以史为鉴：了解网络犯罪演变 预测网络犯罪趋势

网络犯罪始于上世纪90年代，如今已形成数十亿美元黑产。今年7月发布的一份网络犯罪演变分析报告所聚焦的主题就是：作为一门生意，网络犯罪的发展高度类似合法业务，并将会继续演进，提升自己的投资回报率。

早期，黑客行为更多是为了个人声望和荣誉而非赚钱，但互联网浪潮让人们意识到，也是可以靠着互联网赚钱的。网络犯罪的第一个历史阶段大致是从1990年到2006年。

基于这一简单的认识，HP Wolf Security《网络犯罪演变》研究报告所呈现的网络犯罪地下商业跟随并模仿了地上商业生态——包括数字转型。该报告的作者，高级恶意软件分析师Alex Holland表示：“正如日益普及的‘即服务’产品所表明的，数字转型给攻防两端都带来了极大助力。这使得恶意活动越来越大众化，曾经专属于高级持续性威胁（APT）组织的复杂攻击不再需要那么高深的知识和庞大资源，越来越多的黑客团伙都可以发起此类恶意攻击。” 

或许始于Zeus横行的时代，恶意软件已经商品化。Zeus最初要价8000美元，但SpyEye的低价竞争将其价格打到了500美元上下。2011年Zeus源代码泄露，基本等同于免费了。

同时，网络犯罪团伙也在整合，朝着“即服务”运营模式发展。各种特定工具包上线，毫无经验的潜在网络罪犯都可以租用所需的一切来发起不同类型的攻击。这种模式变得如此普及而多样，完全可以认为是地下犯罪组织如今在经营恶意软件即服务生态。为此，网络犯罪团伙自己发展出了一套特定于角色的模式：不同专家负责网络犯罪业务运营的不同部分。

这种生态采用了与地上商业相同的层次结构，由少数几名顶层罪犯实际控制网络犯罪集团，而不是各个单独的犯罪团伙。

庞大集团

网络犯罪地下世界如今就是这个状态：少数庞大“集团”有实力对重大目标发起持续长期攻击，此外还有大量没什么技术基础的“小”黑客购买现成的工具包或廉价漏洞。

Wolf Security发现，91%的在售漏洞利用程序要价不到10美元，吸引了大量不懂技术的潜在攻击者。而卖给菁英黑客的定制漏洞利用程序要价在1000到4000美元，这类漏洞利用程序的数量就少得多了。

当下经济不确定性带来生活压力，很容易理解搞点副业赚外快的吸引力。虽然大概率不会误打误撞就进入暗网，但真想访问暗网其实也不是那么难。Holland举了个源自游戏领域的例子。

他说：“很多人都是通过破解视频游戏作弊器进入网络犯罪世界的。寻找视频游戏作弊器所需的技能与逆向工程和漏洞挖掘非常相像。所以，潜在网络罪犯可能会想，‘不错，我设法绕过了这个流行视频游戏的作弊引擎；或许我还能顺道赚更多钱，毕竟我的技术在网络罪犯那里可是供不应求呢’。”

这个想法有着微妙的吸引力：作弊被认为是玩游戏的一种合法操作。从合理化游戏作弊到互联网欺诈也没隔着不可跨越的鸿沟。但这仍然仅仅是进入地下生态之旅的起点而已——游戏作弊并不会突然让你能挖到漏洞。你必须找到并加入论坛，但你通常只能接触到一些相对无害的公共论坛。不过，你可以在这些论坛上打造个人声望，证明自己的价值，表明自己不是执法部门的卧底。做到这一步，你就可以期待遇到那些可能邀请你进入更深层暗网论坛的担保人了，你的网络犯罪金字塔攀登之路就此开始。

金字塔尖就完全是另一幅景象了。网络犯罪的金字塔尖由人数相对较少的犯罪组织头目组成，直接“控制”这些头部网络犯罪团伙。但有意思的是，现在越来越难以区分网络犯罪团伙和黑客国家队了。虽然不是全部，但很多主要的网络犯罪团伙都在地缘政治敌对国家运营，比如俄罗斯、伊朗、朝鲜等。 

黑客国家队

黑客国家队和头部网络犯罪团伙如今采用同样的战术和流程，经常针对相似的目标，有时候甚至共享人手。曾经，黑客国家队主要搞监控，而网络犯罪团伙基本只是求财。但如今，全球制裁愈演愈烈的情况下，这一差异日渐消融，连黑客国家队都不介意为了国家经济利益而黑一把了。

因此，越来越难以确定网络犯罪地下世界到底是犯罪团伙还是某些政府才是最终控制者了。Holland认为，我们需要一个新的术语来描述难以界定是直接犯罪还是国家支持攻击的那些网络活动：国家允许的网络行动。

Wolf Security对网络犯罪演变的分析报告旨在确定“横向扫描”操作的基线：“这就是网络犯罪的当前状态及其成因，但基于此，未来又会是个什么样子呢？”编撰报告的研究人员给出了四个预测。

首先，我们可以预期，破坏性数据拒绝攻击的威力会变得更大。依赖物联网交付时间敏感数据的行业会沦为受害者。报告称：“我们还将看到对关键基础设施的破坏性攻击死灰复燃，例如追随Shamoon（2012）和Michelangelo（1991）的脚步，在2021年底和2022年出现的数据清除器攻击。在这些攻击中，恶意软件并不要求赎金，而是清除数据和禁用系统。”

其次，民族国家APT技术会被广泛用来推动更具针对性的攻击，目标是制造业和其他行业。事实上，犯罪行为和民族国家黑客行动之间业已模糊的界限亦将因此而更加模糊。朝鲜Lazarus黑客组织就是个很好的例子：它到底是犯罪团伙还是黑客国家队呢？答案是二者兼有。报告作者之一，犯罪学高级讲师Mike McGuire说道：“朝鲜无疑为贫困国家指了条明路，这么做不仅可以提振其经济，还能绕过制裁。这种事早已发生，是过去四年来的一个重大变化，拦不住了。”

人工智能

第三，新技术被用于犯罪行为的现象会越来越多。网络防御人员会应用人工智能技术，但攻击者也不是傻子，同样会用人工智能来对抗防御人员。深度伪造商务电邮入侵（BEC）活动会变多，AI模型投毒也将迎来增长。Web3能够增加访问用户个人身份信息（PII）的难度，但同样会为支持网络犯罪的信誉系统带来新的机会，让它们跨多个市场和论坛轻松转移信誉。“云破解”也会增多；即，利用公有云的算力提升暴力破解攻击的速度。还有量子计算的到来，这种技术无疑会遭到民族国家黑客和头部网络犯罪团伙的利用。

第四，网络犯罪生态会继续提升效率，提高其投资回报率。HP Wolf Security在2022年初列出的三大漏洞利用程序全都至少四岁高龄了。报告中写道：“利用老漏洞的机会窗口如此巨大的情况下，武器化新漏洞的投资回报率就很低了。相反，网络罪犯更喜欢提高自己入侵行动的速度和效率。”

实际上，很多此类发展都会结合起来，确保网络犯罪威胁会继续扩大：“我们很可能看到攻击者利用AI和机器学习技术来实现大规模针对性鱼叉式网络钓鱼攻击。攻击者可能会部署采用AI功能的攻击性工具来定制发送给目标企业关键人员的网络钓鱼电子邮件，并在网络中建立初始立足点后加快其后漏洞利用操作。”

《网络犯罪的演变》：https://threatresearch.ext.hp.com/evolution-of-cybercrime-report/

参考阅读
网络犯罪团伙加紧API攻击脚步
为什么访问控制已成对抗网络犯罪的前沿阵地
年损失18亿美元 去中心化金融遭网络犯罪重创
FBI年度网络犯罪报告：84.7万投诉 损失69亿美元