你可能会在这里中招:
·ATM机刷卡时注意卡槽是否安装了读卡器,小心键盘异样和简陋的摄像头。
·对于弹出的支付窗口要留神,若让你输入账户等敏感信息,小心它是钓鱼网页。
·避免木马、病毒最有效的方法是避开高风险网站,另外小心免费电影及软件。
·搜索App的时候,注意它们的名字,一个迷糊就会让你的手机中毒,尽量选择安全性高的平台。
·别点开垃圾短信,尽管它们可能看起来挺靠谱,里面的连接就是陷阱的第一步。
·拉卡拉设备没有专人24小时防护,所以极易被安装侧录设备。
·若扫入病毒的二维码,手机就会遭殃。
·别小看身份证复印件,它能还原你的信息,甚至有时会被用来盗刷信用卡。
据好运Money+报道,没有密码是安全的。这是黑客们的信条。
林林是该信条的信奉者,他的网上ID叫冰血封情,作为黑客技术安全站的核心人物,他是中国第四代黑客的代表之一。但即便如此,国外黑客们狂欢的年代,要比林林所知道的整整早了5年。
2002年,他在网上收到一串信用卡代码,那是越南黑客朋友送给他的礼物。“他说这可以消费买东西,当时我都没用过信用卡,所以也不会操作。”与国内这种看起来无利可图的局面相比,那时的美国以及东欧正逐渐形成一个成熟的黑色产业链,并且在全球范围蔓延。他们黑掉个人用户的信用卡账号,用盗取的信息制造伪卡肆意消费。
大卫·斯坦恩伯格就因此被捕,当时他正开着一辆偷来的小轿车,逃亡在以色列的海港城市海法。之所以惊动美国联邦调查局,是因为他盗取了美国公司、机构的8万条信用卡信息。
这看上去似乎有些眼熟,因为这也是目前我们身边的信息安全漏洞——只不过它们出现在11年前的美国。
中国信用卡普及是在2006年之后,爆发则要等到2008年。据中国人民银行统计,2006年年底信用卡发卡量近5000万张,到2008年年末这个数字已经达到1.42亿。
但在林林做黑客的那几年里,他们根本还没想到信用卡的事儿。游戏里的虚拟设备,让中国的一部分黑客开始变成窃取信息的骇客。
窃取原理和黑信用卡类似。一个游戏账户配套相应密码,这就是一个信息包,它在黑客圈里被称为“信”。真正值钱的是每个账户里的游戏装备,利用木马“收信”之后,黑客们通过“查信”判断盗来的账户是否有价值,然后“洗信”去转移账户中的装备,再转手经销商贩卖。
单个账户的确可能只是满足黑客最初的技术成就感,但一旦形成规模,这也能成为笔生意,2005年就是国内网游黑色产业链爆发的一年。
曹宁是昔日绿色兵团的元老级人物。绿色兵团是一个被众多黑客称做“黄埔军校”的中国最早的电脑黑客非盈利性组织。
当时他专攻黑产研究,为公安部门追捕黑产提供技术支撑。当年令他感到棘手的是国内出现了一批原创黑客专门针对游戏编写木马程序,并且有专门的代理与他们对接收购,然后雇佣临时工进行手工操作。以查信为例,这种简单的重复劳动的工作一般会交给初中生,一天工钱30元,还额外提供一顿工作餐。
曹宁关注最多的就是东北和福建,这里网游黑产猖獗,前者主要针对韩国网游,后者则是将目标对准中国台湾游戏。曹宁并没有见过那段时间的大佬,但他听说不同地区都会有代理商,圈里流传,“如果要拿下东北片区某个游戏的黑产代理权,报价就是30万元。”
这些技术针对的多是玩家人数较多的热门游戏,比如当时的《传奇》、《大话西游》、《魔兽世界》等。黑客们从编写木马程序开始,一旦“挂马”成功,嗅觉灵敏的木马就会在用户电脑里直奔主题,窃取游戏账号和密码。当时《魔兽世界》的一封“信”售价为100元。
游戏厂商们并不是没有努力,它们通过杀毒软件扑杀木马。余弦也曾是缴杀游戏木马的一员。他身边的同学和老师多半都有被盗经历:游戏账号被洗劫一空,就连电脑内的重要资料也一同丢失。
余弦唯一能做的就是编写专杀程序,但难度很大。“写一个专杀只要几个小时,但跟踪、分析病毒可能要花上一两天。”可病毒每小时都在升级。
2007年,这些木马作者已经组建了工作室,他们的年收入至少200万元。
“达不到这个数,谁还做这一行?”季昕华当时任职于腾讯公司,负责网络安全维护,但工作范围已经延伸至整个行业,受到攻击的游戏厂商会一同合作,协助警方侦破黑产犯罪团伙,“这是一个斗智斗勇的过程。游戏登陆之所以会采用验证码,是因为查信原本也能用程序完成,验证码就能起到限制的目的。”
不过,网游黑产的成本很快就提高了。
2009年,刑法修正案中对于黑客违法行为的量刑加重,最高可判7年监禁。加上国内网游热急速退烧,经历了高峰期的网游黑产开始衰退。
但对黑客来说,更赚钱的时点伴着网购出现。
根据中国互联网信息中心的统计数据,截至2010年12月,中国网购用户已达到1.6亿人——这对于靠技术牟利的黑客来说简直是笔大数目,而此时,这样参与犯罪的黑客已经被称为“骇客”。
刚开始的手段是伪装,他们把钓鱼网站包装成卖超低价机票,或提供神奇疗效医药的页面,又可能是邮箱里一些标明“限时打折”的邮件。
手段老套,但很奏效。2010年金山网络安全中心的统计数据显示,在遇到过网购安全威胁的用户中,72%以上都是因为钓鱼网站而中招。
想要获得技术成就感的黑客们不仅满足于此,他们有了新玩法,它有个颇有仪式感的代号——刷库。2012年年初,以微博渠道向李国庆投诉的当当用户越来越多,他们发现自己账户中的礼品券被盗,大额订单离奇出现,甚至账号因直接被篡改而无法登录。
2012年3月末,李国庆通过个人微博作出承诺:“被盗金额,当当网全额补偿(不是赔偿,因为不是我们的责任)。”同时,京东、亚马逊等电商网站也都自称是这一波盗刷事件的受害者。
他们不约而同将矛头指向2011年底被刷库的CSDN网站,这是中国最大的开发者技术社区,当时,一个以“CSDN-中文社区-600万.rar”为文件名的压缩包流传于网络,而里面附着的是CSDN网600万注册用户的账号和密码。
[注意]APP应用上架合规检测服务,协助应用顺利上架!