自從carry_your 上次技術(shù)反制逼小偷還回 iPhone 后，很多雷鋒網(wǎng)和宅客頻道的讀者反饋，希望有人幫他們拿回被偷的手機(jī)。

但是，這件事情很難，為什么難？我們先看一個(gè)悲傷的故事。

悲??！遇上用零日漏洞“釣魚”的黑客

作為一個(gè)優(yōu)秀的網(wǎng)絡(luò)安全從業(yè)人員，白帽匯的聯(lián)合創(chuàng)始人鄧煥與 carry_your 也曾是同事關(guān)系，提到那篇十分火熱的報(bào)道《黑客講述 | 我如何逼小偷把 iPhone 還回來》，鄧煥臉上寫滿憂傷——他的女朋友曾經(jīng)也被扒走了一個(gè) iPhone，然后有人天天發(fā)釣魚短信來騙妹子的蘋果 ID 和密碼。

由于家庭安全教育做得十分到位，妹子及時(shí)通知了鄧煥。

鄧煥作為一個(gè)優(yōu)秀的安全人員，想到的第一步當(dāng)然不是乖乖輸入 ID 和密碼，而是研究這個(gè)釣魚網(wǎng)址。然后，他登錄了這個(gè)網(wǎng)站，準(zhǔn)備攻擊一下，發(fā)現(xiàn)點(diǎn)什么。

突然，就悲劇了！

妹子的 ID 是用 QQ 郵箱注冊(cè)的。鄧煥痛心疾首地對(duì)雷鋒網(wǎng)說：

“唉，我大意了！沒想到這個(gè)騙子黑客愿意花這么大力氣來奪取一個(gè) iPhone 手機(jī)！”

原來，這位釣魚的黑客花費(fèi)很多精力挖掘了 QQ 某官網(wǎng)的一個(gè) XSS 零日漏洞，只要受害者 ID 是由 QQ 郵箱注冊(cè)，那么只要受害者打開這個(gè)網(wǎng)站，黑客就能利用這個(gè)漏洞，無需受害者填入蘋果ID和密碼，就可以劫持受害者的qq域名下的 cookie 信息，從而奪取受害者 QQ 郵箱的控制權(quán)。換句話說，他成了這個(gè) QQ 郵箱的主人，可以隨意獲取郵箱的信息，如發(fā)到qq郵箱里的icloud重置密碼郵件。

等等，零日漏洞是什么？為什么說這個(gè)黑客花了大力氣？

科普一下。

“零日漏洞”( zero-day )又叫零時(shí)差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地說，即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi)，相關(guān)的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性。

一般而言，QQ 官網(wǎng)的零日漏洞一旦被騰訊發(fā)現(xiàn)或被報(bào)告給騰訊，會(huì)迅速得到補(bǔ)救（此處應(yīng)給廣告費(fèi)），而零日漏洞也不是那么好找，也就是說，黑客費(fèi)心費(fèi)力研究的零日漏洞用在“釣魚”一部手機(jī)上，消耗的成本太高。

鄧煥為什么不像 carry_your 一樣攻擊釣魚網(wǎng)站，然后聯(lián)絡(luò)小偷，逼他們把手機(jī)還回來？

呵呵，問這句話的少年，你還是太年輕。

鄧煥說：

“其實(shí)，在某寶上，就有專門的‘釣魚’服務(wù)，這意味著，小偷和釣魚網(wǎng)站極有可能不是一伙人，你攻擊了釣魚網(wǎng)站，威脅釣魚的黑客，根本不管用?！?/strong>

所以，carry_your 技術(shù)反制找回手機(jī)的案例還是“天時(shí)地利人和”，不能大規(guī)模復(fù)制。何況，對(duì)方可能是一個(gè)愿意消耗零日漏洞來“釣魚”的黑客。

臥底黑產(chǎn)群

雖然這件事情已經(jīng)過去很久，但鄧煥還是記憶深刻，因?yàn)樵诤髞淼囊幌盗械木W(wǎng)絡(luò)安全事件中，鄧煥發(fā)現(xiàn)，QQ 郵箱經(jīng)常中招。

最近，通過 QQ 相冊(cè)盜取 QQ 郵箱和密碼，從而對(duì)使用 QQ 郵箱作為蘋果 ID 的用戶進(jìn)行遠(yuǎn)程鎖機(jī)敲詐的新型手法浮出水面，雷鋒網(wǎng)對(duì)此也有報(bào)道。詳情請(qǐng)見：你的 Apple ID 是 QQ 郵箱嗎？有人專門鎖機(jī)勒索！

當(dāng)然，除了鎖機(jī)敲詐，壞人有利用其干更多壞事的途徑。

抱著研究的目的，白帽匯安全團(tuán)隊(duì)曾潛入黑產(chǎn)販賣 QQ 群，臥底觀察包括 QQ 郵箱信息在內(nèi)的數(shù)據(jù)販賣生意。

上圖瞻仰下安全人員臥底的成果之一：

據(jù)介紹，整個(gè)黑產(chǎn)鏈條大致有三類角色：出料人、收料人、買家。出料人是販賣一手原始數(shù)據(jù)的人，這些原始數(shù)據(jù)有兩類主要途徑獲取：第一，黑客入侵，拖庫；第二，內(nèi)鬼泄露。收料人負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行篩選、分類和測(cè)試，也可稱之為洗料人，收料人可能自己也是最終買家，也可能將數(shù)據(jù)一層一層賣給買家。因此，中間可能還有數(shù)據(jù)倒賣商出現(xiàn)。這個(gè)產(chǎn)業(yè)中還有一個(gè)角色十分特殊——專門賣技術(shù)的人，即提供或制作技術(shù)工具。

這些安全人員曾用 QQ 小號(hào)潛伏在這類 QQ 群里，發(fā)現(xiàn)了許多重要安全威脅線索。比如，今年4~5月，一個(gè)某著名國產(chǎn)手機(jī)品牌的用戶詳細(xì)物流信息曾在該類 QQ 群里被叫賣，白帽匯獲取了部分樣本信息后提交給了該合作廠商進(jìn)行分析，后來發(fā)現(xiàn)是由他們?cè)谖錆h的一家物流承運(yùn)商所泄露，于是采取了相應(yīng)措施。

黑客身份可能會(huì)曝光

此后，由于要監(jiān)控的安全威脅信息太多，白帽匯采用了監(jiān)控軟件。至于這個(gè)軟件長啥樣，很抱歉，雷鋒網(wǎng)編輯死磕了很久，白帽匯的童鞋也不肯把截圖放出來。

但是，經(jīng)過長期監(jiān)測(cè)，白帽匯發(fā)現(xiàn)，其實(shí)倒賣這些黑產(chǎn)的人，尤其是涉及其中的黑客，基本上是固定的圈子。

于是，白帽匯目前正在和上級(jí)監(jiān)管部門合作，準(zhǔn)備開展一個(gè)酷炫屌炸天的項(xiàng)目——黑客人員數(shù)據(jù)庫。

這個(gè)黑客人員數(shù)據(jù)庫囊括的是參與黑產(chǎn)的黑客，并不包括白帽子。雷鋒網(wǎng)編輯帶著激動(dòng)的心情“粗粗”瀏覽了這一數(shù)據(jù)庫。

不過，由于涉及到保密信息，不宜向公眾公開，雷鋒網(wǎng)只能文字描述下概況。

這是一個(gè)目前覆蓋了約3萬名黑產(chǎn)相關(guān)人員詳細(xì)資料的可視化平臺(tái)。有多么詳細(xì)？通過大數(shù)據(jù)挖掘與實(shí)時(shí)監(jiān)控，平臺(tái)挖掘出了黑客的私人 QQ 號(hào)、郵箱、地區(qū)、每次販賣資料的記錄……

哦，對(duì)了，真的不是地域歧視，這些黑產(chǎn)從業(yè)人員的從業(yè)省份也很集中……

由于黑產(chǎn)中很少有單獨(dú)作案人員，鄧煥告訴雷鋒網(wǎng)，后續(xù)他們將展開研究，將不同黑客之間的聯(lián)系找出來。

但是，這個(gè)項(xiàng)目還要克服很多困難，比如，這個(gè)平臺(tái)搜集的許多電子證據(jù)能否作為合法證據(jù)還需要有關(guān)部門進(jìn)行認(rèn)定。

后續(xù)該項(xiàng)目走勢(shì)如何，何時(shí)將對(duì)外放大招，透露更多信息，雷鋒網(wǎng)逮著機(jī)會(huì)就會(huì)告訴你。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。