黑客圈：支付賬號(hào)隨意改 不花錢(qián)竟能下訂單

2001年，一場(chǎng)持續(xù)了7天7夜的“中美黑客大戰(zhàn)”讓不熟悉網(wǎng)絡(luò)世界的中國(guó)人都認(rèn)識(shí)到一個(gè)全新群體--黑客。網(wǎng)絡(luò)以難以想象的速度在中國(guó)快速普及，黑客們針對(duì)網(wǎng)絡(luò)安全而展開(kāi)的黑帽白帽大戰(zhàn)從未停歇過(guò)，2013年，全球5.52億人因?yàn)楹诳凸粜孤渡矸葙Y料，而在中國(guó)，1.64億人因?yàn)榫W(wǎng)絡(luò)犯罪受到侵害，人均損失224美元。

隨著智能手機(jī)日益普及，1200萬(wàn)個(gè)針對(duì)智能手機(jī)的惡意鏈接隨時(shí)在威脅個(gè)人信息和金融安全，在不少頂級(jí)黑客看來(lái)，看上去安全的支付賬號(hào)都可以隨時(shí)被更改，你購(gòu)買(mǎi)彩票的錢(qián)可以直接轉(zhuǎn)去黑客賬戶(hù)，不用花錢(qián)也能直接下訂單。安全專(zhuān)家指出，六成以上網(wǎng)絡(luò)平臺(tái)存在安全漏洞，如果未有防御措施，發(fā)起攻擊只是時(shí)間問(wèn)題，但大多數(shù)人薄弱的網(wǎng)絡(luò)安全意識(shí)令人擔(dān)心。

周一早上，吳洋（化名）照常打開(kāi)微信準(zhǔn)備刷朋友圈，系統(tǒng)突然顯示密碼錯(cuò)誤。吳洋腦袋嗡地一下：“不好！密碼被盜！”因?yàn)槭褂肣Q登錄微信，而微信號(hào)綁定了銀行卡和理財(cái)產(chǎn)品，風(fēng)險(xiǎn)不言而喻。

半小時(shí)后，經(jīng)過(guò)一番折騰的吳洋重新登錄微信，發(fā)現(xiàn)一切無(wú)異后不禁長(zhǎng)舒一口氣。他猜想，自己被傳說(shuō)中的黑客攻擊了一把。其實(shí)，這樣的黑客攻擊每天都發(fā)生在我們身邊。

青春飯撈快錢(qián)

蓋樓洗白上岸

凌晨1時(shí)20分，PW（化名）的QQ號(hào)終于顯示登錄，每天這個(gè)時(shí)候，他都會(huì)登錄QQ和一些圈子里的人碰碰頭。90后的PW是一家軟件開(kāi)發(fā)公司的老板，但是很少有人知道他的另一個(gè)身份--一名資深黑客。PW認(rèn)為自己是一名非典型黑客，他只是沉迷于黑客技術(shù)，“這個(gè)圈子里能碰到計(jì)算機(jī)行業(yè)中的頂尖高手，通常這些高手是不屑于用黑客技術(shù)去賺錢(qián)的，但是他們開(kāi)發(fā)的各種黑客工具被人利用后就形成了地下黑客產(chǎn)業(yè)利益鏈。”

PW是計(jì)算機(jī)高手，就讀于廣州一所重點(diǎn)大學(xué)計(jì)算機(jī)專(zhuān)業(yè)的他，計(jì)算機(jī)專(zhuān)業(yè)只讀了一年后，他轉(zhuǎn)去學(xué)習(xí)其他專(zhuān)業(yè)，大學(xué)四年得了3個(gè)學(xué)士學(xué)位，熟悉他的朋友稱(chēng)他為計(jì)算機(jī)神童。就在不久前，PW朋友公司的網(wǎng)站被黑客攻陷，對(duì)于他而言，80%的網(wǎng)站都有各種漏洞，攻陷只是時(shí)間問(wèn)題。

每天凌晨，PW都會(huì)登錄QQ上的黑客群，和一些圈里人討論一些技術(shù)問(wèn)題，在他看來(lái)，混在群里的黑客們也分很多檔次，真正頂尖黑客占黑客總數(shù)不到一成，這些頂尖黑客多數(shù)獨(dú)來(lái)獨(dú)往或是有一個(gè)極小的圈子，而不同的黑客圈有不同的目的，由3~7人組成專(zhuān)門(mén)為做“黑產(chǎn)”的黑客團(tuán)隊(duì)，也有僅是追求技術(shù)的技術(shù)宅男，還有一些抱著一夜暴富夢(mèng)想花錢(qián)學(xué)黑客技術(shù)的菜鳥(niǎo)們。“大多數(shù)中國(guó)黑客的水平都比較一般，他們多數(shù)是利用國(guó)內(nèi)外的一些高級(jí)黑客編寫(xiě)的軟件來(lái)進(jìn)行攻擊的工具使用者。”

在中國(guó)最早的黑客領(lǐng)軍人物陳三堰看來(lái)，黑客的新陳代謝也非常快，一般進(jìn)入這個(gè)領(lǐng)域的都是18~35歲的男性，女性不多，由于黑客技術(shù)發(fā)展極快，只要一段時(shí)間遠(yuǎn)離這個(gè)圈子，技術(shù)上就無(wú)法再跟上。而從事黑客需要付出極大的精力和體力，長(zhǎng)期熬夜是常態(tài)，很少有人能夠持續(xù)從事黑客多年，一般到了一定年齡后都會(huì)選擇轉(zhuǎn)行，“所以很多黑客都是帶著吃青春飯撈快錢(qián)的心態(tài)在做黑客，早些年的一些黑客靠破解盜版發(fā)家，如今甚至蓋起了自己的產(chǎn)業(yè)大樓，很多人撈了第一桶金后就會(huì)遠(yuǎn)離這個(gè)行業(yè)，洗白上岸。”

攻擊網(wǎng)游牟利

沒(méi)技術(shù)月掙十幾萬(wàn)

從2006年開(kāi)始，當(dāng)時(shí)還在讀初中的PW就已涉足黑客圈，那個(gè)時(shí)候，已有不少黑客們靠黑產(chǎn)牟利，其中，攻擊網(wǎng)絡(luò)游戲是黑產(chǎn)中最主要的部分。“當(dāng)年通過(guò)攻擊網(wǎng)游牟利的黑客們不少已經(jīng)身家過(guò)千萬(wàn)元了，這應(yīng)該是中國(guó)黑客產(chǎn)業(yè)里面產(chǎn)值最大的一塊，分工運(yùn)作環(huán)節(jié)都非常成熟。”

一般來(lái)說(shuō)，這些專(zhuān)門(mén)針對(duì)游戲玩家下手的黑客們一般由3~7人組成團(tuán)隊(duì)，團(tuán)隊(duì)中技術(shù)最好的黑客負(fù)責(zé)攻擊用戶(hù)數(shù)據(jù)庫(kù)，獲取賬號(hào)和密碼，中間層的黑客只會(huì)一點(diǎn)基本技術(shù)就能完成“掃號(hào)”工作，將偷來(lái)的裝備、點(diǎn)卡、虛擬貨幣儲(chǔ)存在固定的地方，最下游的人可能一點(diǎn)技術(shù)都不懂，只是在網(wǎng)上以不到官網(wǎng)一半的價(jià)格賣(mài)出這些偷來(lái)的虛擬貨品，“黑客們最喜歡用戶(hù)量巨大的網(wǎng)絡(luò)游戲，比如夢(mèng)幻西游、魔獸世界等，因?yàn)橛脩?hù)量越大，商業(yè)價(jià)值也就越大，偷來(lái)的裝備可以很快出手。”

實(shí)際上，除了盜取游戲裝備、虛擬貨幣，網(wǎng)絡(luò)黑客的生財(cái)之道還遠(yuǎn)遠(yuǎn)不止這些。有些黑客通過(guò)攻擊網(wǎng)絡(luò)平臺(tái)敲詐勒索費(fèi)用，有些專(zhuān)門(mén)幫競(jìng)爭(zhēng)者攻擊對(duì)手網(wǎng)站……還有人把培訓(xùn)黑客當(dāng)成搖錢(qián)樹(shù)。

在黑客圈子里，一條豪華車(chē)主的詳細(xì)信息可以賣(mài)到1000元，政府官員、老板的個(gè)人信息以及用戶(hù)眾多的網(wǎng)絡(luò)游戲數(shù)據(jù)庫(kù)是黑產(chǎn)中炙手可熱的搶手貨。PW告訴記者，就在不久前，一個(gè)黑客盜取的網(wǎng)頁(yè)游戲庫(kù)被人以50萬(wàn)元的高價(jià)收購(gòu)，買(mǎi)家收購(gòu)了這些用戶(hù)數(shù)據(jù)庫(kù)后，就可以替代運(yùn)營(yíng)商給玩家充值，玩家充值的費(fèi)用會(huì)直接流入這些黑產(chǎn)從業(yè)者的口袋，通常一些用戶(hù)人數(shù)多的數(shù)據(jù)庫(kù)幾天之內(nèi)就能回本，等到運(yùn)營(yíng)商發(fā)現(xiàn)進(jìn)行修補(bǔ)和追查，黑產(chǎn)們?cè)缫奄嵉门铦M(mǎn)缽滿(mǎn)，即使數(shù)據(jù)庫(kù)被關(guān)閉也無(wú)所謂了。

據(jù)PW所知，早幾年，在黑產(chǎn)利益鏈條里，一個(gè)在中間負(fù)責(zé)掃號(hào)的小黑客，不需要太多技術(shù)，每個(gè)月都能掙十萬(wàn)元，但是隨著公安部門(mén)打擊網(wǎng)絡(luò)犯罪力度加大，很多原來(lái)圈子里的“大人物”都被抓了進(jìn)去，“很多人開(kāi)始遷往東南亞繼續(xù)從事這一產(chǎn)業(yè)，打擊網(wǎng)絡(luò)犯罪的困難就在于，跨境犯罪成本不高，但跨境抓捕難度很大。一宗網(wǎng)絡(luò)犯罪，案發(fā)地、服務(wù)器所在地、實(shí)施犯罪人所在地都可能不在一個(gè)地方，甚至可能跨境，要抓住元兇并不容易。”PW說(shuō)。

1.6萬(wàn)學(xué)7天速成黑客？

“螞蟻搬家”小錢(qián)變大錢(qián)

因?yàn)閬?lái)錢(qián)快，所以很多無(wú)業(yè)的年輕人熱衷在網(wǎng)上找資源學(xué)黑客技術(shù)，一些“黑客培訓(xùn)班”的授課內(nèi)容幾乎囊括了病毒、木馬制作技術(shù)和各種網(wǎng)絡(luò)攻擊技術(shù)。國(guó)內(nèi)一個(gè)很知名的漏洞查找網(wǎng)站也推出過(guò)黑客培訓(xùn)課程，7天的黑客速成班需要花費(fèi)1.6萬(wàn)元。便宜的班一般200~500元不等，主要教授使用一些特定的技術(shù)或工具。

小G是完全不同于PW的小黑客，剛剛?cè)胄?年的他完全是抱著為賺錢(qián)的目的學(xué)習(xí)黑客技術(shù)，“我報(bào)過(guò)四五個(gè)班，前幾個(gè)都是騙錢(qián)的，收了錢(qián)就給幾個(gè)工具，告訴你怎么用，實(shí)際上，根本不算什么黑客技術(shù)。”

后來(lái)，小G在圈子里認(rèn)識(shí)一個(gè)技術(shù)比較好的“師傅”,就介紹別的朋友交錢(qián)跟他學(xué)，如果“師傅”有“項(xiàng)目”要做也會(huì)在他們中間找人，一般這個(gè)圈子組織很?chē)?yán)密，都是熟人介紹，不會(huì)接受網(wǎng)上貿(mào)然要求加入的新丁。

小G向記者透露，其實(shí)很多時(shí)候，黑客盜取支付賬戶(hù)錢(qián)財(cái)都是在“潤(rùn)物細(xì)無(wú)聲”的情況下完成的，一般獲得一些支付賬戶(hù)的信息后，有耐性的黑客會(huì)跟蹤一段時(shí)間，觀察賬戶(hù)使用者的消費(fèi)習(xí)慣，如經(jīng)常在網(wǎng)站消費(fèi)，然后就會(huì)設(shè)置一個(gè)假冒消費(fèi)記錄后盜走賬戶(hù)的小額費(fèi)用，一般是十幾元或是幾十元，這種“螞蟻搬家”似盜款方式很難被事主發(fā)現(xiàn)，但是對(duì)黑客而言，積少成多，是一種不錯(cuò)的撈錢(qián)方式。

PW認(rèn)為，像小G這樣的小黑客應(yīng)是現(xiàn)在黑產(chǎn)中的主流，真正頂尖的黑客多數(shù)還是來(lái)自于重點(diǎn)大學(xué)計(jì)算機(jī)或數(shù)學(xué)等相關(guān)專(zhuān)業(yè)，然后自己摸索技術(shù)，而這些小黑客很多都是文化水平不算高，學(xué)一些皮毛就進(jìn)入黑產(chǎn)撈錢(qián)。

廣東著名打假人士徐大江的另一個(gè)身份是中國(guó)紅客聯(lián)盟江蘇站站長(zhǎng)，2001年，他帶領(lǐng)十幾萬(wàn)黑客在“中美黑客大戰(zhàn)”中鏖戰(zhàn)了7天7夜，回憶當(dāng)年，徐大江說(shuō)，“當(dāng)年的黑客都是些熱血青年，更多的是在校學(xué)生和技術(shù)人員，大家都是研究技術(shù)，他們是黑產(chǎn)的主力軍，學(xué)習(xí)技術(shù)的唯一目的就是牟利。”

泄露數(shù)據(jù)只是冰山一角

網(wǎng)絡(luò)平臺(tái)漏洞多

賽門(mén)鐵客公司2013年發(fā)布了《諾頓安全報(bào)告2013》，根據(jù)他們進(jìn)行的網(wǎng)絡(luò)漏洞評(píng)估項(xiàng)目發(fā)現(xiàn)，77%的網(wǎng)站包含漏洞。去年中國(guó)受網(wǎng)絡(luò)犯罪侵犯的人數(shù)達(dá)到1.64億人次，直接經(jīng)濟(jì)損失達(dá)370億美元，人均達(dá)到224美元。

根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2013年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述報(bào)告》，去年，安卓手機(jī)平臺(tái)惡意程序數(shù)量呈爆發(fā)式增長(zhǎng)，2013年新增移動(dòng)互聯(lián)網(wǎng)惡意程序樣本達(dá)70.3萬(wàn)個(gè)，其中71.5%是惡意扣費(fèi)類(lèi)。2013年發(fā)現(xiàn)移動(dòng)互聯(lián)網(wǎng)惡意程序傳播次數(shù)達(dá)1296萬(wàn)次，比去年增加了23倍。

在安全專(zhuān)家們看來(lái)，盡管黑客已經(jīng)把觸角已伸到網(wǎng)絡(luò)各個(gè)角落，但網(wǎng)絡(luò)普通用戶(hù)卻未真正重視過(guò)網(wǎng)絡(luò)安全。陳三堰直言，相比于電子商務(wù)，網(wǎng)絡(luò)安全發(fā)展可謂嚴(yán)重滯后，“很多企業(yè)一方面是為了節(jié)約成本，另一方面也是對(duì)安全領(lǐng)域缺乏了解。”

PW也負(fù)責(zé)幫助公司開(kāi)發(fā)軟件，一般來(lái)說(shuō)如果進(jìn)行安全防護(hù)的設(shè)置，軟件開(kāi)發(fā)的成本要增加20%左右，很多公司會(huì)覺(jué)得這部分成本沒(méi)有實(shí)際效益，所以不愿意投入。陳三堰告訴記者，以代碼審核為例，一個(gè)1萬(wàn)行代碼的程序如果進(jìn)行代碼審核最起碼需要50萬(wàn)元，“這部分投入看不到實(shí)際產(chǎn)出，很多公司都不愿意付出。”

“最可怕的是，一般人至今未有網(wǎng)絡(luò)安全的危機(jī)感，他們照常在公共WiFi下收發(fā)郵件、網(wǎng)購(gòu)，甚至登錄網(wǎng)上銀行，毫不擔(dān)心自己的敏感信息會(huì)被黑客獲得，遭遇經(jīng)濟(jì)損失還蒙在鼓里。”陳三堰表示，隨著國(guó)家把網(wǎng)絡(luò)安全上升到國(guó)家安全的高度，已經(jīng)有越來(lái)越多政府部門(mén)和大企業(yè)開(kāi)始著手解決網(wǎng)絡(luò)安全問(wèn)題，但是，讓更多每日和網(wǎng)絡(luò)接觸的普通人意識(shí)到網(wǎng)絡(luò)安全的重要性仍然任重而道遠(yuǎn)。

公共WiFi個(gè)人信息泄露

網(wǎng)絡(luò)安全意識(shí)薄弱

今年4月9日，一個(gè)名為Heart bleed（意為“心臟出血”）的重大安全漏洞被曝光，一位安全行業(yè)人士在知乎網(wǎng)站上透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個(gè)用戶(hù)名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

陳三堰直言，這些數(shù)據(jù)的曝光不過(guò)是黑客們掌握的“社工庫(kù)”（每次入侵得手的數(shù)據(jù)集聚起來(lái)形成的大數(shù)據(jù)庫(kù)）的冰山一角。更大的危機(jī)在于，六成以上網(wǎng)站可能都存在漏洞，你根本無(wú)法知道黑客們到底掌握了多少大數(shù)據(jù)庫(kù)。

在PW看來(lái)，黑客遵循的原則就是“悄悄地進(jìn)村，打槍的不要”.在抓住漏洞，進(jìn)入后門(mén)，獲得敏感信息后，一定會(huì)注意隱藏行蹤不被發(fā)現(xiàn)。

“敏感信息一般掌握在頂尖的人手里，20%的黑客掌握了絕大多數(shù)社工庫(kù)信息，有些黑客進(jìn)入了一些經(jīng)濟(jì)利用價(jià)值高的網(wǎng)站，可能還會(huì)把補(bǔ)丁補(bǔ)上，避免其他黑客獲得敏感信息。他們有時(shí)也會(huì)互相交換，但很少會(huì)公布出來(lái)，所以很多敏感漏洞被發(fā)現(xiàn)時(shí)，可能已存在一兩年，很多黑客早已利用這些信息獲利，因此網(wǎng)絡(luò)警察追兇也并不容易。”

1999年就進(jìn)入黑客領(lǐng)域的陳三堰是知名黑客網(wǎng)站“第八軍團(tuán)”的領(lǐng)軍人，2004年，他轉(zhuǎn)型進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域，開(kāi)創(chuàng)了網(wǎng)絡(luò)安全維護(hù)的易城信息技術(shù)，繼續(xù)以白帽黑客的身份與黑客們斗智斗勇。“2011年，我當(dāng)時(shí)在一個(gè)黑客圈子里就看到一個(gè)社工庫(kù)，當(dāng)時(shí)這個(gè)壓縮文件已經(jīng)有40G大小，積累到近幾天估計(jì)已成倍增長(zhǎng)。隨著云技術(shù)的普及，這種大數(shù)據(jù)庫(kù)泄露的安全形勢(shì)將會(huì)越來(lái)越嚴(yán)峻。”

“有了這些社工庫(kù)，要破解人們的密碼易如反掌。”PW以QQ密碼為例，只要你在社工庫(kù)內(nèi)輸入QQ號(hào)，就可以直接查到這個(gè)號(hào)碼是否曾經(jīng)泄露過(guò)，如果有，獲取密碼就非常簡(jiǎn)單。

電子支付平臺(tái)實(shí)際漏洞也非常多，PW最近曾幫一家電子支付平臺(tái)查找漏洞，隨便查一下就有4個(gè)漏洞，“國(guó)內(nèi)很多公司在開(kāi)發(fā)軟件平臺(tái)的時(shí)候還沒(méi)有什么安全意識(shí)，大部分網(wǎng)絡(luò)平臺(tái)都有漏洞，而這些漏洞造成的信息泄露都會(huì)被社工庫(kù)收錄，掌握社工庫(kù)的人如果愿意，可以直接獲取所有用戶(hù)的信息，可以改變支付賬號(hào)，讓用戶(hù)把買(mǎi)彩票的錢(qián)直接打到他們的賬戶(hù)上，甚至可以不花錢(qián)下訂單。這對(duì)頂尖黑客來(lái)說(shuō)，完全不是難事，做與不做全憑良心。”

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。