随着互联网技术的发展，网络黑色产业链的“玩法”推陈出新。曾经，盗取个人信息再将其出售是“黑产”流行的操作模式。如今，网络勒索成为新兴的“黑产”掘金之路，其特点是变现快、追查难。《经济参考报》记者了解到，近年来，网络勒索的手段主要表现为三大套路，分别为用流量击溃网站、利用病毒软件大面积传播和传统勒索手段的再升级。

赵乃育　绘

套路一：用流量击溃网站　勒索方式隐蔽

北京市海淀区检察院检察官白磊告诉记者，以流量攻击进行网络勒索已经成为“黑产”的新模式，且呈不断增长之势。

据白磊介绍，一起案件中，就职于北京市一家网络技术公司的“85后”潘峰，于2016年对国内的三家交易所发起流量攻击，索要了60余个比特币，当时价值20余万元，并与同伙李泳毅洗钱、分赃。2016年8月17日，潘峰被北京市公安局刑事拘留。去年10月，潘峰以敲诈勒索罪被判处有期徒刑3年。

《经济参考报》记者从360威胁情报中心和腾讯打击网络犯罪的公益平台“守护者计划”获悉，DDoS流量攻击的非法目的，就是采用租用流量的方式对企业网站进行攻击，突破网站承载流量的极限使其崩溃。随着互联网的高速发展、网络云服务的高速增长，DDoS网络攻击流量峰值不断创新高。

采用DDoS攻击的黑客呈现团伙运作、资源整合、跨境指挥的特点，使用网络技术进行持续的大流量攻击，针对网络直播、网络游戏、网络云服务、金融教育医疗等政企网站实施攻击，继而对目标敲诈勒索钱财。

2017年9月，腾讯“守护者计划”安全团队配合广东警方调查取证和分析，在柬埔寨抓获长期匿藏境外实施DDoS网络攻击、“黑产圈”排行第一的“暗夜”黑客犯罪团伙核心成员14人。2018年5月，腾讯“守护者计划”安全团队配合江苏警方连续打掉3个利用新技术实施DDoS网络攻击的“黑产”团伙。

腾讯“守护者计划”和360威胁情报中心相关负责人分析，DDoS网络攻击“黑产”有以下几个特点：首先，流量大、峰值高，普通企业凭有限的安全防护能力难以对抗；其次，多采用反射放大攻击方式，以少量但高性能的网络资源撬动大流量攻击；第三，攻击后敲诈勒索换取利益的方式更隐蔽，DDoS网络攻击从传统的直接敲诈勒索钱财，已转化为威逼利诱入股、购买服务、强买强卖资源（如广告位）、同行竞品恶意竞争等获利方式。

套路二：病毒大面积勒索　三大软件活跃

图为电脑遭“想哭(WannaCry)”的勒索软件攻击

通过软件大面积攻击，大量企业中招，是典型的病毒勒索套路。当前，国内活跃的勒索软件多为Cerber、Crysis、WannaCry“三大家族”。

2017年6月，国内一家新能源汽车制造商的工业控制系统出现异常，动力电池生产系统瘫痪。这是WannaCry勒索蠕虫再次突袭。

360威胁情报中心发布的《勒索软件威胁形势分析报告》显示，2017年1至11月，360互联网安全中心共截获电脑端新增勒索软件变种183种，全国有472.5万多台用户电脑遭攻击，平均每天约有1.4万台国内电脑遭到勒索软件攻击，用户遍布所有省份。其中，广东占比最高，为14.9%，其次是浙江为8.2%，江苏为7.7%。

360企业安全研究院院长裴智勇告诉《经济参考报》记者，相较传统的黑客盗取再出售个人信息的模式，勒索的经济收益更为可观。按黑市定价，一条个人信息5分钱左右，而网络勒索要价在1至10万元。2017年，韩国网络服务商Nayana为勒索软件支付了100万美元赎金，震惊全球。随着虚拟货币的出现，为了方便洗钱、避免追踪，几乎所有黑客都索要比特币。

而“挖矿”的变现则更加迅速。裴智勇介绍称，如今挖矿木马的攻击者会直接入侵网站或云平台服务器，或是入侵手机及物联网设备，用木马控制这些设备帮助自己挖掘虚拟货币，之后直接将钱装入自己的口袋。

“攻击者使用的加密算法都是符合国际密码标准的算法，已经被公认是不可破解的。攻击者甚至把备份服务器也锁上，让被害人在技术上无法解除攻击。”裴智勇说。

据了解，当前病毒勒索呈现三大新特点：其一，门槛逐渐降低，在暗网公开勒索病毒生成工具，黑客可定制专属勒索病毒；其二，大部分实施入侵植入病毒的黑客均位于境外，难以打击；其三，攻击目标多样化，以网络破坏、组织破坏为目的的勒索软件已经出现，其攻击目的不是为了钱，而只是单纯的破坏。

值得注意的是，国内活跃的勒索软件多为Cerber、Crysis、WannaCry“三大家族”，这也是世界上最常见的勒索软件。在向360互联网安全中心求助的勒索软件受害者中，“三大家族”的受害者占总量的58.4%。

套路三：传统手段升级　电话骚扰“云敲诈”

电话敲诈和色情勒索并非网络勒索的新手段，随着互联网技术的进步，这两大传统手段也全面升级换代。

腾讯“守护者计划”相关负责人告诉记者，据其监测，如今“黑产”电话勒索开始广泛利用“呼死你”软件实施，为网络勒索分子提供收费服务。软件里有未实名登记的运营商“黑卡”号码池，还有借助云平台、软件、手机搭建的“云呼”系统。具体敲诈做法是，对指定电话号码用户进行勒索，如有不从，即实施恶意电话呼叫攻击，导致用户电话瘫痪。

2018年5月，腾讯“守护者计划”安全团队协助安徽警方破获一起利用“呼死你”平台和软件敲诈勒索大量商业用户的案件。该案件中的犯罪团伙购买一定数量的手机，安装“云呼”App控制软件后，形成巨大的号码池，攻击者在软件上选定一个电话号码后，平台号码池内在线的所有号码就会形成交叉呼叫，对受害用户进行攻击骚扰。据统计，该“呼死你”平台累计发起电话呼叫攻击超过2800万次。

色情敲诈则主要面向男性。不法分子以网络交友视频裸聊为名，在网络聊天中播放女性大尺度视频，诱骗男性用户露脸裸聊，录制视频后勒索钱财。

2017年7月，腾讯“守护者计划”安全团队协助湖南警方跨境打击色诱裸聊敲诈勒索犯罪团伙，最终，警方在柬埔寨抓获犯罪嫌疑人74人，案件涉及全国20余省份的受害人800余名。色诱裸聊敲诈勒索的特点是有“剧本”、获利快、个案金额小，受害人碍于颜面和声誉不愿报案。

网络勒索跨境作案占比大 

暗网形成产业链    

《经济参考报》记者近日调研发现，网络勒索多瞄准重要行业和政企机构，大部分勒索者来自境外，对企业投诉、公检法办案造成阻力。业内专家表示，网络勒索不仅干扰了正常的经济秩序，对我国的网络安全也构成极大威胁，建议企业不断升级安全防护能力，防患于未然。

勒索“大本营”多在境外

360威胁情报中心统计显示，2017年，针对中国用户的勒索软件攻击，93.5%的攻击来自境外。其中，来自美国的攻击最多，占比高达42.2%；其次是俄罗斯，占比为11.3%；来自中国本土的攻击量排第三，占比为6.5%；荷兰、乌克兰分别排在第四和第五。

北京市海淀区检察院检察官白磊告诉《经济参考报》记者，大量网络敲诈勒索案件作案者藏匿国外，网站或服务器也设在境外，需侦查机关协调境外执法机关抓捕涉案人员，调取涉案服务器数据，检察官参与到国际司法协助活动中已经不是新鲜事。

腾讯“守护者计划”相关负责人披露，不论是DDoS流量攻击、病毒攻击，还是较为传统的电话敲诈和色情敲诈，犯罪团伙大本营通常在国外。

暗网的存在，也增加了相关案件的处理难度。作为违法犯罪者的逍遥乐土，暗网是指不能通过普通网页找到的地下网站。白磊表示，在其处理的案件中，利用DDoS流量攻击全国三家交易所的潘峰，就是在暗网上购买的攻击软件。

360威胁情报中心发布的《勒索软件威胁形势分析报告》显示，2017年勒索软件在暗网上获得规模性增长，相关产品销售额高达623万美元，是2016年的25倍，一款自制的勒索软件售价从50美分到3000美元不等，中间价格一般在10.5美元左右。2017年7月，根据谷歌、加州大学圣地亚哥分校和纽约大学坦登工程学院的研究人员联合发布的一份报告显示，过去两年，勒索软件已迫使全球受害者累计支付了超过2500万美元的赎金。

重要行业成重灾区

360威胁情报中心发现，勒索软件攻击的重点是重要行业和政企机构。2017年，360威胁情报中心的抽样调研显示，在遭到勒索软件攻击的企业中，能源行业是重灾区，占比为42.1%，其次是医疗行业，为22.8%，金融行业为17.8%。

在互联网时代，云平台作为基础设施也被黑客瞄准。2017年10月15日，国内某云平台服务商发现托管在自己机房的用户服务器上的数据均被加密，其中大量合同文件、财务报表等文件都无法打开。该IT人员怀疑服务器被勒索软件进行了加密，因此向360安全监测与响应中心进行求助。安服人员现场实际勘测发现，该机构的公共服务器被暴露在公网环境中，并且使用的是弱密码。黑客通过暴力破解，获取该服务器的密码，并使用远程登录方式成功登录到该服务器上。黑客在登录服务器后，手动释放出病毒。

2017年7月，江苏省某大型房地产企业发现其服务器上的数据库被加密，该企业的IT技术人员担心受到责罚，隐瞒实际情况未上报。10月18日，该企业领导在查询数据时，发现服务器上的数据均已经被加密，且长达数月之久。后经安全厂商人员实际勘测发现，攻击者主要使用带有恶意附件的邮件进行钓鱼攻击，由于距离加密时间太久，黑客密钥已经过期，被加密的数据和文件无法恢复，给该企业造成了大量的财产损失。

大量政企网站安全“裸奔”

勒索软件并非不可防护，被病毒攻陷的企业都存在明显的技术和管理漏洞。业内人士介绍称，病毒之所以能成功入侵政企机构内部网络，主要原因有以下几类。

首先，“一机双网”缺乏有效管理。一台电脑同时连接内网和外网，内网很容易被感染病毒。

其次，办公网与生活网未隔离导致交叉感染。某些大型政企机构自行建设了规模庞大的内部网络，在办公区附近也有自建的家属楼、饭店、网吧，其网络往往直接接入企业的内部网络，加剧了不同功能区电脑设备之间的交叉感染情况。

第三，企业员工私自在公司登录高危网站。一些公司机构存在上班时间上网购物、上色情网站的情况，还有很多员工私自搭建WiFi热点，造成了机构内网暴露。

第四，管理松散，不在乎预警、不执行应急方案。很多企业员工或管理者不相信会有严重的病毒爆发，即便看到国家有关部门的预警公告后也毫不在意。看到企业紧急下发的安全须知、应急办法和开机操作规范等材料，很多机构员工仍然我行我素，不按要求操作。

第五，安全意识薄弱。很多政企机构非常强调业务优先，并要求任何安全措施的部署都不得影响或减缓业务工作的开展，甚至有个别机构在明知自身网络系统及电脑设备存在重大安全漏洞或已大量感染病毒的情况下，仍然要求业务系统带毒运行。

同时，企业负责安全监管方面的领导行政级别较低，缺乏话语权和推动力，难以推动落实网络安全规范，无法及时有效应对实时威胁，也是大规模中招企业普遍存在的一个典型特征。业内专家表示，政府、企业和个人都必须将网络安全置于突出位置，做好日常防护，避开网络勒索的“黑手”。