黑客揭秘!骗子如何拿到你的卡号和密码

    

  • 你的QQ账号被提示在异地登陆,你的 Apple ID 被提示异地登陆,甚至小米账号都被提示异地登陆。
  • 你接到莫名其妙的电话,电话那头的“银行客服”竟然能一字不错地说出你的银行卡号,还告诉你卡上被误扣了钱款。如果你跟随他的指导进行操作,银行卡上的钱最终会莫名其妙地被划走。
  • 你收到了一封邮件,来自你刚刚购买的淘宝店铺。你打开了看起来再正常不过的附件,一天之后却发现银行卡里的资金全部不翼而飞。

这些事情如雾霾一样,弥散在我们周围,很多童鞋因此损失财物。在慨叹这个世界变得疯狂而危险的同时,你有没有浮现出深深的疑问:对方为什么会如此精准地掌握了你的个人信息?你的个人资料究竟是怎么到了坏人的电脑里?

“草根侦探”赵武

自称草根的赵武,在互联网威胁情报界摸爬滚打多年。用嫉恶如仇来形容他并不为过。

  • 他曾经反黑进黑客的服务器,拿回被黑客窃取的个人信息,然后依次给受害者打电话提醒他们改密码。
  • 他曾经破解了黑客用伪基站窃取的用户数据库,然后向警察叔叔报案。警察:你是受害者吗?赵武:不是。警察:受害者都没报案,你报什么案?

2015年他创建了安全公司白帽汇,专门提供威胁情报,用以对抗用户信息泄露、网络诈骗等黑产。之所以说他是草根,主要因为他的“办案”手法异常接地气:通过白帽汇,把上千个白帽子(白帽子,就是心地善良,从事安全行业的黑客)作为“眼线”撒到黑色产业内部,通过这种“地下工作”实时掌握黑客们的动向。

赵武说,你根本想象不到这些白帽子有多神通广大,他们和黑色产业有着千丝万缕的联系。我不关心白帽子是通过什么“野路子”拿到这些消息的,我要做的只是用技术和非技术手段对于小道消息小心求证。

这些“料”来自“敌人的心脏”,往往独家而隐秘。说起来,他的白帽汇更像是威胁情报界的“私家侦探”。在安全牛威胁情报解决方案峰会上,这位专门对抗黑业的“草根黑客”揭秘了黑客的“游戏规则”。

【在 Nosec 上提交的泄露信息和漏洞】

精妙的时间差

你的信息是怎样被泄露的呢?它们就像进行了一次长途旅行,通过“火车、汽车、牛车”这样的接力,最终到达黑客手里。而这第一站就是各种电商网站或者社区平台。用户在购物时,都要填写自己的真实的住宅信息和信用卡信息。而这些信息存储在网站的服务器上,原则上是绝不能对外泄露的。

黑客想要拿到用户的个人信息,就必须进攻网站的服务器。进攻网站的服务器,就要绕过网站的“保安”。绕过网站的“保安”,需要挖一条“地道”。这些特别的地道就叫做“漏洞”。

在黑客眼里,漏洞和古玩市场里的青花瓷瓶一样,是有“品相”之分的:

有的漏洞可以直达对手心脏腹地,有的漏洞却仍只能让黑客在金库外围徘徊。有的漏洞可以通吃所有网站,有的却只能击败几个对手。

无论是在黑色产业链还是安全产业中,这些漏洞都有专业的黑客负责挖掘,根据他们的目的不同把这些黑客分为了“黑帽子”和“白帽子”。白帽子发现漏洞,会及时通知网站进行修复,而黑帽子发现漏洞,则会尽快出售给“下家”用于网络攻击。而一旦发现自己的网站出现异常,电商企业也会求助于白帽汇这样的安全公司紧急查找修复漏洞。

漏洞是有“生命周期”的。从被发现到被修复,这一段时间是被黑产利用的黄金时期。

如果一个通用漏洞只有少数几个黑客掌握,而所有的网站都毫不知情,它就被称为“0Day”漏洞。著名的互联网漏洞平台“乌云”就是一个鼓励白帽子提交各种漏洞的社区。很多极具杀伤力的“0Day”漏洞经常出现在乌云上。根据乌云的规则,漏洞被白帽子提交之后,会通知相关厂商修复,然后会把技术细节依次向核心白帽子、普通白帽子和公众公开,级别越高的白帽子看到技术细节的时间越早。

而正是因为这个规则,一个核心白帽子的账号和密码在黑市中的价格会超过万元。因为他们有权限在大多数人之前看到漏洞细节。对于瞬息万变的互联网世界,这个时间差已经足够了。

在大多数人得知这个漏洞细节之前,黑产便发动手中强大的“战争机器”,用这个锋利的漏洞地毯式轰炸一大批网站,迅速盗走其中的用户信息,甚至安插后门,以便今后随时“光顾”。当这个漏洞普及之后,许多网站再进行修复,其实已经于事无补了。

【漏洞交流社区 乌云】

这样精妙的时间差,加上巨大经济诱惑下黑产强大的资源调度能力。让大多数网站防不胜防。但是赵武告诉雷锋网(公众号:雷锋网),更多的网络进攻实际上没有这么惊心动魄。即使一个漏洞被爆出很久,成为了“NDay 漏洞”,仍然会有一大批网站由于技术、成本、认识等等原因不去修复。例如在2014年爆出席卷全球的“心脏滴血”漏洞,有的企业至今还在“施工中”。

在真实的场景中,往往会发生这样的事情:

黑客给某企业 CEO 发一封伪装成应聘邮件的钓鱼邮件,附带上一个利用“老掉牙”漏洞的木马,瞬间就会感染公司内部,让黑客拿到一切资料。

脱缰的野兽

现在,你的个人信息已经和众多无辜的人一起到了黑客的手里。然而,他们对你的伤害还远远没有停止。庞大的个人信息库被从各个站点拖出来,汇集成为一头脱缰的野兽。

在黑色产业链中,有专门的团体负责“撞库”——用已知的账号和密码去大量尝试其他网站和平台。

大多数人都有一个习惯,那就是在不同的网站使用相同的密码。这个糟糕的习惯会造成难以挽回的恶果:

原本只是你的网易邮箱账号被盗,黑客通过撞库,却进入了你的 Apple ID 和淘宝账号,进而获得你的手机隐私、银行卡号和家庭住址。通过对你发送钓鱼邮件, 甚至可以获得你的银行卡密码。

简单的邮箱泄露,却藉由几层跳板直达你的财务系统。这就是“撞库”这头血腥猛兽的恐怖之处。依靠着“漏洞—拖库—撞库”的循环往复,跟据不完全统计,仅仅在中国,在黑产中流传的账号密码就已经累计超过20亿个。也就是说如果至今为止你人生中还没有改过密码,那么你在黑客眼中十有八九已经“透明”了。

赵武说,他的团队曾经攻破了1900多家钓鱼网站,在其中提取了16000多名受害者的完整信息。这里的完整信息是指:用户名、银行卡号、密码、身份证号、家庭住址、联系电话。如果你还不知道这意味着什么,可以试着把这些信息告诉你的朋友,一个普通人几乎都可以利用这些信息毫不费力地转走你的资金。

今年央视315晚会曾经报道,黑客向受害者发送一个 App 链接,只要安装了这个 App,受害者的手机通话记录和短信就全部被黑客拿到。这在技术上来书是确实可行的。

【315晚会上展示如何通过扫码盗取用户个人隐私信息】

在黑客的服务器上,赵武发现了密密麻麻的个人短信。每个人的聊天记录都赤裸裸地躺在磁盘中。其中的通信内容不免让人唏嘘。让赵武记忆犹新的是,有一个人给老婆发短信,兴冲冲地告诉她自己中奖了,要赶快把家里的银行卡号发来。这个让老婆管钱的可怜人只是众多受害者中再普通不过的一个。而堆叠亿万受害者,就像水滴汇成海洋,我们最终将会从倒影中看到自己。

黑色产业内部的分工和协作已经远远超出了大部分人的想象。漏洞挖掘,拖库、撞库、洗库、实施犯罪,这些环节由不同的团伙负责,而你的个人信息就这样赤裸裸地在不同的空间“自由流转”。

从一个简单的例子,就可以看出黑产的分工精细到何种地步:

黑客扩大攻击的重要手段是钓鱼邮件。用户上当之后会进入黑客构建的钓鱼网站,从而在诱骗之下输入敏感的个人信息。为了防止公安和安全公司的追踪,就连钓鱼网站使用的服务器都不是黑客自己注册的。在黑色产业链中,专门有一批人申请服务器,以一个星期2000块的价格租给钓鱼网站的使用者。白帽子一旦反向侦察,只能定位到服务器申请人,而难以捕捉真正黑色产业从业者的蛛丝马迹。

攻心为上

之前所说的黑产和白帽子之间的对抗,都像是在下一盘棋,按照攻守的逻辑套路对弈。而发生在现实世界的对抗,还要复杂得多。

所谓进攻的最高境界,就是“手中无剑,人剑合一。”这并不玄妙:

如果黑客拿到了公司内部人员的账号,通过合法的手段登陆公司内网,再不急不缓地把所有敏感信息拖出来。没有任何防御措施可以防止这一点。因为黑客攻击的不再是系统,而是人。

当然,拿到一个人的账号,仍然可以通过前述的黑客手段。然而,最难以防备的是通过互联网之外的手段。例如商业行贿、美人计。现实世界的好处在于,它的想象空间要远远超越赛博世界,在这里你可以无所不用其极。

当黑客们在实践中意识到其实做黑产其实并不需要攻击系统,而仅仅需要攻击这个系统中的人。他们的世界就豁然开朗了。

最近被广泛关注的拉钩员工黑进Boss直聘 App 开发者账号一事,就是因为外部人员掌握了公司核心的开发者密码。而这个密码很可能是通过线下渠道泄露出去的。而追查这种毫无踪迹的信息泄露,难度可想而知。

【Boss直聘发布的声明】

企业面对黑客们的“降维打击”,每一步操作看上去都“合理合法”,而最终的结果却是鸡飞蛋打。企业精心构建的边界防御在“人”的面前土崩瓦解。

现实世界和结合让反黑产的工作难度陡增。赵武同样根据这个思路提出了对抗的办法,那就是:通过反制手段直接攻入黑客们的老巢,定位这些罪犯的身份信息,在现实世界里把这些黑客绳之以法。

由于黑客在钓鱼或者诈骗时,一定会留下回连的接口,用以接收搜集来的隐私信息。理论上来说,循着这条狭窄的通道,白帽子一定可以触碰到黑客本人。

通过这种无间道,白帽子可以回连到黑客的网络,从而拿到坏人的QQ,进而通过监视他的聊天内容分析黑客线下的身份,然后获得他常用的手机号码,姓名,住址。对黑客所做的每一件事都是像黑客曾经对别人做的那样,只是这最后一步不再是欺诈和盗窃,而是抓获和惩罚。

安全永远不是等来的。

  

 

  本文作者:史中

本文转自雷锋网禁止二次转载,原文链接

时间: 2024-10-27 16:27:26

黑客揭秘!骗子如何拿到你的卡号和密码的相关文章

php编写批量生成不重复的卡号密码代码

  本文给大家分享的是一个十分实用的代码,项目中经常需要用到,可以批量生成不重复的卡号密码的2种方法,有需要的小伙伴参考下吧. 闲的蛋疼的时候,顺便加强下自己对PHP中数组操纵的一些技巧,就写了下面的一段小代码,可以随机生成卡号密码对应的数组,并且自动去重复,思路没有,纯粹瞎掰. ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

如何保证多人同时购买的时候,不会买到重复的卡号

问题描述 需求:我现在有一批卡号要卖,如何保证多人同时购买的时候,不会买到重复的卡号.数据库这样设计的,卡号,密码,面值,状态四个变量,用户冲值的时候多人查询数据库,网银付了钱,然后提卡.卡号在数据库存放着. 解决方案 解决方案二:可以使用数据库事务和锁操作实现,当一人买卡时对卡号进行锁操作,其他人无法对此卡号进行操作,这样就可以实现,你参考一下解决方案三:貌似要用到数据库的事务了比较难.......关注一下解决方案四:lock函数可行不解决方案五:SELECT-FORUPDATE解决方案六:或

黑客揭秘 为什么电影中的黑客们操作电脑不用鼠标

我们经常看影视剧里面的黑客在窃取数据的时候只需要一台电脑动动手指就搞定了.别说黑客,连普通主角配角都不怎么用鼠标,用键盘真的比用鼠标效率高吗?黑客们真的不需要鼠标吗?今天我们就来黑客鼠标大揭秘. 今天我们找来了从事软件工程多年的J,看看在他眼里电影中的黑客为什么不用鼠标. 大家好,我是J,现在在北京一家数据安全公司任职,很高兴能有机会接受"硬度"的邀请来解答"为什么电影中的黑客们操作电脑不用鼠标"的问题.首先大家要知道影视剧中的剧情是来源生活高于生活的,不能太当真.

网友质疑中国最美女黑客是骗子

长相甜美,加上身怀高超的电脑技术,"yingcracker"被冠上了"中国最美女黑客"的头衔.然而事隔不过半月,多位网友站出来指证 "yingcracker"骗人钱财.前天晚上,因涉及使用和传播"恶意代码"或"不良信息",在网友举报下,拥有7万点击率的 "yingcracker"QQ空间被关闭.瞿艳花 一朝成名,QQ群人数增5倍 有媒体近日刊登了<中国第一美女黑客"yin

黑客揭秘攻击Discuz! PHPWind逃过一劫

中介交易 SEO诊断淘宝客 站长团购 云主机 技术大厅 1月9日凌晨消息,昨天中午时分网友acsanny发现自己常去的一个"养鱼的论坛"无法正常访问,于是困惑的她发帖询问大家"ring04h是什么意思啊,是网站被入侵了还是指个人的电脑呢". 就在昨天相同的时间段内,众多网友和站长发现使用Discuz!程序架设的论坛出现异常.网友aijing810对此描述道,"只要新开一个话题,就马上转到个白页,写道Hacked by ring04h,just for fu

某黑客团队称破解1100万Ashley Madison网站的密码

一个自称CynoSure Prime的黑客团队声称,在刚刚过去的10天里已经破解了上超过1100万使用Bcrypt算法的散列密码. 上个月黑客攻破了外遇网站Ashley Madison并在网上泄露3700万用户信息,其中包括了3700万的加密密码. 这个散列密码使用的是Bcrypt算法来加密密码,该算法实行"加盐"的哈希密码,以防止被彩虹表破解.现在很多操作系统的密码都是用Bcrypt函数作为默认的散列算法. 维基百科解释说: "bcrypt是一种自适应的算法:随着时间的推移

惊!黑客可隔空从从手机中窃取账号密码!

与电脑不同的是,手机中存着用户的各种类型信息,包括邮箱.个人敏感信息.银行信息等等.基于此,黑客们已经悄无声息的将他们的攻击方向转移到了移动平台上. 安全研究员们每周都会新发现一些iOS平台的exp或者安卓平台的exp,但是最近有安全团队发现一个exp可同时利用iOS和安卓两个平台. 由以色列特拉维夫大学.以色列理工学院.澳大利亚阿德雷德大学组成的安全研究团队发现了一种攻击方法,能窃取手机上保护比特币钱包.Apple Pay账户以及其他敏感服务的密钥,安卓系统和iOS系统的手机均受影响. 该团队

php编写批量生成不重复的卡号密码代码_php技巧

闲的蛋疼的时候,顺便加强下自己对PHP中数组操纵的一些技巧,就写了下面的一段小代码,可以随机生成卡号密码对应的数组,并且自动去重复,思路没有,纯粹瞎掰. <?php header('Content-Type:text/html; charset=utf-8'); function MakeCard() { set_time_limit(0); //处理缓冲区 ob_end_clean(); ob_implicit_flush(true); echo str_pad(" ", 25

JS获取IUSR_机器名和IWAM_机器名帐号的密码_黑客性质

偶尔想知道IUSR和IWAM账号的密码,但是经常忘记adsutil.vbs的用法,今天查了一下,发现代码其实很简单:(另存为.wsf文件双击运行即可.) 复制代码 代码如下: <job><script language="javascript"> var IIS = GetObject("IIS://Localhost/W3SVC"); var IUSR = "IUSR_机器名的密码是:" + IIS.Get("