搜狐员工遭遇工资补助诈骗 黑产与灰产有何区别 又要如何溯源?

发布者:埃文科技
发布于:2022-06-10 10:54


“网络黑灰产”大家对这个词并不陌生,但是其实黑产并不等于灰产,两者还是有区别的。

网络黑灰产涉及黑产和灰产两个方面,黑产中的“黑”主要是指法律明确将此类行为规定为违法犯罪行为而灰产则与黑产有所不同,是指行为在立法上尚未有明确的规定,游离于违法犯罪的边缘,未构成犯罪的行为,如恶意注册、买卖账号等

网络黑灰产业指的是借助于网络平台与技术实施的网络违法犯罪,该类犯罪有组织、有目的、有分工且呈现规模化,包括黑色产业与灰色产业

简单来说,利用网络实施犯罪的称之为“黑色产业”,为网络犯罪提供技术支持与帮助称之为“灰色产业”。

网络黑灰产的主要类型,包括但不限于钓鱼网站、黑客勒索、木马病毒、电信诈骗邮件诈骗但是互联网高度发达的背后隐藏着不少的隐患与监管盲区,由于新型网络犯罪区别于传统犯罪,在罪名适用上出现了困难,一些“黑灰产业”伴随着互联网而诞生并逐渐蔓延,在电子商务领域也存在一些问题,诸如黑客攻击、盗取信息、盗窃账户等。

前段时间#搜狐全体员工遭遇工资补助诈骗#冲上微博热搜。据一份流传网络的聊天记录显示,搜狐全体员工在5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件。聊天记录称,不少员工受骗,工资卡余额被划走,随后张朝阳发博回应此次事件。此次事件就是互联网黑灰产的例子,盗取账号密码后邮件诈骗。

此次诈骗到底是如何发生的,我们一起来看一下。

此黑产组织是通过网络攻击手段获取到目标邮件服务器高级权限账号后,以财务部的名义发送了一封《关于发布最新工资补贴通知》邮件该封邮件正文是工资补贴通知,在正文中放置了一张二维码图片,诱导收件人扫描正文中二维码。邮件附件的内容和邮件正文一样,并未携带病毒和可执行文件。

 

当收件人扫描二维码后,就会跳转到仿冒银联的页面,该页面诱导用户输入个人信息及银行卡信息,钓鱼网站主要目的是获取用户姓名、身份证号、手机号和银行卡号等信息。

在获取到用户输入到敏感信息之后,通过API接口将敏感信息传输到管理后台,以便黑产人员进行定向诈骗。

 

事件发生后,国内某安全团队对此次邮件诈骗进行了溯源追踪

首先通过对邮件分析,发现该封邮件是通过outlook发送,源码中的IP也是outlook的IP

 

通过对HK0PR02MB2497.APCPRD02.PROD.OUTLOOK.COM的解析可以看到,此IP来自美国为机房流量,至此邮件方面没有更多信息。

 

随后通过查看钓鱼页面的前端JS发现该页面调用api接口,域名为api.klh****.***,查询api域名解析IP47.5*.*.***。

 

IP47.5*.*.***反查域名发现关联200多个域名,因运用了cname技术查出真实绑定在此IP上的域名只有api.klh***.***和new.****.***。登录此域名发现为该黑产组织的总后台。

至此,此团队通过对域名解析和IP溯源,找到了黑产的后台并获取大量证据。

黑灰产利用互联网虚拟空间及相关技术实施犯罪行为,尤其在各类网络平台层出不穷的情况下,犯罪人利用网络平台的匿名性实施犯罪活动,而IP溯源就是一种有效追踪犯罪嫌疑人的手段,在互联网侦查中早已大量运用。

互联网的发展和普及给人们的生活带来了极大的便利,传统的生活方式借助于互联网发生了巨大的改变,网络购物、网络支付、网络社交、网络娱乐等为人们带来方便的同时,各类网络犯罪问题也不断发生。尤其互联网黑灰产给公众带来了巨大财产损失并且造成社会秩序混乱。

伴随着黑灰产业的不断发展蔓延,未来还会有更多新形式出现,但国家已经在各层面开展专项打击行动。治理互联网黑灰产业不仅要依靠法律手段,也要加强社会协同治理,深挖黑灰产业链,直击犯罪根源。

 


声明:该文观点仅代表作者本人,转载请注明来自看雪