互联网黑市分析：攻击、敲诈、勒索……

文/ TOMsInsight （
我们喜欢谈论江湖、向往江湖，向往那种不拘：人生沉浮朝代兴衰、美人如玉爱恨如歌、斜阳落影拔剑生死。每个人都有自己心中的江湖世界。

互联网世界更是一个江湖。我们写完代码搬完砖后津津乐道中国互联网三大帮派的历史恩怨，邪教数字公司的剑走偏锋，新兴粮食帮的快速扩张；我们喜欢把这个江湖中的英雄称之为“大佬”或者“大咖”，谈论着他们的奇闻异事与贪镇痴；我们喜欢江湖故事，大家会有滋有味的看着某个帮派的新品发布会，或比武论剑；我们喜欢参加各位帮派聚会，江湖八卦新闻那是必看；我们不断的学着黑话，和特定的英文单词来武装自己，在刚入行小弟面前，充当江湖老鸟：“那一次在肉饼的review会上”、“pony当年可是有这个idea的”、“code写的不错，但是你得加点花指令迷糊下破解者啊”。

我们嘲笑着那些没落的帮派，什么诺记，什么巨硬，什么破18摸，看着那些最近不断驱逐兄弟的帮派，或心中暗爽或莫名悲凉；我们最喜欢的还是想方设法加入走红的帮派，然后骄傲的喊一声：我厂、我司、我鹅！感觉从此入了山头，有了底气。我们书生意气，挥斥方遒，指点江山，激扬文字，粪土当年万户侯！

终于有一天，我们觉得在帮派混也没啥意思，也就那么回事。不如下山单干，自己成立一个帮派，几个兄弟几把剑，行侠仗义，改变世界！当然，主要也是看到那些不断成立的小帮派，才半年，就获得大财主资助，要钱有钱，要名有名的，比朝六晚九的给别的老大干活强太多了。

于是约了几个兄弟，拿着这些年在帮派混分到的所有的碎银子，准备好好闯荡一番。但是万万没想到的是，第一天下山住店，就被下三滥的土匪强盗破窗纸用迷香迷翻，抢走了所有的碎银子、宝剑不说，还扒光了威胁要在身上用靛青刺下SB两字，再勒索几百两银子！这TMD和之前想象中的行走江湖落差也太大了吧！当年在中国互联网前三大帮派的“我厂”山头混了N年，T9高工啊，怎可能遇到这样的侮辱！

这个故事演义了点但是不偏激，互联网确实是充满了机遇挑战，中国互联网也逐步的走出一味模仿，开始创新和颠覆。但是不可否认的是，中国互联网也有其特色：网络攻击敲诈勒索，从互联网在国内落地的第一天开始就伴随着成长、发展、创新、壮大，最后形成一条让人恨之入骨又不可奈何的产业链。

TOMsInsight继续互联网黑市的分析报告系列，今天的主角就是：攻击敲诈勒索。

网络攻击敲诈勒索的发展

本分析报告把攻击敲诈勒索的个人或团队称之为：攻击者。而被攻击的网站称之为：受害者。

对于所有的中国互联网中小企业主、创业者、站长来说，网络攻击敲诈勒索都是横着眼前的一道非常现实的关卡。为什么我们要把“敲诈勒索”要和“攻击”放在一起呢，敲诈勒索的法律定义是“以非法占有为目的，对被害人使用威胁或要挟的方法，强行索要公私财物的行为”，现实社会中由于人与人之间关系的复杂，可以通过各种方式来抓住把柄、或者依仗势力进行威胁要挟。而对于互联网而言，一切反而回归到最简单，那就是先攻击，后敲诈勒索。

我们来看看网络攻击敲诈勒索的历史：

在中国互联网发展早期，大概1996-1997年，当大家还都拨号上网，没有免费邮箱的时候，互联网服务提供商一般在提供电话拨号上网服务的同时，送一个邮箱。由于当时存储空间昂贵，这一个邮箱会有容量限制，超出限制，就要收费，一起计算到电话费中，而这个费用是非常贵（根据地域不同，一般1k一块钱），所以如果是超出了几百K几M，就是几百几千费用。

早期网络大家也就是泡泡BBS玩玩MUD再就是聊天室，不管是灌水杀鬼子还是聊天泡妞，经常发生争吵有火气，有一些人就开始去“炸”对方的邮箱，其实很简单，往对方信箱发一个几百K的邮件，就让人抓狂。那个年代，“我炸了你邮箱”是一句很牛逼的话！大家纷纷把自己邮箱地址保护的比密码还小心。

有一些人因为争风吃醋，伪装成mm在聊天室套出受害者邮箱，威胁炸掉，让受害者离开特定的BBS或者聊天室，就成了当时的流行套路。而这估计也是中国互联网形态里面最早的攻击勒索敲诈吧。

在2002年之前，网络攻击敲诈勒索行业发展缓慢，主要是那个年代的中国互联网经济还处于烧钱状态，直接变现机会很少。稍微成点规模的敲诈也就存在于网络新闻领域（后面我们会具体分析），所以那个年代的互联网记者地位那也是相当高。但是2002年以后，网游和电商的发展让互联网有了直接变现的渠道，所以也导致了攻击敲诈勒索行业也赢来了自己的辉煌。

下图是我们调查了7个创立在2000年前的网站，在这15年被攻击敲诈勒索的次数，由于网站类型和规模不同，我们通过算法处理加权平均，仅仅供大家参考趋势的变化（可以看出2014年净网行动还是很有成效）：

到了最近几年， 这个产业已经形成规模，从低端到高端都有细分产业链的形成。大概分类成：人肉型、信息型、技术型、创意型。接下来我们逐一分析。

人肉型攻击敲诈勒索

人肉型是指那些纯凭人工完成的攻击，这也是中国互联网的一大特色。近几年有一些人肉型攻击者，通过QQ群、YY群组织几千人甚至几万人的大规模团伙，有组织有纪律的去完成任务，形成极大的力量并有独到的优势来骗过代码。

恶意购买：很多电商网站都有货到付款的服务，特别是百度生态圈的单页电商、或者是一些特殊垂直行业电商网站（例如成人用品），通过物流公司的代收费业务，货款由物流公司代收。人肉攻击团伙采用下假单的方式，由于找不到用户，只能把邮包再退出来，一发一退对于受害者来说就是几十元的成本。接下来攻击者就会去受害者和谈，一次性或者每月收“广告费”、“公关费”、“营销费”、“顾问费”等打着各类名义的敲诈勒索费用。

恶意差评：差评师主要存在淘宝网，大家可能比较熟悉。差评师对卖家伤害很大，皇冠级别的卖家来说几个差评起不了多大作用。而对于心级卖家来说，几个差评基本上就宣布店铺倒闭了。交纳了保证金的卖家都是诚心想要把网店做好，为了自己的生计，多数卖家会选择忍气吞声的交钱。差评师会注册很多小号，拍店铺商品的时候十分爽快，但买回之后，问题就一连串地找上门来，称要给你选差评，店方老实地给了钱还好，对于店方比较强硬的，差评师们死缠烂打，团伙作案，大规模作案，直到就范为止。

恶意投诉：恶意投诉主要针对京东、亚马逊等平台的第三方加盟店，这些平台并不存在淘宝那么核心的信用等级机制，但是非常看重加盟店的信用口碑。攻击者一般会用几十个甚至上百个ID去受害者店铺去购买，然后去平台投诉买到了假东西、不开发票、存在欺诈、服务不到位等等。由于投诉众多，平台一般还是会对加盟店进行审核整治，甚至撤掉资格。由于成为京东、亚马逊等平台的加盟店都会有一定的资质审核和保证金要求，所以店主更多的时候也希望息事宁人，交保护费了事。

恶意点击：恶意点击是针对网站的广告投放。比如说CPC广告，是按照点击计费，我们之前也贴过百度的CPC广告数据，每一次点击都几元甚至几十元。攻击者采用人肉战术，每天几百几千人去点击受害者网站的广告，直接造成大量的广告费用浪费；再比如在app分发领域的CPA激活，攻击者定向下载app再卸载掉，造成极大的广告费用浪费，对中小创业者来说是致命打击。过不了多久，被攻击者就会收到一个QQ消息或者短信：“每天你都损失几千元广告费啊，不如给我们每日一千，我们保证不捣乱了，行不？”能把人气的肝颤。

<sup>我们用实际的例子举例：某互联网巨头T9高工F哥准备创业了，F哥看准了目前火热的“小资生活”概念单品电商，准备包装出一个高大上的品牌专卖滋补类农产品，例如：山药、紫薯等，专注品质，定位北上广高收入白领，走精品小资路线。

F哥和几个合伙人拿出来几十万创业，经过几个月的准备网站开张，不仅有自己的独立网站，也同时在淘宝、京东、亚马逊、微信小店、口袋通同时开店。

没几天，F哥的独立网站支持货到付款的订单就发现几乎全部都是虚假订单，看上去每天几千个订单，送过去都TMD没人收！电话确认吧？招了几个小mm客服专门确认，但是确认没问题，送过去还是没人收！

这还没完，自己的淘宝店全是差评，京东、亚马逊、微信小店、口袋通也被人疯狂的投诉！天天去处理这些投诉都处理不了，眼瞅着就要都被下线了。更惨的是，自己在百度移动端、微博上投的广告，每天消费几千，好像没几个有用的IP，而且几千的预算几乎在一瞬间就被消耗了。

接下来F哥接到了一个匿名短信：“哥们，看你做的品牌挺高大上的，给我们兄弟一个月2万块，从此就不捣乱了，行不？”F哥哪见过这样的流氓，直接气炸了！但是报警吧，没啥用。防范吧，好像也没啥好办法，两败俱伤的，耗不起啊，还要去拿融资呢，算了，破财消灾吧。

但是这才是F哥的遇到的最简单的攻击。</sup>
信息型攻击敲诈勒索

人肉型攻击敲诈勒索几乎没有什么技术门槛，就是组织大量的人有纪律的捣乱。而接下来信息型的攻击敲诈勒索，就开始有一些门槛了。

媒体负面信息：媒体通过负面消息敲诈好像已经不算什么黑市的分析范畴了，已经成为了一个行业常态，所以我们在此也不再拿出来多说什么。值得一提的是，大多数媒体负面消息并不是媒体本身所为，而是一些记者、编辑。在黑市上，很多网络媒体的记者、编辑直接明码标价负面新闻，而大量的攻击者在黑市上去购买这些发文权，有目的的去攻击，最后敲诈勒索的也是这些攻击者，记者编辑只是产业链中最底层的一环，而网络媒体只是被利用而已。

水军负面信息：水军负面消息是用大量的ID去发帖子、博客、知道问答、微博等，在网络上给某一特定受害者造成负面影响。在2010年之前，这些信息主要都存在与论坛上，比如著名的天涯论坛，如果经常上的朋友甚至都会收到一些“专注于网络报仇十几年的公关公司”的广告。但是在2010年以后，攻击者很少采取用这些的大量水军负面消息了，而这些手段主要由一些公关公司使用，用在同行之间的攻击，这是为什么呢？

攻击敲诈勒索关键是为了钱，受害者交了保护费后就需要放过，不然怎么能有连续收入。但是水军负面信息，发起来容易，删起来难。比如天涯论坛信息后不能删帖，必须版主完成，而水军采取发帖机发帖，删除有很大的难度。目前升级成SEO负面消息手法。

SEO负面信息：SEO负面消息主要是指攻击者利用搜索引擎：我不发你很多负面消息，只需要在百度上搜索你的品牌或者关键词，前几页都负面信息即可。这足够造成破坏，而且这些前几页的负面信息都是攻击者可以控制的，说删就删。这又是怎么做到的呢？主要是使用黑链。

黑链是SEO手法中相当普遍的一种手段，是指一些人用非正常的手段（黑客攻击或内鬼出售）获取的网站的反向链接，最常见的黑链就是通过各种网站程序漏洞获取搜索引擎权重较高的网站权限，链接自己的网站，其性质与明链一致，都是属于为高效率提升排名，而使用的作弊手法。黑链在互联网黑市上明码标价的售卖，所以攻击者很容易去购买。（TOMsInsight以后会推出分析报告专题介绍黑链）

接下来攻击者简单的通过程序模版加数据抓取，制作一批新闻类、博客类的网站，通过关键词优化和黑链技巧，快速的把自己网站上的一些新闻在每一个特定的关键词上（一般是受害者品牌相关词）优化到前几页，这样，完全可以控制信息，收钱后秒删。

下图可以看出来，大多数黑链目前链接存放时间都在40天之内，而这个时间绝对只能是恰好做好优化后就删除，这些黑链的作用也很明显了。

<sup>我们接着用F哥举例：F哥咬牙切齿的每个月交了两万的保护费，没想到又出来一个攻击者，攻击者越来越多，每个月的保护费开支都要十几万了。好在F哥和合伙人起早贪黑的拼命干，定位准、包装到位，竟然也没赔钱。

但是F哥想，这样下去不行啊，玩了有一年多了，不赚钱啊！都TMD给一些流氓打工了！灵机一动，我们可以赚风投的钱嘛！反正这行都是这样，不赚钱就只能玩资本游戏了。再说了我是著名的“我厂”T9高工出身，项目新颖并切合热点，前景有想象空间等等，整合投资人的口味，先骗几百万花花，自己洗出来一部分是正道！

说干就干，F哥放出消息，接受各种科技媒体采访，见投资人。但是几天后F哥百度了下自己的品牌关键词，直接楞了。几乎一夜间，百度的前几页全都是负面新闻啊：“什么山药里面有一尺长的毛毛虫啊”，“紫薯是染色的吃完嘴唇都紫，亲嘴还相互染啊”，甚至还有F哥本人的“T9高工时期曾经性骚扰公司打扫卫生的大妈啊”。

几天后，F哥收到匿名短信“哥们，你弄投资挺爽的，但是先给兄弟一点花花呗，反正都不是咱们的钱？对不？”F哥直接气疯了。</sup>
不过，更气人的还在后面。

技术型攻击敲诈勒索

技术型攻击敲诈勒索和之前都不一样，攻击者利用黑客技术，敲诈勒索的金额放大很多倍。当然，这些技术的运用，也有更大的成本，这里面就包括网络攻击的第一常规性武器：DDOS。

DDOS：DDOS指分布式拒绝服务攻击(DistributedDenial of Service)，借助于分布式技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而成倍地提高拒绝服务攻击的威力。在此我们不过多的探讨技术层面，以后TOMsInsight会有专题分析针对这国内第一网络常规性攻击武器。大家可以这样理解：用大量的虚假访问，占据了被受害者网站的带宽，让真实的用户没法登陆。春运时候的火车票订票网站经常上不去吧？这就好比是一次DDOS的效果。

DDOS攻击在国内有两种情况，一种是黑客控制大量肉鸡网络（被黑客控制的电脑）进行攻击，或者是拥有带宽资源的IDC机房背地攻击。后者多出现在一些很特殊的情况中，而对于网络攻击敲诈勒索，主要是前者。

在这个产业链中，黑客一般不会直接参与攻击敲诈，只提供肉鸡网络的使用权；DDOS攻击服务提供商租用肉鸡网络进行攻击；而攻击者去购买DDOS服务。所以这种三层模式中，攻击者的成本是相当的高，特别是一些有规模的网站都有足够的带宽去扛DDOS。所以与之对应，一旦到了DDOS攻击的地步，相对的敲诈勒索金额也会随之增加了。

对于一些特殊行业的DDOS的攻击敲诈是可以产生暴利的，特别是讲究实时运行的网站，例如之前一段时间火热的比特币交易平台，或者电商网站的抢购时段。

黑客攻击：DDOS的攻击黑客是不屑于参与的，但是黑客也会直接充当攻击者，主要是对网站的用户数据进行入侵并获取。一旦获取了网站的数据库，就会直接联系改网站进行“赎回”，并威胁一旦不赎回，就会进行“撕票”。

“撕票”的意思就是公开受害者网站的用户数据库，由于此威胁是一次性的，有些网站还真的不会赎回数据库，例如历史上有过几次著名网站（CSDN、天涯等）的数据库泄露，都是属于“撕票”。

但是渐渐地，由于金钱诱惑，黑客这个圈子也开始变得鱼龙混杂，很多攻克了数据库的黑客，不遵循“赎回”和“撕票”的古老行规，而是直接卖给受害者的竞争对手获利。

<sup>我们继续用F哥来举例：F哥花了50万把负面新闻都拿掉了，也利用自己的三寸不烂之舌忽悠到了天使投资500万，开始了高举高打。继续着不盈利，烧着钱，寻找着各种创新概念，刷着假数据，忽悠A轮投资的典型中国互联网精英创业之路。

A轮谈妥，马上到位，处于关键期。没想到的是，F哥的网站开始被DDOS攻击，而且攻击的时间点都是自己网站搞秒杀活动的关键点。更可气的是，自己的用户数据库不知道怎么被泄露了，有人威胁说必须拿出来1000万赎回，不然给每一个客户发一份邮件外加短信声称是F哥网站出卖用户信息。F哥傻眼了，这是搭上自己名声信誉再加法律风险的问题了。

F哥想着这几年创业，辛辛苦苦却一分钱没赚到，还花出去很多没法见光的钱，承受着投资人、合伙人怀疑自己洗钱的眼光，留下了委屈的泪水，也体会到了“江湖险恶”。</sup>
创意型攻击敲诈勒索

以上是目前基本的攻击手法。但攻击敲诈勒索行业发展至今，开始出现了各种创意型的手段，各种组合拳的运用，让人防不胜防！

比如“在黑市上购买数据，针对一些个人深度数据的攻击与个人敲诈勒索”，“对那些可以QQ登陆的网站，通过大量的信封号消息，留下这个网站的名字栽赃”等等。由于我们担心我们的分析会导致一些心术不正的团队学习，在此就点到为止，不再举例。

---------------------------------------------------

我们分析了这些攻击敲诈勒索，却没有说破解之道？其实破解之道大家仔细想想，几乎每一个攻击套路都有对应的解决办法。但最根本的破解之道，并不是陪他们玩到底，而是从最根本上坚决的拒绝。

不做亏心事，不怕鬼敲门。对于攻击者来说，攻击也是需要很大成本的。所以对于我们创业者来说，明白江湖险恶，有风险意识，但是坚决的拒绝非法合作，拒绝侥幸心理。静下心做好自己的产品和服务，打持久战，打正义之战，真正被市场与用户接受，先放弃的肯定是攻击者。

这些只是我们需要防范的风险，是我们创新的成本，但绝不是我们创新的专注所在。

给我们的启示

刘慈欣在《三体》中提出了黑暗森林法则：

^{宇宙就是一座黑暗森林，每个文明都是带枪的猎人，像幽灵般潜行于林间，轻轻拨开挡路的树枝，竭力不让脚步发出一点儿声音，连呼吸都必须小心翼翼：他必须小心，因为林中到处都有与他一样潜行的猎人，如果他发现了别的生命，能做的只有一件事：开枪消灭之。在这片森林中，他人就是地狱，就是永恒的威胁，任何暴露自己存在的生命都将很快被消灭，这就是宇宙文明的图景，这就是对费米悖论的解释。}
中国的互联网在某种意义上来说，也是这样的一种形态：如果你没有足够的实力，还不断的把自己放在聚光灯下，那只能是玩资本的击鼓传花游戏，博傻而已；对于真正的创业者来说，默默的聚集自己的力量，修炼内功，顽强的活下来、生存下去，才是唯一的发展之路。

也许正如文明，这也是互联网世界的自然选择。