黑客揭秘！骗子如何拿到你的卡号和密码

本篇文章3806字，读完约10分钟

您的qq帐户会被提示在不同的地方登录，您的apple id会被提示在不同的地方登录，甚至小米帐户也会被提示在不同的地方登录。

当你接到一个莫名其妙的电话时，电话另一端的“银行客服”会一字不差地告诉你的银行卡号码，还会告诉你钱被误扣了。如果你听从他的指示，银行卡上的钱会莫名其妙地被取走。

你刚刚收到一封来自淘宝店的邮件。你打开了看起来正常的附件，但一天后你发现银行卡里的所有资金都不见了。

这些东西像烟雾一样在我们周围扩散，许多童鞋丢失了它们的物品。在哀叹这个世界变得疯狂和危险的同时，你有一个深层次的问题:为什么对方如此准确地掌握了你的个人信息？你的个人数据到底是怎么进入坏人的电脑的？

“草根侦探”吴钊自称是草根吴钊，多年来一直在网络威胁情报领域摸索。把他描述为憎恨邪恶并不夸张。

他曾侵入黑客的服务器，取回被黑客窃取的个人信息，然后依次给受害者打电话，提醒他们更改密码。

他曾用伪基站破解黑客窃取的用户数据库，然后向警察叔叔报案。警察:你是受害者吗？吴钊:没有。警察:受害者没有报案。你报告了什么案子？

2015年，他创建了安全公司白帽交易所(White Hat Exchange)，该公司专门提供威胁情报，以打击用户信息泄露和在线欺诈等黑色产品。他之所以是一个草根，主要是因为他的“办案”手法极其脚踏实地:通过白帽子汇款，数以千计的白帽子(白帽子，善良的从事安全行业的黑客)被当作“眼线”在黑行业内部传播，通过这种“地下工作”，他们可以实时掌握黑客的动向。

吴钊说，你无法想象这些白帽子有多神奇。他们与黑人产业密不可分。我不在乎是什么“疯狂的方式”白帽子得到了这些信息。我所要做的就是用技术和非技术手段仔细核实流言。

这些“材料”来自“敌人的心”，这往往是排他性的和秘密的。说到这，他的白帽子汇款更像是威胁情报界的“私人侦探”。在安全牛威胁情报解决方案峰会上，专门打击黑行业的“草根黑客”透露了黑客的“游戏规则”。

nosec上提交的泄露信息和漏洞]

时差不错。你的信息是怎么泄露的？它们就像一次长途旅行，通过“火车、汽车、牛车”的接力，最终到达黑客手中。第一站是各种电子商务网站或社区平台。用户在购物时应该填写真实的住宅信息和信用卡信息。这些信息存储在网站的服务器上，原则上不得泄露。

想要获得用户个人信息的黑客必须攻击网站的服务器。攻击网站服务器意味着绕过网站的“安全卫士”。绕过网站的“保安”，你需要挖一条“隧道”。这些特殊的隧道被称为“洞”。

在黑客眼里，漏洞就像古董市场上的青花瓷瓶一样，而且有“表象”:

有些漏洞可以直接触及对手的内心，而有些漏洞只能让黑客在金库里游荡。一些漏洞可以吃掉所有的网站，而另一些只能击败少数对手。

无论是在黑色产业链还是安全行业，这些漏洞都被专业黑客所利用，他们根据不同的目的分为“黑帽”和“白帽”。如果发现漏洞，白帽会通知网站进行修复，而黑帽会尽快将漏洞卖给“下一个家”进行网络攻击。一旦他们发现自己的网站不正常，电子商务公司将求助于像白帽交易所这样的安全公司来紧急发现和修复漏洞。

漏洞有一个“生命周期”。从被发现到被修复，这段时间是黑色产品使用的黄金时代。

如果一个普通的漏洞只被少数黑客所掌握，并且所有的网站都不知道它，那么它就被称为“0天”漏洞。著名的互联网漏洞平台“黑云”是一个鼓励白帽提交各种漏洞的社区。许多致命的“0天”漏洞经常出现在乌云上。根据黑云规则，白帽提交漏洞后，会通知相关厂商进行修复，然后将技术细节依次向核心白帽、普通白帽和公众披露。级别越高，白帽子越早看到技术细节。

正是因为这一规则，核心白帽账户和密码在黑市的价格将超过10，000元。因为他们有权在大多数人面前看到漏洞的细节。对于不断变化的互联网世界来说，这种时差就足够了。

在大多数人知道这个漏洞的细节之前，黑产就在他手里发动了一个强大的“战争机器”，用这个尖锐的漏洞轰炸了大量的网站，很快窃取了其中的用户信息，甚至埋下了一个后门，以便在未来的任何时候“光顾”。当这个漏洞变得流行的时候，许多网站被修复了，但是没有帮助。

[漏洞交换社区乌云]

如此细微的时差，加上巨大的经济诱惑，具有很强的资源调度能力。让大多数网站难以防范。但是吴钊告诉雷锋。com(搜索“雷锋。更多的网络攻击实际上并不那么刺激。即使一个漏洞被长期暴露出来，成为一个“nday漏洞”，仍然会有大量的网站由于技术、成本、知名度等原因而无法修复。例如，在2014年，一个“心脏下降”的漏洞席卷全球，一些企业仍在建设中。

在真实场景中，这样的事情经常发生:

黑客将一封伪装成应用电子邮件的网络钓鱼邮件发送给企业的首席执行官，并附上一个利用“老式”漏洞的特洛伊木马，这将立即感染公司内部，让黑客获得所有信息。

失控的野兽现在，你的个人信息已经在黑客和许多无辜的人手中。然而，他们对你的伤害远未结束。巨大的个人信息数据库被从每个网站拖出来，收集到一个失控的野兽。

在黑色产业链中，有一个特殊的群体负责“撞上数据库”——用已知的账户和密码尝试许多其他网站和平台。

大多数人都有在不同网站上使用相同密码的习惯。这种坏习惯会造成不可挽回的后果:

最初，只有你的网易邮箱账户被盗，但黑客通过闯入数据库输入了你的苹果id和淘宝账号，然后获得了你的手机隐私、银行卡号码和家庭住址。通过向您发送网络钓鱼电子邮件，您甚至可以获得您的银行卡密码。

一个简单的邮箱泄漏直接导致你的金融系统通过几层跳板。这就是血腥野兽“袭击图书馆”的恐怖之处。据不完全统计，仅在中国，就有超过20亿个账户密码在黑市上流通。也就是说，如果你到目前为止还没有更改过你的密码，在黑客眼里你就是“透明的”。

吴钊说，他的团队已经攻破了1900多个网络钓鱼网站，并提取了16000多名受害者的完整信息。这里的完整信息是指:用户名、银行卡号码、密码、身份证号码、家庭住址和联系电话。如果你仍然不知道这意味着什么，你可以尝试告诉你的朋友这个信息，几乎所有普通人都可以使用这个信息毫不费力地转移你的资金。

今年的央视315晚会报道称，黑客向受害者发送了一个应用链接，只要安装了该应用，所有受害者的手机通话记录和短信都会被黑客获得。这在技术上是可行的。

[315 party展示如何通过扫描代码窃取用户的个人隐私信息]

在黑客的服务器上，吴钊发现了无数个人短信。每个人的聊天记录都赤裸裸地躺在磁盘上。交流的内容不禁让人感叹。吴钊仍然记得的是，一个男人给妻子发了一条短信，兴奋地告诉她他获奖了，所以他不得不迅速把银行卡号码发到家里。这个让妻子管理钱财的穷人只是最常见的受害者之一。堆积亿万受害者就像水滴融入海洋，我们最终会在倒影中看到自己。

黑人产业内部的分工与合作已经远远超出了大多数人的想象。漏洞挖掘、数据库拖动、数据库冲突、数据库清洗和犯罪实施都由不同的团伙处理，您的个人信息在不同的空.之间“自由流通”

从一个简单的例子中，我们可以看到黑色产品的分工是多么精细:

黑客扩大攻击的一个重要手段是网络钓鱼电子邮件。被愚弄后，用户会进入黑客建立的钓鱼网站，然后在欺骗下输入敏感的个人信息。为了防止跟踪公共安全和安全公司，甚至钓鱼网站使用的服务器也不是由黑客自己注册的。在黑色产业链中，一群人申请服务器，并以每周2000元的价格租给网络钓鱼网站的用户。一旦白帽进行反向侦察，它只能定位服务器申请人，但很难捕捉到真正的黑色行业从业者的线索。

前面提到的黑色产品和白色帽子之间的对抗就像在下一场比赛中按照进攻和防守的逻辑程序下棋。现实世界中的对抗要复杂得多。

攻击的最高境界是“手中无剑，人与剑合一。”这并不神秘:

如果黑客获得公司内部员工的账号，并通过合法手段登录公司内部网络，他不会毫不拖延地将所有敏感信息拖出来。没有防御措施来防止这种情况。因为黑客不再攻击系统，而是攻击人。

当然，要获得一个人的账户，你仍然可以使用前面提到的黑客方法。然而，最难防范的是通过互联网以外的方式。比如商业贿赂和美人计。现实世界的优势在于它的想象空远远超出了网络空间，在那里你可以做任何你能做的事情。

当黑客在实践中意识到他们不需要攻击系统，只需要攻击系统中的人。他们的世界豁然开朗。

最近，一名被广泛关注的员工入侵boss直接雇佣应用程序开发人员账户，是因为外人已经掌握了公司的核心开发人员密码。这个密码很可能是通过离线渠道泄露的。追踪这种无迹可寻的信息泄露的难度是可以想象的。

[老板直接雇用发布的声明]

面对黑客的“降维攻击”，操作的每一步似乎都是“合理合法”的，但最终的结果却是一场空。企业精心构筑的边防在“人”面前崩溃了。

现实世界和组合使得反黑制作工作更加困难。根据这一思路，吴钊还提出了对策，即通过反制措施直接攻击黑客的巢穴，定位这些罪犯的身份信息，并在现实世界中将这些黑客绳之以法。

当钓鱼或作弊时，黑客总是会留下一个背靠背的界面来接收收集到的私人信息。从理论上讲，沿着这条狭窄的通道，白帽子肯定能碰到黑客本人。

通过这种无间道，白帽可以连接回黑客的网络，从而得到坏人的qq，然后通过监控黑客的聊天内容来分析黑客的离线身份，进而得到他常用的手机号码、姓名和地址。对黑客所做的一切就像黑客曾经对其他人所做的一样，但最后一步不是欺诈和盗窃，而是抓捕和惩罚。

安全不是等待。

吴钊说。