2011年12月21日上午,有黑客在網(wǎng)上公開了中國最大的開發(fā)者社區(qū)CSDN網(wǎng)站的用戶數(shù)據(jù)庫,600余萬個(gè)注冊(cè)郵箱賬號(hào)和與之對(duì)應(yīng)的明文密碼泄露;12月22日,網(wǎng)上接著曝出人人網(wǎng)、天涯、開心網(wǎng)、多玩、世紀(jì)佳緣、珍愛網(wǎng)、美空網(wǎng)、百合網(wǎng)、178、7K7K等知名網(wǎng)站的用戶賬號(hào)密碼遭公開泄露。
堪稱中國互聯(lián)網(wǎng)史上最大規(guī)模的據(jù)業(yè)內(nèi)人士說,此次事件突破了以往黑客界的底線:只炫耀比技術(shù)或掙點(diǎn)小錢,不流傳不散播。用戶信息泄密事件,再次讓大家對(duì)黑客以及其背后的隱秘的產(chǎn)業(yè)鏈產(chǎn)生了濃厚的興趣。以下為一個(gè)黑客的口述。
盤下一家肯德基的“教主”
那個(gè)靠做黑色產(chǎn)業(yè)發(fā)家,后來洗白,花800萬元盤下一家肯德基店的人,我們叫他教主。
教主是海南人,1987或者1988年出生,身材瘦小,皮膚偏黑。他年紀(jì)雖然小,但是舍得花錢,很大氣,做事也很老到,2004年左右(16歲)看他跟人打交道就非常成熟,很難想象是什么情況造成他這種性格。
2003年年底,我加入了一個(gè)QQ群,那個(gè)群當(dāng)時(shí)在技術(shù)性入侵領(lǐng)域很有影響力,無數(shù)人想進(jìn)入,可以說是一位難求。群里的聊天記錄每天能有3000頁,大家都非常純真,純粹是為了交流技術(shù)。2004年,教主可能在黑客基地報(bào)名學(xué)了點(diǎn)簡單的東西,但是學(xué)得又不太明白,他進(jìn)入了這個(gè)群。在群里,我親眼見他和群主討價(jià)還價(jià)買賣17173(一個(gè)游戲門戶網(wǎng)站)的權(quán)限,群主開價(jià)700元,教主說我就500元,一年半以后,同一個(gè)權(quán)限有人開價(jià)15萬元購買。
那個(gè)時(shí)候,大家都沒想到靠17173的權(quán)限還能賺錢,說白了,其實(shí)就是獲得網(wǎng)站控制權(quán),掛馬,然后獲得用戶賬號(hào)密碼去網(wǎng)游《傳奇》、《魔力寶貝》里盜號(hào)。后來我找人打聽了一下,教主這單可能賺了兩三萬塊錢。
教主真正開始立業(yè),是在2004年時(shí)去做中國臺(tái)灣的游戲市場,他是先行者。他自建渠道,跟臺(tái)灣當(dāng)?shù)厝撕献鳎诒I取網(wǎng)游賬號(hào)后,由當(dāng)?shù)厝素?fù)責(zé)賣游戲裝備,交易的錢被匯入當(dāng)?shù)厝擞眉偕矸葑C開的賬戶里。從2004年下半年到2005年上半年,教主在臺(tái)灣賺了估計(jì)能有500萬元。臺(tái)灣人被搞怕了,后來很多網(wǎng)站都禁止大陸人訪問。后來教主又去做韓國和美國的游戲市場,等到他2008年洗白那會(huì)兒(20歲),賺了絕對(duì)不少于2000萬元。他是一個(gè)很高調(diào)的人,經(jīng)常在群里說他去哪個(gè)國家玩了,買了多少棟房子,買了什么車之類的。
教主的技術(shù)并不高超,但他有商業(yè)頭腦。不從技術(shù)角度出發(fā),純講入侵水平,國內(nèi)黑客一直都不弱于世界頂尖國家,可能比美國、俄羅斯還要強(qiáng),中國人能算計(jì),在入侵思路方面比較聰明。
我親眼見過一個(gè)例子。2004年年底,有個(gè)黑客端著筆記本電腦進(jìn)了一家五星級(jí)酒店,第二天他出來的時(shí)候,電腦里存著這家酒店所有的客戶數(shù)據(jù)。這是酒店競爭對(duì)手給他下的單子——把客戶都搶過來。從談判到見面交易我都陪他去,后來這批數(shù)據(jù)賣了129萬元。
還有一件事也是我親眼所見——在電商網(wǎng)站搶單。長沙有一幫人,在各大電商網(wǎng)站的數(shù)據(jù)庫里裝后門,實(shí)時(shí)在本地更新數(shù)據(jù)庫或直接進(jìn)入電商網(wǎng)站后臺(tái)看數(shù)據(jù)。他們一般挑貨到付款的顧客,只要一看到有人下單,立馬在最短時(shí)間內(nèi)發(fā)貨,動(dòng)作比電商網(wǎng)站的物流快,冒充該網(wǎng)站讓顧客簽收。等顧客下單的貨真正到的時(shí)候,他肯定就拒收了。這伙人專挑服裝、成人用品、減肥用品這些出貨量大的品種,每個(gè)網(wǎng)站偷三五單,網(wǎng)站很難發(fā)現(xiàn)。但他們?cè)谒奈迨揖W(wǎng)站偷,一年下來凈利也有2000多萬元。
比這更黑的生意是通過網(wǎng)銀或信用卡偷錢,但也更危險(xiǎn)。很少有人敢在國內(nèi)做,我以前有兩個(gè)手下因?yàn)樽鲞@個(gè),現(xiàn)在還在牢里待著。我知道有個(gè)人在澳大利亞偷中國國內(nèi)的網(wǎng)銀,他雇了一些臺(tái)灣人和香港人來大陸,每個(gè)月付他們一萬塊錢,讓他們幫忙取他從別人網(wǎng)銀賬戶里轉(zhuǎn)過來的錢。他曾經(jīng)截過一張圖給我看,那是他弄到的一張銀行卡的打款記錄,卡主人每個(gè)月的打款金額都在1000萬元左右,我記得很清楚有一筆是打給臺(tái)灣一家唱片公司的,備注里寫著“周杰倫演出費(fèi)”。銀行的U盾有沒有用我不知道,我自己用的是工行網(wǎng)銀,之前我試驗(yàn)了一下,至少一代U盾算法不強(qiáng),是可以復(fù)制的。據(jù)奇虎360統(tǒng)計(jì),國內(nèi)仍有83%的網(wǎng)站存在漏洞,34%為高危漏洞。"]
網(wǎng)上流傳賺5000萬元的黑客我沒見過,但賺1000萬元的不少,我在北京有很多這樣的朋友,他們大多沒有正經(jīng)工作,也不出名。但說句實(shí)在話,他們都是打工的人,這條產(chǎn)業(yè)鏈上真正的大魚是渠道商。有人給渠道商下單了,他們就會(huì)雇一些人來找黑客談價(jià)錢,這都指不定倒幾次手了,可惜我沒有接觸過渠道商。
中國黑客在韓國鬧得也很厲害,韓國現(xiàn)在被搞得比臺(tái)灣當(dāng)年還要風(fēng)聲鶴唳草木皆兵。我手里有4000萬韓國網(wǎng)民的數(shù)據(jù)(2011年韓國人口總數(shù)5051.5萬),而且他們實(shí)行實(shí)名制。
黑客圈生態(tài)
我是上大學(xué)以后接觸黑客圈的。我遇到了很多拿個(gè)簡單工具到處攻擊的菜鳥黑客,我在研究他們的同時(shí)對(duì)黑客技術(shù)也有了些興趣,心想“不過如此”,之后我就開始自己下載工具,給別人裝個(gè)木馬鬧著玩,嚇唬嚇唬對(duì)方。再往深里研究,我慢慢接觸到了一些掃描器、入侵工具,自己也到處看一些相關(guān)的原理,因?yàn)槲掖髮W(xué)讀的是數(shù)學(xué),跟計(jì)算機(jī)關(guān)系比較大,一年之后,我差不多把入侵需要的東西全學(xué)會(huì)了。那時(shí)候我就算是圈里人了,每天跟一個(gè)小團(tuán)體在一起探討技術(shù)。
后來,有一個(gè)叫孤獨(dú)劍客的人開了一個(gè)網(wǎng)站“黑客基地”,我就去聊天室里當(dāng)講師,給別人做VIP培訓(xùn),講入侵,每周一節(jié)課,他們一節(jié)課給我200塊錢。那個(gè)時(shí)候也沒有什么法律觀念,每節(jié)課都拿別人的網(wǎng)站做試驗(yàn)。比如這節(jié)課我要講這個(gè)漏洞,我就去找符合條件的網(wǎng)站,先把漏洞留好,講課的時(shí)候現(xiàn)場入侵,一步步解說,工具發(fā)下去之后再把步驟說一遍。當(dāng)時(shí)禍害了不少網(wǎng)站,我印象里有網(wǎng)易的分站。
但實(shí)際上入侵靠的是經(jīng)驗(yàn),靈活應(yīng)對(duì)各種情況,比如快速判斷這個(gè)地方會(huì)不會(huì)出現(xiàn)弱口令、有沒有驗(yàn)證等。技術(shù)手段說白了,如果天天學(xué)的話,兩三個(gè)月足夠。現(xiàn)在高明的攻擊手都不會(huì)那么累,他會(huì)使用社會(huì)工程學(xué)的一些方法,比如他通過跟你聊天知道了你們公司的部門組成,如果你們是按部門排座位的話,他接著就能推算出你們的網(wǎng)絡(luò)構(gòu)架,他的攻擊能變得更加精準(zhǔn);再比如他通過掛馬獲得了你們老板郵箱的賬號(hào)密碼,他用這個(gè)郵箱給你們的同事發(fā)一封郵件,要求獲得網(wǎng)絡(luò)管理員的賬號(hào)密碼,基本員工都會(huì)中招。當(dāng)然,技術(shù)高超的攻擊手能解決一些更復(fù)雜的問題。
想認(rèn)識(shí)全國各地的創(chuàng)業(yè)者、創(chuàng)業(yè)專家,快來加入“中國創(chuàng)業(yè)圈”
|
