劫持数据库“白帽子”黑客勒索比特币

幸运草 2021年1月4日20:53:18劫持评论阅读模式
2017年5月13日,互联网多家网站疯传一条消息:据TechWeb报道,全球突发劫持数据、勒索比特币的病毒事件。英国16家医院遭到大范围网络攻击,电脑被锁定,黑客索要每家医院支付相当于400万人民币的比特币赎金,否则将删除所有资料。病毒也波及我国部分高校,毕业论文及设计资料被锁。受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。

其实,类似的事件在国内早有发生,2016年间,一个自诩是信息安全卫士的“白帽子”黑客,偶然掌握了一家公司的客户名册和商业订单数据后,导演了一起劫持信息,勒索比特币的剧情。

劫持数据库“白帽子”黑客勒索比特币
志做“白帽子”
劫持数据库“白帽子”黑客勒索比特币

32岁的赵文,读高中时就酷爱计算机编程。他在学习上偏科,除了数学成绩好一些,其他科目都比较差。2004年高考前,经过三轮模拟考试,他的平均成绩在全校处于中下水平,基本不可能被其所喜欢的计算机专业院校录取。于是,父亲一再劝说他填报师范志愿,“咱是农村孩子,进城谋个铁饭碗就算烧高香了。”最终,赵文不得已上了一所师范学校。2008年毕业季,赵文应聘到江苏省苏州一所寄宿制民营小学教数学。这份职业,他却毫无兴趣。为了生存,不得不一边将就着,一边思忖另谋出路。

劫持数据库“白帽子”黑客勒索比特币

凭之前的数学底子,赵文开始系统学习计算机编程。功夫不负有心人,几年后,他不仅拿到了计算机及应用专业自考本科文凭,还掌握了发现网络安全漏洞,并及时修复漏洞的本领。自以为有了足够底气的他,毫不犹豫地把辞职报告扔在校长的办公桌上:

赵老师,你这是?

从今天起我不再是老师了

你要辞职?

对,今天就给我结算工资吧

哼,可以,不过,敢问赵老师,您到哪儿高就啊

做我喜欢的事情,就不劳校长您费心了!

理想虽丰满,现实很骨感。赵文在网上求职,四下投递简历,虽有区区几家有实力的企业对赵文面试,却因他学历不过硬而婉言拒绝,最终,苏州市吴江区一家成立不久的计算机公司录用了他。尽管不甘心,赵文仍不得不屈就做了程序员,从事信息安全建设与系统维护工作。

总算找到了喜爱的岗位,赵文心里却有些失落,与原来的教师工作相比,不仅收入少了许多,还隔三差五加班加点。可惜,世上没有后悔的药,除了眼下的工作,他也实在找不到更好的出路。他只能自我调适,心想着,唯有让自己变得更厉害,才能出人头地。于是,赵文暗暗树立了一个小目标,做一名行走在信息安全江湖的“白帽子黑客”。

所谓“白帽子黑客”,是指对网络技术防御的人。对电脑系统比如语言,TCP协议等,具有很高的造诣。他们精通攻击和防御,同时头脑里具有信息安全体系的宏观意识。知易行难,“白帽子黑客”需要掌握的知识很多,从电子学到网络密钥到通讯框架等基本的黑客知识,课程横跨多个学科,于是,他决定从自学Web安全入手,找来几本“黑客”武功秘籍,花费了大量时间把《白帽子讲Web安全》《黑客攻防技术宝典—Web实战篇》《Web前端黑客技术揭秘》几本书读得烂熟。同时,还熟悉了一些常用的Web安全工具,如综合漏扫工具、抓包工具、注入工具、经典的敏感文件扫描工具等。经过一年多的刻苦修炼,赵文自认为完全可以行走于黑客江湖了,开始浏览各大公司网站,着手网络入侵的实战演习。

劫持数据库“白帽子”黑客勒索比特币
意外收获
劫持数据库“白帽子”黑客勒索比特币

2016年7月下旬,赵文浏览某网站时,偶然间发现了一个程序代码笔记,笔记中标明该代码可以成功登录某公司数据库服务器,并且写上了数据库的账号和密码。赵文抱着试试看的心理,登录了该公司的数据库服务器,没想到竟发现了大量公司用户信息和订单信息。“这可是企业的核心机密呀,账户密码怎么能够随便放在开放性的论坛笔记上呢?”赵文在惊讶之余,心中窃喜,“对方的程序员太二了。”这样的信息无异于企业的生命线,一旦据为己有,岂不要发一笔意外之财?他想着自己经济拮据的囧境,邪念顿生。但又心知,直接向对方要钱肯定是犯法的,前思后想,心生一计,向对方索要“比特币”,以规避法律的制裁。

劫持数据库“白帽子”黑客勒索比特币

那么,“比特币”到底是个啥玩意呢?这事要从一位江湖隐士“中本聪”说起。

原来,有一位自号“中本聪”的日裔美国人,曾做过为美国军方执行保密的服务工作,他是全球闻名的计算机与网络“大神”。多年前,中本聪就预言,随着计算机的普及和互联网的发展,电子货币必将一统天下。2008年11月1日,中本聪夜观天象,认为时机已经成熟,于是便在一个隐秘的密码学论坛上发布了自己想要发行一种叫做“比特币”的电子货币的新设想。接着,又在互联网上一个讨论信息加密的邮件组中发表了一篇文章,勾画了比特币系统的基本框架。2009年他为该系统建立了一个开放源代码项目,从而正式宣告了比特币的诞生。 2010年12月12日,正当比特币渐成气候时,他却神秘地在互联网上销声匿迹。

作为一种网络形式的数字货币,比特币不依靠正规货币机构发行,必须依据特定算法,通过大量的计算产生,但并不是可以无上限的生产,中本聪此前将其总量设定为2100万枚,使得比特币与其他虚拟货币相比,更具有稀缺性,且具有不可再生性。因此,它往往更容易受到计算机从业人员的青睐。同时,比特币还可以兑换成大多数国家的货币,使用者既可以用比特币购买一些虚拟物品,也可以购买现实生活当中的物品。它没有固定的兑换比,像股票一样有涨有跌。2016年8月时,一枚比特币相当于人民币三千多元。这也是赵文最终选择勒索比特币的原因之一。

劫持数据库“白帽子”黑客勒索比特币
敲诈比特币
劫持数据库“白帽子”黑客勒索比特币

赵文通过搜索功能,搜索到了苏州某公司的QQ群,找到了群主的QQ号,申请加对方为好友,并顺利通过验证。

2016年8月1日凌晨,赵文向该群主的QQ 发起了会话:“告诉你一个不幸的消息,你们公司的数据库泄露了,如果这些数据落到黑客手中,后果你懂的!”当夜,对方QQ没有回应。早晨6点35分,赵文在睡意朦胧中听到了QQ的提示音,他一骨碌爬起身,打开手机,群主的QQ发来消息:“你是谁,想干什么?”见此,赵文兴奋不已,“我是‘白帽子’黑客,你放心,这是专门做好事的黑客。”接着,他开门见山:“作为一个白帽子黑客,我选择了匿名,主要想赚点钱花,如果我们合作,我会帮你们企业修复网站及数据库漏洞,另外我拥有你们企业目前所有的数据,包括用户订单等等”,还特别强调:“我所要的报酬只需一点点, 20个比特币哦”。群主发来个疑问的表情:“我凭什么相信你?”为证明自己所言不虚,赵文连忙发出一串客户名单。并威胁对方:“截至2016年8月5日12点,如果没有如数支付比特币,就代表你们放弃合作,我会利用数据和代码找其他赚钱方式。若在期限内付款,我会信守承诺,将漏洞详情及解决方案发给你。”接着,他向对方QQ邮箱发出邮件,提供了比特币的付款地址以及自己的邮箱地址。

与赵文会话的正是公司业务经理,这封邮件让他惴惴不安,这可是涉及公司700多万注册用户和1000多万的订单信息啊,一旦泄露,企业近10年苦心建立的营销网络将可能受到重创。他顾不上吃早饭,匆匆驾车赶往公司,向总经理汇报了信息泄露事件,以及不明人员的邮件。

劫持数据库“白帽子”黑客勒索比特币

公司总经理立即安排人员报警,同时迅速联系合作方某信息技术公司,合作方主要为该公司提供客户关系维护管理的软件服务,其订单、商品、会员三类信息都存储在合作方网站的服务器上。了解到苏州某公司客户及订单数据被黑客掌握,并被敲诈要求支付20枚比特币的情况后,合作方迅速排查系统隐患,最终确定被黑客获取的数据,正是从自身的服务器上泄露的。原来,合作方的工作人员因习惯及疏忽,将带有苏州某公司标识的服务器IP 和密码存放在开放性的论坛笔记中,正是这个员工的无意之举,让黑客获得了账户密码。对此,合作方主动表示自担责任,当天花费7万多元购买了20枚比特币,代苏州某公司支付到指定的账户,以保证客户的信息安全。赵文收到比特币后,果真没有食言,8月2日,他把服务器漏洞的详细信息和修复方案以及代码笔记等信息,通过邮件方式发送给苏州某公司。

就在赵文为自己获得比特币而欣喜若狂时,苏州市吴中警方紧锣密鼓展开侦查,赵文发送邮件用的是暗网邮箱地址,他自认为不可追溯来源。万万没想到的是,公安部门强大的网络追击手段,很快就查到了他的行踪。2016年8月10日,正在上班的赵文被警方抓获。当办案民警带他上警车时,他连呼冤枉,“我索要的仅仅是虚拟财产,凭什么抓我?”

公安部门通过苏州物价部门认证,案发时,20枚比特币相当于人民币7.3万元。

2017年5月,苏州市吴中区人民法院经审理认为,依据中国人民银行法规定,人民币是国家法定货币,由人民银行统一发行和管理,因此比特币不是法定货币。但比特币虽然是一种虚拟财产,目前具有相应的法定货币价值。被告人赵文以被害单位的商业机密相要挟,要求被害单位支付20枚比特币,相当于人民币7.3万元,数额巨大,其行为已构成敲诈勒索罪。其归案后如实供述其罪行,且主动提出并协助退还了涉案比特币,取得了被害单位的谅解,可酌情从轻处罚。遂以敲诈勒索罪判处赵某有期徒刑三年,并处罚金人民币二千元。

随着网络技术的普及,黑客入侵也越来越多发,入侵数据库服务器的案件屡见不鲜。单位应加强防范,将安全管理和安全技术做到位,及时注重信息安全防范

  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 加入Q群
  • QQ扫一扫
  • weinxin
幸运草

发表评论