来源:蜘蛛抓取(WebSpider)
时间:2018-07-28 03:09
标签:
信用卡免验证码通道
不会是看错了吧,苹果iOS新漏洞黑客绕过“激活锁”,就问你服不服?
日 10:36 来源:网络整理 作者: (0)
在苹果推出iOS 7的时候,为我们带来了iOS 7激活锁功能。用户通过iCloud中的设置开启了激活锁,可以使设备在没有用户密码的情况下无法进行刷机或激活的操作。而且除了苹果官方解锁之外,尚无其他方法能破,这一功能也受到美国法官的一致好评。但近日一群来自荷兰和摩洛哥的黑客称可以通过一系列的安全漏洞来绕过苹果iOS 7激活锁,而这个漏洞在苹果最近的几次更新了都没有修复。
对此研究人员发现,激活锁的问题在于可被输入用户姓名、用户名和密码框的字符数没有限制,因此黑客可在其中输入很长的字段,从而触发崩溃并令设备进入主显示屏。黑客至少可用两种方法触发崩溃,其中第一种涉及到iPad的Smart Case保护套,这种保护套可在打开或关闭时令iPad分别进入&苏醒&或&睡眠&模式。
另外,Vulnerability Lab实验室的研究人员也对此问题进行了分析,并发现利用屏幕旋转和Night Shift功能可在iOS 10.1.1系统中重现这个漏洞。
安全专家Mark Loman认为他担心这个团队会利用漏洞做更多的事情,例如读取iMessage,因为苹果在最近的更新中都没修复这些重要的漏洞。
虽然这一iCloud漏洞能给黑客们带来非常可观的收入,但黑客也公开表示,此次的行为并不是为了钱,而是要提醒苹果对于iCloud安全漏洞的意识。他们称早在3月就给苹果发了邮件,但是没有得到回复,因此才决定上线该网站,希望能引起苹果足够的重视。目前苹果对此漏洞尚未置评。
iOS系统的稳定性还有安全性已经成了一大问题。(个人认为是没问题的,至少我的手机没事,扯淡)
相关技术文章:
相关资料下载:
上周热点文章排行榜
上周资料下载排行榜
技术交流、我要发言! 发表评论可获取积分! 请遵守相关规定。
创新实用技术专题
Android和iOS两个平台在技术和应用程序商店战略上存在...
经典电子创意设计欣赏GSM高危漏洞曝光 手机短信可被黑客监听
11月1日消息,360安全中心发布红色警报称,由于国内运营商对部分地区的GSM制式的数据通信没有加密,黑客可以监听自己所在基站覆盖范围内所有GSM制式手机的通信内容。一旦手机短信内容被黑客获取,手机号码所绑定的网上支付、电子邮箱、聊天账号等重要账户将全部面临被盗风险。
GSM 是全球应用最广泛的移动电话标准,在中国更是占据主流地位,中国移动、中国联通的2G网络手机都是基于GSM数字移动通信标准,GSM通信漏洞的影响范围和危害程度也空前严重。
根据网上曝光的黑客攻击方法:只要使用特定设备和开源的GSM协议栈代码及数据包分析软件,黑客能够嗅探到附近所有GSM手机的通信内容,并根据短信中发件人号码和内容进行筛选,因此该漏洞很可能被黑客利用针对特定目标监听短信;另据验证,这种攻击方法暂时无法获取短信收件人的手机号码,以及还原语音数据。
&如果黑客知道你的信用卡信息,并且和你在同一个基站附近,他就可以利用你的信用卡发起网上支付,再嗅探该时间段内由银行号码发出的动态验证码短信,从而在网上盗刷信用卡。&360安全工程师分析说,鉴于很多网银支付采用短信验证,一些第三方支付平台也可以通过短信修改登录密码和支付密码(有的支付平台还需要填写身份证号码),GSM通信漏洞已直接危及网上支付安全。
GSM通信漏洞根源在于国内运营商对部分地区的数据通信没有加密,手机用户很难完全避免被周边的不法分子嗅探短信内容。对此360安全工程师建议,GSM手机用户收到各种短信验证内容时应提高警惕,一旦发现不是由自己发起的网上支付或&找回密码&短信,应立即联系银行和支付平台客服求助。此外,网民应注意对个人信息严格保密,以免身份证号等重要信息泄露。
相关报道:
新闻热线:010-
责任编辑:任光飞
名企动态: |
标志着Windows迈出个性化计算的第一步……
本站特聘法律顾问:于国富律师
Copyright (C)
newhua.com客服热线:400-995-7855
当前位置:&&&
乌云:他们这个生意,是聚集上万黑客在互联网上找漏洞
& 16:57&&来源:好奇心日报&
他们的名字叫乌云,你不一定听过他们的名字,但你用的互联网服务一定上过它们的漏洞名单
&我去百合网相亲了。&
&咋样?结果如何? 找到了没有?&
&我找到了他们的 bug。&
9 月 6 日,相亲网站百合网一个涉及几百万用户数据安全的漏洞被一个黑客发现了。
和一般黑客电影里的情节不同,黑客 Croxy 并没有拿起加密电话索要赎金,而是写下开头的段子,将安全问题提交给了名为乌云的漏洞平台。
而百合网也没有报警,而是在漏洞公布两天后确认问题存在,开始修复。不出意外的话,威胁几万用户信息的安全问题将在几天时间得到解决,而乌云也将在 10 月份公布具体的漏洞所在。
&其实大部分漏洞可能花一周就能解决,但我们给出的 45 天时间&&一些客户端的软件比如浏览器、建站系统这样的产品,我们会给 90 天让厂商有充分的时间修复漏洞。&乌云平台的创始人孟卓告诉《好奇心日报》。而公布这些漏洞是为了将测试思路回馈社区,让其他互联网安全从业者也来学习。
在乌云漏洞平台上,类似的事情每天都会发生上百次。光是在最近 15 天,乌云上的新增漏洞已经有 1940 条。而这些曝光的漏洞,很可能会影响你的生活:
今年 9 月,九阳智能豆浆机的漏洞被曝光。因为一个设计和控制的缺陷,任何人都可以控制任意一台九阳豆浆机。漏洞提交的当天,九阳就已经获取情况并且确认开始了修复工作。
2014 年 7 月,阿里巴巴严重漏洞也在乌云上曝光,人们只需要通过搜索引擎,甚至不用账号、密码,就能直接获取支付宝用户的账户余额、交易记录、收货地址、姓名手机号码等敏感信息。阿里巴巴得知此事之后,还给找到漏洞的白帽子黑客 5 万元人民币的奖励。
&乌云&,还有&白帽子&是中文互联网安全事件绕不开的名词。
在 2010 年成立至今,乌云平台的漏洞列表页面上,漏洞数字已经超过 7 万个。当中涉及的公司除了腾讯、阿里巴巴、百度、小米、联想等科技企业之外,还有国内多家银行、金融机构,甚至地方政府网站的安全问题。
而作为这个漏洞社区的内容生产者,在乌云上注册的&白帽子黑客&也已经有 1 万人以上。所谓的白帽子,就是一些有技术能力,热爱网络安全行业的人们,有别于传统的黑客,他们通常会把漏洞告诉企业,提醒他们修复,而非用来获取个人利益。
&一开始我们完全没想到会做成现在这样。&乌云的创始人孟卓告诉我们。在 2010 年,还在百度做安全工作的剑心(网名)因为希望更多的信息安全行业同人交流,一起提高技术,所以当年一些行业内的朋友在业余时间建了&乌云漏洞平台&。第一批用户他们自己以及身边的朋友,大家找到漏洞,就提交到乌云上。
乌云对于漏洞处理机制是这样的:白帽子黑客向乌云提交的漏洞信息,乌云就会通知漏洞所在厂商认领,细节只对厂商透露,让他们尽快修复。在这个漏洞曝光的 45 天(如果是浏览器,社交应用等服务是 90 天)之后,乌云就会把漏洞的细节公之于众,将漏洞的发现方法作为白帽子黑客社区的学习养料,而提供漏洞的白帽子,也会得到乌云的虚拟货币和等级的提升。
在这个模式当中,乌云漏洞平台将自己定义为一个不盈利、独立于所有公司之外的第三方机构。但这种模式本身并不好做。
&安全行业是一个非常封闭的行业,&孟卓说,&别人发现了自己公司的漏洞,其实是很糟糕的事情,因为很有可能会被黑色产业利用&。
因此,很多大型的科技公司如微软、Facebook、雅虎、阿里巴巴,不但会有自己的安全团队,还会设立自己的漏洞平台或者漏洞寻找竞赛,这些平台或竞赛,就是希望募集公司外的黑客们给自己找漏洞,然后给发现漏洞的人一定数额的奖金。找到漏洞的详细信息,就只会归公司所有,不会向公众公布。
其实去年 Google 也尝试做了一个和乌云相似的第三方漏洞平台 Project Zero,结果却因为公布了竞争对手微软以及和苹果公司的漏洞,而惹来不正当竞争的非议。这是因为 Google 本身是行业里的重要公司,竞争对手会忌惮也是正常。
而乌云早期经历的麻烦到后期的成功,也都是因为他们并非属于任何公司。
网络安全行业的封闭也是源于人们对于黑客的刻板印象:用高科技手段入侵网站、窃取信息,如果企业不合作,这些内部的机密信息就会流转到黑色产业当中去。无论在国外还是国内,这种涉及信息倒卖的行为都会被定义成犯罪。
尽管并非所有擅长网络技术的人都会与黑色产业相关。而乌云经常提及的&白帽子黑客&,就是一些有技术能力,热爱网络安全行业的人们,他们通常会把漏洞提交给企业,而非用来获取个人利益。
但早期企业的逻辑是滑稽的。白帽子在乌云上公布漏洞存在,而不公布细节,其实是对公司的预警,让他们尽快修复漏洞。而真正的黑客攻击者从来不留修复的机会。这种漏洞的提交其实对企业安全是好事,也是那么多公司鼓励白帽子的原因。
但在当时,因为公众对黑客的刻板印象,以及对信息安全的不理解,乌云在 2011 - 2012 年两次被关站。
2011 年 12 月,互联网上传出开发者社区 CSDN 遭黑客攻击,有 600 万用户帐号及明文密码泄露,用户的资料被大量传播。而当时,乌云上也有白帽子提交了相关的漏洞;在 CSDN 事件发生后不到三天,乌云上的白帽子提交了一个关于天涯社区 4000 万用户资料泄露的漏洞。
就是这两个漏洞,让乌云的名字一下子出现在公众的面前。
&当时相关机构、网民都没有做好准备,这事情就曝光了。人们对于企业信息安全的信任就一下子被打破了,觉得这事情太恐怖了,自己的名字等信息可能会被陌生人知道了。&孟卓回忆道。
因为公众的不安,政府对于黑客产业和乌云平台目的的怀疑,乌云只要在事件发生后一周便宣布暂时关站。
第二次关站,是 2012 年乌云曝光了某个运营商地级市的严重漏洞,对方要求将漏洞信息删除,但是乌云方面拒绝了这个要求。然后就是被&拔网线&,然后连网站的备案记录都消失了。
孟卓说,他们有几个建站以来就定下来规则,除了 45 天公开漏洞之外,就是&不删除漏洞&。&我们也有我们情怀,经过我们审核的漏洞,就不会因为压力或者什么原因删除。我们得给提交漏洞的白帽子一个交代,他们提交过的东西,不会莫名其妙地消失,不会努力白费或者被威胁什么的。&
但是在被关站之后,孟卓也觉得很无助,对于乌云这样一个新生的安全漏洞平台来说,一切都走得太艰难。
&也是那时候开始觉得,我们自己的力量太弱小了。&孟卓说,2012 年,他们开始找互联网应急中心合作,成为了一个第三方的非营利性的民间组织。
当时,互联网应急中心其实自己也有一个公开的漏洞平台 CNVD,其实他们也想做收集漏洞的工作,但因为是政府机构的缘故,并没有吸引太多的白帽子黑客参与他们的项目。而乌云的出现,则刚好是帮 CNVD 承担一些&国家信息安全漏洞库&的工作。
&有些漏洞,如果让我们去通知企业,那么可能对方不一定会有行动,但和 CNVD 合作的话,他们能够自上而下地去推进这些事情。&
有了认证以及国家应急中心的合作,乌云团队在这之后更加专心地做他们的白帽子黑客社区。他们希望给国内黑客一个正向的刺激机制:鼓励提交漏洞,促进厂商修补,从而得到了社区的虚拟货币,等级的提升,还因为给社区反馈了养分,而增加了和安全技术牛人交流和学习的机会。
&如果不是乌云的话,我可能不会往这个方向走。尽管它说改变了人生是一个很夸张的说法,但确实是这样。&今年 18 岁的白帽子黑客&小 K&在 3 年前开始琢磨计算机的基础知识,以及如何入侵一个网站。
&一个人在做技术,你对于这个技术本身的认知很有限,在知道乌云之后,知识就从点到面的扩张开来,这种孤独感就慢慢消散了。&去年,小 K 已经加入了乌云,正在帮助乌云知识库做一些国际化的工作。
小 K 并不是特例。今年才上初三的 ZPH 今年还在天河一号的超级计算机中心发现了一个可以轻松进入内网的漏洞,让他一下子受到很多的外来关注。从 2014 年到现在,ZPH 已经在乌云上提交了 40 多个漏洞,而他的妈妈对此还感到很放心:&我觉得乌云(对白帽子黑客)的引导很好,今年我已经让他自己去参加乌云的年度大会了。&ZPH 的妈妈告诉我们。
2015 乌云大会的宣传图片
到目前为止,乌云上已经注册了超过 1 万名白帽子黑客。在白帽子黑客聚集起来后,也有厂商开始主动拥抱乌云平台。
&我们新做的产品,都是在厂商推着做起来的。&孟卓说。最近年,乌云的团队除了依然在运营乌云漏洞平台的发展之外,还在做额外的产品。&如果光是漏洞验证、漏洞平台的维护,4、5 个人每天盯一下就可以了。&孟卓说。但在乌云的办公室里,还有 20 多个年轻人,他们各自在忙着乌云在漏洞平台之外的不同产品。
这些项目里面包括了例如&众测&,一个乌云团队在 2012 年开始尝试更直接地让白帽子赚到钱的项目。
孟卓说,这个需求也是他们平台上的厂商提出。因为目前还只有比较大的互联网公司有资金去聘请安全团队,对于中小型创业公司来说,网络安全这事情有点难。乌云于是就开了这么一些项目,让有需求的公司到众测上发布测试任务,然后乌云通过匹配找到合适的白帽子黑客参加众测,然后企业根据找到的每个漏洞高危程度,给白帽子黑客支付一定的酬劳。
&你可以当做是一次让白帽子黑客给你做的专家会诊。&乌云平台的合伙人 Wudi 向我们介绍到,在乌云的官方介绍中,我们看到众测的客户已经有知乎、联想、百度等多家企业。
除了众测之外,&当时他们问的最多的就是能不能帮忙招人。&孟卓说。考虑到厂商和白帽子黑客有同样需求,乌云从 2014 年起就开始做他们漏洞平台之外的第一个产品&乌云招聘&,形式十分简单,就是企业发布招聘信息,有意的白帽子黑客们就参加应聘。&即使我们不做这个,很多厂商在招聘网络安全人员的时候也会直接问这些白帽子黑客的 ID、等级和有多少乌云币。用这个方式来衡量他们的能力。&
乌云在今年夏天还推出了&唐朝安全巡航&服务,模式看起来则成熟许多。Wudi 透露,他们希望通过此服务接触到一些有长期安全服务需求的公司,为他们提供更加标准化服务&&经常有安全体检,还会检索企业现有的互联网&资产&,包括以前曾经在网上曾购买过服务器。
而且,他们还会召集白帽子黑客们把自己发现漏洞的思路总结称经验供厂商参考,而如果这个思路被采纳,那么白帽子就会得到一笔分成。
但无论是这上面的哪一款商业产品,在乌云漏洞平台主站上都没有设置入口。对这些带有商业性质的新产品,乌云团队并不希望会打扰原来的用户。&我们是希望那些知道我们有这个服务的人,才去搜索这个新产品。&孟卓告诉我们。
比起盈利和赚钱,孟卓说,&白帽子们才是最重要的。&
扫一扫关注A5创业网公众号
责任编辑:灿灿&&&/&&&作者:崔绮雯
近日,压抑了许久的数字货币终于走出寒冬,开始回暖,以EOS为首,带动比特币、以太币等大涨。截至北京时间25日17:15,EOS近七日涨幅涨幅高达66.31%,BCH近七日上涨61.82%
今年2月,任天堂Switch被黑客攻破,能运行Linux。而现在,很明显黑客可以进一步骇入Switch,让其运行自制软件和游戏。Eurogamer报道称,本周公布的两项漏洞可以让黑客利用Switch中英伟达
根据一家网络安全公司首席执行官的说法,现在黑客们开始逐渐将攻击目标向“物联网”设备上转移,甚至会通过闭路电视摄像头、空调这样的设备访问公司或企业的服务器和数据库系统。
美国当地时间4月12日,据彭博社报道,美国联邦贸易委员会表示,Uber在2016年发生的数据泄露事件暴露了超过2000万使用其服务的用户的信息,这些信息包括姓名、电话号码和电子邮箱地
就是这样一个在科技上几乎毫无存在感的国家,其警方居然在去年7月凭一己之力将欧洲广受欢迎的暗网交易市场汉莎(Hansa)关闭。比起FBI对暗网高成本的围追堵截,荷兰警方则利用技术对汉莎进行了一场占领行动。
网站运营是一个细致的活,随着互联网环境的不断变化,网站也陷入激烈的竞争中,这种竞争包括不同行业网站之间的竞争,也包括同类产品之间的竞争,站在网站的角度来说,生存下来其实不易。
某网站在百度的收录也收录了一些什么彩票内容的快照,网站首页快照也被修改成赌博内容,并被百度直接红色风险拦截提示,,部分页面已被非法篡改!根据以上客户被黑的情况,立即进行了全面的网站安全检测,针对网站被黑的情况制定了详细的安全部署方案。
网站文章收录速度,也反映了百度快照的更新速度。要想提高文章被百度收录的几率,要么让百度频繁光顾你的网站抓取信息,要么把你网站上的内容充实起来,每天更新大量高质量的文章,内容多了,被检索的几率也会更大,自然收录的几率就会更大。
对于绝大多数的企业网站来说,从网站建设到网站运营,通常是虎头蛇尾,上线网站轰轰烈烈,而网站上线后却处于无人管理状态,造成这个原因,和企业的自身定位有关系,也和对网站的重视度有很大关系。
从网站建设到网站运营,似乎经历这样的变迁,建设一个网站越来越简单了,而运营一个网站却越来越难了,这是什么原因造成的呢?具体来说,如今的网站运营主要包括三个方面:用户运营、渠道运营、数据运营,三者之间彼此共存,互相共补,从而让网站运营进入正常化。
网站建设时要优先明白网站的目标和受众在哪儿,从而根据目标和受众的定位进行网站结构框架搭建。在网站建设时要明白,网站建设的最终目的就是增强网站的影响力,即增强用户黏性或扩大企业影响力。那么,在网站建设时该如何增强网站效果呢?
最近有朋友遇到的网站被惩罚降权了,收录减少流量减少,不懂怎么回事问到我这里来了,今天就这这个话题分享一下网站降权怎么快速恢复。下面就带来网站被降权的快速恢复策略。
会了百度竞价,其它如搜狗竞价,360竞价也基本上没有什么问题!但百度竞价面临很多的常识!在操作过程中,很多简单的问题,不一定会引起重视。今天,张开辉详细讲解常见问题:影响点击量的因素有哪些?
客户网站于近日被跳转到赌博网站,客户网站本身做了百度的推广,导致所有访问用户都跳转到赌博网站上去,给客户带来很大的经济损失。我们SINE安全对客户网站进行检查发现,客户网站的标题TDK被反复篡改成(北京赛车PK10等内容)立刻对该客户网站的安全,进行全面的源代码安全审计以及网站漏洞检测与网站漏洞修复
当今互联网正在迅速发展,许多用户选择在网上查找信息和购买产品,如果用户浏览到您的网站,你要如何留住他们?如何让用户在您的网站上建立信任?1.内容信息,2.网站的稳定性,3.不断更新的内容,4.网站设计效果。
创业好项目
写了4年多博客 我选择了从头再来
扫描二维码关注A5创业网了解最新创业资讯服务
&徐州八方网络科技有限公司&版权所有&
举报投诉邮箱:
扫一扫关注最新创业资讯【分析师:黑客攻击币安是故意“打草惊蛇”】数字货币行业分析师肖磊认为,针对中心化交易所的安全问题,以及未来一系列的攻击事件,实际上才刚刚开始。肖磊称,黑客选择币安并不是因为API验证漏洞,而是因为币安在一个月之前还是全球最大的数字货币交易所。“黑客根本不关心自己在这次事件里挣了多少钱。黑客关心的是,币安会在这件事情之后,如何升级安全模块,其他交易所会做出什么样的安全性的提升和反馈。而后,解决安全问题的路径和方式,基本都暴露在了黑客的监测之下。黑客的目的在于‘打草惊蛇’,想看看你的底牌而已”。
长按识别关注官方公众号
本文来源于互联网,版权归原作者所有。如有侵权,请联系我们删除。
请输入评论内容删除历史记录
 ----
相关平台红包
盗刷黑产链盯上消费金融 靠攻破漏洞月入百万
近两年,上升为的头把交椅,火爆异常。
一群盗刷的黑产人员,在消费崛起后,尾随而来。
他们整合各个渠道泄露的用户信息,就像完成一幅拼图般,精心拼凑。
一旦锁定目标,他们招数百变地专营各种漏洞,配合新式设备,进行大规模清洗。
一本财经追寻着盗刷的线索,步步深入,发现背后形成一个庞大的盗刷帝国。
这是一个暴利的地下世界,这里有一夜暴富的传奇,也有顷刻颠覆的巨浪&
01 帝国
阴冷的午后,太阳在雾霾之后,只剩没有温度的灰黄。
黑客VV带着一个骷髅头的头罩,出现在火锅店的门口,他说:&刚做了几单大的,犒劳一下兄弟们。&
所谓几单大的,就是一个晚上,&盗刷了十几个账号,挣了近10万&。
VV此前,专职做银行卡盗刷,近两年消费金融的空前繁荣,&黑产很多人顺着这波浪潮,涌入新兴产业中&。
这个只有21岁的年轻人,从事消费金融盗刷一个多年头,在网络上,算资深玩家。
VV手底带了2个人,&这个小小的工作室,月入百万&。
从2014年开始,众多开通&透支&、&零首付分期&功能。
根据用户的信用消费记录,平台提供一定的&透支&额度,购买商品,最典型的就是蚂蚁。
这些平台,正在成为黑产眼中的肥肉。
对于他们来说,用盗刷传统银行卡的手段,来盗刷网上的消费金融,就是降维攻击。
&因为很多用户名和密码,可以从网络上轻易获取&,VV称,&任何漏洞,都会被我们利用&。
在这片利益泛滥的江湖,任何小漏洞,都会被黑产深挖成金钱和欲望的洞口。
寻着VV这条线索,我们追踪其下&&一个庞大的黑暗帝国,从云雾下缓缓呈现。
02 黑料
VV如一根绳子,将产业链上所有的人,连珠成串。
这个产业链的开端,来自黑料。
那些在黑市中,被反复清洗的、有金融价值的用户信息,这就是传说中的&黑料&。
一般一个可登陆的金融账号和密码,在黑市上售价0.5元到5元不等。
按照行规,对于数据来源,&不可多问&,VV也并不关心,他只关心数据是否优秀。
黑料的来源众多,而最直接的,就是黑客入侵某些平台,从后台,将整个用户信息数据库,拖出来&&行话叫&拖库&。
这些数据库,会在黑市上流通,被反复清洗、榨取价值,&直到渣渣都不剩下&。
通常,VV获得了一批账号和密码后,就开始&信息修复&。
&每个黑客的攻击手法都不同,破解的方式也千奇百怪,没有统一的作战方式&,VV将攻防之间的战争,比喻为入侵一座城堡。
尽管有护城河、城墙,但攻击者,可以从正门攻,也可以从地下挖地道,甚至逮住一个老鼠洞,都能钻进来,防不胜防。
这也是攻守力量悬殊的原因。
VV和他的团队,在实战中,也总结了一套独特战术。
现在大部分消费金融平台的账号,都会设置&支付密码&,和登录密码不同,因此,第一步,就是突破支付密码。
VV的攻破方式,是通过社工库,寻找这个账户曾经用过的其他密码。
所谓社工库,就是黑产的地下数据库,其广博的深度,恐怕不比任何&公司&差。黑客们盗取的数据,都留存在社工库中,供黑客们查询。
&社工库的数据,可查询到身份证号、、常用密码、家庭住址,甚至开房记录等众数据&,VV通过社工库和他的黑市数据搜索,就找到了每个账号之下,可能使用的其他密码。
&人类设计密码是有缺陷的,大部分人最多只有4个常用密码,一旦超过4个,就经常记混&,VV称,正因为如此,一家账号泄露,就会殃及池鱼。
有了双密之后,几乎锁定可入侵目标,剩下的操作手段,更是花招百出。
但万变不离其宗的一条定理是:短信正在成为最关键的&Key&,成为核心的安全阀门。
这是因为,大部分平台都会通过发送短信验证码的方式,来验证是否为用户本人的操作。
一般掌控这个&安全阀门&,只要有两个手段,一个是修改&绑定的手机号&,一个就是&劫持短信&。
修改绑定手机号,就是钻营各大平台的漏洞,VV将其为&老鼠洞式&的入侵。
VV回忆称:&一年前,很多金融平台修改绑定手机规则比较简单,只需要支付密码就能修改,到后来,又需要提供银行卡和支付密码修改,可这些信息,黑客几乎都能通过社工库获得,成了盗刷黑产的盛宴。&
在这场攻防大战中,双方在过招中相互制衡成长&&风控规则不停地变,黑客就见招拆招。
&我听说曾经一帮盗刷者,会用一个新号码给客服打电话,说自己原来的手机丢失,只要提供身份证、银行卡、最近收货地址、购买物品等信息后,也能修改手机号&,VV称,盗刷者会花样触底,来测试风控的底线。
有些盗刷者,甚至手机号都不改。
他们在发货后,直接给后台店铺留言,要求修改送货地址。
而一些云端漏洞,也开始被频繁利用。
日前,有媒体报道称,何先生遭遇手机锁死、频繁关机后被盗刷,损失5.3万元。
结果发现,黑客破解他的360智能手机云服务平台,其中有一个&回复短信&的接口,可以从云端回复短信。
黑客利用回复功能,让何先生的手机卡,绑定了一张&副卡&,可以同步接受到他的验证码,因此完成盗刷。
作为最后安全阀门的短信,真的还安全吗?
针对无孔不入的黑产,很多平台不得不制定更为严苛的风控规则,封堵漏洞。
&但控制一个人手机的方式很多,漏洞也很多,修补上一个,我们再换另一个&,VV称,给用户的手机种上木马,依然是成本最低的方式。
此时,传说中的第二种方式开始浮出水面&&&短信拦截马&。
03 马子
黑产链条,就像一部无人值守,却能自行运作的机器。
有意思的是,似乎没有哪个产业链,在毫无组织、全部匿名的情况下,能如此有条不紊的进行,配合得严丝合缝。
唯一的动力源,就是暴利。
&马子包月500元&,黑客小N是一个圈内知名的马子供应商。
因为他技术不错,编写的马子(行话,就是病毒和木马)出战,无往不利,因此名望很高。
马子包月的意思是,只能在一个月内&免杀&(不被杀毒软件绞杀),如果还需要继续使用,就需要&续费&。
而&短信拦截马&,就是小N开发的核心产品。
不要小看这个木马,一旦安装成功,就可以拦截用户短信。
VV会将这个木马通过短信、社交软件发送到用户手机上,形式可以是网址,也可能是一张美女图片或视频,甚至是一句诱人的话。
&有时候我们会通过手机号,找到用户的社交软件,加上好友,再发送病毒&,VV称。
用户一旦激活木马,就会要求下载一个插件。
这个插件就是木马包,一旦安装,短信将会完全被黑客监管。用户收到任何一条验证码,就会同时发送到VV绑定的邮箱中,或者直接拦截用户短信,让他完全收不到。
或者,直接发送到小N指定的手机号码中。
一些黑客,开始研究新式马子&&通过社交平台,以&&&现金券&等方式钓鱼。
&铁骑&是一位专注研究新马子的黑客。
&现在人们的防范意识也提高,通过短信点击网址的几率,越来越小&,这也是铁骑开始研发新马子的初衷。
社交时代,最能引发点击欲的,无疑是微信红包。
&我们通过微信小号,给微信好友群发红包,看起来是个红包,实际上是一个网页&,铁骑并不通过微信群捕鱼,因为总会&聪明人&提示异常,很快就会被踢群。
而单点击破的可能性更大,春节期间群发,效果更佳。
当用户领取了红包后,就会跳出&现在领取红包的人太多,请先进行哦&的提示,这个时候,一般的黑客会再植入一个页面,套取用户的,最后再安装&短信拦截马&。
&现在市面上流通的木马,多为安卓系统的&,铁骑说,对于苹果用户,只能通过网页木马,&但对方一旦关闭网页,对短信的拦截就会失效&。
而拿下苹果系统,目前已成为黑产中顶级黑客们的堡垒战,至于是否攻破&&起码黑市上,还没有开始大面积流通。
不论是小N还是铁骑,一般都通过QQ交易&&这明显是目前匿名性最强的社交工具。
因为涉及黑产太深,小N注册的上百个QQ号都曾被&封号&。
&几千个客户,说没就没&,小N在巅峰时期,一个月销售&马子&,可赚20多万。
&一个号的生命周期也就一两个月,还好圈内有一点名气了,注册了新号,大家还会慕名而来&,小N说。
04 上帝模式
马子黑客,一般都藏在最深的幕后,他们通常懂些技术,也可编写小工具,他们给整条产业链,提供&技术&支持。
而另外一拨人,则给产业链提供&设备&支持。
VV会积攒一段时间账号的素材,定时会对一些账号集中区域,进行集中清洗。
而使用的设备,就是伪基站。
&一旦使用了伪基站,就开启了上帝模式&,VV称。
和VV长期合作的伪基站搭档,叫&宾利&,他的伪基站设备,着实简陋。
&一台电脑,一台主机,一个发射器,一根天线,这就是我全部的设备&,这套设备,由短信群发的设备改装而来,虽然简陋,却颇为好使。
伪基站的作用,和运营商的基站一样,可以拦截用户短信、通话等功能。
当宾利的&伪基站&开始启动,方圆1.5公里的用户的手机,都在他监控和操纵范围内。
实际上,伪基站的价格,颇为便宜。
&黑市上的价格是六七千,如果从广东的厂家直接拿货,只需要3700元&,宾利称。
而VV租用设备一个晚上的价格,只需要300元。
如今,伪基站正在成为入侵的利器。
VV和宾利旁边配合下,登录用户账号开始盗刷后,可以直接让用户手机&停机&、&无信号&,也可以截获所有短信记录。
&而伪基站,正在升级&,一位不愿具名的黑产人员透露,现在&组合基站&开始出现,功能模块可以随意组合,同时运行,&而有限距离,也大大增强,已可做到方圆10公里&。
组合基站不仅可以截获短信、通讯、钓鱼WiFi等基础功能,甚至可以读取通讯录、安装APP数据,甚至聊天记录,堪比PC时代的远程操控&肉鸡&劫持。
此时,才是真正的上帝模式&&黑产也到了一个技术飞跃的关键节点,而其释放的黑暗力量,不得不让人恐惧。
不管是伪基站还是木马,核心的逻辑,都是控制短信,截获验证码。
05 套现者
当VV开始实施盗刷时,产业链最后端的套现者,开始浮出水面。
白夜已从事套现生意2年了,他接两种单子:黑与白。
所谓的&白单&,就是一些用户自己缺钱,试图套现。
&一般虚拟物品,我收20%的返点,如果走物流,我收10到15%的返点&,白夜称,然而大部分人,拿不到套现。
&很多人钱一打过来,我们就直接拉黑&,而用户自己违规操作在先,也不会报警,正是抓住了这点,白夜出手狠辣,毫无留情。
除非他觉得对方还能给他拉来更多&生意&,否则就是&一锤子买卖,逮住一个傻子算一个&。
一般走物流的话,白夜就会将指定商品发给用户,用户下单后用透支功能付款。
第二天配送时,用户需要发送一条短信给快递员:&师傅您好,我是某某,订单请给我的朋友某人签收&,并留下签收人的电话。
&一旦对方发送了这条短信,我就马上拉黑&,白夜称,快递员收到这条短信后,就可以完全从这次骗局中全身而退,平台无法再对他们追责。
而实际上,这些送货的快递员,都和白夜相勾结,&每次给他们10%到20%的返点&。
而黑客们找过来的,就是黑单。
VV和白夜密切配合。开始盗刷前,还会有一些套路。
比如,为了迷惑用户,VV会先用一个&短信轰炸器&,轰炸用户的手机,一下蹦出来几十条各个平台的验证码短信,&目的就是迷惑用户,然后将盗刷平台的验证码藏在其中,一般用户只会认为是骚扰,就不会打开账户来查看信息&。
▲短信验证码轰炸
紧接着,白夜会给提供下单的物品和地址,VV操控着盗刷的账号下单。
首先盗刷的,是虚拟物品,比如QQ币、话费、油卡等。
因为虚拟物品不需要物流,更容易套现。一般平台也为防止大规模套现,对虚拟物品的额度较低,一般只有几百元。
虚拟物品之后,盗刷物品才是更为复杂得产业链。
&手机、电脑、手表、金项链、茅台,一般都是这些好变现的商品&,VV也会偶尔给自己刷点生活用品。
在一本财经采访的盗刷受害者中,有人被盗刷了10袋大米、2箱可乐、甚至避孕套等物品。
&通常我会将收货地址,填写为非固定地址,比如,某烟酒超市、某街道口、快餐店门口等,收货人联系方式,更换成接头人电话&,白夜称,&快递员都是熟人,会在指定地点,将货送到接头人手中&。
而这些物品&变现&,依然需要白夜出场。
而他的下游,还有一些渠道&销赃&,将这些盗刷物品套现。物品会流向专门的二手黑市,比如一个全新的iPhone,打8折出售。
对于黑单,一般白夜要提更高的返点,虚拟物品40%,货物物流30%。
前几日和VV的一次合作,白夜就挣了2万元。他一个月纯利润,大概10万左右。
他们是这条产业链中的&销脏者&。
在各大QQ群中,聚集着大量的套现者,他们公开&招商&&招中介&,任何能提供分期购物的平台,都会成为他们的套现对象。
06 刀口舔血
在各大平台的&盗刷维权群&里,每天都会增加两到三位被盗刷者,过来寻找同盟。
他们普遍认为,是平台漏洞,导致了账号外泄,才会引发后续一系列的盗刷事件;而平台的风控规则不严,也让盗刷得以实施。
&现在每天,我的滞纳金都在上涨,我担心这影响我的&,被盗刷者罗青称。
但目前各家平台对于盗刷事件,很难做到&全盘接受&&&他们担心被反向利用,用户自己刷了,然后说是黑客干的。
关于人性的恶与善,在利益的碰撞中,就会无限放大。
&每一个案件都是复杂的,恐怕很难找到统一的解决方式&,VV称,有些盗刷完全是因为账号外泄和风控漏洞,有些用户自身不谨慎,中了木马。
要完全解开这个结,恐怕需要多方合力。
运营商,堵上伪基站的漏洞;各个平台,安全和风控提高;用户,安全意识提升,一个都不能少。
至于这条黑产,恐怕难以完全绞杀,在利益面前,他们宁愿过着&刀口舔血&的高危生活。
而盗刷者,多是团伙合作,每个团伙的攻击和入侵方式都不相同。
一本财经深挖VV这条线索,就花费2个月的时间,而大部分的团伙,还深藏地下某个黑暗角落。
由VV串联的这条线,每个月会产生百万收益,所有的人再来分食。
但,暴利的背后,同样面临着高风险。
各大黑产群活跃的一位&师傅&,几天前突然人间蒸发。
和&师傅&相熟的一位黑客称,&师傅&被警方盯上,&恐怕已经进去了&。
&常在河边走,哪有不湿鞋?&师傅出事的消息,让圈内人心惶惶,VV也准备金盆洗手,带着两个兄弟撤退。
很多&涉黑&人员,一转身,就会变成公司的&安全人员&,由攻变守,由黑到白,似乎只是一线之间。
突然消失,在这里是经常的故事&&可能是隐退,也可能,就是再也回不来了。
在这个暴利的盗刷帝国中,有暴富的神话,也有隐退的洗白,也有瞬间倾覆的惊涛骇浪。
,成为黑产攻坚对象。
从到消费金融,黑产也迎来了转型升级的关键时刻。
黑产如猛兽般,正在草丛后匍匐,等待新羊群松懈的那一刻&&
文章系作者授权发布原创作品,仅代表作者个人观点,不代表网贷之家官方立场,如需刊登转载,请注明来源网贷之家并注明作者,违者必究。
相关阅读:
一本财经,新金融领域第一深度新媒体。 专注新金融领域的调查、深度、原创、独家报道,以及商业案例解析。我们不生产碎片化新闻,只出品深度而专业的报道。
文章总数127篇
相关推荐:
投资人QQ群
沪公网安备 45号
