搜狐員工遭遇工資補助詐騙 黑產與灰產有何區別 又要如何溯源？

“網路黑灰產”大家對這個詞並不陌生，但是其實黑產並不等於灰產，兩者還是有區別的。

網路黑灰產涉及黑產和灰產兩個方面，黑產中的“黑”主要是指法律明確將此類行為規定為違法犯罪行為。而灰產則與黑產有所不同，是指行為在立法上尚未有明確的規定，遊離於違法犯罪的邊緣，未構成犯罪的行為，如惡意註冊、買賣賬號等。

而網路黑灰產業指的是藉助於網路平臺與技術實施的網路違法犯罪，該類犯罪有組織、有目的、有分工且呈現規模化，包括黑色產業與灰色產業。

簡單來說，利用網路實施犯罪的稱之為“黑色產業”，為網路犯罪提供技術支援與幫助稱之為“灰色產業”。

網路黑灰產的主要型別，包括但不限於釣魚網站、駭客勒索、木馬病毒、電信詐騙、郵件詐騙等。但是網際網路高度發達的背後隱藏著不少的隱患與監管盲區，由於新型網路犯罪區別於傳統犯罪，在罪名適用上出現了困難，一些“黑灰產業”伴隨著網際網路而誕生並逐漸蔓延，在電子商務領域也存在一些問題，諸如駭客攻擊、盜取資訊、盜竊賬戶等。

前段時間，#搜狐全體員工遭遇工資補助詐騙#衝上微博熱搜。據一份流傳網路的聊天記錄顯示，搜狐全體員工在5月18日早晨收到一封來自“搜狐財務部”名為《5月份員工工資補助通知》的郵件。聊天記錄稱，不少員工受騙，工資卡餘額被划走，隨後張朝陽發博回應此次事件。此次事件就是網際網路黑灰產的例子，盜取賬號密碼後郵件詐騙。

此次詐騙到底是如何發生的，我們一起來看一下。

此黑產組織是透過網路攻擊手段獲取到目標郵件伺服器高階許可權賬號後，以財務部的名義傳送了一封《關於釋出最新工資補貼通知》郵件，該封郵件正文是工資補貼通知，在正文中放置了一張二維碼圖片，誘導收件人掃描正文中二維碼。郵件附件的內容和郵件正文一樣，並未攜帶病毒和可執行檔案。

 

當收件人掃描二維碼後，就會跳轉到仿冒銀聯的頁面，該頁面誘導使用者輸入個人資訊及銀行卡資訊，釣魚網站主要目的是獲取使用者姓名、身份證號、手機號和銀行卡號等資訊。

在獲取到使用者輸入到敏感資訊之後，透過API介面將敏感資訊傳輸到管理後臺，以便黑產人員進行定向詐騙。

 

事件發生後，國內某安全團隊對此次郵件詐騙進行了溯源追蹤。

首先透過對郵件分析，發現該封郵件是透過outlook傳送，原始碼中的IP也是outlook的IP。

 

透過對HK0PR02MB2497.APCPRD02.PROD.OUTLOOK.COM的解析可以看到，此IP來自美國為機房流量，至此郵件方面沒有更多資訊。

 

隨後透過檢視釣魚頁面的前端JS發現該頁面呼叫api介面，域名為api.klh****.***，查詢api域名解析IP47.5*.*.***。

 

對IP47.5*.*.***反查域名發現關聯200多個域名，因此運用了cname技術，查出真實繫結在此IP上的域名只有api.klh***.***和new.****.***。登入此域名發現為該黑產組織的總後臺。

至此，此團隊透過對域名解析和IP溯源，找到了黑產的後臺並獲取大量證據。

黑灰產利用網際網路虛擬空間及相關技術實施犯罪行為，尤其在各類網路平臺層出不窮的情況下，犯罪人利用網路平臺的匿名性實施犯罪活動，而IP溯源就是一種有效追蹤犯罪嫌疑人的手段，在網際網路偵查中早已大量運用。

網際網路的發展和普及給人們的生活帶來了極大的便利，傳統的生活方式藉助於網際網路發生了巨大的改變，網路購物、網路支付、網路社交、網路娛樂等為人們帶來方便的同時，各類網路犯罪問題也不斷髮生。尤其網際網路黑灰產給公眾帶來了巨大財產損失並且造成社會秩序混亂。

伴隨著黑灰產業的不斷髮展蔓延，未來還會有更多新形式出現，但國家已經在各層面開展專項打擊行動。治理網際網路黑灰產業不僅要依靠法律手段，也要加強社會協同治理，深挖黑灰產業鏈，直擊犯罪根源。