【www.shanpow.com--中国菜谱】
篇一:[社工库论坛]喷子们!颤抖吧,如何给喷子治病【附电子书】
这是一篇技术经验贴,本文会写了一些搞人技巧,后续会更新在无极领域博客。
让人们克制的力量不是善良,不是礼貌,而是恐惧!当人们有可能会为自己的言论付出代价的时候,他们还敢肆意的辱骂别人吗? 他们不敢!
《澳洲中国女留学生冷梦梅被害案》
4月26日,有人发布了一则寻人微博,寻找在悉尼失踪的成都女孩冷梦梅。
4月27日早上,澳大利亚新州警方公开了一张前几日打捞起来的亚裔女性受害者的平面绘图,最终确认死者就是冷梦梅。
这就是新闻下面的评论
《一个普通医生被极端宗教分子威胁,最终退出知乎》
我本身也关注了宗教相关的内容,对事情略有耳闻,整个事情的经过让人痛心。
他是医生,母亲是信仰基督,一个温文尔雅的人,因回答了一个关于斋戒的问题,提到长期不进食不利于身体健康,被某些穆斯林人肉了家庭情况,并威胁...
自此又一个热心回答的人退出知乎...
下面是一些他的关注者的留言,充满惋惜:
类似的事情太多了,连我这么个无名小卒,也被流言所扰,骂我的人在2位数以上,我精确统计过的是55位(知乎+微信公众号 黑名单总数)
无极领域博客只更新内容,不收徒弟,不卖项目,分享过的网络项目也有十几个了,确切来说还帮了不少人,为什么我还是挨骂呢?
一个普通的路人、工作兢兢业业的白领、象牙塔里的学生、教书育人的老师...
他们身处网络,隔着一根网线,就露出丑恶的面孔。
他们卸下伪装,露出人性的贪婪,憎恨着,仇视一切。
他们可以对着任何一个陌生人肆意辱骂、攻击...
因为他们知道!在网络无论怎样骂人都是安全的,当他断网后这一切都和他的生活毫不相干,所以骂就骂了。
是时候给他们治病了!
让人们克制的力量不是善良,不是礼貌,而是恐惧!
第一式:社工库查询
社工的全称是“社会工程学”,人肉搜索只是它的一个分支。
正如昨天的文章所讲,无数的漏洞在爆出,各种网站的数据库漫天飞,用搜索引擎(非百度)搜索相关的关键词,就能找到此类网站,进而查询目标用户的信息。
可以输入目标人物QQ号、邮箱、常用用户名...
只要他曾经注册过天涯网、当当网、网易、csdn...或者曾经Q号被盗号过,有很大几率都能查到。
如下图:这是最常见的,可以查到对方曾经用过的密码,以及这个邮箱都注册过哪些网站。
下图是“Q群关系查询” 是腾讯曾经泄露的Q群信息,可以查到目标QQ以前加过哪些群,群内备注都是什么,很大概率能查到真实姓名,以及同学群,这些信息很私密。
上面说的社工库都是公开查询的网站,只不过大部分是付费查询,很便宜。如果你不想花钱,或者打算长期用,那么就要说到“本地社工库”。
顾名思义,就是把数据库下载到自己的电脑,然后用软件在自己电脑查询。
数据来源(很多论坛都有...):
这些都是公开下载的,用点心,多换点关键词就能查到,直接下载到自己的电脑(准备5T以上,也就是5000G以上的硬盘)。
接下来,你需要下载一个小软件,方便自己在N多个文件里查找自己需要的数据。
这个软件是我随便截图的一个,目录就是你放数据库的文件夹,关键字就是你要搞的目标,可以是QQ、邮箱、常用的用户名...
瞬间在无数文件里,查到你要的信息,查询结果取决于你数据库的多少。
送几个关键词:”社会工程学论坛“”本地社工库搭建“”社工库论坛“
大家都搜索一遍,保证每个人都会用。
第二式:遗网在角落的信息
目标的QQ空间、微博、微信都有你要的信息。
我曾经精确的知道妹子的星座、喜好、手机号、姓名、家庭住址、年龄,使用已有的公开信息通过“九型人格”和“MBTI”分析妹子的性格。
其实没那么神秘,我就翻翻微博、看看QQ说说、深入的了解一个人曾经经历过什么,感受对方曾经所感受的,这时候仿佛经历了一遍对方的人生。
下图是QQ空间照片暴漏的个人地址,可以看出是地址是屈家村,还有一些手机号,之类的我就不截图了,同理。
一些人的QQ日志之类的信息,挖出的蛛丝马迹,背后都有大璇玑,一切都有迹可循的,下图只是一个参考。
至于九型人格 和 MBTI 其实就是个性格测试工具,根据对方的经历,模仿对方的思维,从而大致的为对方建立心理模型,一些大公司都在用的这种方法招聘哦。
类似的模型很多,别管懂不懂,直接套用。
第三式:搜索引擎妙用无穷
我也不知道下面这个倒霉孩子是谁,随便找了个栗子,给大家演示。
这个孩纸的手机号、所在学校、以及基本的性格都暴漏了...
只要是经常上网的人,网络必定有他的痕迹,而这一切只需要细心就足够了。
例如你可以搜索某人的QQ,后面加个骗子
是不是妙用无穷啊,可以搜出来很多东西,这里面也许是栽赃陷害,也许是真的骗子,总之多掌握一份信息,心里也就更踏实一些。
这些都只是基础的搜索,其实搜索引擎有很多高级语法,例如昨天文中提到的"inurl" ,可以搜索“GoogleHack” 了解相关搜索技巧。
第四式:六度人脉,从边沿处着手
上篇文中写到入侵大网站挺难的,所以可以从边沿业务入手,这里同理,当目标人物信息匮乏,我们可以从身边的人入手。
例如给他QQ空间留言的人,经常和他互动的人,可以从这些地方入手。
例如我想知道目标人物老家在哪里,但对方对陌生人比较抗拒,这时候在他的Q空间留言板看到一条“哥,生日快乐,什么时候回家”“过年到我家玩” 等类似的信息,你就可以判断留言的人和目标人物在同一区域。
当你和这个人搞熟后,就可以旁敲侧击了,例如“试错法”
问:“QQ83691843这个人你认识吗? 好像叫王二狗 ”
答:“不是,他是我朋友王晨曦,你怎么认识他的”
试错法通常也可以不着痕迹的询问妹子住址,所以说本文讲的东西,泡妞你都能用上。
第五式:反向社工
给对方制造麻烦,然后帮他解决,以此来拉近距离。
比较俗套的桥段是,你雇几个流氓欺负妹子,然后自己挺身而出,英雄救美。
某次诈骗就用的这个方法,对方先加了网吧老板的QQ号,同时给网吧实施DDOS攻击,造成断网,之后就在QQ空间不断的发信息,说自己职业解决各种网络故障、DDOS等问题,这时候网吧老板就联系他,他还真就解决了。
以此拉近关系后,前后共榨取20多万,最终贪心不足被抓。
第六式:钓鱼
如果对方的其他公开信息很少,仅仅是对方在评论区喷人了。
那么这样回复他:“骂的真好,这么多评论,我就服你”
顺着对方的话走,基本都能骗到联系方式,接下来的方法就比较多了。
还有,我建议每个人最少预备3个QQ号,并且都是太阳以上级别的,2个微信,最少30条左右的动态,男女各一个号,照片可以提前准备好套图,这个淘宝有卖的,搜索“美女套图” 各种美女帅哥整套的图片,几百张,各个季节的都有,能确保不露馅。
搞级点的,还有那种带视频的... ...
总之越逼真越好,只要你足够有耐心,没人能逃出手掌心。
下面我贴几张图,不再细说。
下图是可以查到某人的户口本信息,30块一次哦
下图我就不说了,大家都懂。
模拟案例:目标在某知乎评论区骂人,引起正义之士的愤慨,所以决定讨伐,目前只有一个知乎ID,无任何其他信息。
用小号回复其骂人的话,表示是在同一阵营,进而发私信,表示进一步交往。
如“ 兄弟,你刚才骂的让人听着真爽啊,认识一下,你的QQ多少 ”
正所谓千穿万穿,马屁不穿,这种方法几乎都能搞到QQ号。当然,还有备用方法哦。
你在知乎发布一个自问自答。
问:你在知乎都遇到过哪些没素质的人。
自答:@目标用户,这是我遇见过最没素质的人,XXX ....声讨....
这时候对方必然收到你的@,从而看到你的帖子,你用另一个号在自己的答案下这样评论“
“ 我觉得人家骂的挺好的,就是该骂 ... ...” 以此来吸引对方的主意,博得认同感。
这时候是不是就逼真多了,我就不信还有人不上钩...
此时已经拿到对方的QQ号了,但QQ信息很少,两个大男人也不会谈太多东西,这时候就该女号上场了。
我:”哥们,我在西安,你在哪呢?“
他:”我在湖南“
我:”操,这么巧,我认识一湖南的妹子,单身,长得不错,正在找男朋友,要不要介绍给你“
他:”要...“
用女号进一步获取对方信息,例如照片、湖南哪的,假如要见面,那么是不是可以要求看看对方的身份证呢?
对于一个被荷尔蒙俘虏的男人,几乎可以随便操控把玩。
他: “明天有时间吗,我请你看电影“
妹子(我):“应该有,不过我们认识不久,这样出去怕不好“ (欲拒还迎)
他:”没事,就看个电影,都是公众场所,人挺多的“
妹子(我):“那好吧,不过你先把身份证拍一下,现在坏人太多了...”
【钓鱼大法几乎可以干任何事,拿到任何你想要的资料,而且没技术含量,你只需提前多准备几个账号】
至于后续的报复问题,其实就很简单了。
50块找人P个图没什么难度...
自己操刀,以老司机多年看小说的经验,一篇缠绵悱恻,怀孕抛弃 的戏码还是很容易写的...
发在同城Q群、同城贴吧、豆瓣同城... ...
人们不会相信真相,只会相信他们愿意相信的。
事了拂衣去,深藏身与名。
纯属乱写 当成一篇比较烂的小说看就可以,小说是天马行空的,毫无逻辑的,图均是P的...切勿较真。
篇二:[社工库论坛]社会工程学最佳实践 – 社工库
总览
社会工程学应该分成两个部分,其一为非接触信息收集;其二为与人交流的社会工程学。
非接触信息收集
非接触信息收集主要应该收集哪些信息,做到什么程度应该停止(因为越往后需要的成本越高)?
在一次渗透测试中,社会工程学应该处于何种位置,应该与其他常规手段如何配合?这是一个合格的社会工程学实践者应该考虑的。
在我的理解中,非接触信息收集,顾名思义,就是在不物理接触目标的情况下,通过互联网或其他手段,对目标进行信息收集。主要包括以下信息:
姓名
性别
出生日期
身份证号码
身份证家庭住址
快递收货地址
地理位置 (照片EXIF提取;IP地址;附近的人三角定位,三角定位仅为思路)
学历/小初高大各学校 目标履历素描
QQ
手机号(曾用与现用)
邮箱
银行卡
电子邮箱
支付宝
各SNS主页 微博,人人网,百度贴吧,网易轻博客等
常用ID
目标性格素描
起点
我们的起始点可能是多样的,可能是一个微博ID,或者QQ号,又或者邮箱。
在我们不断的横向移动的过程中,应当重点关注以里程碑式的节点。
另外应注意邮箱和手机号均可能有多个。
邮箱/QQ邮箱
手机号
因为通过这两个可以迅速关联出大量网络痕迹。
关联方法为:
http://www.reg007.com/
http://0xreg.com/
http://www.zhaohuini.com/
http://www.ichunqiu.com/zzg
https://unroll.me/
此处的原理应该是爬虫+无法重复注册。
其他关键点
获取目标的网络痕迹后,要适当筛选。一些较为关键的节点如下:
求职网站->简历
电商网站->现居住地址
域名/站长统计->whois
SNS->性格分析
显然如果是专业的社会工程学团队,可以以企业的身份入驻各大求职网站,然后通过简历筛选条件来获取目标简历。(此处仅作为一个思路参考,实现起来未必划算)
SNS 信息采集
SNS信息采集相对是一个比较耗时的工作,而且手法各异。
能获取的信息量要依赖于目标的隐私保护意识。
在阅读目标的SNS时,同时也是对目标个性,性格,隐私保护意识的判断。
如果目标隐私保护意识较高,则不需要浪费过多时间在SNS信息采集上。
常见的SNS包括
即时通讯类 腾讯QQ
论坛类 百度贴吧 -> 有大概率获得邮箱
在这方面我暂时还没有统一解决的思维框架,只能举一些例子。
例一:
观察某目标的微博,目标在微博中提供了淘宝购物记录的截图,评论某件商品。虽然在地址处只露出一半的文字,根据推测+搜索引擎可以判断出目标的物理地址
例二:
某目标的微博,该目标参与了某姓名算命测试,通过分享链接可以获取其真实姓名。
例三:
某目标,在QQ空间中公开”旧号停用,新号为XXXXX….”
如果目标本身的安全意识较高,那么我们可以考虑从他的好友入手,从侧路迂回攻击。当然这样的攻击成本也会更高。
实名制信息关联
支付宝
利用支付宝转账核实姓名是常用的方法。
银行卡
利用银行转账核实姓名则是另一种常用方法。
手机号
某些充值点(报亭超市等)可能存在一部分查看手机号实名制信息的权限。
户籍系统
车牌系统
社工库
比较有价值的公开社工库
某酒店泄漏的2000W条记录
QQ群关系
临时获取权限
临时获取权限是一种较为暴露的做法,不到迫不得已,最好不要使用。
申诉
申诉通常需要老密码
需要一些现成的申诉文章
邮箱找回密码
如果有邮箱权限,可以改动很多关联帐号的密码。
至于如何获得邮箱权限,可以利用XSS打cookie;物理靠近可以考虑中间人攻击;传统的网页表单克隆钓鱼(配合DNS污染食用风味更佳);总之这需要放飞你的思路。
社工密码字典生成
只对一部分安全意识较弱的人有效。
http://www.caimima.net/
除了web以外,还有很多客户端工具。
当然你也可以手动猜解,只是这样效率比较低,要学会充分发挥自动化工具的优势。
邮件社工
邮件头部伪造
https://emkei.cz/
http://www.yopmail.com/zh/
此外Kali 有一个工具叫 Swaks 用于伪造邮件头部信息。
与人交流的社会工程学
与人交流的社会工程学应该是社会工程学中最具魅力与艺术性的部分。
其实这部分在现实中随处可见,并且各领域对它的称呼各不相同,从行走江湖的各路活神仙,大师,仁波切,到传销公司,到p2p金融骗子,到现在各种自媒体的运营,以及巨头们的市场公关部门,到处可以见到它的表演舞台。
除了社会工程学这个名字以外,有人称它为话术,礼仪公司称之为沟通技巧,迷男们管这叫PUA,甚至于某些情报部门…
简而言之,就是在说话的过程中仔细观察对方,揣测他的心理状态,多换位思考,并提出一些诱导性的问题。
不过
Easy to Say, Hard to Do
另外提供两个关于如何防御诱导提问(Elicitation)的科普手册。
FBI
https://www.fbi.gov/about-us/investigate/counterintelligence/elicitation-techniques
DHS
http://www.research.pitt.edu/sites/default/files/u21/Homeland%20Security%20-%20elicitation-brochure.pdf
除了通过沟通来进行诱导信息以外,还有技术与人性相结合的社会工程学手段,这些剧本前期就需要精心地构造了。在freebuf的《物理攻击?那些年我们忽略的社会工程学手段》中体现得很好。
诱导技巧(机翻)
有许多诱导技术,并且多种技术可在诱导尝试使用。下面是其中一些技术的说明。
假定知识:假装有共同的知识或协会与一个人。 “根据计算机网络家伙我曾经工作……”
包围曝光:为了吸引更具体的数字提供高和低的估计。 “我认为利率将不得不很快就上去了。我猜美元5到15之间“回应:”大概在七块钱。“
你能超过它?告诉一个极端的故事,希望的人将要顶一下。 “听说M公司正在开发一个了不起的新产品,它能够……”
机密诱饵:假装在接收返回的机密信息,希望泄露机密信息。 “只要你和我之间……”“关记录。”
批评:批评的个人或组织在其中的人有希望中的人会辩护过程中披露的信息有兴趣。 “你公司怎么拿到的合同?大家都知道B公司有这种类型的工作更好的工程师“。
故意虚假陈述/显而易见的拒绝:说错了希望,人就会纠正真实信息的声明。 “大家都知道这个过程是行不通的,它只是一个梦DARPA项目,将永远不会离开地面。”
假装无知:假装无知的话题,以利用人的教育倾向。 “我是新来这个领域,可以使用所有帮助我能。”“请问这个事的?”
奉承:用赞美哄人进入并提供信息。 “我打赌你是关键人物在设计这款新产品。”
善于倾听:利用本能通过耐心听取和验证人的情感(无论是正面还是负面的),抱怨或吹嘘。如果一个人觉得自己有一个人来倾诉,他/她可以分享更多的信息。
引导问:请教一个问题这个问题的答案是“是”或“否”,但它至少包含一个假设。 “你与集成系统的测试工作,你离开了那家公司过吗?”(而不是:“什么是你的责任,你之前的工作”)
宏观到微观:开始在宏观层面的对话,然后逐步引导人走向实际利率的话题。开始谈论经济,那么政府支出,那么潜在的削减国防预算,然后“会,如果有预算削减发生什么你的X计划”的时候,一个良好的激发将扭转过程中采取谈话回到宏观主题。
共同兴趣:建议你类似于基于共同的兴趣,爱好或经历的人,以此来获取信息或索取信息之前,建立一个融洽。 “你哥哥在伊拉克战争中担任?所以做我的。哪个单位是你弟弟?“
斜参考:讨论一个题目说可以洞察一个不同的主题。关于作品党的餐饮一个问题,实际上可能是试图了解外部供应商具有对设施的访问类型。
反对党/佯装怀疑:指示以提示一个人提供在他们的立场辩护信息不相信或反对。 “有没有办法,你可以设计和生产这一点,快!”“这是在理论上不错,但是……”
挑衅声明:诱惑的人射向你一个问题,为了建立会话的其余部分。 “我可以踢自己的不采取任何工作机会。”回应:“你为什么不”由于其他人问这个问题,它使得在随后的谈话中你的一部分无害的。
问卷和调查:状态调查良性目的。围绕着你要与其他的逻辑问题,回答了几个问题。或使用调查只是为了让人们同意和你谈谈。
报道引用的事实:真正的参考或虚假的信息,以便人认为,信息位是公共领域。 “你的报道,你的公司正在裁员发表评论?”“你看过分析师预测怎么样……”
鲁塞访谈:有人假装是一个猎头电话,询问关于你的经验,资历,以及最近的项目。
目标局外人:询问该人并不属于一个组织。通常的朋友,家人,供应商,子公司或竞争对手了解的信息,但可能不会致敏什么不能分享。
志愿信息/报偿:在希望的人会回报给的信息。 “我们公司的红外传感器只是在那个距离,时间精确80%。是你好些了吗?“
一句话重复:重复核心词或概念来鼓励一个人在他/她已经说了扩大。 “3000米范围,是吧? 有趣。”
社会工程学书单
《社会工程:安全体系中的人性漏洞》
凯文 米特尼克系列
《欺骗的艺术》
《入侵的艺术》
《线上幽灵》
《国土安全部:防诱导手册》
《FBI:防诱导手册》
《非安全:黑客社会工程学攻击档案袋》
转载请注明:社工库--嗅密码 ? 社会工程学最佳实践
篇三:[社工库论坛]网络“黑色产业链”大揭秘
在大数据和云计算的时代,互联网正在重构整个制造业和服务业的运行体系,买方和卖方的对接越来越依赖于大数据,而不是实体的店面、中介。数据库的作用越来越重要,但安全却难有保障。本专题中的调查试图呈现互联网数据泄露中环环相扣的链条,而对案例的分析则试图呈现公民个人维权之难,这有赖于互联网法治建设的推进。
天微微亮,大鸟(化名)结束了一晚上的任务,他用凉水洗了一把脸,起身,去公司上班。
在白天,他是某互联网公司的程序员。晚上,他是互联网论坛上活跃的“白帽子”。
“白帽子”是业内的俗称,即正面黑客,他们通过识别计算机系统或网络系统中的安全漏洞,发出漏洞警告,从而提醒企业或其他单位在被黑客侵入前修补漏洞。
由于白天工作时间不允许,大鸟只能用晚上的时间做“白帽子”的工作。这让他很疲惫,如果进入到了活动状态,大鸟可能会有很长一段时间都在高度紧张的精神状态中度过。
除了在论坛中得到被同行赞许的快感,很多时候,他们面对的是一群对漏洞不屑的人。因为每次被曝出漏洞之后,许多企业的第一反应是“辟谣”,而不是直面问题。
在大数据和云计算的时代,互联网正在重构整个制造业和服务业的运行体系,买方和卖方的对接越来越依赖于大数据,而不是实体的店面、中介。数据库的作用越来越重要,但安全却难有保障。
或许因为企业对漏洞不屑的态度,一些技术人员会警告企业——既然你不屑,我就干一单给你看。一些技术人员拿着漏洞去要挟企业,换取报酬,涉及利益巨大,一些人甚至很短时间就完成原始资本积累。白帽子是以其行为来判断,但也有可能在某些时间里,变成真正的黑客。
在国内,目前逐渐形成了一些漏洞举报的平台,如乌云网、360都建立了举报漏洞的机制,方法各不相同。国家互联网应急中心也建立了漏洞共享平台,每周发布信息安全漏洞周报。
一些企业的态度也变得开明起来,如1月14日,特斯拉的官方订购平台被白帽子发现漏洞,原价30万元的预订金,白帽子可以在后台将之修改为一元钱。特拉斯得知后迅速修复了该漏洞,并承认该笔订单有效,同时还从总部邮寄了官方纪念品送给白帽子。
21世纪经济报道记者通过半个月的调查,接近了多位白帽子,他们中的部分不愿意透露真实姓名;同时,21世纪经济报道记者也试图从被业内称之为“社会学工程库”的论坛,寻找活跃在数据买卖链条上的人。此外,通过分析已有的案例和司法判决,也可以探寻这个庞大黑色产业在互联网时代日益形成的安全隐患。
入侵
“你不要社我啊。”这是一句从事网络安全程序员们的“行话”。“社”是指社会学工程库,他们把获取海量的个人信息称为社会学工程分析。
在社工论坛上,你可以找到各式各样的卖家和买家。他们明目张胆地买卖各种个人信息资料,如开房资料、考研学生资料、公积金信息等,一般都是几十上百万条信息打包出售,他们将这些打包出售的数据库俗称为“裤子”。
而“社”一个人,则意味着在网络上挖掘与这个人有关的各种资料,通过不同网站的海量数据,破解密码、下载资料……
一般而言,第一步需要入侵某个网站的后台系统。这个过程并不复杂,对一个电脑迷而言,一个刚入行的中学生就可能有能力侵入一个普通网站。
大鸟对我们讲述了他的故事。第一次学习黑客技术是大一的暑假,他花了一个月的时间在寝室自学。不久后,就已经可以进入学校网站的后台了。
从这一刻开始,数据就有了被泄露的危险。大鸟不会将数据下载下来用于己用,仅用来检测网站是否存在漏洞,但他告诉21世纪经济报道记者,黑客入侵网站与白帽子检测网站,在技术路径上几乎是相同的。
大鸟不崇拜仪式感,他不喜欢称之为战斗,但这确实是一场战斗,虽然战利品只是为了满足一种孩童式的好奇、对技术偏执的渴望,但把它称之为一场发生在“入侵者”与技术“看守者”之间的战斗或许并不为过。
在大鸟的印象中,记忆最深的一次入侵行动是他在正式做一名职业白帽子之前。那是一次比较复杂的行动。大鸟发现了一家国外网站,对其原代码十分感兴趣,为了看到代码,他决定“入侵”这家网站。
大鸟先找拥有域名的这个人,查他的信息,发现此人是外国人。因为不是中国人,所以不能掌握太多他的信息。接下来寻找这个域名下的子域名。
经过分析,发现一些子域名放在几台普通VPS(Virtual Private Server虚拟专用服务器)上,打开几个页面是空的。扫了几个端口也没发现端倪,他知道从这几台VPS上很难找到问题,于是他决定找一下它的VPS提供商。
如果拿到VPS提供商的权限,就可以获取它所有VPS的权限,自然也就获取了该域名所指向的VPS权限。随后他发现这个VPS服务商的运维配置有一些问题,一步一步渗透下去,最终找到了该VPS提供商所有用户控制面板的账号密码,最后找到了对应人的账户密码。
拿到用户密码后,大鸟登陆了对方的控制面板。VPS是以控制面板进行操作的,进入控制面板就可以操控他服务器上的文件,但是没有文件打包编辑功能。最后,大鸟上传一个了网页后门,便获得了它的代码。
经过十分复杂的程序,大鸟获取了这台服务器的权限,顺利看到了代码。
或许从技术上,这并不算很难,但对于大鸟来说,这次“入侵”的复杂性远远高于技术,经过一个多月的“战斗”,看到代码后,他选择让自己大睡一场,进入冬眠。
窃取数据
对于白帽子而言,发现了网站的漏洞,他的工作就接近了尾声了。可对于黑色产业链(简称“黑产”)上的人来说,任务才刚刚开始,他们的目的是拿到数据,进而转化成金钱。
业内人士透露,黑客的惯用手法有很多种,但路径上存在相似性:获得外网服务器权限、进入内网、判断核心业务范围、获取核心业务服务器权限,找到数据库密码、看到核心数据、下载核心数据、拿到最高权限、抹掉所有痕迹。
这是一个相对理想的操作链条,但并不意味所有的黑客都能完成上述步骤,比如“拿到最高权限”并不容易,因此有些黑客下载了所有核心数据,但痕迹仍被记录。
对于目标的寻找,一位接近黑产的人士称,有时是黑客主动寻找“含金量高”的网站,侵入网站,窃取数据。这主要涉及的是一些与金钱交易有关的公共服务行业,如信用卡或网络支付、火车票购票网站、航空公司购票系统、网络购物网站等等。
还有一些则是接受定向委托,一般委托方来自商业竞争对手,需要获得竞争对手的客户数据,于是雇佣黑客。
在进入内网时,有时候黑客会直接查看对方的员工信息是否存在泄露,或根据常用密码top 100来进行测试,如果顺利登陆员工账号,就可以直接进入内网。
但对于需要核心数据的黑客而言,进入内网只是第一步,接下来,黑客需要对数据进行分析,判断核心数据所在位置,这就需要黑客对该网站的业务十分熟悉,甚至熟悉程度要高于网站运维人员,这样才能判断核心数据的子域名在哪一个IP段,进而找到核心数据。
当然,时机的选择十分重要,这一切都要在一个合适的时间里进行:一个网站流量大,看守者不容易发现的时间。比如,一般的社交网站,上午十点和下午三点比较活跃。在这样的时间里“拖库”相对不易被察觉。
“拖库”同样是行话,意思是将目标数据下载下来。但在许多时候,他们并非需要经过复杂的入侵程序获得数据。因为许多人在不同的网站注册信息时,会使用相同或相似的密码。因此,这就存在利用“撞库”的方式获得更多的数据的可能。
2014年底发生的12306网站用户信息泄露的事件,起初就被指是“撞库”行为,即用户的用户名和密码在其他网站泄露了,黑客利用其他网站获得的用户数据包,自动登录另一个网站,匹配出部分用户信息,形成数据库。
不过,即使是通过“撞库”发生的信息泄露,相关网站也难脱其责,因为只有存在安全漏洞,网站才可能被“撞库”。
目前,12306网站用户信息泄露事件发生的原因仍不明,官方仍未公布调查进展,网络也曾一度流传出泄露不是“撞库”行为产生用户信息泄露的例证。
黑色产业链
在数据被窃取之后,黑客不一定可以将这些数据销售出去。职业“中介”应运而生。黑产链条上,有人负责窃取数据,有人专门从事分销,寻找目标买家或帮买家寻找黑客。
记者试图寻找这样的人,于是在一些社工库论坛注册,发帖“雇佣黑客”,并且寻找一些专门从事数据交易的QQ群。在QQ群搜索功能中,只要输入“数据买卖”、“数据交易”等关键字就会看到有大量的活跃群,它们的名字直白简单,一般以“数据交易群”、“淘宝数据交易”等字样为主。
记者伪装成买家进入了其中一个交易群,并与一位声称可以提供“进线数据(打进某个电话的数据)”的人进行对接。该人士称,自己可以拿到每个行业里任意一家企业的进线数据。通过进入机房,实时监控拨打该公司号码的电话,并将其截取下来,进行销售。
但陌生人的网络交易,确保交易安全是个难题,数据提供方可能提供假数据,而数据购买方也不希望自己的购买行为被记录下来。对于这些疑问,该人士称,自己可以提供前一天的进线数据,并保证数据是一手信息。交易的过程,需要买家先少量购买,付钱后再工作,如果买家对第一批数据满意,再进行下一步更多数据的交易。
至于交易价格,该人士说,每个行业的价格不同,记者问到餐饮行业的某家巨头企业,他称这些数据价格1条10元,而这个价格称得上是“不便宜”。
数据交易达成的半年内,买家和数据提供商为唯一拥有者,数据商保证不会泄露给第三方。半年后,数据商就可以将数据打包销售,但此时数据已经大大贬值,一条的价格大概是几毛钱。
这时候,就产生了“二手数据”,二手数据一般会倒卖好几次,基本已经算是“公开”信息,这样的数据在一些社工网站上随处可见。21世纪经济报道记者潜水几个社工论坛多天,发现每天都会有几条数据供应帖发出,论坛用户只需要支付几个金币(一金币一元钱)的价钱就可以购买到大量数据,有的数据(如个别企业内部通讯录)甚至可以免费下载。
另外,在交易群里,经常出现一些交易请求,有的在寻找数据商,有的在出售数据。而在QQ群记录中,21世纪经济报道记者看到其中一条信息,涉及各公司大佬的手机号、邮箱等关键信息,该数据持有者将关键数字抹去,留下QQ号,吸引买家。
不过,拥有这类功能的QQ群有很多,记者申请进入数十个群,只有一个通过了请求。上述知情人士表示,这种情况并不意外。
需求方
黑产的形成在于存在强大的市场需求,参与购买数据的最终需求者多种多样。如,一些商业机构是强大的需求方,他们为了获取潜在的客户资料、了解竞争对手的核心数据,从而从黑市购买数据。还有一些创业公司,是为了充实客户量,制造“虚假的繁荣”,以吸引风险投资。
一位业内人士对21世纪经济报道记者分析了几起案例,如2014年底,130万考研考生信息泄露。他分析称,许多考研培训机构需要这些数据,进而进行精准的市场推广。
与此同理,此前还发生过新生儿信息泄露事件。他称,许多母婴保健机构、培训机构、奶粉经销商、玩具经销商等各种盈利性组织对此类信息都有需求。
快递服务业同样是被黑产盯上的“重灾区”。有白帽子对21世纪经济报道记者表示,快递单号十分容易获得,只要对网址进行修改,就可以看到单号的具体信息。而在一些交易网站上,快递单号被明码标价,几毛钱就能买到一个单号信息。
这样的案例不胜枚举,交通、医疗、教育、金融服务、酒店业、快递业等公共服务行业机构都掌握了大量的用户信息,使之成为其上下游产业及类似机构觊觎的目标。
近年来,还有创业公司购买数据,迅速做大客户群,从而吸引外来投资。该人士举例,曾遇到过一位朋友的创业公司,通过购买数据,让自己的用户数据库看起来庞大一些。这种情况并不少见。
企业为何“休眠”?
在数据泄露的过程中,数据保管者有着不可推卸的责任。
乌云网合伙人邬迪告诉记者,几乎每一个网站都可能存在漏洞。漏洞是造成泄露的一大因素,乌云网建立的初衷之一就是为了减少因漏洞造成的泄露,在泄露之前对漏洞曝光,并通知厂商及时修补。
邬迪表示,国内企业的安全意识并不强,一开始,很多企业在被通知漏洞后会选择置之不理,这是造成之后信息被泄露的原因之一。
记者梳理了以往发生的信息泄露事件,一些漏洞引起的问题反复出现。
如此前被乌云网频频爆出漏洞的12306网站,并非首次出现用户信息泄露事件,漏洞却迟迟未修复。
再比如,2014年3月22日,乌云漏洞平台发布消息称,携程系统存在技术漏洞,可导致用户个人信息、银行卡信息等泄露。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码以及银行卡6位Bin(用于支付的6位数字)。而在此之前,携程信息安全漏洞事件就已经多次发生,其中2014年1月,在被媒体指出储存信用卡敏感信息存在泄露风险时,携程网回应称采用的信用卡支付方式符合国际惯例。
业内人士分析,企业数据安全意识不强、惩处机制的不明是导致企业在漏洞发生后没有及时修补的原因之一。
另外,数据库的设计缺陷也是数据可能泄露的原因。一位数据库的设计人员告诉记者,一些公司寻找第三方设计数据库,确实存在泄露的风险。双方在合作之前,一般会签署保密协议,但由于设计者可以看到客户的核心数据,因此数据是否泄露,不仅要看保密协议,还要看设计者的人品。
一位创业公司的负责人告诉记者,公司的数据库自己设计,其考量的因素就是担心核心用户数据泄露。
政府网站同样是高危行业,一位白帽子告诉记者,他们一般只去测试省级政府网站的漏洞,更低层级的政府网站漏洞甚至可能找不到负责人。有些网站的技术水平,在他们看来根本达不到采购中所需耗费的价格。
相对乐观的是,随着大数据和移动互联网在各行各业的深入运用,很多厂商的信息安全意识都在提高,表现之一是在接收到漏洞举报后大多会及时修补。而发现和举报漏洞的白帽子人才市场一旦形成,从事黑产的人就会越来越少。
“让黑产上的人变成白帽子,这是未来的方向。”一位白帽子对记者说。
