随着智能手机日益普及,1200万个针对智能手机的恶意链接随时在威胁个人信息和金融安全,在不少顶级黑客看来,看上去安全的支付账号都可以随时被更改,你购买caipiao的钱可以直接转去黑客账户,不用花钱也能直接下订单。安全专家指出,六成以上网络平台存在安全漏洞,如果未有防御措施,发起攻击只是时间问题,但大多数人薄弱的网络安全意识令人担心。
攻击网游牟利 没技术月挣十几万
攻击网络游戏是黑客们靠黑产牟利中最主要的部分。一般来说,这些专门针对游戏玩家下手的黑客们由3~7人组成团队,团队中技术最好的黑客负责攻击用户数据库,获取账号和密码,中间层的黑客只会一点基本技术就能完成“扫号”工作,将偷来的装备、点卡、虚拟货bi储存在固定的地方,最下游的人可能一点技术都不懂,只是在网上以不到官网一半的价格卖出这些偷来的虚拟货品。黑客们最喜欢用户量巨大的网络游戏,比如梦幻西游、魔兽世界等,因为用户量越大,商业价值也就越大,偷来的装备可以很快出手。 在黑客圈子里,一条豪华车主的详细信息可以卖到1000元,政府官员、老板的个人信息以及用户众多的网络游戏数据库是黑产中炙手可热的抢手货。举个例子:一个黑客盗取的网页游戏库被人以50万元的高价收购,买家收购了这些用户数据库后,就可以替代运营商给玩家充值,玩家充值的费用会直接流入这些黑产从业者的口袋,通常一些用户人数多的数据库几天之内就能回本,等到运营商发现进行修补和追查,黑产们早已赚得盆满钵满,即使数据库被关闭也无所谓了。
早几年,在黑产利益链条里,一个在中间负责扫号的小黑客,不需要太多技术,每个月都能挣十万元,但是随着公安部门打击网络犯罪力度加大,很多原来圈子里的“大人物”都被抓了进去。现在,很多人开始迁往东南亚继续从事这一产业,打击网络犯罪的困难就在于,跨境犯罪成本不高,但跨境抓捕难度很大。一宗网络犯罪,案发地、服务器所在地、实施犯罪人所在地都可能不在一个地方,甚至可能跨境,要抓住元凶并不容易。
1.6万学7天速成黑客? 实际上,除了盗取游戏装备、虚拟货bi,网络黑客的生财之道还远远不止这些。有些黑客通过攻击网络平台敲诈勒索费用,有些专门帮竞争者攻击对手网站……还有人把培训黑客当成摇钱树。一些“黑客培训班”的授课内容几乎囊括了病毒、木马制作技术和各种网络攻击技术。国内一个很知名的漏洞查找网站也推出过黑客培训课程,7天的黑客速成班需要花费1.6万元。便宜的班一般200~500元不等,主要教授使用一些特定的技术或工具。
“蚂蚁搬家”小钱变大钱 其实很多时候,黑客盗取支付账户钱财都是在“润物细无声”的情况下完成的,一般获得一些支付账户的信息后,有耐性的黑客会跟踪一段时间,观察账户使用者的消费习惯,如经常在网站消费,然后就会设置一个假冒消费记录后盗走账户的小额费用,一般是十几元或是几十元,这种“蚂蚁搬家”似盗款方式很难被事主发现,但是对黑客而言,积少成多,是一种不错的捞钱方式。
泄露数据只是冰山一角 网络平台漏洞多 根据国家互联网应急中心发布的《2013年我国互联网网络安全态势综述报告》,去年,安卓手机平台恶意程序数量呈爆发式增长,2013年新增移动互联网恶意程序样本达70.3万个,其中71.5%是恶意扣费类。2013年发现移动互联网恶意程序传播次数达1296万次,比去年增加了23倍。 今年4月9日,一个名为Heart bleed(意为“心脏出血”)的重大安全漏洞被曝光,一位安全行业人士在知乎网站上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
这些数据的曝光不过是黑客们掌握的“社工库”(每次入侵得手的数据集聚起来形成的大数据库)的冰山一角。更大的危机在于,六成以上网站可能都存在漏洞,你根本无法知道黑客们到底掌握了多少大数据库。 黑客遵循的原则就是“悄悄地进村,打枪的不要”。在抓住漏洞,进入后门,获得敏感信息后,一定会注意隐藏行踪不被发现。 敏感信息一般掌握在顶尖的人手里,20%的黑客掌握了绝大多数社工库信息,有些黑客进入了一些经济利用价值高的网站,可能还会把补丁补上,避免其他黑客获得敏感信息。他们有时也会互相交换,但很少会公布出来,所以很多敏感漏洞被发现时,可能已存在一两年,很多黑客早已利用这些信息获利,因此网络警察追凶也并不容易。 电子支付平台实际漏洞也非常多,国内很多公司在开发 软件平台的时候还没有什么安全意识,大部分网络平台都有漏洞,而这些漏洞造成的信息泄露都会被社工库收录,掌握社工库的人如果愿意,可以直接获取所有用户的信息,可以改变支付账号,让用户把买caipiao的钱直接打到他们的账户上,甚至可以不花钱下订单。这对顶尖黑客来说,完全不是难事,做与不做全凭良心。
|