你的QQ账号被提示在异地登陆,你的 Apple ID 被提示异地登陆,甚至小米账号都被提示异地登陆。
你接到莫名其妙的电话,电话那头的“银行客服”竟然能一字不错地说出你的银行卡号,还告诉你卡上被误扣了钱款。如果你跟随他的指导进行操作,银行卡上的钱最终会莫名其妙地被划走。
你收到了一封邮件,来自你刚刚购买的淘宝店铺。你打开了看起来再正常不过的附件,一天之后却发现银行卡里的资金全部不翼而飞。
这些事情如雾霾一样,弥散在我们周围,很多童鞋因此损失财物。在慨叹这个世界变得疯狂而危险的同时,你有没有浮现出深深的疑问:对方为什么会如此精准地掌握了你的个人信息?你的个人资料究竟是怎么到了坏人的电脑里?
自称草根的赵武,在互联网威胁情报界摸爬滚打多年。用嫉恶如仇来形容他并不为过。
他曾经反黑进黑客的服务器,拿回被黑客窃取的个人信息,然后依次给受害者打电话提醒他们改密码。
他曾经破解了黑客用伪基站窃取的用户数据库,然后向警察叔叔报案。警察:你是受害者吗?赵武:不是。警察:受害者都没报案,你报什么案?
2015年他创建了安全公司白帽汇,专门提供威胁情报,用以对抗用户信息泄露、网络诈骗等黑产。之所以说他是草根,主要因为他的“办案”手法异常接地气:通过白帽汇,把上千个白帽子(白帽子,就是心地善良,从事安全行业的黑客)作为“眼线”撒到黑色产业内部,通过这种“地下工作”实时掌握黑客们的动向。
赵武说,你根本想象不到这些白帽子有多神通广大,他们和黑色产业有着千丝万缕的联系。我不关心白帽子是通过什么“野路子”拿到这些消息的,我要做的只是用技术和非技术手段对于小道消息小心求证。
这些“料”来自“敌人的心脏”,往往独家而隐秘。说起来,他的白帽汇更像是威胁情报界的“私家侦探”。在安全牛威胁情报解决方案峰会上,这位专门对抗黑业的“草根黑客”揭秘了黑客的“游戏规则”。
【在 Nosec 上提交的泄露信息和漏洞】
你的信息是怎样被泄露的呢?它们就像进行了一次长途旅行,通过“火车、汽车、牛车”这样的接力,最终到达黑客手里。而这第一站就是各种电商网站或者社区平台。用户在购物时,都要填写自己的真实的住宅信息和信用卡信息。而这些信息存储在网站的服务器上,原则上是绝不能对外泄露的。
黑客想要拿到用户的个人信息,就必须进攻网站的服务器。进攻网站的服务器,就要绕过网站的“保安”。绕过网站的“保安”,需要挖一条“地道”。这些特别的地道就叫做“漏洞”。
在黑客眼里,漏洞和古玩市场里的青花瓷瓶一样,是有“品相”之分的:
有的漏洞可以直达对手心脏腹地,有的漏洞却仍只能让黑客在金库外围徘徊。有的漏洞可以通吃所有网站,有的却只能击败几个对手。
无论是在黑色产业链还是安全产业中,这些漏洞都有专业的黑客负责挖掘,根据他们的目的不同把这些黑客分为了“黑帽子”和“白帽子”。白帽子发现漏洞,会及时通知网站进行修复,而黑帽子发现漏洞,则会尽快出售给“下家”用于网络攻击。而一旦发现自己的网站出现异常,电商企业也会求助于白帽汇这样的安全公司紧急查找修复漏洞。
漏洞是有“生命周期”的。从被发现到被修复,这一段时间是被黑产利用的黄金时期。
如果一个通用漏洞只有少数几个黑客掌握,而所有的网站都毫不知情,它就被称为“0Day”漏洞。著名的互联网漏洞平台“乌云”就是一个鼓励白帽子提交各种漏洞的社区。很多极具杀伤力的“0Day”漏洞经常出现在乌云上。根据乌云的规则,漏洞被白帽子提交之后,会通知相关厂商修复,然后会把技术细节依次向核心白帽子、普通白帽子和公众公开,级别越高的白帽子看到技术细节的时间越早。
而正是因为这个规则,一个核心白帽子的账号和密码在黑市中的价格会超过万元。因为他们有权限在大多数人之前看到漏洞细节。对于瞬息万变的互联网世界,这个时间差已经足够了。
在大多数人得知这个漏洞细节之前,黑产便发动手中强大的“战争机器”,用这个锋利的漏洞地毯式轰炸一大批网站,迅速盗走其中的用户信息,甚至安插后门,以便今后随时“光顾”。当这个漏洞普及之后,许多网站再进行修复,其实已经于事无补了。
【漏洞交流社区 乌云】
这样精妙的时间差,加上巨大经济诱惑下黑产强大的资源调度能力。让大多数网站防不胜防。但是赵武告诉雷锋网,更多的网络进攻实际上没有这么惊心动魄。即使一个漏洞被爆出很久,成为了“NDay 漏洞”,仍然会有一大批网站由于技术、成本、认识等等原因不去修复。例如在2014年爆出席卷全球的“心脏滴血”漏洞,有的企业至今还在“施工中”。
在真实的场景中,往往会发生这样的事情:
黑客给某企业 CEO 发一封伪装成应聘邮件的钓鱼邮件,附带上一个利用“老掉牙”漏洞的木马,瞬间就会感染公司内部,让黑客拿到一切资料。
现在,你的个人信息已经和众多无辜的人一起到了黑客的手里。然而,他们对你的伤害还远远没有停止。庞大的个人信息库被从各个站点拖出来,汇集成为一头脱缰的野兽。
在黑色产业链中,有专门的团体负责“撞库”——用已知的账号和密码去大量尝试其他网站和平台。
大多数人都有一个习惯,那就是在不同的网站使用相同的密码。这个糟糕的习惯会造成难以挽回的恶果:
原本只是你的网易邮箱账号被盗,黑客通过撞库,却进入了你的 Apple ID 和淘宝账号,进而获得你的手机隐私、银行卡号和家庭住址。通过对你发送钓鱼邮件, 甚至可以获得你的银行卡密码。
简单的邮箱泄露,却藉由几层跳板直达你的财务系统。这就是“撞库”这头血腥猛兽的恐怖之处。依靠着“漏洞—拖库—撞库”的循环往复,跟据不完全统计,仅仅在中国,在黑产中流传的账号密码就已经累计超过20亿个。也就是说如果至今为止你人生中还没有改过密码,那么你在黑客眼中十有八九已经“透明”了。
赵武说,他的团队曾经攻破了1900多家钓鱼网站,在其中提取了16000多名受害者的完整信息。这里的完整信息是指:用户名、银行卡号、密码、身份证号、家庭住址、联系电话。如果你还不知道这意味着什么,可以试着把这些信息告诉你的朋友,一个普通人几乎都可以利用这些信息毫不费力地转走你的资金。
今年央视315晚会曾经报道,黑客向受害者发送一个 App 链接,只要安装了这个 App,受害者的手机通话记录和短信就全部被黑客拿到。这在技术上来书是确实可行的。
【315晚会上展示如何通过扫码盗取用户个人隐私信息】
在黑客的服务器上,赵武发现了密密麻麻的个人短信。每个人的聊天记录都赤裸裸地躺在磁盘中。其中的通信内容不免让人唏嘘。让赵武记忆犹新的是,有一个人给老婆发短信,兴冲冲地告诉她自己中奖了,要赶快把家里的银行卡号发来。这个让老婆管钱的可怜人只是众多受害者中再普通不过的一个。而堆叠亿万受害者,就像水滴汇成海洋,我们最终将会从倒影中看到自己。
黑色产业内部的分工和协作已经远远超出了大部分人的想象。漏洞挖掘,拖库、撞库、洗库、实施犯罪,这些环节由不同的团伙负责,而你的个人信息就这样赤裸裸地在不同的空间“自由流转”。
从一个简单的例子,就可以看出黑产的分工精细到何种地步:
黑客扩大攻击的重要手段是钓鱼邮件。用户上当之后会进入黑客构建的钓鱼网站,从而在诱骗之下输入敏感的个人信息。为了防止公安和安全公司的追踪,就连钓鱼网站使用的服务器都不是黑客自己注册的。在黑色产业链中,专门有一批人申请服务器,以一个星期2000块的价格租给钓鱼网站的使用者。白帽子一旦反向侦察,只能定位到服务器申请人,而难以捕捉真正黑色产业从业者的蛛丝马迹。
之前所说的黑产和白帽子之间的对抗,都像是在下一盘棋,按照攻守的逻辑套路对弈。而发生在现实世界的对抗,还要复杂得多。
所谓进攻的最高境界,就是“手中无剑,人剑合一。”这并不玄妙:
如果黑客拿到了公司内部人员的账号,通过合法的手段登陆公司内网,再不急不缓地把所有敏感信息拖出来。没有任何防御措施可以防止这一点。因为黑客攻击的不再是系统,而是人。
当然,拿到一个人的账号,仍然可以通过前述的黑客手段。然而,最难以防备的是通过互联网之外的手段。例如商业行贿、美人计。现实世界的好处在于,它的想象空间要远远超越赛博世界,在这里你可以无所不用其极。
当黑客们在实践中意识到其实做黑产其实并不需要攻击系统,而仅仅需要攻击这个系统中的人。他们的世界就豁然开朗了。
最近被广泛关注的拉钩员工黑进Boss直聘 App 开发者账号一事,就是因为外部人员掌握了公司核心的开发者密码。而这个密码很可能是通过线下渠道泄露出去的。而追查这种毫无踪迹的信息泄露,难度可想而知。
【Boss直聘发布的声明】
企业面对黑客们的“降维打击”,每一步操作看上去都“合理合法”,而最终的结果却是鸡飞蛋打。企业精心构建的边界防御在“人”的面前土崩瓦解。
现实世界和结合让反黑产的工作难度陡增。赵武同样根据这个思路提出了对抗的办法,那就是:通过反制手段直接攻入黑客们的老巢,定位这些罪犯的身份信息,在现实世界里把这些黑客绳之以法。
由于黑客在钓鱼或者诈骗时,一定会留下回连的接口,用以接收搜集来的隐私信息。理论上来说,循着这条狭窄的通道,白帽子一定可以触碰到黑客本人。
通过这种无间道,白帽子可以回连到黑客的网络,从而拿到坏人的QQ,进而通过监视他的聊天内容分析黑客线下的身份,然后获得他常用的手机号码,姓名,住址。对黑客所做的每一件事都是像黑客曾经对别人做的那样,只是这最后一步不再是欺诈和盗窃,而是抓获和惩罚。
安全永远不是等来的。
赵武说。