2001年，一場持續了7天7夜的“中美黑客大戰”讓不熟悉網絡世界的中國人都認識到一個全新群體——黑客。網絡以難以想象的速度在中國快速普及，黑客們針對網絡安全而展開的黑帽白帽大戰從未停歇過，2013年，全球5.52億人因為黑客攻擊泄露身份資料，而在中國，1.64億人因為網絡犯罪受到侵害，人均損失224美元。 　　隨著智能手機日益普及，1200萬個針對智能手機的惡意鏈接隨時在威脅個人信息和金融安全，在不少頂級黑客看來，看上去安全的支付賬號都可以隨時被更改，你購買彩票的錢可以直接轉去黑客賬戶，不用花錢也能直接下訂單。安全專家指出，六成以上網絡平臺存在安全漏洞，如果未有防御措施，發起攻擊只是時間問題，但大多數人薄弱的網絡安全意識令人擔心。 　　文、圖/本報記者胡亞平 　　周一早上，吳洋(化名)照常打開微信準備刷朋友圈，系統突然顯示密碼錯誤。吳洋腦袋嗡地一下：“不好！密碼被盜！”因為使用QQ登錄微信，而微信號綁定了銀行卡和理財產品，風險不言而喻。 　　半小時后，經過一番折騰的吳洋重新登錄微信，發現一切無異后不禁長舒一口氣。他猜想，自己被傳說中的黑客攻擊了一把。其實，這樣的黑客攻擊每天都發生在我們身邊。 　　青春飯撈快錢 　　蓋樓洗白上岸 　　凌晨1時20分，PW(化名)的QQ號終于顯示登錄，每天這個時候，他都會登錄QQ和一些圈子里的人碰碰頭。90后的PW是一家軟件開發公司的老板，但是很少有人知道他的另一個身份——一名資深黑客。PW認為自己是一名非典型黑客，他只是沉迷于黑客技術，“這個圈子里能碰到計算機行業中的頂尖高手，通常這些高手是不屑于用黑客技術去賺錢的，但是他們開發的各種黑客工具被人利用后就形成了地下黑客產業利益鏈。” 　　PW是計算機高手，就讀于廣州一所重點大學計算機專業的他，計算機專業只讀了一年后，他轉去學習其他專業，大學四年得了3個學士學位，熟悉他的朋友稱他為計算機神童。就在不久前，PW朋友公司的網站被黑客攻陷，對于他而言，80%的網站都有各種漏洞，攻陷只是時間問題。 　　每天凌晨，PW都會登錄QQ上的黑客群，和一些圈里人討論一些技術問題，在他看來，混在群里的黑客們也分很多檔次，真正頂尖黑客占黑客總數不到一成，這些頂尖黑客多數獨來獨往或是有一個極小的圈子，而不同的黑客圈有不同的目的，由3~7人組成專門為做“黑產”的黑客團隊，也有僅是追求技術的技術宅男，還有一些抱著一夜暴富夢想花錢學黑客技術的菜鳥們。“大多數中國黑客的水平都比較一般，他們多數是利用國內外的一些高級黑客編寫的軟件來進行攻擊的工具使用者。” 　　在中國最早的黑客領軍人物陳三堰看來，黑客的新陳代謝也非常快，一般進入這個領域的都是18~35歲的男性，女性不多，由于黑客技術發展極快，只要一段時間遠離這個圈子，技術上就無法再跟上。而從事黑客需要付出極大的精力和體力，長期熬夜是常態，很少有人能夠持續從事黑客多年，一般到了一定年齡后都會選擇轉行，“所以很多黑客都是帶著吃青春飯撈快錢的心態在做黑客，早些年的一些黑客靠破解盜版發家，如今甚至蓋起了自己的產業大樓，很多人撈了第一桶金后就會遠離這個行業，洗白上岸。” 　　攻擊網游牟利 　　沒技術月掙十幾萬 　　從2006年開始，當時還在讀初中的PW就已涉足黑客圈，那個時候，已有不少黑客們靠黑產牟利，其中，攻擊網絡游戲是黑產中最主要的部分。“當年通過攻擊網游牟利的黑客們不少已經身家過千萬元了，這應該是中國黑客產業里面產值最大的一塊，分工運作環節都非常成熟。” 　　一般來說，這些專門針對游戲玩家下手的黑客們一般由3~7人組成團隊，團隊中技術最好的黑客負責攻擊用戶數據庫，獲取賬號和密碼，中間層的黑客只會一點基本技術就能完成“掃號”工作，將偷來的裝備、點卡、虛擬貨幣儲存在固定的地方，最下游的人可能一點技術都不懂，只是在網上以不到官網一半的價格賣出這些偷來的虛擬貨品，“黑客們最喜歡用戶量巨大的網絡游戲，比如夢幻西游、魔獸世界等，因為用戶量越大，商業價值也就越大，偷來的裝備可以很快出手。” 　　實際上，除了盜取游戲裝備、虛擬貨幣，網絡黑客的生財之道還遠遠不止這些。有些黑客通過攻擊網絡平臺敲詐勒索費用，有些專門幫競爭者攻擊對手網站……還有人把培訓黑客當成搖錢樹。 　　在黑客圈子里，一條豪華車主的詳細信息可以賣到1000元，政府官員、老板的個人信息以及用戶眾多的網絡游戲數據庫是黑產中炙手可熱的搶手貨。PW告訴記者，就在不久前，一個黑客盜取的網頁游戲庫被人以50萬元的高價收購，買家收購了這些用戶數據庫后，就可以替代運營商給玩家充值，玩家充值的費用會直接流入這些黑產從業者的口袋，通常一些用戶人數多的數據庫幾天之內就能回本，等到運營商發現進行修補和追查，黑產們早已賺得盆滿缽滿，即使數據庫被關閉也無所謂了。 　　據PW所知，早幾年，在黑產利益鏈條里，一個在中間負責掃號的小黑客，不需要太多技術，每個月都能掙十萬元，但是隨著公安部門打擊網絡犯罪力度加大，很多原來圈子里的“大人物”都被抓了進去，“很多人開始遷往東南亞繼續從事這一產業，打擊網絡犯罪的困難就在于，跨境犯罪成本不高，但跨境抓捕難度很大。一宗網絡犯罪，案發地、服務器所在地、實施犯罪人所在地都可能不在一個地方，甚至可能跨境，要抓住元兇并不容易。”PW說。 　　1.6萬學7天速成黑客？ 　　“螞蟻搬家”小錢變大錢 　　因為來錢快，所以很多無業的年輕人熱衷在網上找資源學黑客技術，一些“黑客培訓班”的授課內容幾乎囊括了病毒、木馬制作技術和各種網絡攻擊技術。國內一個很知名的漏洞查找網站也推出過黑客培訓課程，7天的黑客速成班需要花費1.6萬元。便宜的班一般200~500元不等，主要教授使用一些特定的技術或工具。 　　小G是完全不同于PW的小黑客，剛剛入行3年的他完全是抱著為賺錢的目的學習黑客技術，“我報過四五個班，前幾個都是騙錢的，收了錢就給幾個工具，告訴你怎么用，實際上，根本不算什么黑客技術。” 　　后來，小G在圈子里認識一個技術比較好的“師傅”，就介紹別的朋友交錢跟他學，如果“師傅”有“項目”要做也會在他們中間找人，一般這個圈子組織很嚴密，都是熟人介紹，不會接受網上貿然要求加入的新丁。 　　小G向記者透露，其實很多時候，黑客盜取支付賬戶錢財都是在“潤物細無聲”的情況下完成的，一般獲得一些支付賬戶的信息后，有耐性的黑客會跟蹤一段時間，觀察賬戶使用者的消費習慣，如經常在網站消費，然后就會設置一個假冒消費記錄后盜走賬戶的小額費用，一般是十幾元或是幾十元，這種“螞蟻搬家”似盜款方式很難被事主發現，但是對黑客而言，積少成多，是一種不錯的撈錢方式。 　　PW認為，像小G這樣的小黑客應是現在黑產中的主流，真正頂尖的黑客多數還是來自于重點大學計算機或數學等相關專業，然后自己摸索技術，而這些小黑客很多都是文化水平不算高，學一些皮毛就進入黑產撈錢。 　　廣東著名打假人士徐大江的另一個身份是中國紅客聯盟江蘇站站長，2001年，他帶領十幾萬黑客在“中美黑客大戰”中鏖戰了7天7夜，回憶當年，徐大江說，“當年的黑客都是些熱血青年，更多的是在校學生和技術人員，大家都是研究技術，他們是黑產的主力軍，學習技術的唯一目的就是牟利。” 　　泄露數據只是冰山一角 　　網絡平臺漏洞多 　　賽門鐵客公司2013年發布了《諾頓安全報告2013》，根據他們進行的網絡漏洞評估項目發現，77%的網站包含漏洞。去年中國受網絡犯罪侵犯的人數達到1.64億人次，直接經濟損失達370億美元，人均達到224美元。 　　根據國家互聯網應急中心發布的《2013年我國互聯網網絡安全態勢綜述報告》，去年，安卓手機平臺惡意程序數量呈爆發式增長，2013年新增移動互聯網惡意程序樣本達70.3萬個，其中71.5%是惡意扣費類。2013年發現移動互聯網惡意程序傳播次數達1296萬次，比去年增加了23倍。 　　在安全專家們看來，盡管黑客已經把觸角已伸到網絡各個角落，但網絡普通用戶卻未真正重視過網絡安全。陳三堰直言，相比于電子商務，網絡安全發展可謂嚴重滯后，“很多企業一方面是為了節約成本，另一方面也是對安全領域缺乏了解。” 　　PW也負責幫助公司開發軟件，一般來說如果進行安全防護的設置，軟件開發的成本要增加20%左右，很多公司會覺得這部分成本沒有實際效益，所以不愿意投入。陳三堰告訴記者，以代碼審核為例，一個1萬行代碼的程序如果進行代碼審核最起碼需要50萬元，“這部分投入看不到實際產出，很多公司都不愿意付出。” 　　“最可怕的是，一般人至今未有網絡安全的危機感，他們照常在公共WiFi下收發郵件、網購，甚至登錄網上銀行，毫不擔心自己的敏感信息會被黑客獲得，遭遇經濟損失還蒙在鼓里。”陳三堰表示，隨著國家把網絡安全上升到國家安全的高度，已經有越來越多政府部門和大企業開始著手解決網絡安全問題，但是，讓更多每日和網絡接觸的普通人意識到網絡安全的重要性仍然任重而道遠。 　　公共WiFi個人信息泄露 　　網絡安全意識薄弱 　　今年4月9日，一個名為Heart bleed(意為“心臟出血”)的重大安全漏洞被曝光，一位安全行業人士在知乎網站上透露，他在某著名電商網站上用這個漏洞嘗試讀取數據，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網站。 　　陳三堰直言，這些數據的曝光不過是黑客們掌握的“社工庫”(每次入侵得手的數據集聚起來形成的大數據庫)的冰山一角。更大的危機在于，六成以上網站可能都存在漏洞，你根本無法知道黑客們到底掌握了多少大數據庫。 　　在PW看來，黑客遵循的原則就是“悄悄地進村，打槍的不要”。在抓住漏洞，進入后門，獲得敏感信息后，一定會注意隱藏行蹤不被發現。 　　“敏感信息一般掌握在頂尖的人手里，20%的黑客掌握了絕大多數社工庫信息，有些黑客進入了一些經濟利用價值高的網站，可能還會把補丁補上，避免其他黑客獲得敏感信息。他們有時也會互相交換，但很少會公布出來，所以很多敏感漏洞被發現時，可能已存在一兩年，很多黑客早已利用這些信息獲利，因此網絡警察追兇也并不容易。” 　　1999年就進入黑客領域的陳三堰是知名黑客網站“第八軍團”的領軍人，2004年，他轉型進入網絡安全領域，開創了網絡安全維護的易城信息技術，繼續以白帽黑客的身份與黑客們斗智斗勇。“2011年，我當時在一個黑客圈子里就看到一個社工庫，當時這個壓縮文件已經有40G大小，積累到近幾天估計已成倍增長。隨著云技術的普及，這種大數據庫泄露的安全形勢將會越來越嚴峻。” 　　“有了這些社工庫，要破解人們的密碼易如反掌。”PW以QQ密碼為例，只要你在社工庫內輸入QQ號，就可以直接查到這個號碼是否曾經泄露過，如果有，獲取密碼就非常簡單。 　　電子支付平臺實際漏洞也非常多，PW最近曾幫一家電子支付平臺查找漏洞，隨便查一下就有4個漏洞，“國內很多公司在開發軟件平臺的時候還沒有什么安全意識，大部分網絡平臺都有漏洞，而這些漏洞造成的信息泄露都會被社工庫收錄，掌握社工庫的人如果愿意，可以直接獲取所有用戶的信息，可以改變支付賬號，讓用戶把買彩票的錢直接打到他們的賬戶上，甚至可以不花錢下訂單。這對頂尖黑客來說，完全不是難事，做與不做全憑良心。”