资安分析师：中国黑色产业分工全球化，网络代购成骇客洗钱管道

许多黑帽骇客利用技术找出系统漏洞、入侵并窃取账号、密码后，再将获得的资料用来贩售或者是诈欺，借此获得金钱利益，这已经形成一种完整的黑色产业链（简称黑产）。

美国第二大零售业者Target的POS机资料外泄事件中，唯一和美国FBI共同调查的资安研究公司iSight Partners，该公司网络威胁分析师锺安娜日前访台时表示，中国的黑色产业发展蓬勃，连常见的网络代购服务都已经成为骇客洗钱管道，许多环节分工细腻，甚至已经做到全球分工的地步。

中国黑产透过QQ私下交易变现，需求甚殷

中国黑色经济发展蓬勃，锺安娜以“什么都买、什么都卖、什么都不奇怪”来形容，更有甚者，她也亲眼在中国常用的QQ通讯软件上，看到很多人公开要买一些像是刚往生的死者资料，买卖这些资料的目的，不外乎是要提供给殡葬业者做生意，或者是借此伪造身份，也可观察到买方需求十分强烈。

在中国黑色产业的地下市场贩售的资料来自世界各地，包括日本、台湾、韩国、澳洲、意大利和法国等各国数据库在内，而贩售价格会因有无包含信用卡资料、是否加解密等条件而有所不同。

锺安娜解释，这些在地下市场贩售的资料，可以透过2种常见的手法产出。

第一种就是中国黑帽骇客常用的“撞库”手法，其实就是黑帽骇客先收集其他网络上已经外泄的使用者账号密码，产生一个新的数据库后，再利用这些汇整收集而来的资料，汇入一套自动扫号的工具，就可以模拟使用者登入网站的方式，确认这个账号密码是否有效。而这些确认有效的账号密码就可以产生一套新的数据库，另外对外贩售。

第二种手法就是“拖库”，锺安娜指出，这也是最常见的网站入侵手法，黑帽骇客直接入侵某个网站，并窃取相关数据库中的资讯，黑帽骇客可以备份一份完整的数据库，也可以将数据库中的资料汇出到其他的本地端或云端的储存空间。

若要进一步解释撞库手法，比较类似几年前，台湾电子商务业者遭遇到骇客利用从其他地方取得的账号密码，再利用资讯拼图的手法，将这些从其他地方搜集到的账号密码，用来测试使用者是否也在该电子商务网站中，使用相同的账号密码。至于拖库，则是一般常见的网站入侵、窃取数据库的手法。

但是，不论是撞库或拖库，锺安娜说，黑色产业最终的目的就是要让这些资料变黄金，这个变现的过程就是所谓的“洗库”，也就是一连串的洗钱过程。

另外，日本JP CERT资安研究员林永熙表示，中国地下市场使用的自动扫号工具，已经对日本民众造成很大的危害，光是今年，就有一间知名手机营运商和两间很大规模的物流业者，公开要求日本民众注意相关工具带来的危害。

网络代买代购服务，成为资料变现管道

资料如果不能卖钱就没有价值，因此，根据锺安娜的研究观察，中国黑色产业的地下市场会利用4种方式将资料变现。第一种就是利用网络代买代购的服务，将资料变现。

她进一步解释，黑色产业从业人员会将取得的假信用卡资料，利用在美国、日本等的电子商务网站代买代购的方式，购买高单价商品后，再将网购商品寄回中国，因为汇率比一般金融体系的汇率好，深受许多网友欢迎。

如果骇客植入木马程式的电脑，在浏览器的COOKIE中存有信用卡资料，骇客也可以直接下单寄到作为洗钱的人头账户（又称为车手）地址后，再将商品转卖掉。

第二种就是将取得的网银账户资料，登入后将账户内的钱转账转走，或者是把这个账户作为洗钱的人头账户之用。

第三种则采用类似钓鱼网站的手法，骇客会假冒银行或电信业者发送简讯，宣称某个账户密码即将到期，要求收到简讯的使用者，点入简讯所附的连结后更改成新的账号密码，在更改密码的过程中，会要求使用者输入现有的账号密码，骇客就可以取得正确的账号密码后登入使用者的账号。

最后一种方法则是，黑帽骇客在使用者电脑植入木马程式，平常保持安静并不动作，在取得使用者电子邮件账号密码后，便会透过“关键字搜寻”，搜集该名使用者的信用卡和账号，作为将资料变现的洗钱之用。

引进美国绿点储值服务，更易将资料变现

锺安娜表示，中国黑色产业虽然搜集并贩售来自全球各地的数据库，但也会依据消费者需求进行各种在地化和客制化的调整，以满足资料购买者的需求。

不过，中国黑色产业的发展也经历过一些转折，她指出，早在2010年，各种资料贩售管道，主要是以中国论坛各种贴吧作为黑色产业从业人员和买家的沟通平台。

但经历2012年，中国政府大规模的净网行动后，黑色产业曾经出现一段时间的衰退期，尔后，虽然在2013年慢慢复苏，但资料买家和卖家的沟通方式，到2014年更多人则直接改采QQ等即时通讯方式私下交易，也可以躲避中国执法单位的查缉。

使用QQ等通讯方式，确保黑色产业资料交易的隐匿性，但锺安娜表示，过往，中国黑色产业从业人员面临到的困境则是，很难将美国数据库的资料变现，但是，自从中国黑色产业跟东欧黑色产业取经，并在2014年引进美国绿点（Green Dot）的储值卡服务后，终于让美国的数据库可以更顺利的变现。

她进一步解释，因为美国不是每个人都可以在银行拥有账户，而绿点则是美国一种可在连锁商店及加油站购买的储值预付卡。

骇客把偷到的网银资料账户的钱，转到绿点储值卡的人头账户后，就可以利用在美国电子商务网站以代买代购的方式，将绿点账户中的钱，转账支付电子商务网站购物的费用。这样美国网站刷卡转账换人民币现金的方式，就让以往较难变现的美国资料，有了顺利变现的方式。

锁定日韩，贩售游戏虚拟宝物洗钱

不过，到2015年则发现，中国黑色产业更直接锁定日、韩两国，进行将资料变现的过程。锺安娜表示，中国黑色产业从业人员主要是利用日韩的游戏账号，透过虚拟宝物的销售作为洗钱管道，尤其是日本，更是主要锁定的对象。

中国黑帽骇客锁定日本将外泄资料变现的方式，主要有3种管道，第一种是透过合法网络拍卖账号被骇或合法建立拍卖账号并累积名声，大量在地下市场销售，作为洗钱脱手之用；第二种，因为大家疯狂抢购网络银行账号作为洗钱的人头账户，僧多粥少，这些黑帽骇客只愿意提供人头账户的租赁服务，而不愿意卖断。

最后一种则是，架设以假乱真的钓鱼网站，诈骗使用者资料，但为了提高钓鱼网站的可信度，会另行购买Proxy代理服务器的VPN（虚拟私有通道）服务，假装该钓鱼网站是在日本架设的网站，并会将恶意程式加壳，借此躲避各种防毒软件的侦测。

中国黑色产业从业人员则针对韩国民众最常使用的Android手机，开发许多针对Android手机平台的木马程式，和可以躲避手机防毒软件侦测的木马免杀服务，借此即可取得使用者网络登入账号密码，作为后续贩售或再利用。

她进一步表示，中国地下市场这两年针对日韩两国，衍生许多攻击手法和洗钱模式，从2015到2016年还看不到有任何衰退的趋势。

不过，中国黑色产业为了提升竞争力，则会持续学习东欧及俄罗斯黑色产业地下市场的洗钱模式，也会将相关的工具在地化后，再引进到中国市场使用。

中国黑色产业规模之大和参与人数之多，已经难以估计。不过，根据中国媒体推估，该产业规模已经高达树千亿人民币，从偷资料、卖资料到骗到钱的过程，已经形成完整的黑色产业链。

根据锺安娜个人观察，黑色产业的交易，首要目标是外泄的数据资料，其次才是工具，一般企业与资安公司在意的漏洞资讯，其实很少被交易。