• 你的QQ賬號被提示在異地登陸，你的 Apple ID 被提示異地登陸，甚至小米賬號都被提示異地登陸。

• 你接到莫名其妙的電話，電話那頭的“銀行客服”竟然能一字不錯地說出你的銀行卡號，還告訴你卡上被誤扣了錢款。如果你跟隨他的指導(dǎo)進(jìn)行操作，銀行卡上的錢最終會莫名其妙地被劃走。

• 你收到了一封郵件，來自你剛剛購買的淘寶店鋪。你打開了看起來再正常不過的附件，一天之后卻發(fā)現(xiàn)銀行卡里的資金全部不翼而飛。

這些事情如霧霾一樣，彌散在我們周圍，很多童鞋因此損失財物。在慨嘆這個世界變得瘋狂而危險的同時，你有沒有浮現(xiàn)出深深的疑問：對方為什么會如此精準(zhǔn)地掌握了你的個人信息？你的個人資料究竟是怎么到了壞人的電腦里？

“草根偵探”趙武

自稱草根的趙武，在互聯(lián)網(wǎng)威脅情報界摸爬滾打多年。用嫉惡如仇來形容他并不為過。

• 他曾經(jīng)反黑進(jìn)黑客的服務(wù)器，拿回被黑客竊取的個人信息，然后依次給受害者打電話提醒他們改密碼。

• 他曾經(jīng)破解了黑客用偽基站竊取的用戶數(shù)據(jù)庫，然后向警察叔叔報案。警察：你是受害者嗎？趙武：不是。警察：受害者都沒報案，你報什么案？

2015年他創(chuàng)建了安全公司白帽匯，專門提供威脅情報，用以對抗用戶信息泄露、網(wǎng)絡(luò)詐騙等黑產(chǎn)。之所以說他是草根，主要因為他的“辦案”手法異常接地氣：通過白帽匯，把上千個白帽子（白帽子，就是心地善良，從事安全行業(yè)的黑客）作為“眼線”撒到黑色產(chǎn)業(yè)內(nèi)部，通過這種“地下工作”實時掌握黑客們的動向。

趙武說，你根本想象不到這些白帽子有多神通廣大，他們和黑色產(chǎn)業(yè)有著千絲萬縷的聯(lián)系。我不關(guān)心白帽子是通過什么“野路子”拿到這些消息的，我要做的只是用技術(shù)和非技術(shù)手段對于小道消息小心求證。

這些“料”來自“敵人的心臟”，往往獨家而隱秘。說起來，他的白帽匯更像是威脅情報界的“私家偵探”。在安全牛威脅情報解決方案峰會上，這位專門對抗黑業(yè)的“草根黑客”揭秘了黑客的“游戲規(guī)則”。

【在 Nosec 上提交的泄露信息和漏洞】

精妙的時間差

你的信息是怎樣被泄露的呢？它們就像進(jìn)行了一次長途旅行，通過“火車、汽車、牛車”這樣的接力，最終到達(dá)黑客手里。而這第一站就是各種電商網(wǎng)站或者社區(qū)平臺。用戶在購物時，都要填寫自己的真實的住宅信息和信用卡信息。而這些信息存儲在網(wǎng)站的服務(wù)器上，原則上是絕不能對外泄露的。

黑客想要拿到用戶的個人信息，就必須進(jìn)攻網(wǎng)站的服務(wù)器。進(jìn)攻網(wǎng)站的服務(wù)器，就要繞過網(wǎng)站的“保安”。繞過網(wǎng)站的“保安”，需要挖一條“地道”。這些特別的地道就叫做“漏洞”。

在黑客眼里，漏洞和古玩市場里的青花瓷瓶一樣，是有“品相”之分的：

有的漏洞可以直達(dá)對手心臟腹地，有的漏洞卻仍只能讓黑客在金庫外圍徘徊。有的漏洞可以通吃所有網(wǎng)站，有的卻只能擊敗幾個對手。

無論是在黑色產(chǎn)業(yè)鏈還是安全產(chǎn)業(yè)中，這些漏洞都有專業(yè)的黑客負(fù)責(zé)挖掘，根據(jù)他們的目的不同把這些黑客分為了“黑帽子”和“白帽子”。白帽子發(fā)現(xiàn)漏洞，會及時通知網(wǎng)站進(jìn)行修復(fù)，而黑帽子發(fā)現(xiàn)漏洞，則會盡快出售給“下家”用于網(wǎng)絡(luò)攻擊。而一旦發(fā)現(xiàn)自己的網(wǎng)站出現(xiàn)異常，電商企業(yè)也會求助于白帽匯這樣的安全公司緊急查找修復(fù)漏洞。

漏洞是有“生命周期”的。從被發(fā)現(xiàn)到被修復(fù)，這一段時間是被黑產(chǎn)利用的黃金時期。

如果一個通用漏洞只有少數(shù)幾個黑客掌握，而所有的網(wǎng)站都毫不知情，它就被稱為“0Day”漏洞。著名的互聯(lián)網(wǎng)漏洞平臺“烏云”就是一個鼓勵白帽子提交各種漏洞的社區(qū)。很多極具殺傷力的“0Day”漏洞經(jīng)常出現(xiàn)在烏云上。根據(jù)烏云的規(guī)則，漏洞被白帽子提交之后，會通知相關(guān)廠商修復(fù)，然后會把技術(shù)細(xì)節(jié)依次向核心白帽子、普通白帽子和公眾公開，級別越高的白帽子看到技術(shù)細(xì)節(jié)的時間越早。

而正是因為這個規(guī)則，一個核心白帽子的賬號和密碼在黑市中的價格會超過萬元。因為他們有權(quán)限在大多數(shù)人之前看到漏洞細(xì)節(jié)。對于瞬息萬變的互聯(lián)網(wǎng)世界，這個時間差已經(jīng)足夠了。

在大多數(shù)人得知這個漏洞細(xì)節(jié)之前，黑產(chǎn)便發(fā)動手中強(qiáng)大的“戰(zhàn)爭機(jī)器”，用這個鋒利的漏洞地毯式轟炸一大批網(wǎng)站，迅速盜走其中的用戶信息，甚至安插后門，以便今后隨時“光顧”。當(dāng)這個漏洞普及之后，許多網(wǎng)站再進(jìn)行修復(fù)，其實已經(jīng)于事無補(bǔ)了。

【漏洞交流社區(qū) 烏云】

這樣精妙的時間差，加上巨大經(jīng)濟(jì)誘惑下黑產(chǎn)強(qiáng)大的資源調(diào)度能力。讓大多數(shù)網(wǎng)站防不勝防。但是趙武告訴雷鋒網(wǎng)，更多的網(wǎng)絡(luò)進(jìn)攻實際上沒有這么驚心動魄。即使一個漏洞被爆出很久，成為了“NDay 漏洞”，仍然會有一大批網(wǎng)站由于技術(shù)、成本、認(rèn)識等等原因不去修復(fù)。例如在2014年爆出席卷全球的“心臟滴血”漏洞，有的企業(yè)至今還在“施工中”。

在真實的場景中，往往會發(fā)生這樣的事情：

黑客給某企業(yè) CEO 發(fā)一封偽裝成應(yīng)聘郵件的釣魚郵件，附帶上一個利用“老掉牙”漏洞的木馬，瞬間就會感染公司內(nèi)部，讓黑客拿到一切資料。

脫韁的野獸

現(xiàn)在，你的個人信息已經(jīng)和眾多無辜的人一起到了黑客的手里。然而，他們對你的傷害還遠(yuǎn)遠(yuǎn)沒有停止。龐大的個人信息庫被從各個站點拖出來，匯集成為一頭脫韁的野獸。

在黑色產(chǎn)業(yè)鏈中，有專門的團(tuán)體負(fù)責(zé)“撞庫”——用已知的賬號和密碼去大量嘗試其他網(wǎng)站和平臺。

大多數(shù)人都有一個習(xí)慣，那就是在不同的網(wǎng)站使用相同的密碼。這個糟糕的習(xí)慣會造成難以挽回的惡果：

原本只是你的網(wǎng)易郵箱賬號被盜，黑客通過撞庫，卻進(jìn)入了你的 Apple ID 和淘寶賬號，進(jìn)而獲得你的手機(jī)隱私、銀行卡號和家庭住址。通過對你發(fā)送釣魚郵件， 甚至可以獲得你的銀行卡密碼。

簡單的郵箱泄露，卻藉由幾層跳板直達(dá)你的財務(wù)系統(tǒng)。這就是“撞庫”這頭血腥猛獸的恐怖之處。依靠著“漏洞—拖庫—撞庫”的循環(huán)往復(fù)，跟據(jù)不完全統(tǒng)計，僅僅在中國，在黑產(chǎn)中流傳的賬號密碼就已經(jīng)累計超過20億個。也就是說如果至今為止你人生中還沒有改過密碼，那么你在黑客眼中十有八九已經(jīng)“透明”了。

趙武說，他的團(tuán)隊曾經(jīng)攻破了1900多家釣魚網(wǎng)站，在其中提取了16000多名受害者的完整信息。這里的完整信息是指：用戶名、銀行卡號、密碼、身份證號、家庭住址、聯(lián)系電話。如果你還不知道這意味著什么，可以試著把這些信息告訴你的朋友，一個普通人幾乎都可以利用這些信息毫不費(fèi)力地轉(zhuǎn)走你的資金。

今年央視315晚會曾經(jīng)報道，黑客向受害者發(fā)送一個 App 鏈接，只要安裝了這個 App，受害者的手機(jī)通話記錄和短信就全部被黑客拿到。這在技術(shù)上來書是確實可行的。

【315晚會上展示如何通過掃碼盜取用戶個人隱私信息】

在黑客的服務(wù)器上，趙武發(fā)現(xiàn)了密密麻麻的個人短信。每個人的聊天記錄都赤裸裸地躺在磁盤中。其中的通信內(nèi)容不免讓人唏噓。讓趙武記憶猶新的是，有一個人給老婆發(fā)短信，興沖沖地告訴她自己中獎了，要趕快把家里的銀行卡號發(fā)來。這個讓老婆管錢的可憐人只是眾多受害者中再普通不過的一個。而堆疊億萬受害者，就像水滴匯成海洋，我們最終將會從倒影中看到自己。

黑色產(chǎn)業(yè)內(nèi)部的分工和協(xié)作已經(jīng)遠(yuǎn)遠(yuǎn)超出了大部分人的想象。漏洞挖掘，拖庫、撞庫、洗庫、實施犯罪，這些環(huán)節(jié)由不同的團(tuán)伙負(fù)責(zé)，而你的個人信息就這樣赤裸裸地在不同的空間“自由流轉(zhuǎn)”。

從一個簡單的例子，就可以看出黑產(chǎn)的分工精細(xì)到何種地步：

黑客擴(kuò)大攻擊的重要手段是釣魚郵件。用戶上當(dāng)之后會進(jìn)入黑客構(gòu)建的釣魚網(wǎng)站，從而在誘騙之下輸入敏感的個人信息。為了防止公安和安全公司的追蹤，就連釣魚網(wǎng)站使用的服務(wù)器都不是黑客自己注冊的。在黑色產(chǎn)業(yè)鏈中，專門有一批人申請服務(wù)器，以一個星期2000塊的價格租給釣魚網(wǎng)站的使用者。白帽子一旦反向偵察，只能定位到服務(wù)器申請人，而難以捕捉真正黑色產(chǎn)業(yè)從業(yè)者的蛛絲馬跡。

攻心為上

之前所說的黑產(chǎn)和白帽子之間的對抗，都像是在下一盤棋，按照攻守的邏輯套路對弈。而發(fā)生在現(xiàn)實世界的對抗，還要復(fù)雜得多。

所謂進(jìn)攻的最高境界，就是“手中無劍，人劍合一?！边@并不玄妙：

如果黑客拿到了公司內(nèi)部人員的賬號，通過合法的手段登陸公司內(nèi)網(wǎng)，再不急不緩地把所有敏感信息拖出來。沒有任何防御措施可以防止這一點。因為黑客攻擊的不再是系統(tǒng)，而是人。

當(dāng)然，拿到一個人的賬號，仍然可以通過前述的黑客手段。然而，最難以防備的是通過互聯(lián)網(wǎng)之外的手段。例如商業(yè)行賄、美人計?，F(xiàn)實世界的好處在于，它的想象空間要遠(yuǎn)遠(yuǎn)超越賽博世界，在這里你可以無所不用其極。

當(dāng)黑客們在實踐中意識到其實做黑產(chǎn)其實并不需要攻擊系統(tǒng)，而僅僅需要攻擊這個系統(tǒng)中的人。他們的世界就豁然開朗了。

最近被廣泛關(guān)注的拉鉤員工黑進(jìn)Boss直聘 App 開發(fā)者賬號一事，就是因為外部人員掌握了公司核心的開發(fā)者密碼。而這個密碼很可能是通過線下渠道泄露出去的。而追查這種毫無蹤跡的信息泄露，難度可想而知。

【Boss直聘發(fā)布的聲明】

企業(yè)面對黑客們的“降維打擊”，每一步操作看上去都“合理合法”，而最終的結(jié)果卻是雞飛蛋打。企業(yè)精心構(gòu)建的邊界防御在“人”的面前土崩瓦解。

現(xiàn)實世界和結(jié)合讓反黑產(chǎn)的工作難度陡增。趙武同樣根據(jù)這個思路提出了對抗的辦法，那就是：通過反制手段直接攻入黑客們的老巢，定位這些罪犯的身份信息，在現(xiàn)實世界里把這些黑客繩之以法。

由于黑客在釣魚或者詐騙時，一定會留下回連的接口，用以接收搜集來的隱私信息。理論上來說，循著這條狹窄的通道，白帽子一定可以觸碰到黑客本人。

通過這種無間道，白帽子可以回連到黑客的網(wǎng)絡(luò)，從而拿到壞人的QQ，進(jìn)而通過監(jiān)視他的聊天內(nèi)容分析黑客線下的身份，然后獲得他常用的手機(jī)號碼，姓名，住址。對黑客所做的每一件事都是像黑客曾經(jīng)對別人做的那樣，只是這最后一步不再是欺詐和盜竊，而是抓獲和懲罰。

安全永遠(yuǎn)不是等來的。

 趙武說。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。