《孤注一掷》揭露你我身边的网络安全威胁
《孤注一掷》潘 生
潘生,华京科技大学计算机硕士,计算机天才,缅北诈骗产业的亲历者。
1.《孤注一掷》潘生心理实录
我曾在一家互联网教育公司工作 6 年,我有天分,也肯努力,升职 K7 本来是众望所归、理所当然的事,却被关系户打乱了升职路径。一气之下,我丢掉工牌,决定入职一家名叫“萤火”的新加坡游戏公司。我给同事和家人都看过“萤火”的办公环境和宿舍环境照片,没有人怀疑这是一个骗局。
(一)Emoji 泄愤
离开升职大会后,我越想越生气,一怒之下,通过 SQL 注入 PMS,得到酒店管理系统的登录密码,控制了酒店的投屏系统,向屏幕投放了许多 Emoji 表情。我想让大家看看,台上站着的这个关系户多像个无能的小丑,这家公司有多丑恶。
Emoji 投放到酒店屏幕的过程:
·PMS(Property Management System): 酒店或其他住宿设施用于管理客房预订、客户账户、前台操作等的系统。简而言之,它是酒店的核心操作系统。
·SQL 注入: 是一种攻击技术,攻击者通过提交恶意的 SQL 代码来试图获取、修改或删除数据库中的信息。例如,如果酒店管理系统的登录页面没有正确地处理用户输入,攻击者就可以利用这个漏洞来执行不当的 SQL 查询,从而绕过身份验证或直接从数据库中提取信息。
·获取登录密码: 通过成功的 SQL 注入攻击,攻击者能够访问数据库中存储的密码(或哈希的密码),然后使用这些密码尝试登录 PMS。
·控制投屏系统: 一旦攻击者成功登录 PMS,便可以获得对酒店其他系统的访问权限,包括投屏系统。投屏系统通常用于会议室或客房,允许用户将内容投放到大屏幕上。控制这种系统可能会导致隐私泄露,或者使攻击者能够在屏幕上显示任何内容。
为了防范此类攻击,酒店应该:
·保证系统及时更新和打补丁。
·使用预编译的 SQL 语句或参数化查询来避免 SQL 注入。
·定期审计和监控系统活动。·加密存储和传输的敏感数据。
·为不同的系统和网络层设置不同的权限。
(二)植入木马,窥探同事
后来,我登上了出国的飞机。我向每个新同事的手机都植入了木马,看看他们到底是什么来历。
钓鱼植入木马的操作原理和过程:
·制作钓鱼链接或邮件:黑客创建一个伪装的链接或电子邮件,这通常看起来像是一个合法和值得信赖的来源(如银行、社交媒体网站或其他常用的服务)。
·木马载荷:黑客在链接或附件中嵌入恶意代码,这段代码被设计为在用户的设备上执行并下载木马。
·欺诈受害者:通过各种社交工程技巧,如诱惑受害者点击某个紧急的链接、提供特定的奖励或利用人们的好奇心,黑客会劝说受害者点击这个链接或打开附件。
·执行恶意代码:一旦受害者点击链接或打开附件,恶意代码即被执行,从而在设备上安装木马。
·获取访问权限:一旦木马被植入,黑客可以远程控制受害者的设备、窃取敏感数据、监控受害者的行为,甚至将设备用于其他恶意活动,如发起 DDoS 攻击。
防止被黑客攻击和伤害的方法:
·教育与意识:提高员工和个人对网络安全的意识是首要任务。定期进行安全培训和模拟钓鱼测试。
·小心邮件附件和链接:永远不要随便点击来源不明的邮件中的链接或附件,特别是那些没有预期中收到的邮件。
·使用安全软件:确保手机和其他设备上安装并更新了最新版本的防病毒和反恶意软件解决方案。
·定期更新软件:软件更新通常包括安全修复,一定要定期检查并更新所有的应用程序、操作系统和其他软件。
·双重身份验证:启用双重身份验证(2FA)可以增加账户安全性,即使攻击者获得了您的密码,他们仍然需要第二重身份验证来访问。
·谨慎授权应用程序:不要轻易给予应用程序访问您设备上的数据的权限,特别是那些不值得信赖的应用程序。
·备份数据:定期备份重要数据,以防万一遭受攻击,手机或者其他设备还可以恢复到未被感染的状态。
·使用强密码和密码管理器:使用长而复杂的密码,并避免在不同的网站和服务上使用相同的密码。密码管理器可以帮助您生成和存储这些密码。
新同事安俊才突然向我们自我介绍,说自己是新加坡本地人。但我看过他手机里的信息,他是湖南人。于是立刻质疑他的身份。几番交谈后,大家都知道了我会黑客技术,并且在入职之前就黑掉了所有同事的手机,了解到了所有信息。
飞机要到迦南转机,安俊才让我们跟他去看美女秀,我们兴奋不已,毫无防备。出了机场就把护照乖乖上交给他,谁知没走几步就被一群拿着武器的歹徒劫持控制,被抓到了诈骗园区。
(三)深陷骗局,命悬一线
正是自作聪明的炫技行为,让诈骗分子对我的技术功底更加了解。走进缅北诈骗园区后,他们对我提出了更高期待和更高要求,让我成为了“正将”,也让我吃到了更多苦楚。
诈骗行业分工:
中国自古便有千门八将之说。所谓千门,即以骗为生,即是老千职业进修培训学校。正、提、反、脱、风、火、除、谣,便是千门八将之中的上八将。电影《孤注一掷》清清楚楚明明白白展开一幅网诈浮世绘,各工种一目了然。这些工种之间相互配全,构成完整的诈骗产业链。
千门八将
正将:潘生所在的小组,负责网站维护,网址维护,防止警察追踪,以及防止同行竞争,防 止同行恶意域名劫持,把自己的流量引导对方的平台上。
提将:也被戏称“狗推”,负责猎取潜在的客户,培养客户的感情,分析客户的心理,诱导客户 下单(先小赌尝试,然后拉托炒群,然后大额带计划,最后让人赔得倾家荡产。
反将:梁安娜所在的组,负责美色引诱、激将法的“托儿”。
脱将:负责诈骗集团事后脱身。在影片中,将梁安娜逮捕并转交给阿才,在进行联合围剿前给 犯罪集团通风报信的当地警方,便是所谓的脱将。
风将:收集目标需求信息,传递消息,潘生因高薪信息被诱入局,安娜因高薪招聘信息入局, 便是“风将”的杰作。
火将:千门中的打手,专门用武力解决一些事情,阿才便是火将的代表。
除将:负责谈判,收尾工作。陆经理的身份便是处将,当公司被查抄时,他安排人砸烂电脑, 销毁证据,主动留下解决问题。
谣将:负责散发谣言,诱使受骗者入局。影片中,谣将便是通过印制梁安娜的低俗小卡片迫使其 被解约。
(四)爬虫技术,助纣为虐
在暴力的胁迫下,除了短暂的妥协我别无他法,诈骗集团让我用 Python 爬虫技术获取受害者邮箱,逼我成为恶人。
爬虫过程和原理:
·爬虫技术: Python 是爬虫技术中常用的语言。爬虫(Web Crawler)是一种自动遍历互联网并下载页面内容的程序,通常用于创建搜索引擎的网页索引。
·使用正则表达式: 正则表达式是一个强大的文本匹配工具,可以用来匹配、查找或替换复杂的文本模式。例如,电子邮件的常见正则表达式是:
regexCopy code[a-zA-Z0-9._-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,6}
该正则可以匹配大部分电子邮箱格式。
·提取电子邮箱:一旦爬虫下载了网页内容,它就可以使用正则表达式从中提取电子邮件地址。
反爬虫措施:
·robots.txt:网站可以使用 robots.txt 文件来指示哪些页面可以被爬虫访问,哪些不可以。
·User-Agent 检查:检查请求头中的 User-Agent 字段,如果它来自已知的爬虫,那么可以拒绝该请求。
·设置访问频率限制:对于连续的、高频率的请求,可以使用限速或封禁策略。
·使用 CAPTCHA:对于可疑的请求,可以要求用户完成 CAPTCHA 验证。
·使用动态 AJAX 加载:数据通过 AJAX 动态加载,而不是直接渲染在 HTML 页面上,这样基于简单的 HTML 解析技术的爬虫很难获取数据。
·检测并阻止常见的爬虫 IP:通过识别已知的爬虫 IP 或不断尝试访问的 IP,将其添加到黑名单。
自我保护方法:
·不公开敏感信息:避免在公开的网站或论坛上发布个人邮箱或其他敏感信息。
·使用垃圾邮件过滤器:大多数现代邮箱都有垃圾邮件过滤功能,确保启用它。
·不点击可疑链接:收到来源不明的电子邮件时,不要点击其中的任何链接或下载附件。
·启用双因素验证:对于重要的在线帐户,如电子邮件、社交媒体帐户等,启用双因素验证增加安全性。
·定期更改密码:定期更改电子邮件和其他重要帐户的密码,并确保使用强密码。
(五)天上不会掉馅饼
后来我认识了荷官梁安娜。我帮她完成五百万的业绩要求,让她逃回国内再来救我。不久,梁安娜就钓到了大鱼——阿天。阿天家境殷实,尝到赌博的小甜头之后,便越赌越上瘾,最后甚至卖掉了自己的房子,把 800 万全都投入到了赌场。最后,诈骗分子把他拉黑,阿天竹篮打水一场空,含恨跳楼。
赌场原理:
·诈骗分子利用前端后端技术自定义玩家输赢,博彩软件里有木马,消费习惯、银行短信一览无余,诈骗分子根据这些数据实施精准诈骗,然后放贷款,透露内幕消息。
·自定义玩家输赢:诈骗分子可以利用软件后端的权限,在后端代码中插入逻辑来确定玩家的输赢,而前端则仅作为一个显示界面。例如,无论玩家的操作如何,后端都可以通过特定算法或逻辑确定其结果。
·植入木马:博彩软件中的木马可能是一个隐藏的程序,当玩家下载并运行博彩软件时,木马也会在后台运行。木马程序可以监控、记录和发送用户的手机活动、消费习惯、银行短信等敏感信息。
·精准诈骗:获得的数据使得诈骗分子能够精准地针对每个用户进行诈骗。例如,如果他们知道用户最近有大量银行交易,他们可能会假装是银行员工,请求用户提供更多的银行详情。
·放贷款及透露内幕消息:利用用户的财务状况,诈骗分子可能会诱使用户借款,然后利用高利率和不正当手段进行催收。同时,提供所谓的"内幕消息"为诱饵,进一步引诱用户。
自我保护方法:
·谨慎下载软件:只从官方或可信的应用商店下载软件,避免从不明链接或人为发送的链接中下载任何内容。
·使用安全软件:定期运行防病毒和反恶意软件程序来检查和清除可能的威胁。
·隐私设置:在手机和应用程序中启用隐私设置,限制哪些应用可以访问你的短信、联系人等敏感信息。
·不要轻易给予权限:当软件请求某些权限时,如读取短信,思考一下这是否真的必要。如果不是,不要授权。
·验证身份:如果收到银行或其他金融机构的来电或短信,不要直接回复。应该通过官方网站或自己搜索到的官方电话进行验证。
·不要轻易透露个人信息:无论是电话还是电子邮件,都不要轻易透露你的个人或财务信息。
·谨慎对待各种诱惑:如收到提供高额贷款、内幕消息等要保持理智、拒绝贪心、谨防上当。
·定期检查银行和信用卡记录:这样可以及时发现任何异常交易,并及时采取行动。
(六)预留后门,终极自救
狗推们住着最差的房子,吃着最差的食物。我看他们实在可怜,主动提出帮陆经理写一个程序,让程序取代狗推们的脏活累活,利用漏洞设置陷阱,有外来者入侵后,暴力破解密码 3 次系统会自动销毁数据。交换的条件是他把大家都放回国内。他欣然接受了我写程序的请求。但我从没放弃求生和回国的信念,写程序的时候留了后门,受害者名单都留在了唯一可以访问服务器的终端的手机里,只要保证这部手机不被销毁,犯罪的证据就会留下,说不定就能把恶人绳之以法,防止更多人被骗。
利用漏洞设置陷阱:
漏洞是指系统、程序或应用中存在的设计或实现缺陷。当攻击者找到这些漏洞并利用它们时,可以执行未授权的操作。在电影中,男主角为诈骗团伙编写的程序中故意加入了某种安全漏洞,让外界攻击者可以尝试进入。
数据自毁机制:电影中描述的自动销毁数据功能,实际上是一种安全策略,目的是确保在连续多次尝试错误密码后,数据不会落入非法用户手中。这是一种针对暴力破解的反制策略,防止攻击者不断尝试密码。
后门的作用:
后门是一个通常隐藏的入口,允许程序员或攻击者绕过正常的认证过程访问系统或数据。在电影中,男主角为程序留下的后门实际上是他的“逃生通道”。即使诈骗团伙认为他们的系统是安全的,男主角仍然可以轻松地访问它。
终端手机中的数据:
男主角选择一个手机作为唯一可以访问服务器的终端,这意味着这个手机成为了一个关键的硬件令牌。只有持有这部手机的人才能访问服务器,这提供了另一层的安全防护。
2. 回归现实,危机依旧
在飞速发展的数字时代,科技成为我们日常生活的重要组成部分。科技给我们带来了极大的便利,但同时,我们对科技的依赖也为不法之徒提供了新的诈骗机会。我们早已习惯用手机点外卖、抢红包、收款付款,甚至是借贷消费,每一笔消费都真实地反映着个体当下的需求和经济状况,这些信息一旦被不法分子掌握和利用,将会让诈骗分子有的放矢,巧妙地设计出更多骗局来戕害大家,贻害无穷。因此,与这些关键数据相关联的信息系统经常会成为不法分子攻击的对象。通过利用程序中的漏洞,黑客便可收集到大量隐私信息,并将这些数据用于诈骗等犯罪活动。
Equifax (2017):
· 概况: Equifax 是美国的一个主要信用报告机构。在 2017 年,它遭受了一次严重的数据泄露,影响了约 1.47 亿的美国消费者。
· 漏洞: 利用了 Apache Struts 框架中的一个已知漏洞。
· 泄露的数据: 包括了姓名、社会安全号、出生日期、地址以及一些驾驶执照号码。
Capital One (2019):
· 概况: 2019 年,Capital One 银行宣布其数据中心遭受攻击,影响了 1 亿美国人和 600 万加拿大人。
· 漏洞: 攻击者利用了配置错误的 Web 应用程序防火墙。
· 泄露的数据: 包括了信用卡申请信息,如姓名、地址、邮政编码、电话号码、电子邮件地址、出生日期和收入。
Facebook (2019):
· 概况: 这是世界上最大的社交网络平台之一。在 2019 年,Facebook 公开了一项安全漏洞,可能导致近 5000 万用户的账户受到攻击。
· 漏洞: 利用“查看作为”工具,该工具允许用户查看他们的个人资料是如何呈现给其他用户的。
· 泄露的数据: 攻击者可以潜在地获取受影响账户的令牌,进而控制用户账户。
为净化网络空间的安全性,解决因程序漏洞对社会产生的危害,智能模糊测试技术已逐渐成为企事业单位进行漏洞挖掘的首要选择。智能模糊测试的核心工作原理是通过 AI 算法构造海量的无效或异常的数据,来测试其对不良输入的反应能力,进而发现系统的安全性与稳定性问题。
云起无垠创始团队结合模糊测试领域的深厚积累,基于模糊测试,融合 AI、覆盖引导、遗传算法、神经网络等技术研发了自有智能模糊测试技术,相比以往,该技术可以更精准地对应用程序进行安全检测,可以更准确地发现安全漏洞。当下,云起无垠又率先将 GPT 大模型引入模糊测试技术,在漏洞自动化挖掘和修复中起到了更好的结果。
在安服方面,云起无垠也根据现有技术能力,推出了全面的服务体系,以漏洞发现和行为模拟两大重点内容为主,辅以人才培养、规划设计、能力建设等服务项目,助力企业快速补齐安全短板,全面提升安全防护能力。
电影《孤注一掷》基于真实的人物与事件,帮助大家深入地了解缅甸电信诈骗产业的情况。不法分子骗人去缅甸的手段不断迭代,骗走个人财产的骗术也越来越精巧。云起无垠作为网络安全的一份子,愿意为网络安全贡献一己之力,为广大用户提供持续安全的网络环境助力。
最后,如电影所讲,希望大家都能够克制好自己的两颗心——“贪心”和“不甘心”,明白“天上不会掉馅饼”的真理,遇骗多质疑,立刻找警方,放弃投机心理,守好自己的钱袋子。
声明:相关剧情、素材均来自网络
评论