你不用着急,在我这个系列完成之前,保持跟进就好,从现在开始请保持足够的聚焦,我不想做安全恐吓,这不是我的目的,我的目的是希望你了解了黑客的一些手法后,能保持警惕,并帮助到你身边的人。
黑客是一个复杂的群体,有好有坏,好中有坏,坏中有好,如同一个江湖。为了迎合大众口味,黑客被区分出「白帽黑客」与「黑帽黑客」。简单的区分:白帽是做好事的,黑帽是做坏事的。但是白帽为了达到一些好的目的也必须使用一些看去坏的技能,或者说技能本没好坏,一把飞刀,在白帽手里可以对抗强敌,在黑帽手里却可以滥杀无辜。
介于白帽与黑帽之间的,有人称为灰帽。在我看来灰帽才是最靠谱的社区推进者,不过这个话题以后再说。
在我的这个系列里,不用和我谈道德,不要表现出伪善,不要以「名门正派」自居,不要非黑即白。
线索 1 – 名片
第一个线索就拿名片开刀。
名片再常见不过了,但是如果我说:「一张名片可能会导致你彻头彻尾被黑个遍。」你会有什么感受?
讲个「如有雷同、纯属巧合」的故事。
北京,夏天,国际会议中心,某互联网大会,穿得不能再少的漂亮姑娘们很职业地宣传着雇主的产品,一片眼花缭乱后,C 带着一只无度数的眼镜,一顶会场发的帽子,来到一家公司的展台前,漂亮姑娘职业的微笑让 C 觉得这是个好的开始,美女如果能留意到你,确实是个好的开始,要知道会场的人真多。
C 掏出自己的名片作为交换,轻松就得到了展台桌子上摆放的几张名片,其中有一张是雇主的。简单交流后,C 转过身去,狡黠地笑笑,离开了。当然,C 递出去的那张名片是从另一个展台顺手要来的。
「有这张名片,我想,应该够了。」C 来到会场的角落,打开电脑,接上 3G。熟练地在浏览器中输入隐私库网址,密码认证后,登录,键盘敲得干净利落。
如果有人能见到这份隐私库,估计都会觉得恐惧,历史上,互联网曝光过多起用户数据库泄露事件,已经让用户一次次改密码改到手软,对于职业黑客来说,曝光的仅是冰山一角,C 说过:「这些库在我这还有价值,我估计永远不会去曝光,曝光对任何人都没好处,尤其是对我。」
输入名片上的邮箱、手机号、姓名等一番关联检索后,C 再次狡黠地笑了,通过邮箱「密码找回」功能,回答出正确的答案后,C 登录了目标邮箱,半小时后,一切隐私都透明了。
就好像死亡笔记里,夜神月拿到目标的名片,知道他的姓名后,就可以决定这人的生死。C 不会决定他的生死,但是 C 已经看穿他的心灵。剩下的纠纷 C 不想关心,任务完成。
故事完毕。
实际上拿到名片获取信任后,还可以做更多的事,比如对该公司官网进行一次入侵渗透;比如拿下该公司其他员工的邮箱,再用猥琐技巧拿下更多的邮箱,要知道,邮箱里尽是公司各种机密;比如换个身份加个 QQ 继续搭讪,获取信任后,套取更多信息。
C 说:「那些觉得电影里才能出现的场景的人,实在是 Too Young,Too Simple!」
我说:「要不我以后的某系列把你的故事写进去?」
C 推了推那只没度数的眼镜说:「可以,不过你得把这只眼镜也写进去,我是有多喜欢它。」喝了口西柚冰饮后,C 说:「因为那张倒霉的名片,我想我黑掉了整个公司……」
我笑了笑:「可惜的是这家公司永远不会发现。我结账去了。」在我掏出信用卡准备递给服务员的时候,C 坏坏地笑道:「如果你是我的目标,我想我可以黑掉你的信用卡了。」
这句话至今在我脑海中深刻留存,我那时才意识到 C 已经玩出花样了,好在他不是个黑帽。C 是个诡异黑客,可惜他比我要早地跨入了另一个行业,未来我和他会在那碰撞出更有价值的火花。现在不给他留下点什么,实在太可惜了,我尽力。
安全建议
1、名片不要随意递出;
2、至少保证重要网站的密码遵循「一站一密」思想;
3、密码复杂度高些,可以给自己来个规律(自己思考);
4、不要亲信陌生人,小心被社工;
最后,向黑客要联系方式不是件礼貌的事,除非你和他建立了信任。