801
黑客離我們有多近?
你可能會在這裏中招:
·ATM機刷卡時注意卡槽是否安裝了讀卡器,小心鍵盤異樣和簡陋的攝像頭。
·對於彈出的支付窗口要留神,若讓你輸入賬戶等敏感信息,小心它是釣魚網頁。
·避免木馬、病毒最有效的方法是避開高風險網站,另外小心免費電影及軟件。
·搜索App的時候,注意它們的名字,一個迷煳就會讓你的手機中毒,盡量選擇安全性高的平台。
·別點開垃圾短信,盡管它們可能看起來挺靠譜,裏麵的連接就是陷阱的第一步。
·拉卡拉設備沒有專人24小時防護,所以極易被安裝側錄設備。
·若掃入病毒的二維碼,手機就會遭殃。
·別小看身份證複印件,它能還原你的信息,甚至有時會被用來盜刷信用卡。
沒有密碼是安全的。這是黑客們的信條。
林林是該信條的信奉者,他的網上ID叫冰血封情,作為黑客技術安全站的核心人物,他是中國第四代黑客的代表之一。但即便如此,國外黑客們狂歡的年代,要比林林所知道的整整早了5年。
2002年,他在網上收到一串信用卡代碼,那是越南黑客朋友送給他的禮物。“他說這可以消費買東西,當時我都沒用過信用卡,所以也不會操作。”與國內這種看起來無利可圖的局麵相比,那時的美國以及東歐正逐漸形成一個成熟的黑色產業鏈,並且在全球範圍蔓延。他們黑掉個人用戶的信用卡賬號,用盜取的信息製造偽卡肆意消費。
大衛·斯坦恩伯格就因此被捕,當時他正開著一輛偷來的小轎車,逃亡在以色列的海港城市海法。之所以驚動美國聯邦調查局,是因為他盜取了美國公司、機構的8萬條信用卡信息。
這看上去似乎有些眼熟,因為這也是目前我們身邊的信息安全漏洞——隻不過它們出現在11年前的美國。
中國信用卡普及是在2006年之後,爆發則要等到2008年。據中國人民銀行統計,2006年年底信用卡發卡量近5000萬張,到2008年年末這個數字已經達到1.42億。
但在林林做黑客的那幾年裏,他們根本還沒想到信用卡的事兒。遊戲裏的虛擬設備,讓中國的一部分黑客開始變成竊取信息的駭客。
竊取原理和黑信用卡類似。一個遊戲賬戶配套相應密碼,這就是一個信息包,它在黑客圈裏被稱為“信”。真正值錢的是每個賬戶裏的遊戲裝備,利用木馬“收信”之後,黑客們通過“查信”判斷盜來的賬戶是否有價值,然後“洗信”去轉移賬戶中的裝備,再轉手經銷商販賣。
單個賬戶的確可能隻是滿足黑客最初的技術成就感,但一旦形成規模,這也能成為筆生意,2005年就是國內網遊黑色產業鏈爆發的一年。
曹寧是昔日綠色兵團的元老級人物。綠色兵團是一個被眾多黑客稱做“黃埔軍校”的中國最早的電腦黑客非盈利性組織。
當時他專攻黑產研究,為公安部門追捕黑產提供技術支撐。當年令他感到棘手的是國內出現了一批原創黑客專門針對遊戲編寫木馬程序,並且有專門的代理與他們對接收購,然後雇傭臨時工進行手工操作。以查信為例,這種簡單的重複勞動的工作一般會交給初中生,一天工錢30元,還額外提供一頓工作餐。
曹寧關注最多的就是東北和福建,這裏網遊黑產猖獗,前者主要針對韓國網遊,後者則是將目標對準中國台灣遊戲。曹寧並沒有見過那段時間的大佬,但他聽說不同地區都會有代理商,圈裏流傳,“如果要拿下東北片區某個遊戲的黑產代理權,報價就是30萬元。”
這些技術針對的多是玩家人數較多的熱門遊戲,比如當時的《傳奇》、《大話西遊》、《魔獸世界》等。黑客們從編寫木馬程序開始,一旦“掛馬”成功,嗅覺靈敏的木馬就會在用戶電腦裏直奔主題,竊取遊戲賬號和密碼。當時《魔獸世界》的一封“信”售價為100元。
遊戲廠商們並不是沒有努力,它們通過殺毒軟件撲殺木馬。餘弦也曾是繳殺遊戲木馬的一員。他身邊的同學和老師多半都有被盜經曆:遊戲賬號被洗劫一空,就連電腦內的重要資料也一同丟失。
餘弦唯一能做的就是編寫專殺程序,但難度很大。“寫一個專殺隻要幾個小時,但跟蹤、分析病毒可能要花上一兩天。”可病毒每小時都在升級。
2007年,這些木馬作者已經組建了工作室,他們的年收入至少200萬元。
“達不到這個數,誰還做這一行?”季昕華當時任職於騰訊公司,負責網絡安全維護,但工作範圍已經延伸至整個行業,受到攻擊的遊戲廠商會一同合作,協助警方偵破黑產犯罪團夥,“這是一個鬥智鬥勇的過程。遊戲登陸之所以會采用驗證碼,是因為查信原本也能用程序完成,驗證碼就能起到限製的目的。”
不過,網遊黑產的成本很快就提高了。
2009年,刑法修正案中對於黑客違法行為的量刑加重,最高可判7年監禁。加上國內網遊熱急速退燒,經曆了高峰期的網遊黑產開始衰退。
但對黑客來說,更賺錢的時點伴著網購出現。
根據中國互聯網信息中心的統計數據,截至2010年12月,中國網購用戶已達到1.6億人——這對於靠技術牟利的黑客來說簡直是筆大數目,而此時,這樣參與犯罪的黑客已經被稱為“駭客”。
剛開始的手段是偽裝,他們把釣魚網站包裝成賣超低價機票,或提供神奇療效醫藥的頁麵,又可能是郵箱裏一些標明“限時打折”的郵件。
手段老套,但很奏效。2010年金山網絡安全中心的統計數據顯示,在遇到過網購安全威脅的用戶中,72%以上都是因為釣魚網站而中招。
想要獲得技術成就感的黑客們不僅滿足於此,他們有了新玩法,它有個頗有儀式感的代號——刷庫。2012年年初,以微博渠道向李國慶投訴的當當用戶越來越多,他們發現自己賬戶中的禮品券被盜,大額訂單離奇出現,甚至賬號因直接被篡改而無法登錄。
2012年3月末,李國慶通過個人微博作出承諾:“被盜金額,當當網全額補償(不是賠償,因為不是我們的責任)。”同時,京東、亞馬遜等電商網站也都自稱是這一波盜刷事件的受害者。
他們不約而同將矛頭指向2011年底被刷庫的CSDN網站,這是中國最大的開發者技術社區,當時,一個以“CSDN-中文社區-600萬.rar”為文件名的壓縮包流傳於網絡,而裏麵附著的是CSDN網600萬注冊用戶的賬號和密碼。
很多用戶有使用相同注冊名和密碼的習慣,這就是駭客們拿到信息包之後套用於其他網站的機會。經過中關村在線的分析師白寧對CSDN被泄信息的分析統計,超過23萬人使用同一個密碼,“123456789”。駭客的運氣就從這裏頭挖掘。
一旦“刷庫”跡象出現,電商們就會有些抓狂。不過那個時候,中國電商網站還不像國外電商,它們不會保存用戶的銀行卡信息,所以對注冊用戶來說,損失的可能是某筆訂單,或是某張消失的折扣券。考慮到安全維護的成本,電商網站更傾向於養一批黑客,以攻代守。
“自己手裏有槍要比穿防彈衣更安全,因為別人要向你發起攻擊之前,也得掂量掂量你手裏的槍。”Roy定居國外12年,他的中文名厲暘已經很少被提起。10年前,他的境外地下產業鏈頗具規模,包括聲訊電話、地下錢莊等等,在國內也收過不少徒弟。
對於電商手裏的這批黑客,他似乎很了解:“普通情況下,他們會定時入侵競爭電商網站,了解它們近期的銷售、發貨情況。遇到逢年過節,電商網站下單量激增時,他們可能就會發起攻擊,盡量去讓對方當機。”因為發布電商的內容,Roy的微信平台“戲裏戲外”曾被大量水軍舉報。
真正的攻擊,從用戶連上銀行卡信息開始。
駭客們想盡辦法尋找用戶端的漏洞。最便捷的方法是找“後門”。
你可以把計算機看做是一間大屋子,而它與外界鏈接的65536個端口就像是一扇扇門,負責外部鏈接的大門常年打開。但是因為一些聯網設備自身的漏洞,比如路由器、打印機,本該緊閉的大門會被悄無聲息地轉變為“後門”。和掛馬的效果一樣,偷窺者利用後門肆無忌憚地監控你的電腦,包括登陸網銀的每一步。
別以為Wi-Fi都很安全。智能手機的後門大多通過不安全的網絡被打開。看起來免費的無線網絡可能也含有釣魚程序,所有信息會在網絡傳輸中“裸奔”,你在手機端操作網銀、進行交易支付都將被側錄。
駭客們也依然喜歡“釣魚”和“掛馬”。前者通過偽裝網頁監控你的電腦,後者則直接在電腦中植入木馬。在360安全中心發布的《2012網絡購物安全報告》裏,2012年所截獲的釣魚網站中58.1%假冒淘寶。
一名技術純熟的黑客隻要3天,就能複製一個以假亂真的電商網站。一旦用戶上鉤,就會在虛假頁麵上輸入自己的銀行卡卡號、網銀密碼,心甘情願地把錢送進黑產的口袋。
如果再花點工夫,駭客們還會在POS機上做手腳。這可能需要和終端機所在的商鋪合作。從1990年代末開始,監守自盜就已是美國駭客慣用的法子。
作為曆史上最著名的五大黑客之一,凱文·保爾森描述過他了解到的終端鏈條:
“在男男女女的服務生和路邊小店的服務員當中,物色那些可能對一小筆額外收入感興趣的人,通常是刷一次支付10美元。盡管這麼做風險很高,加油站的經曆和零售店員工,通過在綜合收付終端的讀卡器內和銷售點終端安裝一塊袖珍電路板,也可以幹這種勾當。其中一些信息會在本地使用,但大部分都會發送到東歐去。在那裏,盜刷來的信用卡信息會在互聯網上進行兜售,一次可賣出10條、20條、100條,甚至幾千條。”
駭客們的核心目標依然是用戶的信息資料包——賬號、密碼、CVV碼,全一些的,還包括姓名、信用卡過期時間。他們稱之為“料”。
所有的料都明碼標價,價格會依照卡片的額度有所不同,地域差異同樣會有影響。“優質的料,1條可以賣到三四十美元,好些的能上80美元。”1年前,Roy還能在國內貼吧找到販賣卡料的帖子,但現在都已被查封,而且就算能從別的渠道買到料,想要在國內洗錢並不容易。
“一方麵是國內網銀交易比較複雜,而且國內作案更容易被發現行蹤,風險大。總體來說近幾年黑產的活躍度是下降了。”
國外專門用於卡料交易的販賣網站就不少,裏麵有黑客、賣家以及買手,還有負責臥底的聯邦探員。網站會依據不同地域設置板塊,如東歐板塊的管理員就會說俄語,世界各地的駭客能夠隨時隨地進行交易。
一位在澳大利亞的黑產大佬,他手下的“車手”分布在14個國家。“所謂車手,就是利用盜來的信用卡信息在實體店刷卡交易套現。車手遍布範圍廣,可以把歐洲拿來的料用去美國,東南亞的料留給中國,而把中國的料販賣到日本。”Roy說。這也是為什麼信用卡、借記卡被盜刷事件總是發生在國外。
季昕華始終相信,駭客中少有技術高手:“真正有水平的黑客能夠找到一份好工作,有著不菲的收入,犯不著鋌而走險。”綠色兵團創始人之一的談劍峰創辦眾人科技,研究開發動態密碼器,為銀行和第三方支付平台服務。曹寧依然從事網絡安全的研究公司。餘弦在畢業之後加入了知道創宇,一家被業內廣泛認可的互聯網安全公司。
眼下的情況也不容樂觀,隨著防範方法的增強,隻有大規模的駭客黑產團隊才玩得起,而他們完全有能力找到更好的技術團隊來作支撐。“能做這一行,本身就得財力雄厚,比如IC芯片銀行卡,用行話說為它做‘衣服’,也就是偽卡,難度不小,需要大量資金投入,而那些規模相對較小的黑產基本已經被淘汰。”Roy說。
這時,不想做駭客的黑客們開始與平台合作。
烏雲是中國目前最具影響力的漏洞提交平台之一,先後有389家互聯網廠商因為係統漏洞被舉報,幾乎囊括了國內所有知名門戶、社交以及電商網站。這裏聚集了一批高水平的中國黑客,他們被定義為“白帽”,是網絡安全的維護者。
當漏洞被公開化的同時,它也在成為商品。今年剛滿18歲的顏嚴已經輟學,任職於一家網絡安全公司。在以網名Errorra注冊的微博上,他曬過一台全新的iPad,這是騰訊安全應急響應平台回贈他報告漏洞的禮物。當時他通過員工信息和個人密碼,滲透了騰訊旗下的Discuz論壇,獲得了站長權限。
最貴的漏洞叫做Zero Day,是尚未發布補丁的漏洞統稱,被譽為黑客技術中的“核武器”。2012年,穀歌曾以6萬美元購買了Chrome瀏覽器的Zero Day漏洞,據說對方隻是一個對互聯網很感興趣的青少年。《福布斯》雜誌記者安迪·格林伯格曾報道,關於Zero Day的正當交易自2011年進入常態化,“以往1年的交易量如今在1個月之內就能實現。”
2013年3月,奇虎360推出“庫帶”計劃,鼓勵黑客舉報漏洞,並且在網站上公式獎勵方案,提交重點廠商的高危漏洞將得到現金獎勵,最高獎金為1萬元人民幣。“疏堵要結合,要讓這些有能力的黑客通過合法的渠道去賺錢,”季昕華說。
最後更新:2017-04-03 16:48:30