你可能会在这里中招:
·ATM机刷卡时注意卡槽是否安装了读卡器,小心键盘异样和简陋的摄像头。
·对于弹出的支付窗口要留神,若让你输入账户等敏感信息,小心它是钓鱼网页。
·避免木马、病毒最有效的方法是避开高风险网站,另外小心免费电影及软件。
·搜索App的时候,注意它们的名字,一个迷糊就会让你的手机中毒,尽量选择安全性高的平台。
·别点开垃圾短信,尽管它们可能看起来挺靠谱,里面的连接就是陷阱的第一步。
·拉卡拉设备没有专人24小时防护,所以极易被安装侧录设备。
·若扫入病毒的二维码,手机就会遭殃。
·别小看身份证复印件,它能还原你的信息,甚至有时会被用来盗刷信用卡。
没有密码是安全的。这是黑客们的信条。
林林是该信条的信奉者,他的网上ID叫冰血封情,作为黑客技术安全站的核心人物,他是中国第四代黑客的代表之一。但即便如此,国外黑客们狂欢的年代,要比林林所知道的整整早了5年。
2002年,他在网上收到一串信用卡代码,那是越南黑客朋友送给他的礼物。“他说这可以消费买东西,当时我都没用过信用卡,所以也不会操作。”与国内这种看起来无利可图的局面相比,那时的美国以及东欧正逐渐形成一个成熟的黑色产业链,并且在全球范围蔓延。他们黑掉个人用户的信用卡账号,用盗取的信息制造伪卡肆意消费。
大卫·斯坦恩伯格就因此被捕,当时他正开着一辆偷来的小轿车,逃亡在以色列的海港城市海法。之所以惊动美国联邦调查局,是因为他盗取了美国公司、机构的8万条信用卡信息。
这看上去似乎有些眼熟,因为这也是目前我们身边的信息安全漏洞——只不过它们出现在11年前的美国。
中国信用卡普及是在2006年之后,爆发则要等到2008年。据中国人民银行统计,2006年年底信用卡发卡量近5000万张,到2008年年末这个数字已经达到1.42亿。
但在林林做黑客的那几年里,他们根本还没想到信用卡的事儿。游戏里的虚拟设备,让中国的一部分黑客开始变成窃取信息的骇客。
窃取原理和黑信用卡类似。一个游戏账户配套相应密码,这就是一个信息包,它在黑客圈里被称为“信”。真正值钱的是每个账户里的游戏装备,利用木马“收信”之后,黑客们通过“查信”判断盗来的账户是否有价值,然后“洗信”去转移账户中的装备,再转手经销商贩卖。
单个账户的确可能只是满足黑客最初的技术成就感,但一旦形成规模,这也能成为笔生意,2005年就是国内网游黑色产业链爆发的一年。
曹宁是昔日绿色兵团的元老级人物。绿色兵团是一个被众多黑客称做“黄埔军校”的中国最早的电脑黑客非盈利性组织。
当时他专攻黑产研究,为公安部门追捕黑产提供技术支撑。当年令他感到棘手的是国内出现了一批原创黑客专门针对游戏编写木马程序,并且有专门的代理与他们对接收购,然后雇佣临时工进行手工操作。以查信为例,这种简单的重复劳动的工作一般会交给初中生,一天工钱30元,还额外提供一顿工作餐。
曹宁关注最多的就是东北和福建,这里网游黑产猖獗,前者主要针对韩国网游,后者则是将目标对准中国台湾游戏。曹宁并没有见过那段时间的大佬,但他听说不同地区都会有代理商,圈里流传,“如果要拿下东北片区某个游戏的黑产代理权,报价就是30万元。”
这些技术针对的多是玩家人数较多的热门游戏,比如当时的《传奇》、《大话西游》、《魔兽世界》等。黑客们从编写木马程序开始,一旦“挂马”成功,嗅觉灵敏的木马就会在用户电脑里直奔主题,窃取游戏账号和密码。当时《魔兽世界》的一封“信”售价为100元。
游戏厂商们并不是没有努力,它们通过杀毒软件扑杀木马。余弦也曾是缴杀游戏木马的一员。他身边的同学和老师多半都有被盗经历:游戏账号被洗劫一空,就连电脑内的重要资料也一同丢失。
余弦唯一能做的就是编写专杀程序,但难度很大。“写一个专杀只要几个小时,但跟踪、分析病毒可能要花上一两天。”可病毒每小时都在升级。
2007年,这些木马作者已经组建了工作室,他们的年收入至少200万元。
“达不到这个数,谁还做这一行?”季昕华当时任职于腾讯公司,负责网络安全维护,但工作范围已经延伸至整个行业,受到攻击的游戏厂商会一同合作,协助警方侦破黑产犯罪团伙,“这是一个斗智斗勇的过程。游戏登陆之所以会采用验证码,是因为查信原本也能用程序完成,验证码就能起到限制的目的。”
不过,网游黑产的成本很快就提高了。
2009年,刑法修正案中对于黑客违法行为的量刑加重,最高可判7年监禁。加上国内网游热急速退烧,经历了高峰期的网游黑产开始衰退。
但对黑客来说,更赚钱的时点伴着网购出现。
根据中国互联网信息中心的统计数据,截至2010年12月,中国网购用户已达到1.6亿人——这对于靠技术牟利的黑客来说简直是笔大数目,而此时,这样参与犯罪的黑客已经被称为“骇客”。
刚开始的手段是伪装,他们把钓鱼网站包装成卖超低价机票,或提供神奇疗效医药的页面,又可能是邮箱里一些标明“限时打折”的邮件。
手段老套,但很奏效。2010年金山网络安全中心的统计数据显示,在遇到过网购安全威胁的用户中,72%以上都是因为钓鱼网站而中招。
想要获得技术成就感的黑客们不仅满足于此,他们有了新玩法,它有个颇有仪式感的代号——刷库。2012年年初,以微博渠道向李国庆投诉的当当用户越来越多,他们发现自己账户中的礼品券被盗,大额订单离奇出现,甚至账号因直接被篡改而无法登录。
2012年3月末,李国庆通过个人微博作出承诺:“被盗金额,当当网全额补偿(不是赔偿,因为不是我们的责任)。”同时,京东、亚马逊等电商网站也都自称是这一波盗刷事件的受害者。
他们不约而同将矛头指向2011年底被刷库的CSDN网站,这是中国最大的开发者技术社区,当时,一个以“CSDN-中文社区-600万.rar”为文件名的压缩包流传于网络,而里面附着的是CSDN网600万注册用户的账号和密码。
很多用户有使用相同注册名和密码的习惯,这就是骇客们拿到信息包之后套用于其他网站的机会。经过中关村在线的分析师白宁对CSDN被泄信息的分析统计,超过23万人使用同一个密码,“123456789”。骇客的运气就从这里头挖掘。
一旦“刷库”迹象出现,电商们就会有些抓狂。不过那个时候,中国电商网站还不像国外电商,它们不会保存用户的银行卡信息,所以对注册用户来说,损失的可能是某笔订单,或是某张消失的折扣券。考虑到安全维护的成本,电商网站更倾向于养一批黑客,以攻代守。
“自己手里有枪要比穿防弹衣更安全,因为别人要向你发起攻击之前,也得掂量掂量你手里的枪。”Roy定居国外12年,他的中文名厉旸已经很少被提起。10年前,他的境外地下产业链颇具规模,包括声讯电话、地下钱庄等等,在国内也收过不少徒弟。
对于电商手里的这批黑客,他似乎很了解:“普通情况下,他们会定时入侵竞争电商网站,了解它们近期的销售、发货情况。遇到逢年过节,电商网站下单量激增时,他们可能就会发起攻击,尽量去让对方当机。”因为发布电商的内容,Roy的微信平台“戏里戏外”曾被大量水军举报。
真正的攻击,从用户连上银行卡信息开始。
骇客们想尽办法寻找用户端的漏洞。最便捷的方法是找“后门”。
你可以把计算机看做是一间大屋子,而它与外界链接的65536个端口就像是一扇扇门,负责外部链接的大门常年打开。但是因为一些联网设备自身的漏洞,比如路由器、打印机,本该紧闭的大门会被悄无声息地转变为“后门”。和挂马的效果一样,偷窥者利用后门肆无忌惮地监控你的电脑,包括登陆网银的每一步。
别以为Wi-Fi都很安全。智能手机的后门大多通过不安全的网络被打开。看起来免费的无线网络可能也含有钓鱼程序,所有信息会在网络传输中“裸奔”,你在手机端操作网银、进行交易支付都将被侧录。
骇客们也依然喜欢“钓鱼”和“挂马”。前者通过伪装网页监控你的电脑,后者则直接在电脑中植入木马。在360安全中心发布的《2012网络购物安全报告》里,2012年所截获的钓鱼网站中58.1%假冒淘宝。
一名技术纯熟的黑客只要3天,就能复制一个以假乱真的电商网站。一旦用户上钩,就会在虚假页面上输入自己的银行卡卡号、网银密码,心甘情愿地把钱送进黑产的口袋。
如果再花点工夫,骇客们还会在POS机上做手脚。这可能需要和终端机所在的商铺合作。从1990年代末开始,监守自盗就已是美国骇客惯用的法子。
作为历史上最着名的五大黑客之一,凯文·保尔森描述过他了解到的终端链条:
“在男男女女的服务生和路边小店的服务员当中,物色那些可能对一小笔额外收入感兴趣的人,通常是刷一次支付10美元。尽管这么做风险很高,加油站的经历和零售店员工,通过在综合收付终端的读卡器内和销售点终端安装一块袖珍电路板,也可以干这种勾当。其中一些信息会在本地使用,但大部分都会发送到东欧去。在那里,盗刷来的信用卡信息会在互联网上进行兜售,一次可卖出10条、20条、100条,甚至几千条。”
骇客们的核心目标依然是用户的信息资料包——账号、密码、CVV码,全一些的,还包括姓名、信用卡过期时间。他们称之为“料”。
所有的料都明码标价,价格会依照卡片的额度有所不同,地域差异同样会有影响。“优质的料,1条可以卖到三四十美元,好些的能上80美元。”1年前,Roy还能在国内贴吧找到贩卖卡料的帖子,但现在都已被查封,而且就算能从别的渠道买到料,想要在国内洗钱并不容易。
“一方面是国内网银交易比较复杂,而且国内作案更容易被发现行踪,风险大。总体来说近几年黑产的活跃度是下降了。”
国外专门用于卡料交易的贩卖网站就不少,里面有黑客、卖家以及买手,还有负责卧底的联邦探员。网站会依据不同地域设置板块,如东欧板块的管理员就会说俄语,世界各地的骇客能够随时随地进行交易。
一位在澳大利亚的黑产大佬,他手下的“车手”分布在14个国家。“所谓车手,就是利用盗来的信用卡信息在实体店刷卡交易套现。车手遍布范围广,可以把欧洲拿来的料用去美国,东南亚的料留给中国,而把中国的料贩卖到日本。”Roy说。这也是为什么信用卡、借记卡被盗刷事件总是发生在国外。
季昕华始终相信,骇客中少有技术高手:“真正有水平的黑客能够找到一份好工作,有着不菲的收入,犯不着铤而走险。”绿色兵团创始人之一的谈剑峰创办众人科技,研究开发动态密码器,为银行和第三方支付平台服务。曹宁依然从事网络安全的研究公司。余弦在毕业之后加入了知道创宇,一家被业内广泛认可的互联网安全公司。
眼下的情况也不容乐观,随着防范方法的增强,只有大规模的骇客黑产团队才玩得起,而他们完全有能力找到更好的技术团队来作支撑。“能做这一行,本身就得财力雄厚,比如IC芯片银行卡,用行话说为它做‘衣服’,也就是伪卡,难度不小,需要大量资金投入,而那些规模相对较小的黑产基本已经被淘汰。”Roy说。
这时,不想做骇客的黑客们开始与平台合作。
乌云是中国目前最具影响力的漏洞提交平台之一,先后有389家互联网厂商因为系统漏洞被举报,几乎囊括了国内所有知名门户、社交以及电商网站。这里聚集了一批高水平的中国黑客,他们被定义为“白帽”,是网络安全的维护者。
当漏洞被公开化的同时,它也在成为商品。今年刚满18岁的颜严已经辍学,任职于一家网络安全公司。在以网名Errorra注册的微博上,他晒过一台全新的iPad,这是腾讯安全应急响应平台回赠他报告漏洞的礼物。当时他通过员工信息和个人密码,渗透了腾讯旗下的Discuz论坛,获得了站长权限。
最贵的漏洞叫做Zero Day,是尚未发布补丁的漏洞统称,被誉为黑客技术中的“核武器”。2012年,谷歌曾以6万美元购买了Chrome浏览器的Zero Day漏洞,据说对方只是一个对互联网很感兴趣的青少年。《福布斯》杂志记者安迪·格林伯格曾报道,关于Zero Day的正当交易自2011年进入常态化,“以往1年的交易量如今在1个月之内就能实现。”
2013年3月,奇虎360推出“库带”计划,鼓励黑客举报漏洞,并且在网站上公式奖励方案,提交重点厂商的高危漏洞将得到现金奖励,最高奖金为1万元人民币。“疏堵要结合,要让这些有能力的黑客通过合法的渠道去赚钱,”季昕华说。
看上去,他们都想把对手变成朋友。(注:应采访对象要求,文中曹宁、余弦、颜严为化名)
