他是誓与 AV 争宅男的 PKAV 团队掌门人;
他是每次演讲前必喝两口“黑客啤酒”的黑客;
他曾经黑掉美食城充值卡,免费享用“大餐”;
他曾经定位全成都的出租车轨迹;
他就是 Only_guest,张瑞冬。
这位可以轻松搞到马云马化腾周鸿祎的住址和电话的黑客,有着一颗拯救世界的心。最近,他正带领他的双螺旋实验室开展一场正义的战争——反电信诈骗。
本期硬创公开课,我们邀请到了Only_guest,他将为我们讲述这两年来反电信诈骗的研究中,发现的诸多惊天秘密。当然,还有他练就的手刃骗子的“如来神掌”。
Only_Guest,本名张瑞冬。双螺旋攻防实验室负责人、PKAV团队负责人、四川大学特聘网络安全专家。
----------以下是公开课访谈全文----------
雷锋网宅客频道:Only_Guest 的名号应该是名震四海了,不过还是请你做个自我介绍。
我是个内蒙古人,网名Only_Guest,真名张瑞冬,学习网络安全14年,从业11年。最近我在西安的黑客大会上做了一场圆桌交流。谈到了一个词,叫传继:黑客文化的传继。我希望这种文化可以一直传继下去,所以我的介绍里面可以加一句,我是黑客:Only_Guest。
最早的时候我的网名叫不哭,那时候我应该11岁左右吧。。。因为那时候比较非主流。后面长大了一点,可能13岁的样子,觉得这个名字太不成熟了,就改名叫无泪,不哭的升级版。当时网上有流传一个段子,叫黑客学的再好也无法入侵你的心,我在你心里永远只是 GUEST,我就顺势改名叫 Only_Guest 了。后来这个名字被业内传言为“只有我能干死你”,这个形容不错,所以一直沿用至今。
【截图来自 PKAV 官网】
雷锋网宅客频道:也介绍一下你的团队 PKAV 和 双螺旋实验室的来历吧。
我 13 岁创办团队,取名为 PKER,意思为破壳,比喻我们像刚破壳的小鸟,还在学习的阶段。经过9年的时间积累,我们认为自身已经有了一定的蜕变,也更希望我们的团队能吸引更多的技术宅男加入。在2012年的时候改为 PKAV,希望将宅男从 AV 中夺回。
我们有个实验室,叫双螺旋安全实验室。双螺旋这个名字得来主要原因是 Gainover 的加入,他现在也是我们团队的负责人之一。在他加入我们团队之前,有个更为特别的身份--生物学博士。在他读博士期间,对黑客技术产生了浓厚的兴趣,于是开始自学。但他的学习速度不可谓是一般的快,他把生物学中 DNA 片段插入的方法应用在信息安全的 fuzz 技术中,两者相得益彰。DNA 的双螺旋形状,就像是信息安全中的攻防对抗交织在一起,很好的将生物学和黑客的攻防形态联系起来。也避免了媒体报道我们时,总用“PK**”的尴尬。
【Only_Guest 对 PKAV 的定义/来自 PKAV 官网】
雷锋网宅客频道:脑子里想着 PKAV,连双螺旋都觉得污污的。。接下请简单简单介绍一下你的团队做过哪些比较牛X的事情吧。
。。。
我们一直在做的都是贴合大家生活或者社会需要的东西。之前一直在做网站安全方面的东西,几年时间为多家知名企业提供了大量的安全问题输出。最近两年就一直在做电信反欺诈,先后打掉了多个大型诈骗集团,将大量电信诈骗人员绳之以法,成功溯源了三千多个钓鱼网站的幕后人员。
虽然我们打击电信诈骗这个事情并没有被广为流传,但在我心里这是一件特牛逼的事!
雷锋网宅客频道:很多人都会好奇,你们为什么会想到做打击电信诈骗这件事?
我之前有一次演讲,题目叫做:为谁的愚蠢买单?在这之前,大量的媒体在曝光一些诈骗事件,但我看来看去都没看到一个问题,这件事情的责任方是谁?
运营商说:诈骗短信不是我发的,诈骗电话不是我打的,怪我?
银行说:用户提供的卡号正确,密码也对,U盾都提供了,难道我不给钱?
执法部门发声了:我们确实很努力的追查了,但苦于电子证据取证太难。。。
受害者说:我接受了9年的义务教育,是不是还要上个防骗培训班?
所以我就想,我们能不能为这操蛋的事情做点什么?这个问题一直都在困扰着我们的生活,每天都有人被骗,并且抓捕难度非常大。所以,我们希望与其亡羊补牢式的抓捕,还不如利用技术手段,将电信诈骗遏制在摇篮里,从源头上做到反诈骗。
雷锋网宅客频道:大家对你们从源头上反诈骗的技术都很关心,不过在说这个之前,还是请你给大家科普一下背景知识,根据你的研究和观察,中国的电信诈骗一般分为几类呢?
大概分为五类吧:
1,直接打电话,设置一个故事背景,让你去ATM机前操作。
2,伪基站短信发送钓鱼网站,冒充运营商或者银行,诱导用户输入银行卡信息。
3,短信传播手机木马,拦截短信,轻松转走你的钱,比如说前段时间流行的冒充学校下发校讯通,冒充同学发送同学录,冒充朋友发送你的小视频等。
4,冒充亲戚朋友领导,诱导付款,转账,借钱等。
5,综合类诈骗,冒充公检法机关,资产清算,返款退税,诱导你在网银上操作,此类诈骗一般数额都非常巨大。
【Only_Guest 在 KCon 上展示诈骗团伙的诈骗流程】
雷锋网宅客频道:看来你们针对骗子做了很多研究,可不可以给我们描述一下,这些电信诈骗的骗子团伙一般都有怎样的特点呢?
这是我们在一个诈骗团伙处获得的一个完整的话术过程:引导短信,攻心短信,系统化跟进,全套的话术。
【从诈骗团伙中得到的话术截图】
打通你的电话,第一句说什么,你回答了过后,第二句如何跟进。诈骗剧本一般都是有时效性的,一个周期内的剧本大致相同。
这些团伙的特点大概是这样:
1.分散性。他们全国布局、跨省诈骗,这大大的增加了抓捕难度。
2.团伙的经验丰富。他们准备好了黑产4件套,以及技术防范伪造手段。
3.警惕性高。网上甚至有流传电信诈骗的流程步骤和经验,骗子也在不断的提高警惕性。
雷锋网宅客频道:电信诈骗团伙看起来准备非常充分,我已经迫不及待地想要知道,你们“手刃骗子”的基本思路和技术路线是怎样的?
因为现在除了黑白名单以外,大家多数是在做事后的部门,已经被诈骗了之后,如何溯源,如何把这次的经验总结防止下次再发生。。。。
我们觉得这种亡羊补牢的东西,不具备时效性。不能把这些事情扼杀在发生前。所以我们现在的手段多数是在诈骗进行中,在受害人上当之前收到诈骗信息,实时预警,在受骗过程中实时溯源犯罪嫌疑人身份信息,你还没骗到钱,我就知道犯罪份子身处何方了。
雷锋网宅客频道:那么实时预警是怎么做到的呢?
这是我之前从我们系统上截取的一张图。
可以看到,我们做了接口,实时通知受害人,实时通知执法部门。实时发送给银行让银行停止这个账户的支付操作,术语叫做止付、具体的技术实现涉及到了我们的核心技术,就不方便回答了。
雷锋网宅客频道:对于电信诈骗另一端,也就是骗子的追溯,你们是怎么做的呢?
我们会溯源到骗子的虚拟身份信息,通过虚拟身份信息关联到其真实身份。利用大数据源,比如腾讯、360、百度的手机卫士手机用户收到的伪基站短信和精准的地理位置,这些手机卫士识别到是诈骗短信的时候,就会做相应提示和上报他们的云平台。这些公司提供数据源和基本的钓鱼网站提取,我们会通过这些数据源做进一步的分析的提炼,然后溯源得到钓鱼网站的幕后操纵者的信息。
因为我们没有终端用户数据,所以前端信息的获取我们是跟一些企业合作。
雷锋网宅客频道:也就是说,钓鱼网站是一个重要的突破口。这些钓鱼网站有什么特点呢?我们怎么来分辨呢?
网站页面和真实网站相似度极高。例如银行、兑奖网站、政府平台。钓鱼网站在整个页面布局,和页面设计上,基本上与真实网站没有差别,所以单看页面很难区分。
但是我们可以通过他的目的来区分,这些钓鱼网站都会要求你输入大量的身份验证信息,银行卡,密码,身份证,支付密码等。
【某钓鱼网站截图/Only_Guest 提供】
雷锋网宅客频道:这些骗子所使用的号码,是不是也是一个比较好的追溯入口呢?这些电话有什么特点吗?
诈骗电话主要分成3种:
1、虚拟号段,例如170、171,这个只能找对应的运营商,然后查找管理这个号码的公司,进行查询。
2、真实号码,直接找营运商,查找号码归属人信息。
3、VOIP 网络电话,这个的查找难度较大,因为其号码可以伪造成任何号码,跟踪难度较大,我们需要得到执法机关的授权后,进行VOIP的溯源,多数服务器在海外。
这些电话的特点,要不让你去银行,要不让你操作网银,要不让你安装软件,要不就是让你买东西。。。反正肯定是要涉及到钱这个环节的。
我们现在的重点主要在伪基站短信和VOIP网络电话的追踪溯源,这俩种成功率高,金额大,尤其是VOIP,我们之前监控的一个诈骗集团,我看着对方在7分钟内进账了430万。。。
【诈骗团伙的洗钱记录/Only_Guest 提供】
雷锋网宅客频道:你们看着骗子进账430万,有没有好的办法对骗子进行反制呢?
一般情况下,诈骗份子在收到用户的银行卡信息后,在5分钟之内就可以把钱全部转走,这个时间很短,我们的平台会和对方同步收到这些信息。但由于我们是平台自动化操作,通知银行止付,整个过程可以在1分钟内完成。等到诈骗份子要去转钱的时候,发现受害者的银行卡已经不能进行转账操作了。
实际上,但单靠技术手段是很难做到根本上遏制的。要说遏制,最应该做的是加大对民众的宣传,提高民众的防范意识。例如,让民众了解目前钓鱼网站的技术程度,哪些可以伪造而哪些不能伪造。让民众用域名来识别钓鱼网站,这样其实在源头上就能减少大量的被骗情况。
现在的诈骗份子技术也在不停的升级,伪基站设备越来越小,可能就是一个电动自行车的车筐里就可以放的下,我们叫这些人背包客,他们背着一个背包,走街串巷,把钓鱼短信发进了千家万户。。。这些背包客收入都很高。一天几千块几万块。根据你发的短信数量来结算。所以会有很多人铤而走险。
现在执法部门多数是在打击这种背包客,但对于雇佣背包客的源头,打击力度就明显不够,主要是技术手段限制,我们现在就在解决这些的问题,所幸解决的还不错。
另外,对于钓鱼短信,我看到一个受害者提供了自己的所有信息,诈骗份子查到他账户上有70多万,但他自己用于洗钱的账户被银行冻结了,他正在联系另外一波诈骗份子帮他洗这笔钱,这留给了我们一个很好的时间差,我就赶紧打电话给受害者说你现在赶紧去银行把你的银行卡密码改了,不要在网上改,对方开始怀疑我的身份,我给他讲了情况之后,他选择了相信我。
但我们的平台上线之后,这种问题就可以很快很即时的解决了,但前提是要银行接入我们的平台,帮助受害者完成止付。
【反诈骗平台可以提取诈骗短信和钓鱼网站/Only_Guest 提供】
雷锋网宅客频道:没想到你还曾经亲手制止了一些犯罪的进行,这很酷啊。对于钓鱼网站来说,有一些特征是不可伪造的,可以稍微科普一下都有哪些吗?
我们的技术中会涉及到获取诈骗份子的硬件指纹,这些东西是具有唯一性的。还有对方的虚拟身份,比如你的QQ号,微搏帐号等。
我们会根据这些信息来锁定一个犯罪份子。如果是说钓鱼网站的特征,现在市面上的这些诈骗团伙所使用的钓鱼网站大同小异,我们用专门的指纹技术可以识别到对方使用的是哪套钓鱼网站程序。
雷锋网宅客频道:你也说到,之前对背包客的打击受到技术限制,你们解决了这些问题。那么,技术上的突破方便透露吗?
我们解决的是背包客的雇佣者,这些诈骗团伙的源头。技术上会使用大量的数据分析和0day,具体内容不好透漏。
【某犯罪分子的 QQ 群列表/Only_Guest 提供】
雷锋网宅客频道:那么,在你们反诈骗的研究过程中,有哪些比较头疼的技术难点吗?
1、终端数据获取比较困难。就像我刚才说的,这些终端数据掌握在百度,腾讯,360这些拥有大量终端客户短信读取权限的厂商手里。。我们没有,所以希望和这些厂商能展开合作。
2、犯罪份子的防范意识也在不断提高。他们会频繁更换域名和IP,导致我们溯源的难度加大。
3、时间的滞后性。受害人会在被骗很长时间后才报警,还不敢承认自己是被骗了,所以当我们收到案情的时候,得到的已经是一个废弃很久的网站域名,或者一张早就被遗弃的银行卡。
对于这些问题,我们有一些技术对策。例如,用自动化的系统提升了我们的效率,犯罪份子几小时更换一个域名,我们不到1分钟就可以进行溯源工作。但时间滞后性这种问题就不是很好解决,只是希望大家能提升防范意识,如果发生此类事件,第一时间与执法机关联系。
雷锋网宅客频道:如你所说,反诈骗过程涉及到和执法机关、银行的合作,可能还有一些不可抗力,如何处理和这些力量的关系?
确实就像我开始说的,运营商,银行,执法机关,这些在电信诈骗中都有涉及到。环节众多,范围广,只有实现各个环节的沟通顺畅,高效合作,才能控制诈骗的发生。
而我们本身不是执法机关,我们只提供这样的反制平台,很多时候还是起到一个获取数据以及推送数据的作用,其余更多是需要反诈骗中心和银行联动起来,做预警和止付。
前不久我们就遇到这样一个案例:
一个冒充公检法的网站,成功骗了几百万,需要我们技术手段找嫌疑人的痕迹。我们花费了大量的时间,利用技术,获得网站管理者的权限。控制了诈骗集团的所有人员电脑,我们将收集到的skype聊天记录,还有他们的一些文档信息,以及他们的犯罪过程,甚至包含犯罪份子的住址,交付给执法机关的时,他们答复因为骗子是台湾人,考虑到两岸关系问题,没办法很好的开展调查工作。
这样的结果确实会令我们受到打击。但我们之后依然会努力为执法机构提供更多线索,只是需要各方的沟通和碰撞吧。
雷锋网宅客频道:听说你对台湾的诈骗团伙也有一些研究,可以给我们描绘一下海峡对岸那些诈骗团伙的事情吗?
如果要评价的话,两个字,专业。上下游分工明确,经验丰富。团伙之间甚至实现了资源共享。我们之前监控的几个团伙、有一天突然变成了同一 IP,我们才发现对方几个团伙在开碰头会交流经验。。。
可见其产业的发达程度。这已经形成了一个社会。
【诈骗份子洗钱用的黑卡的信息列表/Only_Guest 提供】
雷锋网宅客频道:电信诈骗发生,还有另外一个维度,那就是个人信息泄露。我们经常可以接到诈骗电话,而且骗子似乎对我们了如指掌。那么我们的个人信息究竟是通过什么渠道被泄露给骗子的呢?
1、很多是在购买环节,出现了信息泄露,例如买车买房时销售方将信息售卖给下游的产品。你今天刚买房,明天装修的电话就打给你了。
2、在生活中,填写的信息。例如淘宝的收货地址,以及收发快递时填写的信息,也会有人进行兜售。还有我们填写的各类调查问卷,都在出卖着我们的隐私。
3、关键的个人信息,网上流传着大量的泄漏数据,比如前两天又爆出来雅虎的5亿用户数据泄漏,国内这样的数据泄漏更是数不胜数,大量的知名网站数据都在地下黑市广为流传。
雷锋网宅客频道:所以在信息泄露这方面你会给普通人一些什么建议呢?
一般我会建议大家设置3个等级的密码,初级密码可以在一些不涉及任何个人信息和资金的地方用,中级密码在有部分个人信息的地方用,高级密码只在涉及资金的地方用。
尽可能的少输入个人信息。现在很多服务比如说阿里小号,我们可以在各类需要手机号的地方使用这些号码,来防止我们真实号码的泄漏,也可以避免大量的骚扰。
【钓鱼网站反诈骗平台/图片由 Only_Guest 提供】
雷锋网宅客频道:我知道你的团队过去曾经做过一些很有意思的研究,例如定位全成都的出租车等等,过去从事的研究,对于现在的反诈骗工作,有怎样的帮助呢?
技术是不断提升,并且综合利用的。一个完善的反欺诈平台需要多方的技术支持。可以说我们之前研究的很多技术难点,都为我们现在的反欺骗工作在做基础,例如信息的溯源,人员画像,数据分析,WEB安全漏洞的挖掘,都是反欺诈的重要环节。
我们手里有大量的0day漏洞,这些都可以在关键时刻起到很好的作用,具体就不方便详说了。
雷锋网宅客频道:反诈骗看起来是一个长期的任务。你们目前还在研究什么黑科技,在未来有怎样的计划和打算?
黑科技倒是真有一些,不过多数都还没有对外发布。我们一直在做的都是研发更先进的技术,保障国家、人民的安全。这更是白帽子和黑帽子的赛跑,我们率先获得“攻”的手段,就能做到有效的“防”。
至于未来的计划,我们能会去做一些可以开放出来的防诈骗手段,比如说 iOS 最新版本也对第三方提供了电话号码识别的接口,我们更希望可以提供这样的防诈骗数据,资源。技术的革新无法预测,那我们未来的方向也就很难预测。漏洞不止,生命不息。我们会不断研究,并及时弥补高危漏洞,从而保障网络的安全。
雷锋网宅客频道:让我们来一个诗意一点的结尾吧,你可不可以为我们想象描绘一下,通过你们的反诈骗工作,未来会是一个怎样的图景?
天下无贼。
我们最想实现的当然是没有人被欺骗。
一方面,我们的技术足够领先于骗子,让骗子无法再从事这个行业。
另一方面,公民的警惕性足够高,受骗的概率无限接近于 0。
问:老师我想问下,我朋友他在做撸羊毛的项目。但是他撸的是违法的时时彩平台,请问他这样做,算违法吗?现在撸羊毛的人很多,对于目前撸羊毛的情况,企业一般什么情况,开始追踪查找撸羊毛的人,然后抓人。
任何入侵行为都是违法的,不管你入侵的是不是违法网站。杀人犯杀了人你就可以杀他么?这些是执法部门才有权利去做的。薅羊毛这事我们现在也在涉及,不过我们是用数据分析判断一个人是否会去做这个事情,做事前,但多数薅羊毛并不违法,只是会让企业的推广成本加大,如果是涉及到企业要去抓人了。。那就不能叫薅羊毛了,一般企业都只是会对这些人会IP做封禁处理。
问:不知道您有没有关注到宅客频道公众号发的一篇文章。白帽子找到了漏洞能够控制特斯拉的车,甚至能在特斯拉行驶中踩刹车。想问问您对现在这种互联网+的生活有什么看法。你的日常生活会比较抗拒这种互联网产品吗?因为有时越便利,却越不安全。
几乎所有的这种产品我都有在用,有人关注,发现漏洞,说明这东西在进步,你用的产品如果没人去关注,没有漏洞,那说明已经没落了。就像有些人怕不安全,就去用诺基亚的老式手机,先不说是否真的安全,但你其实已经被生活方式淘汰了。
问:在大家眼里,Only Guest 应该属于天才型的选手,灵感源源不断,如果有童鞋想成为一个像你一样重量级的黑客,在学习和研究方面有什么建议吗?
我的学习方法比较特殊,不久前遇到冰河前辈,他说我的方法不适用于大众。。。
我把我之前在知乎回答的内容跟大家说一下吧。
10年前,当着授课老师的面撕碎了教科书。
10年后,教科书上写满我的案例。
每个人拥有的时间和精力是相同的。
你需要巨大的时间、精力来做学习。
你有良好的功底,也许入门会很快,但如果没,请做好持久战的准备。
从事网络安全13年,自感在功底上的落后,每天只休息 4 小时,磨刀练剑。
现在我可以说我算是了解这个行业了,但比起这个行业内真正的大牛,不能望其项背。
首先你要对这个事情充满热情,我会去一些学校做讲座。
问学生为什么选择信息安全这个行业,无非:热门、专业、好就业、帅!
我知道他们多数未来不会从事这个行业,他们的热情级别只有 5,而这个行业的门槛需要 100,战 5 渣平身。
好了,不说废话
问:网上黑客视频那么多,有什么值得推荐的吗?
答:大多的黑客教学视频都非常浅显,心疼流量。
问:网上披露的漏洞,为什么我总是测试不成功?
答:大多漏洞 800个人轮着搞,轮得到你?
问:网上的黑客在线练习网站靠谱吗?
答:知识注定是平面的,无基础学习除了刀口舔血无他。
问:不能理解上面说的什么所谓的漏洞、Exploit 该怎么办?
答:推荐你去找几本能看得进的黑客书籍,碰到不懂的专业术语就去搜。
问:有编程基础应该怎样学习黑客?
答:若是资质好、根骨深,当然是潜伏天才团队快速升级。不然,还是一步步游升吧。
更多大牛分享,欢迎扫码关注宅客频道!