网络黑产

网络黑色产业链：简称网络黑产，是指通过网络技术形成的分工明确、衔接密切的利益团体，包括技术教学、制作销售黑产工具、通过入侵计算机信息系统，非法窃取包括个人信息在内的计算机信息系统数据，提供交易平台变现、洗钱等各个环节分工合作的多元化、产业化的非法产业体系。

网络黑产已经呈现集团化、趋利化、产业链细分化的趋势，使传统的单点防御面临挑战。

黑产手段已经发展为利用黑客、病毒木马、诈骗电话短信、钓鱼网站、安全漏洞等多重攻击手段联合作案。网络黑产威胁源的根本手段和目的就是获取网络数据和个人信息，为下游违法犯罪“精确打击”提供指向。

网络黑产威胁源有多种外显行为模式（表现形式），主要有以下几种，但并不代表下列几种表现形式是相互独立的，事实上，它们相互交叉并会同时出现：

黑客攻击分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用分布式拒绝服务攻击（DDoS，Distributed Denial of Service）或信息炸弹；破坏性攻击是以侵入他人计算机信息系统、盗窃系统保密信息、破坏目标系统的数据为目的。

从行为模式和后续可实施的违法犯罪行为来看，无论是非破坏性攻击还是破坏性攻击都具备衍生性，故都可视作网络黑产威胁源。非破坏性攻击除使得目标设备（计算机信息系统）陷入瘫痪外，还可以此为要挟施行敲诈勒索，或者获取超级权限后进行流量和内容的监视，为下一步网络攻击提供便利。相对而言，破坏性攻击引发的后续行为则更为常见，入侵目标设备后盗取系统信息、个人数据后引发的信用卡盗刷、精准诈骗、洗钱等违法犯罪行为比比皆是，或者直接以篡改、锁定、删除设备数据为要挟进行敲诈勒索（如2017年5月爆发的WannaCry勒索病毒就是通过锁定目标设备数据来索要“赎金”）。

网络协议是指计算机网络中进行数据交换而建立的规则、标准或约定的集合。网络协议作为计算机之间交换信息的“语言”，规定了通信时信息必须采用的格式和这些格式的意义，通过它，计算机在网络间实现了互联互通，也形成了“允许通信”和“拒绝访问”的不同结果，继而构建了不同权限的数据传输和安全体系。

协议破解简言之就是黑客将软件与服务器通信传输的数据包规则进行分析，掌握通信“密语”，重新编写程序模拟原软件与服务器通信，达到一些原软件不能实现的功能用于黑产活动。

病毒和木马均属计算机信息系统有害程序，两者主要区别在于：病毒的行为较为外显，具备传染性，影响计算机终端、服务器和网络设备等的正常使用，由于其危害主要体现在破坏设备的数据和使用，故除了达成某种目的而进行的威慑外，主要的衍生犯罪就是敲诈勒索。

而木马的行为则比较隐秘，通常不具备传染性，目的在于长期窃取计算机信息系统、服务器的数据。当用户有意或无意下载执行了带有木马的软件或文件后，木马便隐蔽地开启上传数据或远程控制的通道，实施获取设备控制权限、向外发送有害消息、盗取网络账号密码、后台访问特定网址、静默下载其他有害程序等危害，继而伴随多种衍生违法犯罪行为，如劫持流量、盗取网络账户、盗刷信用卡、利用他人账号洗钱、侵犯公民个人信息、诈骗等。

除了上述通过木马盗取公民个人信息外，一些不法数据商非法获取、倒卖也是公民个人信息遭受泄露的罪魁祸首。在地下数据产业链中，黑客和网络公司内鬼将公民个人信息窃取后进行出售，由中间买家或称“大数据公司”进行数据清洗、整合形成精准数据后，再卖给终端买家。这里的终端买家包括但不仅限于房产公司、营销公司、金融平台、个人征信公司和诈骗团伙。由于精准的个人信息被泄露利用，用户的风险甄别能力和抵御能力受到影响，从而蒙受重大损失。

《刑法修正案（九）》将原有的“非法获取公民个人信息罪”修订为“侵犯公民个人信息罪”。2017年6月1日《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》施行，“解释”明确了“公民个人信息”的定义，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、证件信息（含身份证、社保账号、驾驶执照、护照等）、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。此外，也明确了“提供公民个人信息”行为的认定标准，并对定量规则和量刑标准作出了解释。同日颁布实行的《网络安全法》与《刑法》相呼应，实现了事后重刑与事前预防相结合，既利于在全社会建立对个人信息的收集、利用基本规范，也回归了法律救济的应有之义。

电信业务（Telecommunication Business）指的是电信网向公众提供的业务。电信业务根据业务类型分类为基础电信业务和增值电信业务；根据提供业务的网络，可以分为固定电信业务和无线电信业务等。

不法电信业务经销商、代理商则指违规经销、代理电信业务的人群。其行为表现包括但不仅限于：违规租售固定电话、移动电话资源，违规进行实名制登记，违规提供网络（包括VPN）接入，违规提供境外服务器租用，非法提供动态IP跳转、攻击服务器资源等。

可以说，不法电信业务经销商、代理商给了黑产人员更好隐蔽行踪、伪造网络身份的可能，使黑产人员更加肆无忌惮地实施违法犯罪行为。黑产人员通过从不法电信业务经销商、代理商处获取的固定电话资源、手机卡、网络接入服务，以及从其他非法渠道获取的银行卡、身份证，可以实施如养号（可用于营销、刷单、刷票、抢购等）、薅羊毛（从金融机构或电商平台开展的优惠活动中牟取利润）、注册公司、骗贷、洗钱等不法行为。

暗网（dark web）是指只使用非常规协议和端口以及可信节点进行连接的私有网络，是无法被标准搜索引擎索引的非表面网络内容。由于暗网不能通过“常规方式”访问，多被不法分子用来从事非法交易，如毒品、武器、信用卡；或进行色情内容的传播等。2017年7月，全球规模第一和第三的暗网交易平台“阿尔法湾”“汉萨”先后被关闭，但一些非法交易仍然通过暗网进行。