，而以刷流量和黑公关为代表的虚假流量，已然形成规模化、链条化的 *** 黑产。

“杀猪盘”骗局

*** 赌博并不是一个新话题，比如棋牌类、捕鱼类、私彩、体育类赌博等等，但最近， *** 赌博开始呈现新趋势和新特点。

*** 赌博的一个趋势是全链条向境外转移， *** 赌博有引流、支付、技术服务、 *** 等多个环节，这些赌博团伙为了规避国内线下打击，不少转移到柬埔寨、越南和菲律宾等东南亚国家。

二是现在资金流转的复杂化，赌博团伙不会把鸡蛋都放在同一个篮子里面，而是采用多种支付渠道，包括银行转账、第三方支付等分散到各个平台，还包括游戏点卡的支付、话费卡、礼品卡等。

三是赌博和其它犯罪的结合。在黑产界，黄赌不分家，不少色情资源和盗版播放软件上往往显示赌博网站的广告，其实这些网站更大的收入来源就是背后的赌博。

而今年最火的，要数“杀猪盘”。黑产分子通过和受害人建立互相信任的关系，把对方拉到赌博网站或者进行一些投资理财，实施诈骗，而这些网站都是虚假的。

在“杀猪盘”骗局的背后，往往有完整的诈骗团队和工作体系，大体上分为资料组、话务组（钓鱼）组、技术组，以及洗钱组。

其中，资料组负责获客，在 *** 上搜寻“猎物”；话务组负责打造完美人设和拟定情感经营相关话术，令受害人进入一张爱情编织的网中。在骗取受害者信任后，骗子有意透露自己有赚快钱的好 *** ；技术组负责提供技术支持，包括搭建博彩网站、控制博彩中奖概率、修改胜负概率等。当受害者难以抵挡赚钱的诱惑，骗子便会发去事先准备好的虚假赌博网站，并通过一些甜头取得受害人信任，直到受害人加大下注，赌博网站便会出现系统更新、无法提现等提示，骗子失联，受害者往往这时才恍然大悟。而此时，洗钱组早已负责将骗来的钱“漂白”成可用于流通的正常款项。

据了解，不少团伙选择把公司设立在境外，一个重要的原因是方便把金额拆分，利用境外账户洗白。

以文章开头为例，涉及诈骗的洗钱团伙刘某某、张某某、潘某某等六人已被桂林市七星区人民检察院以掩饰、隐瞒犯罪所得罪批准逮捕。

而类似于“杀猪盘”的骗局，近年来在多地上演。其模式最开始往往通过社交软件和受害人聊天，这和人际正常交友模式非常类似，因此很难防范。如何从更深层的特点寻找黑产的特征，还需要互联网平台、警方等多方努力与联动。

谁在操纵虚假流量？

近日围绕在流量明星之间的超话大战，令做数据、打榜等流量话题再次被提及。

在这背后，买卖流量已经是饭圈里公开的秘密。

2018年夏天，某明星一条微博“转发量过亿”，引发了一场关于明星账号微博数据造假的争议。要知道，在去年第三季度，微博日活跃用户数量是1.95亿。此后，上亿次微博转发量的幕后推手“星援”APP被查封，而这种刷流量的行为也被众多媒体曝光。

虚假流量主要分为“刷量”和“黑公关”，经营者或流量造假者通过自动化或者组织人工等作弊手段，为了不法利益而制造虚假数字。

从虚假流量的黑产结构来看，社交业务类的流量黑产已经占到了整个虚假流量黑产的1/3，是重灾区，长视频类位居第二，论坛内容类紧随其后。

刷量操作手法和产业运作方式多种多样。最开始是通过 *** IP和用户登录态模拟协议进行操作，但随着互联网公司的策略逐渐升级，不少论坛上出现了一些接单和派单的群组。金主隐藏在幕后，向公关公司发布需求，公关公司根据需求来策划话题、制造热推，同时向外围的 *** 水军、 *** *** 、雇佣媒体购买流量，通过这些 *** 打手来炮制热搜，或是放大竞争对手负面消息，或者断章取义、编造谣言，打击竞争对手，谋取不法利益。

这种人工的刷量实际上含金量非常高，甚至包括很多粉丝打榜都这样通过大量的人工来制造出来流量，这种人肉的流量具有真实的IP、机器甚至真实的账号，互联网产业公司利用技术很难识别。

但人工刷量也有天然的弱点，人流量不定、人为操作效率比较低、成本比较高。在对流量需求快速增长的情况下，就会出现大量的游走在法律边缘的刷量平台，主要结合了硬件、软件以及群控等，可以海量、高效、自动地进行刷粉、刷量、打榜以及转发，贴合黑产的需求。

一个最新的手法是人工刷和机器刷相结合，俗称“挂机刷”。通过人际 *** 渠道搜集、雇佣、租赁大量的真实账号，将这些账号与下游的刷量平台相对接，通过刷量平台自动进行刷粉、转发、打卡以及点赞、打榜等，相互结合实现了效率和成本的结合。

利益驱使下，虚假流量导致了劣币驱逐良币、互联网信用体系受损，用户薅羊毛导致平台利益受损，还可能进一步引发所谓的“ *** 黑公关”。

据不完全统计，各种刷量平台在我国总共超过一千多家，其中规模和数量占头部的100家每个月的流水超200万，暴利显而易见。受利益驱使，国内刷量产业链上的人员规模累计达900多万。

猫鼠游戏

互联网平台与黑产对抗，是一场场不断变化的猫鼠游戏。

目前，不少互联网平台已经形成一套打击 *** 赌博的经验做法，例如充分发挥网民的力量，进行在线举报，共同参与到赌博的综合治理中。

还有互联网平台根据用户的举报还有大数据的风控识别，主动输出一些线索识别给公安机关进行跨境 *** 赌博的打击，以及通过恶意赌博网站的识别和积累建立了号码的库和网址以及有害赌博程序，根据海量的计算和存储的积累，进行数据建模，提升对黑产的打击能力。

而虚假流量之所以横行，是因为虚假流量的相关环节，已经产生了“上瘾式”的流量依赖。黑产制造流量获取利益，流量需求方凭借流量吸引资本或舆论的关注，资本、舆论依靠流量赚钱更大的利益，其治理难度可见一斑。

打个比方，虚假流量就好像“皇帝的新衣”，大家没有勇气戳破这个泡沫，反而都在这个产业链上各取所需。

此前世界广告主联盟 WFA 曾公布预测数据，若不采取措施，2025 年虚假广告花费将高达 500 亿美元。

从 *** 监管的角度，虚假流量涉及的主管部门众多，专业性强、取证难度大；从法律层面，虚假流量同时涉及法律及行政法规，其是否涉嫌构成民事欺诈、不正当竞争、非法经营、计算机犯罪、诈骗犯罪等法律问题，都还需要有更加清晰的认识。这需要司法部门、监管部门统一认识、厘清问题、严格执法，以及与银行、运营商、互联网平台等等形成合力，方能从根本上铲除这一非法产业存在的根基，还公共舆论空间一片清明。

七大 *** 黑产 不少“日赚”千万元

暗扣话费、挖矿木马、勒索病毒、木马刷量……今年上半年的七大互联网黑色产业链，不少产业链“日赚”千万元。

黑产一 暗扣话费

此类黑产以稀缺的服务提供商为上游，开发人员根据不同的服务提供商资源开发相应的软件，并将这些软件植入到伪装成色情、游戏、交友的应用中，实现暗扣话费。

据数据显示，每天互联网上约新增2750个此类新病毒变种，每天影响数百万用户，按人均消耗几十元话费估算，日掠夺话费金额数千万元。

黑产二 广告流量变现

某些内置于各类应用中的恶意广告联盟，通过恶意推送广告进行流量变现。这些广告内容大多没有底线，时常推送和色情打擦边球的应用、博彩甚至手机病毒等。

数据显示，平均每天新增广告病毒变种257个，影响大约676万个用户。越是经济发达的地区，情况越严重。

黑产三 手机应用分发

软件推广难，部分厂商便找到相对便宜的渠道：通过手机应用分发黑产，用类似病毒的手法在用户手机上安装软件。

例如，有用户经常会发现手机里莫名其妙多出一些应用，这就是黑产人员通过手机恶意软件后台下载推广的应用，是手机黑产的变现途径。

据监测，手机恶意推广的病毒变种每天新增超过2200个，每天受影响的用户超过1000万个，主要影响中低端手机用户。

黑产四 木马刷量

木马刷量黑产主要通过作弊手段骗取开发者推广费。

它有三种模式：通过模拟器模拟出大量手机设备伪装真实用户刷量；用“手机做任务轻松赚钱”等噱头吸引用户入驻平台后，欺骗用户使用某个App实现刷量；木马技术自动刷量。

目前主流的是利用木马刷量。木马开发者通过合作的方式，将木马植入到一些用户刚需应用中，再通过云端控制系统下发任务到用户设备中，自动执行刷量操作。

黑产五 勒索病毒

勒索病毒攻击者会通过弱口令漏洞入侵企业网站，再以此为跳板渗透到内网，然后利用局域网漏洞攻击工具，将勒索病毒分发到内网关键服务器，将企业核心业务及备份服务器数据加密。

病毒一旦得手，企业日常业务立刻陷于瘫痪。如果连备份系统也被破坏了，那基本只剩缴纳赎金这一条路。

勒索病毒产业链分工明确，有人负责 *** 勒索病毒生成器，有网站资源的人负责分发，各方参与利益分成。

黑产六 控制肉鸡挖矿

2017年底，监测发现，一款名为“tlMiner”的挖矿木马在当年12月20日的传播量达到峰值，当天有近20万台机器受到该挖矿木马影响。

相关团队最终挖掘到一个公司化运营的大型挖矿木马黑色产业链。为非法牟利，这家公司搭建木马平台，发展下级 *** 商近3500个，通过网吧渠道、吃鸡外挂、盗版视频软件等投放木马，非法控制用户电脑终端389万台，进行数字加密货币挖矿、强制广告等非法业务，非法获利1500余万元。

黑产七 DDoS攻击

DDoS攻击，即分布式拒绝服务攻击。这是利用 *** 上已被攻陷的电脑(肉鸡)向目标电脑发动密集的接受服务请求，借以把目标电脑的 *** 资源及系统资源耗尽的一种攻击方式。

黑产人员通常将“肉鸡”联合起来，进行带有利益性的网站刷流量、邮件群发、瘫痪竞争对手等活动。因为攻击效果立竿见影、利益巨大，利用DDoS进行勒索、攻击竞争对手的情况越来越多，产业链分工越来越细。

如何防范黑产

安全专家表示，为防范前四种移动端黑产，用户应尽可能在大的应用市场下载软件，避免通过网页广告或手机短信链接下载软件；可以使用手机杀毒软件过滤恶意软件；如果发现手机有异常广告弹出或流量、资费消耗异常，可以请求安全厂商协助分析。

对于后三种电脑端的黑产，企业要做好服务器安全的防范工作，避免黑客入侵。包括，打好补丁、用复杂密码等；个人用户应尽量避免使用盗版破解工具，不使用游戏外挂等，因为这些工具最容易携带病毒；再就是使用杀毒软件，及时修补系统安全漏洞。

为什么普通黑客也能月入80000美元？

 

就像组织严密的现代黑帮一样， *** 黑产到如今已经商业化得非常成熟了，黑客们同样拥有复杂精巧的产业链，每天在全球黑产 *** 中流转的交易额数以亿计，整体规模更难以估测。

但其中每个黑客的具体收入如何？

黑客是如何进行攻击准备的？

他们是如何进行内部交易的，并遵循某些规则不相互越界呢？

一些安全研究者长期潜伏在地下黑产 *** 中，近距离观察其运作模式——

尽管本文所披露的只是“地下世界的一瞬，不足以描述其万分之一”，但还是为我们真实揭示了黑客世界不择手段窃取金钱的产业链条。

首先，对于互联网我们应该知道，可公开访问的网站只占数据信息的一部分，如同海面之下的冰山，还存在一个更庞大的、采取非公开机制访问的平行 *** 世界——暗网。

这里才是一切法律严加打击但暴利的交易活跃之地——如盗版、色情、买凶、军火、 *** ，当然也包括黑客。

进入黑客聚集的地下交易场

匿名访问的隐私黑客论坛是散落暗网中的黑客交易场，一旦你被黑客圈子或组织认可，能够进入暗网中的黑客论坛上就可以找到各种非法服务，可以让一个普通黑客都能快速发起一次 *** 攻击。

 

这些论坛无法搜索定位，需要很多的验证程序及其他黑客会员担保。上图为一个俄罗斯黑客论坛的截图，可以看到，这里黑客正在推销多款恶意软件，包括特洛伊木马、僵尸 *** 等。

黑客基础装备之攻击工具包（Exploit Kits）

Exploit Kits像瑞士军刀一样整合了 *** 攻击所需的众多组件，使大规模 *** 攻击装备化，因为大大提升了攻击的成功率受到黑客的日益青睐，未使用之前，黑客的成功率一般为10%，使用之后就可能提升到40%。

 

那么Exploit Kits里面究竟有哪些构成呢？

上图为一个典型Exploit Kits的 “解剖切片”，可以看到有恶名昭彰的网银木马Zeus、Vawtrak、勒索软件nymaim、比特币敲诈病毒CTB-Locker等。

 

这是一个真实的由黑客打造的攻击工具包叫做RIG，正在论坛上租售，这个帖子描述（文为俄语）了该工具包的应用环境是X86/X84下的Window系统，可绕过微软用户账户控制系统；

支持大流量攻击；

拥有两种不同的勒索付费通道；

支持自动加载网页链接；

可应用到的多个漏洞列表；

平均攻击成功率达到10%~15%；

保证不被杀毒软件发现等特性。

更重要的是该工具包的租用费用：30美元24小时；150美元一周；500美元一个月。这个费用并不高。

攻击工具包（Exploit Kits）的商业模式

 

RIG工具包的商用模式有些类似零售，有中央仓储和多级经销商，RIG可以直接向终端黑客销售，同时也支持多级销售，其他黑客可以将这个工具以更高的价格转售出去，按照一周获取600个客户，每家支付150美元的话，RIG的周盈利高达9万美元。

在 “零售”模式之外，目前还时兴一种“直销分成”的商用模式，RIG制造者将工具免费提供给黑客，最终从攻击成果中分成。

例如当黑客使用了该工具包侵入了一个网站，其中5~20%的流量归“巨头”控制，具体如何从中获利也由“巨头”自己把握。这种模式更加高明，购买者无需支付任何费用就有机会获取可观回报，肯定使用者众多，同时也不影响RIG另外并行的“零售”交易。

在黑客产业链上，像RIG这样的工具和其他服务（后续将一一介绍）的制造者才是产业中坚，他们隐身在实际执行攻击的普通黑客之后，为其提供材料、装备、服务，也获得利润中最丰厚的一层，被称为“黑执事”（英文为Magnitude）。

为方便后续描述，先做提前说明，下文中的黑执事是黑 *** 务的提供者，黑客产业链的上游。

黑客就是 *** 攻击执行者，是产业链终端。受害者就是被攻击的普通 *** 用户。

*** 绑票：勒索软件正在流行

通过RIG工具包，黑客还可以分发恶名昭著的勒索软件Cryptowall，勒索软件采取一个简单粗暴的吸金逻辑，当受害者的电脑被感染，电脑中的文件就会被加密，受害者无法再访问自己的文件，如果想要回控制权，就要按照黑客要求缴纳赎金，一般是比特币。

最近 *** 勒索事件层出不穷，很多用户或企业都深受其害，据观察，一个勒索账户一周就可以收到6万美元。

勒索软件善于抓住人们的心理弱点，黑客也喜欢入侵 *** 并注入恶意链接，当用户点击了这些恶意链接进入非法网站时，黑客就有无数种办法勒索用户。

 

这是一个真实的用户收到的勒索软件恐吓信息：

首先恐吓用户做了坏事被发现，所以才有这一劫，告知文件已被加密，利用用户下意识的花钱免灾的心理，要求其缴纳赎金获得解密密码，如果12个小时后还没有缴纳，电脑将永远不可使用。

 

这是另一个设计更加精妙的勒索软件信息，黑客伪造了网址，让受害者以为是来自 *** 机构FBI的通告，甚至虚构了一个法律罪名叫做“个人电脑管理不妥善使用罪”，基于这个完全胡扯的法律名目，受害者被指控三项罪名：

1、非法下载传播有版权的电子资产。

2、 浏览和传播色情资料。

3、电脑在受害者不知情的情况下，被定位为恶意软件的传播源。

所以电脑文件被加密锁定，受害者需缴纳赎金来解锁。

尽管这些消息看起来毫无依据，但结果是勒索软件正源源不断收到赎金。

 

更绝的是为了让受害者相信交钱后文件可以恢复，勒索软件还提供一个“免费测试机会”，点击后，受害者的文件可以解锁一到五个，但无法指定，这个功能出现在顶级勒索软件CoinVault和CTB Locker中。

黑色产业链中的专业外包服务：帮助恶意软件逃脱检测

除了出售工具包，一些黑执事还出售其他附加服务提升攻击成功率，这些服务可以称之为黑客产业链上的“专业外包服务”，其中之一为“检测逃脱”服务。

当该服务加载到恶意软件时，就可以逃脱杀毒软件的扫描。要知道，目前安全公司最主要的工作就是分析病毒特征并更新到自己的病毒库。

 

这项服务在黑客论坛公然出售，广告上一般会列出效果对比，如上图看到的，使用了服务，全球35个杀毒软件中27个可检测到，而使用后则全部免疫。

 

黑执事很懂生意，他们有时会提供特殊折扣吸引顾客，上图写着，下个月每周一前三个顾客可享受一单免费的优惠。

 

一些甚至提供定制服务，例如客户购买一个3000美元的黑客攻击软件，附送一个月的免费支持，额外服务支持一个月需加300美元。

普通黑客发起一项攻击需要投入多少？

正如你所见，黑客发起一项攻击需要做好准备工作以及物资采购，那么大概需要花费多少钱呢？

一般来说，你需要购买或者租用工具包，并附加一些服务增加成功率，特别是付费通道来收取费用，还需要购买一些流量，让我们计算一下：

付费通道购买：3000美元一个月

检测逃脱服务：20美元*30天=600美元

攻击工具包：500美元一个月

流量：300美元*6=1800美元

共计：5900美元/月

投入总计大约5900美元一个月，看起来很多对吗？

那让我们看看黑客可以赚到多少？

一个月黑客可以赚到多少钱？

在支出6万美元之后，黑客一定是预期回报远大于投入的，事实也是这样的。

在观测到的数据上再做保守估算，平均每天有2万人点击恶意链接，一般大概有10%的几率被感染，如果用了勒索软件，大概又有0.5%的受害者付费。

这意味着，黑客日收入大概是3,000美元，除去期支出，月收入高达8,4000美元。

日平均点击恶意链接用户数：20，000

通常工具攻击包的成功率：10%

受害者付费比：0.5%

日收入：20,000美元*10%*0.5%*300美元=3000美元

月收入：90,000美元

净收入：90,000 -5,900 =84,100美元

在黑客产业链的支持下，一个不需要有多高技术能力的黑客也可以轻易通过攻击活动赚得盆满钵盈，这也是当前 *** 安全事件异常猖獗的主要原因。

黑 *** 务之数字证书签名服务

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式。它是由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

通常情况下，已签名的证书就代表着值得信任。

 

但一些黑 *** 务已开始出售恶意软件的签名服务，可以将检测几率降低80%。如图所示，这个签名服务声称可提供来自Thawte和Comodo证书授证（Certificate Authority）中心的签名服务，可用于任何可执行文件，费用为$600。

黑 *** 务之IP信誉库

这项服务解释起来有些困难，IP就是 *** 地址。

正常情况下，IP信誉库一般被安全机构用于辨识、过滤、阻断那些垃圾邮件发布机构，或者不受信任的恶意网站，但由于官方机构和安全厂商自己也会有官方IP地址以及用于诱捕恶意软件的“蜜罐”IP地址，所以黑客如果提前知道这些IP地址，就可以避过或者欺骗来这些目标的访问。

 

上图中的服务广告宣传定期更新来自FBI、各大安全服务商的“蜜罐”IP，降低了黑客被捕捉的几率。

虚假杀毒软件

有没有想过，最恐怖的罪犯是什么样的？

如果有些罪犯披着警服呢？

有一种恶意软件叫做虚假杀毒软件（或者流氓杀毒软件），其理念非常简单——看起来像反病毒产品，靠效果欺诈赚钱。

这种软件在名称、界面、功能上全盘模仿正规杀软，当你点击扫描时，会出现很长的感染警告，但没一个是真的。但由于效果惊人，受害者反而需要付一大笔钱给这个虚假软件，一般是$50~$70一个license，用户量往往数以万计。

据了解，某个国际虚假杀毒软件由三个黑客维护，年收入近百万美元。

黑客工具之Web Shells：非法控制网站服务的钥匙

还有一种黑客主要针对网站，由于很多网站的运维管理很差，黑客可以很轻易攻入网站服务并取得全部权限，从而也获得网站上很多机密数据如用户信用卡信息等。

使用Web Shells是攻击网站服务的主要方式之一。基于Web Shells，黑客可以上传文件，在网站内自动添加恶意链接，操作本地文件等。

 

Web Shells的价值主要取决于它可以攻破的网站价值，所以从上图看到，当售卖Web Shells时，也会列出目标网站Alexa排名和独立访客量等指标。

 

更严重的Web Shell可用于渗透那些掌握了客户信用卡等重要信息的网站，例如电子商务、金融等。

盗取这些用户信息还可用于其他黑客活动。

据安全专家估计，每个月都有数千网站被渗透。

黑产之用户数据交易

用户个人信息在黑客看来是很有价值的，特别是那些涉及到支付的信用卡信息，上图是一个黑客发布在论坛上售卖信用卡账户数据的帖子，价格取决于客户余额，一般来说，如果一条账户余额为$100,000的用户信息价格为$10。

 

甚至产生了专门售卖信用卡信息的网站，用户记录数以万计，如上图这个活跃的网站，有供出售的信用卡记录近800页，很多记录都是最近添加的。

 

购买这些数据非常简单，就像其他电子商务网站一样，可以自由选择购买，支持比特币支付。

一路看下来的你一定对 *** 犯罪有了全新认识，而且这里所揭示的也不过是冰山一角， *** 安全和黑客攻击一直在持续斗争，所谓道高一尺，魔高一丈，但用户特别是企业的安全意识是其中决定性砝码，认真研究攻防，筑起防护门槛，保持警惕状态，做好响应预案，都可以让黑客攻击的成本提升，减少受害几率。