自從carry_your 上次技術反制逼小偷還回 iPhone 后，很多雷鋒網(wǎng)和宅客頻道的讀者反饋，希望有人幫他們拿回被偷的手機。

但是，這件事情很難，為什么難？我們先看一個悲傷的故事。

悲??！遇上用零日漏洞“釣魚”的黑客

作為一個優(yōu)秀的網(wǎng)絡安全從業(yè)人員，白帽匯的聯(lián)合創(chuàng)始人鄧煥與 carry_your 也曾是同事關系，提到那篇十分火熱的報道《黑客講述 | 我如何逼小偷把 iPhone 還回來》，鄧煥臉上寫滿憂傷——他的女朋友曾經(jīng)也被扒走了一個 iPhone，然后有人天天發(fā)釣魚短信來騙妹子的蘋果 ID 和密碼。

由于家庭安全教育做得十分到位，妹子及時通知了鄧煥。

鄧煥作為一個優(yōu)秀的安全人員，想到的第一步當然不是乖乖輸入 ID 和密碼，而是研究這個釣魚網(wǎng)址。然后，他登錄了這個網(wǎng)站，準備攻擊一下，發(fā)現(xiàn)點什么。

突然，就悲劇了！

妹子的 ID 是用 QQ 郵箱注冊的。鄧煥痛心疾首地對雷鋒網(wǎng)說：

“唉，我大意了！沒想到這個騙子黑客愿意花這么大力氣來奪取一個 iPhone 手機！”

原來，這位釣魚的黑客花費很多精力挖掘了 QQ 某官網(wǎng)的一個 XSS 零日漏洞，只要受害者 ID 是由 QQ 郵箱注冊，那么只要受害者打開這個網(wǎng)站，黑客就能利用這個漏洞，無需受害者填入蘋果ID和密碼，就可以劫持受害者的qq域名下的 cookie 信息，從而奪取受害者 QQ 郵箱的控制權。換句話說，他成了這個 QQ 郵箱的主人，可以隨意獲取郵箱的信息，如發(fā)到qq郵箱里的icloud重置密碼郵件。

等等，零日漏洞是什么？為什么說這個黑客花了大力氣？

科普一下。

“零日漏洞”( zero-day )又叫零時差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地說，即安全補丁與瑕疵曝光的同一日內(nèi)，相關的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性。

一般而言，QQ 官網(wǎng)的零日漏洞一旦被騰訊發(fā)現(xiàn)或被報告給騰訊，會迅速得到補救（此處應給廣告費），而零日漏洞也不是那么好找，也就是說，黑客費心費力研究的零日漏洞用在“釣魚”一部手機上，消耗的成本太高。

鄧煥為什么不像 carry_your 一樣攻擊釣魚網(wǎng)站，然后聯(lián)絡小偷，逼他們把手機還回來？

呵呵，問這句話的少年，你還是太年輕。

鄧煥說：

“其實，在某寶上，就有專門的‘釣魚’服務，這意味著，小偷和釣魚網(wǎng)站極有可能不是一伙人，你攻擊了釣魚網(wǎng)站，威脅釣魚的黑客，根本不管用?！?/strong>

所以，carry_your 技術反制找回手機的案例還是“天時地利人和”，不能大規(guī)模復制。何況，對方可能是一個愿意消耗零日漏洞來“釣魚”的黑客。

臥底黑產(chǎn)群

雖然這件事情已經(jīng)過去很久，但鄧煥還是記憶深刻，因為在后來的一系列的網(wǎng)絡安全事件中，鄧煥發(fā)現(xiàn)，QQ 郵箱經(jīng)常中招。

最近，通過 QQ 相冊盜取 QQ 郵箱和密碼，從而對使用 QQ 郵箱作為蘋果 ID 的用戶進行遠程鎖機敲詐的新型手法浮出水面，雷鋒網(wǎng)對此也有報道。詳情請見：你的 Apple ID 是 QQ 郵箱嗎？有人專門鎖機勒索！

當然，除了鎖機敲詐，壞人有利用其干更多壞事的途徑。

抱著研究的目的，白帽匯安全團隊曾潛入黑產(chǎn)販賣 QQ 群，臥底觀察包括 QQ 郵箱信息在內(nèi)的數(shù)據(jù)販賣生意。

上圖瞻仰下安全人員臥底的成果之一：

據(jù)介紹，整個黑產(chǎn)鏈條大致有三類角色：出料人、收料人、買家。出料人是販賣一手原始數(shù)據(jù)的人，這些原始數(shù)據(jù)有兩類主要途徑獲?。旱谝唬诳腿肭?，拖庫；第二，內(nèi)鬼泄露。收料人負責對數(shù)據(jù)進行篩選、分類和測試，也可稱之為洗料人，收料人可能自己也是最終買家，也可能將數(shù)據(jù)一層一層賣給買家。因此，中間可能還有數(shù)據(jù)倒賣商出現(xiàn)。這個產(chǎn)業(yè)中還有一個角色十分特殊——專門賣技術的人，即提供或制作技術工具。

這些安全人員曾用 QQ 小號潛伏在這類 QQ 群里，發(fā)現(xiàn)了許多重要安全威脅線索。比如，今年4~5月，一個某著名國產(chǎn)手機品牌的用戶詳細物流信息曾在該類 QQ 群里被叫賣，白帽匯獲取了部分樣本信息后提交給了該合作廠商進行分析，后來發(fā)現(xiàn)是由他們在武漢的一家物流承運商所泄露，于是采取了相應措施。

黑客身份可能會曝光

此后，由于要監(jiān)控的安全威脅信息太多，白帽匯采用了監(jiān)控軟件。至于這個軟件長啥樣，很抱歉，雷鋒網(wǎng)編輯死磕了很久，白帽匯的童鞋也不肯把截圖放出來。

但是，經(jīng)過長期監(jiān)測，白帽匯發(fā)現(xiàn)，其實倒賣這些黑產(chǎn)的人，尤其是涉及其中的黑客，基本上是固定的圈子。

于是，白帽匯目前正在和上級監(jiān)管部門合作，準備開展一個酷炫屌炸天的項目——黑客人員數(shù)據(jù)庫。

這個黑客人員數(shù)據(jù)庫囊括的是參與黑產(chǎn)的黑客，并不包括白帽子。雷鋒網(wǎng)編輯帶著激動的心情“粗粗”瀏覽了這一數(shù)據(jù)庫。

不過，由于涉及到保密信息，不宜向公眾公開，雷鋒網(wǎng)只能文字描述下概況。

這是一個目前覆蓋了約3萬名黑產(chǎn)相關人員詳細資料的可視化平臺。有多么詳細？通過大數(shù)據(jù)挖掘與實時監(jiān)控，平臺挖掘出了黑客的私人 QQ 號、郵箱、地區(qū)、每次販賣資料的記錄……

哦，對了，真的不是地域歧視，這些黑產(chǎn)從業(yè)人員的從業(yè)省份也很集中……

由于黑產(chǎn)中很少有單獨作案人員，鄧煥告訴雷鋒網(wǎng)，后續(xù)他們將展開研究，將不同黑客之間的聯(lián)系找出來。

但是，這個項目還要克服很多困難，比如，這個平臺搜集的許多電子證據(jù)能否作為合法證據(jù)還需要有關部門進行認定。

后續(xù)該項目走勢如何，何時將對外放大招，透露更多信息，雷鋒網(wǎng)逮著機會就會告訴你。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。