我们通常认为的犯罪活动便是网络犯罪企业所正在经营的业务线，和传统投放病毒以满足个人兴趣爱好的黑客不同，既然称之为犯罪企业，他便一定以营利为目标，凡不能产生效益的事企业是坚决不会参与的。

因此，当下的营利性网络犯罪的业务可分为六条主线，网络盗窃、非法数据交易、网络黑市、犯罪商业工具和服务、网络犯罪服务（CaaS）、勒索软件攻击。

网络盗窃，即通过计算机技术，利用盗窃密码、控制帐号、修改程序等方式，将有形或无形的财物和货币据为己有的行为，包括用户的数据和知识产权。

比如2021年12月，平邑警方破获“网络盗窃第一案”，涉案价值160万元，案件犯罪嫌疑人李某于临沂市河东区被抓获归案。经审讯得知，李某曾在某网络平台购买数字货币时被人诈骗10万元，因此导致生活拮据。后偶然在受害人刘某的公司发现了刘某在某网络交易所平台所购买的“EPK代币”的秘钥，出于心态上的不平和对自身遭遇的不释，李某在回到自己的住处后登录了刘某的网上交易平台账户，分两次将19万余枚的“EPK代币”转到了自己的账户，并联系买家低价出售了5万余枚，非法获利11万元。

第二类非法数据交易，是当下比较常见的网络犯罪行为，比如最近的“学习通事件”，1亿7273万条学生数据库让“金主”们争先恐后的购买。再比如2021年上海市普陀区检察院所办理的一起侵犯公民个人信息案，被告人陈某利用职位之便，非法出售客户个人信息10余万条，获利23万元，最后被法院判处有期徒刑三年七个月，并处罚金30万元。

而以上这两类网络犯罪一旦形成组织和规模，所带来的安全影响是无法预估的。能想象“专以网络盗窃”、“专以非法贩卖个人信息”为主营业务的企业吗？他们的背后将会有多少黑灰产的支持？又会使多少受害者惶惶度日？

第三类是网络黑市，比如臭名昭著的“Dark net”。而由于暗网其匿名性的特点，滋生了大量以网络为勾联工具的违法犯罪，比如买卖各类枪支弹药、毒品、野生动物、公民个人信息，提供黑客工具、传授黑客技术教程，网络攻击，制作贩卖淫秽物品等。让我们值得关注的是，随着国内访问“暗网”人数的不断增加，年轻人群体在不断扩大，甚至还有未成年人涉及其中，这对我们下一代的网络文化教育有着极其严重的影响。

第四类和第五类都是为犯罪分子提供工具的，也可以理解为网络犯罪企业的上下游、供应商，做的都是助纣为虐的勾当。它们就像正常服务的“邪恶双胞胎”，它们明面上服务于商业目的，如果接受他们供应的企业不作出伤天害理的事，它们可能是完全合法的。但现实是，它们确实在为虎作伥。当然就他们自身的角度也可以解释为“物无善恶，因人而异”，但若某些工具、服务具有明确的针对性，它被开发的目的就是用来毁坏的，那便没有什么辩解的了。

最后的这个勒索软件攻击可谓耳熟能详了。可以回顾一下2022年上半年的各大勒索软件事件。

2022年最受关注的攻击事件，哥斯达黎加政府因勒索攻击宣布进入“国家紧急状态”，这是一个国家首次宣布进入“国家紧急状态”以应对勒索软件攻击。勒索软件组织Conti声称对此轮攻击负责。

2022年2月底，全球知名的半导体芯片公司英伟达被爆遭到勒索软件攻击，不久后，英伟达公司官方证实遭到入侵。勒索软件组织Lapsus$声称对此次攻击负责。

2022年2月至2022年3月期间，三家丰田供应商遭到黑客攻击，丰田不得不停止其14家日本工厂的运营。Lockbit组织声称对此次攻击负责。

可以看到勒索软件犯罪的事例大多是已成规模的组织在实施罪行，说明除了“以买卖漏洞为盈利”的企业模式外，“明目张胆”进行勒索的行为也有了其系统的组织形式，这似乎和恐怖分子之间没有任何的区别了。

当下国内的“黑灰产业链”存在四大类型，技术类黑灰产业，包括虚假账号注册等在内的源头性黑灰产业；用于非法交易、交流的平台类黑灰产业；软件类黑灰产业，如木马植入、钓鱼网站、各类恶意软件等；网络黑账号，多以恶意注册、虚假认证、盗号等形式出现。

“黑灰产”的盈利手段主要为“撞库”和“垃圾注册”。第一种是“撞库”，就是把其他平台泄露的一些用户名和密码，不停地拿到另外一些平台上去试，如果登录成功之后首先会窃取账号内的资产信息，之后会使用窃取的账号去做一些薅羊毛等相关的事情。第二种是“垃圾注册”，黑产要盈利必须要有海量的帐号，黑产会注册成千上万个小号来为后续的活动进行准备，这是万恶之源。

目前，网络黑产犯罪已形成分工明确的上、下游黑产链条，而为各类网络黑产提供支撑的供给链也划分出物料、流量和支付三大要件。其中，物料为网络黑产提供犯罪原料和技术工具，流量负责触达受害人群，支付解决黑产获取赃款的资金通道。

随着新技术的发展，这三个要素也正在发生变化。其中，网络黑产的物料由此前的包括居民身份证件、银行卡、手机卡、U盾的个人信息“四件套”，扩展到指纹、面容、声音等生物信息。例如，有人利用“换脸”制作虚假的淫秽视频进行传播，还有犯罪团伙通过3D软件合成“假脸”认证网络平台账号，在受害人不知情的情况下，进行虚假注册、刷单、薅羊毛、诈骗等不法行为。

那网络犯罪企业为何会形成规模呢？为什么那么多IT员工愿意去为“犯罪”出力呢？其实仍旧是利益二字，犯罪行业的IT人员确实比其他人赚得更多。当然也不排除有一部分人是先天也好，或因后天经历也罢，他们就是没有良知的，他们就是喜欢“反社会”，喜欢看到自己能给世界带来痛苦。

Conti 泄密事件正好反映出了现代黑客的生活和工作是多么的典型。安全研究员Daniel Cuthbert回应了这种观点，他说：“我的理解，虽然此次泄露事件在全球范围内都引起了巨大的影响，但就Conti办公室里员工们的日常，无非是平凡至极的生活。工作、休假、与同事互动、回家，简单明了。”

很显然，对普通人来说，赚钱花钱就是一切了。

所以我们能看到Conti也在不断地招聘人才。来自团队领导的一些消息要求全栈开发人员、加密开发人员、C++ 开发人员和 php 开发人员。一旦被雇用，他们就会被分配到一个团队来创建不同的工具，如储物柜、垃圾邮件、后门工具和管理面板。Conti还有自己的招聘方式，或通过当前值得信赖的员工的推荐，或使用招聘服务来寻找那些具备专业技能的人才。

作为网络犯罪企业，他也会宣传自己的项目和文化，以吸引更多的人员来经营，利益、抱负、反社会就是他们的口号。而个人认为，这或许是打击他们的突破口。

其次，Conti的垮台也让我们看到了公关对于企业的重要性。2022年2月底俄罗斯入侵乌克兰，Conti公开支持俄国，欧美国家就此封锁Conti，让其无法再收到任何赎金，肆虐2年后的勒索软件Conti于2022年5月份悄悄关闭了官网和收取赎金的服务器，宣告关门大吉。

可以说支持俄罗斯这一关键性的举动打破了长久以来的默契和“国际合同”，在国外记者看来，这可算是一次巨大的公关失误。“正如许多人所描述的那样，这对Conti的品牌造成了严重的打击。” 

对传统公司而言，这样的公关失误将意味着解雇公关公司，更换首席营销官，或者进行品牌重塑等。但Conti并非一般公司，他的主营业务是以犯罪为主，因此一旦遭遇到这样的失误，就意味着Conti很难再维持其品牌。

研究人员强调，这次关闭的是Conti勒索软件的“品牌”，并非Conti背后的组织。也就是说，此恶意组织并非退出江湖，而是要以新的品牌继续活动。研究人员发现，2月到4月之间，Conti已为关闭做准备，悄悄设立了「分部」，并以KaraKurt、BlackByte、BlackBasta等新名称活动以接收Conti的既有「会员」（affiliates）。这些新勒索软件可能继承Conti的加密恶意程序，也可能使用新建的恶意程序。

无论如何，网络犯罪企业似乎已经接受了公关的效用，发布有关黑客行为的新闻稿已成为普遍做法。Advanced Intel曾发布的一份报告说：“Conti对哥斯达黎加政府进行攻击的唯一目的是利用这个平台作为宣传的工具，也就是说本次大规模的攻击只是为了宣传他们的实力，而不是为了赎金，而这一事实也得到了Conti领导层内部的证实。”

因此断言，对于网络犯罪来说，形象也是一种吸引员工或威胁受害者的重要方式。

面对日益严重的网络危害，国内的安全专家也有自己的经历和见解。

某券商安全专家宋士明表示，根据公开的相关报道和整体监控数据，当前网络诈骗犯罪日益猖獗，而众多企事业单位对当前正在遭受的网络钓鱼攻击根本没有概念。研究表明，网络诈骗“产业”的从业人数至少有160万人，地下黑产“年产值”超过1100亿元。国内外黑灰产的产业都非常发达，根据相关溯源报告，目前相关网络诈骗组织主要存在于东南亚，它们规模庞大、攻击效率高效、分销变现成熟，由此引发的各类网络犯罪和网络欺诈现象层出不穷。

“金融行业一直以来是遭受网络钓鱼欺诈等攻击的重灾区，尤其在国内疫情常态化防控之下，不断有不法分子假冒金融机构的高管、员工等工作人员，通过加微信、建QQ群，设立非法钓鱼网站，仿冒APP、发布钓鱼自媒体内容等方式，从事快速申请贷款、低手续费、虚假荐股、收费指导、承诺收益、欺诈投资者等非法金融活动。这些网络钓鱼欺诈行为，无论对客户还是企业均有较大的危害，不但能够骗取客户财产、窃取用户隐私、植入恶意程序，还会给企业带来声誉损害、赔付损失、增加企业法律风险和影响企业监管考评等负面影响。因此，金融企业当前面临着较大的业务安全风险。”

宋士明因此建议，对互联网空间上不断出现的那些仿冒企业品牌的钓鱼网站、仿冒APP和自媒体等相关网络欺诈媒介，企业应该构建相关方面的实时监测发现和应急关停处置机制，通过自建或购置外包专业安全服务等方式，进一步加强企业自身应对网络钓鱼、网络欺诈等方面的风险防控，并通过结合投资者安全意识教育，提升客户网络反钓鱼和反欺诈意识，以此来保护好客户的资产安全。

而九方智投产品技术负责人张福明则例举出了各种黑灰产的类型。比如直接联系诈骗，其常用套路是根据时事热点诈骗，像疫情期间的卖口罩诈骗、高考期间的花钱能录取诈骗，又或者冒充公检法诈骗，犯罪分子拨打受害人电话，以事主身份信息被盗用涉嫌洗钱等犯罪为由，要求将其资金转入国家账户配合调查进行诈骗。

再比如假平台诈骗，常用套路里犯罪分子会通过开设赌博网站或APP诱骗受害人向网站充值和赌博，在网站后台通过修改赔率、控制提现等方式，使受害人赌输或无法提现资金。而其中的投资理财诈骗，则是犯罪分子通过搭建网站或APP，虚构网络投资理财产品，以“高额回报”“稳赚不赔”为诱饵吸引受害人投资，在第一次小额的返利往往会兑现，待当事人刷单金额较大时，就会以系统卡单、错误等理由不予退还本金。

张福明指出，网络勒索是指通过电话、网络和短信方式，控制受害人电子设备或掌握受害人的黑材料对受害人实施远程勒索，迫使受害人打款或转账的犯罪行为。一般分为控制电子设备勒索，比如钓鱼邮件攻击或带有木马程序下载链接的短信等，还有诱骗获得黑材料勒索，比如通过引诱受害人进行裸聊等方式，诱使获得受害人相关“黑材料”，向受害人勒索金钱。

对于网咯盗窃，张福明以为一般分为直接盗取密码或盗取短信验证码。盗取密码是指撞库攻击猜测账号密码，即利用受害者泄露的密码进行碰撞，碰撞成功则获得登录权限。也有安装木马盗取账号密码的情况。而盗取短信验证码则是利用部分移动网络不加密的漏洞，在受害人的住宅附近进行无线电信号的监听，盗取网络平台向受害人发送的验证码，有了具体的验证码信息后就可以进行钱财盗取。

对于以上这种种犯罪行为，张福明建议：

1、加强信息安全监管，出台更多法律法规，为打击网络犯罪提供法律基础。

2、加强企业信息安全能力建设，加强产品安全性以及网络犯罪识别能力。

3、加强个人信息安全意识宣导。

与传统犯罪组织一样，网络犯罪集团与部分腐败的政府之间必然是沆瀣一气的。在网络犯罪企业中，分布式灵活的网络特性意味着黑客和民族国家之间有着日益增长的相互作用，想要分离它们是不可能的。网络空间已然成为了所有人都需参与其中的关键领域，包括争夺权力、争夺地位的政府和国家。

许多不法企业是在政府隐性或明确的支持下蓬勃发展的，实际上很可能就是在做所谓的间谍活动，而他们利用的模式和范畴正是商业化。望诸多安全从业人员能够因此提高警惕。