黑客招摇过市、运营商毫无作为,SIM卡劫持还要摧毁多少人的生活?

幸运草
幸运草
幸运草
896
文章
3
评论
2020年3月28日11:51:52 评论 390

Instagram账号被盗案件接连发生,受害者的弱点是什么?手机号。

去年9月在盐湖城郊外,一天晚上Rachel Ostlund刚刚把孩子们哄去睡觉,自己也正打算入睡。而就在她编辑给她姐姐的短信时,她的手机突然服务中断了。手机上最后一条来信来自电信商T-Mobile,内容显示她的电话号所对应的SIM卡刚刚被“升级”。Rachel重启了手机,然而问题没有被解决。

她第一时间告诉了丈夫Adam,她的手机故障了。Adam试图用自己的手机给Rachel打电话,Rachel的手机却没有亮起;电话无人接听。就在这时,Rachel登录自己的邮箱却发现有人在重设她多个账号的密码。事发一个小时后,Adam接到了一条来电。

“让Rachel接电话。现在立刻。”电话另一头的声音说到。

Adam拒绝了这个要求,并询问到底是怎么回事。

“你已经完全在我们的掌控当中,我们将彻底地摧毁你的生活。如果你是个聪明人,那就让你老婆接电话。”

Adam依然拒绝。

“我们会摧毁你的信誉。”陌生的声音继续说到,还列举了一些Rachel和 Adam的亲戚和他们的住址。事后这对夫妻猜测犯罪分子可能是从Rachel的亚马逊账号得到了这些信息。“如果我们伤害他们,事情岂不是更有意思?如果我们毁了他们的信誉再告诉他们这一切都是因为你们,你觉得怎样?”

这对夫妻还不知道,他们即将成为一系列SIM卡劫持案中最新的受害者。犯罪分子会劫持受害者的手机号,盗取有价值的Instagram用户名然后出售,换取比特币。2017年夏末,Ostlund夫妇接到了Rachel Instagram账号@Rainbow劫持者的来电。 他们要挟 Rachel和Adam放弃她的推特账号,账户名也是@Rainbow。

在黑市,被盗取的社交媒体或游戏账号有专门的市场。那些精简独特的用户名售价大约在5百美金到5千美金不等。几位劫持了Instagram账号@t的黑客告诉我们,该账号最近的成交价为相当于4万美金的比特币。

劫持Rachel的手机号之后,黑客不仅掌握了Rachel的Instagram,还有她的亚马逊 、Ebay、PayPal、Negflix和Hulu等多个平台的账号。虽然Rachel对这些账号施加过双重验证等保险措施,但一旦黑客掌握了她的手机号,这些措施都毫无意义。

“那真是我人生最糟糕的一晚。我难以置信他们竟然有脸打电话过来。”Adam回忆到。

今年2月,T-Mobile向用户群发短信,提醒用户提防某个“全行业的”威胁。公司声称,有更多犯罪分子正在通过“电话号码转移诈骗”手法盗取个人电话号码。这种诈骗也被称作SIM卡劫持或SIM卡调换,手法简单粗暴却极其有效。

首先,犯罪分子会伪装成受害者拨打手机运营商的客服电话。他们声称自己刚刚丢失了SIM卡,要求电话公司把电话号转移到事先准备好的另一张SIM卡上。此时犯罪分子只需向电话公司提供社会安全号码或家庭地址(可能犯罪分子早在几年前就悄悄截取了这些信息),即可获取客服人员的信任,达到他们的目的。

“只要拿到了电话号,你就可以获得他们所有的账号,而受害人毫无招架之力。”从事SIM卡劫持的黑客告诉我。

黑客招摇过市、运营商毫无作为,SIM卡劫持还要摧毁多少人的生活?

(Rachel Ostlund在电话号被劫持后收到的短信)

一旦犯罪分子入手了电话号,用户的手机就会显示电话服务中断,因为同一个电话号无法有数张SIM卡同时连接到电话网络。黑客即可重设受害者的账号密码,双重验证在此时也不管用,因为犯罪分子已经掌握了电话号码。

Instagram等部分服务会在设置双重验证时要求用户提供电话号码,这无疑为黑客多创造了一种获取账号的手段。因为如果黑客掌握了受害者的电话号码,他们就可以在不知道账号密码的情况下,通过双重验证登录Instagram账号。

曾经的黑客CosmoTheGod Eric Taylor就曾在他的著名案件中采用了这种手段,例如2012年他入侵CloudFlare CEO的邮箱帐号一案。如今Taylor已在安全公司Path Networ任职。他告诉我们,把电话号绑定上任何网上账号都是作死:“随便一个十几岁的小孩都能打个电话给运营商拿到你的电话号,然后盗你的号。这种事一直有。”

Celsus Advisory Group的智能与研究部门总监Roel Schouwenberg正在从事SIM卡调换、双重验证规避和非法账号恢复等黑客作案手法的研究。在他看来,没有人的手机账号是万无一失的,而消费者必须意识到这一点。

“任何类型的电话号码都可以被转移。有资源的犯罪分子完全可以暂时骗取一个电话号,这点时间就足够他们彻底掌握这个电话号。”

Schouwenberg去年在博文就指出,电话号码已经成为了我们网上身份的“万能钥匙”。

“大多数系统的安全措施都并非针对获取了用户电话号的黑客。这非常糟糕。我们的电话号已经成为了不可撤销的身份资料。但就像社会安全号码一样,电话号原本不是如此重要的信息。而如今有一个电话号就可以拿到你几乎所有的账号。”

至于拿到你的电话号后做什么,这主要取决于黑客劫持的目的。

黑客招摇过市、运营商毫无作为,SIM卡劫持还要摧毁多少人的生活?

“我拿他们的钱,过自己的人生”

如果你的自行车被盗,那你应该上Craiglist看看是不是被人在黑市上出售了。如果你的Instagram账号通过SIM调换被盗,那你应该上OGUSERS看看。

乍一看,OGUSERS似乎只不过是个普通的论坛。上面有“其他/搞笑”和其他栏目,用户在讨论隐约、娱乐、动漫、游戏等各种话题。但最大最活跃的板块其实是社交媒体和游戏账号的交易市场,交易价有时高达几千美金。

在最近一个帖子中,有人以2万美金的高价出手了Instagram账号@Bitcoin。还有一个帖子上,有人挂了Instagram的@eternity账号,价格为1千美金。

这只不过是OGUSERS上社交媒体账号黑市的冰山一角。这个在2017年4月成立的论坛原本就是为了让人们出售和购买“OG”用户名。OG为“Original Gangster ”的缩写,意为“真正的社会人”。社交媒体上的OG则就是指少见的用户名,例如@Sex、@Eternity或者@Rainbow这种独特的词,或是@t或@ty.Celebrities这种极短的用户名。

黑客招摇过市、运营商毫无作为,SIM卡劫持还要摧毁多少人的生活?

(Selena Gomez Instagram账号被劫持后的截屏)

去年8月,Selena Gomez的Instagram 账号曾经被盗,黑客还发了一张Justin Bieber的裸照。Gomez的帐号的名字也被改成了Islah,与OGUSERS上某位用户的帐号明相同。根据 一些混迹OGUSERS的黑客,那些号称自己盗了Selena Gomez Instagram账号的黑客自称是劫持了某位单身女明星Instagram关联的电话号,盗取时该帐号还有1.25亿粉丝。

“卧槽他们真的黑了全 Instagram粉丝数量最多的人。”一位OGUSERS用户在题为“SELENA GOMEZ一路走好”的评论中说到。

Gomez的发言人则拒绝就此通过邮件做出评论。

截至今年6月,OGUSERS上注册用户数量已经超过5万5千,帖子数量多达32亿,每日活跃用户量超过1千。

该网站禁止用户讨论SIM卡劫持相关话题。如果有人提到了这个词,其他人立刻会发表“我绝不纵容任何非法行为”等言论。然而管理员Ace和Thug告诉我,SIM卡劫持是OGUSERS用户盗取用户名的常用手段。

想要通过SIM卡劫持盗取用户名,黑客就必须先知道该帐号的关联电话号码。而事实证明,想要挖出电话号码似乎并没有人们想象的那么难。

去年,有些黑客在在网上出售名为Doxagram的服务,只要你付钱他们就可以帮你找出某个Instagram账号关联的邮箱或电话号。值得一提的是,Doxagram刚刚诞生时正是在 OGUSERS上推广的。托那群爱炫耀的黑客的福,只要你去暗网里查查即可查到不少社会安全号码,这些信息早就在网上了。

Ace说他已经不干卖用户名的活了。Thug则说他和其他人还会通过T-Mobile内部工具查找用户数据,进行SIM卡劫持。在谈话中,黑客还给我们展示了他们用该工具时的截屏。

黑客招摇过市、运营商毫无作为,SIM卡劫持还要摧毁多少人的生活?

(Thug在聊天中发给作者的截图)

出于实验目的,我给Thug发了我自己的电话号。Thug 立刻给我发了一张截屏,上面有我的家庭住址、我在运营商的用户号码以及其他应该是隐私的账户信息。Thug甚至还查到了我为了保护个人帐号给T-Mobile发的指示。

“我要变成偏执狂了。”我说道。

“也难怪,网络世界是挺疯狂的。”Thug 回复。

事实上这已经不是第一次有陌生人拿到我的隐私信息了。而这些隐私信息应该是由T-Mobile公司保护的。

就在去年,一位网络安全研究人员发现他可以利用T-Mobile网页的漏洞获取类似方面的隐私信息。在补上该漏洞之后,T-Mobile打压了对该漏洞的大众舆论,声称目前还没有人利用过该漏洞。但事实上, 这种事情已经发生过很多次了。YouTube上早在公司采取措施的几周前就有人上传了教程,教你如何通过该安全漏洞获取人们的隐私信息。

Thug告诉我,过去几年来,各家运营商都在不断提高像他这种黑客入侵的难度。

“最早是只要你打电话给运营商,告诉他们你想给这个电话号码换个SIM卡就可以了。现在你得有内部人脉,只要你给100美金他们就会给你PIN。”Thug说到。

根据Thug和Ace的说法,不少黑客现在都在找T-Mobile以及其他运营商的客服人员,以80到100美金的价格贿赂他们协助SIM卡劫持。Thug声称他们就是靠贿赂内部人员拿到了T-Mobile内部工具的访问权,但我们没能证实这一说法。T-Mobile拒绝回答公司是否有内部人员参与SIM卡劫持诈骗的证据。

“有了内部人员的协助,事情就好办多了。”Thug说到。

找到内部人员并非难事,Ace补充道。“说服他们帮你做事并不难。”他说到。

最近安全公司Flashpoint的调查显示,有越来越多的犯罪分子通过运营商内部人员协助进行SIM卡劫持诈骗。前FTC首席技术师Lorrie Cranor表示,她找到多项证据都显示有内部人员参与其中。SIM卡劫持鼻祖、如今的安全研究人员Taylor则说,他自己就认识和实体店工作人员有关系的黑客。安全相关记者Brian Kerbs近日报道的一起案件中,T-Mobile实体店员工以盗取Instagram账号为目的进行了未经授权的SIM卡转移。

当然了,SIM卡转移并不是OGUSERS掌握账号的唯一手段。另一种手法比SIM卡劫持道德一些,黑客会利用程序在账号放出的第一时间自动注册。

但盗取手机号虽然有效,技术上的实现难度却比其他作案手法大。据Ace和Thug估测,大约只有50名OGUSERS用户有这方面的人脉关系和技术工具。

在谈话中,我还问Thug和Ace是否对入侵他人的网上账号、虚拟货币钱包或银行帐号感到过自责。

“不好意思,我问心无愧。我拿他们的钱,过自己的日子。他们没能保障自己的安全,那是他们的责任。”

Thug还强调,尤其在劫持社交媒体账号一事中,黑客其实并没有对受害者造成什么实际损失。“不过就是个用户名,甚至没有丢钱。就是个破名字而已。”

黑客招摇过市、运营商毫无作为,SIM卡劫持还要摧毁多少人的生活?

日益严重的问题

无论这些犯罪分子是否出售了受害者的Instagram用户名,他们都能从中获取巨额利润。

“这是一种暴利手段。如果你知道怎么劫持SIM卡,那你真的能发财。”在Recorded Future研究SIM卡劫持非法商业的安全研究员Andrei Barysevich说到。

就在去年,虚拟现实公司IRL VR创始人Cody Brown在短短15分钟内失去了价值8千美金以上的比特币。黑客掌握了他的手机号,然后利用该号码入侵了他的电子邮件,随后掌握了他的Coinbase账号。Brown并不是唯一一位受害者;事实上类似案件是如此之多,以至于为一些大型虚拟货币交易平台提供双重认证的应用Authy不得不提醒用户提防SIM卡劫持诈骗,并为了阻止黑客增加了其他安全保护功能。

去年Motherboard报道了T-Mobile网站的漏洞之后,我在加密聊天应用Signal上就曾收到过来自用户NoNos的消息:“托你们的福,现在全世界都知道T-Mobile有这个漏洞了。要不是因为你们的报道,就不会有人联系T-Mobile补上漏洞了。我去你的。”

对方还透露自己曾利用这个漏洞入侵过几个人的账号,他们正是SIM卡劫持者。他们似乎原本还打算用同样的手法抢劫富人。

“以前用这个方法我一天能赚30万美金。”Nonos还说到。“如果能实现SIM卡劫持,得到全国任何人的电话号码,那干嘛还针对普通人?为什么不能锁定有钱人,比如那些投资人或者对冲基金负责人?”

除了Selena Gomez之外,遭到SIM卡转移的名人受害者还有Black Lives Matter的活动家Deray Mckesson,卡耐基梅隆大学的网络安全和隐私学院CyLab创始人Dena Haritos Tsamitis,以及YouTube网红Boogie2988。

过去几个月内,我们收到了来自30多名SIM卡劫持诈骗受害者的联系。我们可以肯定,在美国,起码有几百人经历过这种事件,虽然具体受害者数量目前还无法统计。只有电信运营商知道该问题有多严重,但他们拒绝讨论这个问题。

现卡耐基梅隆大学教授Cranor告诉我,2016年,她还在Federal Trade Commission任职首席技术师时她就曾试图调查过这种问题究竟有多严重。那年Cranor亲身经历了SIM卡劫持,但当时她还从未听说过类似案件。然而,虽然她在FTC身任重位,却没有一家电信运营商愿意向她提供案件的具体数据。

“运营商显然做的不够多。他们告诉我他们正在尽力做更多措施,发生在我身上的事件可能只是个偶然,但我并不相信。我没有看到他们对此多做过什么。他们必须明白问题的严重程度,严肃对待。”她还补充到,运营商其实对SIM卡劫持非常了解,“虽然他们不愿承认这一点”。

Motherboard联系了美国最大的四家电信运营商AT&T、Verizon、Sprint和T-Mobile,要求他们给出SIM卡劫持的案发数量,但没有一家正面回应了我们的要求。

一位AT&T的发言人表示,这种骗局“会影响到我们极小部分的用户,对我们而言也非常稀少”。但当我们要求他解释“小部分”的定义时,他却没有回应。

“SIM卡转移从之前就是个全行业的问题。”T-Mobile的发言人在声明中说到。她还表示,公司正在通过要求用户增加安全措施来对抗黑客攻击,例如转移电话时会要求PIN和密码。公司目前正在考虑其他验证用户账号转移的方法。该发言人拒绝了我采访T-Mobile高管的请求,也没有正面回应案件发案数量究竟有多少。

“我不理解为什么你需要这些数据。考虑到我们有720万用户,受害者是极小部分人。然而显然没有公司希望如此不幸的事情发生在用户身上。”(补充说明:去年10月,T-Mobile曾向可能被黑客针对的“几百名用户”群发过警示短信。)

Sprint拒绝就SIM卡劫持案件提供任何数据。他们倒是给我们发了一份声明,内容是他们的用户经常更换密码。Verizon的发言人也拒绝提供数据,但强调了用户的SIM卡转移需要“正确的账号和密码或PIN才能完成”。

今年早些时候,这四家公司宣布成立了Mobile Authentication Taskforce(手机验证专案组)。这是四家公司的联手项目,旨在研发能让用户通过手机中的身份凭证在网站或App验证身份的方案。根据媒体宣传,该项目是为了提供SMS双重验证的替换方案。但该方案究竟如何开发还是个未知数,我们也不知道它是否能有效杜绝SIM卡转移骗局。

FTC的一位发言人指出,在公司2017年的用户数据调查报告中,有一份文件中记录了用户报告的诈骗和个人身份被盗等等多项数据,却唯独缺少了SIM卡劫持。发言人表示这项数据可能应该归属于手机或其他设备诈骗,手机诈骗的用户报告数有3万多。

联邦调查局发言人则回应,当局并没有关于这类劫持的案件数据。

即便受害者是极少数,这类案件也能给人带来不小的伤害。至少,恢复一个账号需要莫大的时间与精力。今年遭遇了SIM卡劫持的受害人Fanis Poulinakis向我们分享了他的经历。

有一天他的手机服务突然终止之后,Poulinakis立即登录了他的网银账号。“不出所料!2000美金已经没了。”那天Poulinakis整日奔波于T-Mobile和大通银行之间,试图理解究竟发生了什么。

“这真是个噩梦。”

黑客招摇过市、运营商毫无作为,SIM卡劫持还要摧毁多少人的生活?

从受害人到侦探

让我们回到2017年9月6日,继续Rachel和Adam Ostlund夫妻的故事。

Adam尽全力和黑客拖时间,试图明白究竟发生了什么,以及对方到底掌握了什么资料。与此同时黑客愈发不耐烦起来,再三要求Rachel放弃@Rainbow推特账号。对黑客来说,掌握同一个用户名下的Instagram和推特账号可以让他们进一步抬高售价。

终于身心俱疲的Adam挂断了电话。黑客很快给他发来了短信。

“能不能快点儿,我得睡觉了。赶紧把推特上关联的邮箱换了。你别逼我,如果你不赶紧回复,你不知道我能对你做出什么事儿来。”

随后黑客再次拨通了Adam的电话。这次电话那头是一个语气略显温和的人。

“你别太往心里去。我向你保证,不会有什么事的。”第二位黑客向Adam就先前那位的粗暴态度道了歉。

Rachel早就联系了当地警方,在第二通电话拨通时警察也终于到达。夫妻向警官说明他们遭遇了什么,但对方却一脸懵逼,表示他们无能为力。两人当晚花了一夜时间试图恢复被攻击的账号。他们先是联系T-Mobile拿回了电话号,然后用电话号重设了所有账号的密码——正如黑客所做的那样。只是Rachel的Instagram账号已经彻底落入黑客手中,回不来了。

3天之后,Rachel和Adam决定亲手搞清案件的来龙去脉。他们决定亲自找到黑客。

Rachel发现,她的Instagram账号被重设之后只有一个粉丝@Golf,根据账号简介,持有者名为Austin。俩人在@Golf发布的动态中找到一张疑似在科罗拉多斯普林斯的某场音乐会拍摄的照片,随后他们通过逐个检查@Golf的粉丝,终于找到了黑客的推特和Facebook账号。他们认为这就是黑客的真实身份。

Motherboard没能证实黑客的身份。

在调查中,Rachel和Adam还发现OGUSERS上有一位用户Darku正在出售@Golf和其他独特的Instagram用户名。夫妻俩认为这证明Darku是@Golf账号的控制人,那么@Rainbow也自然在他手中。

黑客招摇过市、运营商毫无作为,SIM卡劫持还要摧毁多少人的生活?

(Darku在一个帖子中出售Instagram账号@Hand)

在聊天中,Darku告诉我们,他现在18岁,参与了几个黑客组织。他否认自己参与过SIM卡劫持和自己是账号@Rainbow和@Hand劫持者一事,声称@Hand是他从朋友手中买下来的,而@Rainbow他则从未经手过。

“我没有参与过任何犯罪活动。我有人脉关系,无需诈骗就能得到我想要的东西。”Darku说到。

今年5月我在OGUSERS上联系Darku之后,他发布了一条帖子,警告其他用户FBI可能正在调查该论坛。根据Darku的说法,我的提问听起来非常可疑,他对我的身份起了疑心。

“我有朋友从事Instagram相关交易,FBI突然问他们关于某些账号的消息以及究竟是如何获取的。真是涨姿势了。如果有任何号称自己是任何知名媒体记者人联系你,请谨言慎行。”

底下有些用户非常困惑,不明白为什么当局会对账号交易市场感兴趣。

“重点不是账号,而是卖家获取账号的方式。我敢肯定他们已经知道了帐号名交易背后的不正当行为。”另一位用户回复到。

不过OGUSERS论坛上的其他用户似乎对此不以为意,还在开被警方抓捕的玩笑,发表情包。我的账号和我登录时使用的IP地址均已被禁用。

Adam向我们分享了他和一位从事暗网和网络犯罪研究的FBI调查员对Darku的调查结果。Adam告诉我,FBI的科罗拉多斯普林斯当局已通知他他的调查结果属实,调查人员正在进一步调查。

根据Rachel的补充,FBI还通知他们调查人员已经探访了Austin家,让Austin“吓了一跳”。这位黑客“不敢再犯”了。

在另一个OGUSERS论坛的帖子中,Darku说他知道FBI正在调查“勒索了账号@Rainbow持有者的那位”。Darku告诉我警方已经和他谈过话,但“不会对我做任何事”。Darku说他告诉警方:“我才不会浪费时间骚扰别人。”

Motherboard没能证实FBI在这起案件中的参与,不过FBI向来不对进行中的调查做任何评论。

直至今日,账号@Rainbow依然没有回到Rachel手中。其他受害者,例如@Hand和@Joey的持有者则表示,虽然他们数次联系Instagram,但他们依然无法拿回账号。

Instagram发言人在声明中表示:“我们尽全力为Instagram用户们提供安全和有保障的使用体验。我们在得知有账号被入侵的第一时间封锁了相关账号,账号所有者可重设密码并施加其他措施确保账号安全。”

对那些受害者而言,这堂课代价太重。

“我们的手机是我们最大的弱点。”Rachel说到。

Adam也表示,他的感想就是手机号是数字生活中最脆弱的一个环节。“如果有人拿到了你的电话号码,他们等于已经扼住了你的喉咙。”

本文来源于:黑客招摇过市、运营商毫无作为,SIM卡劫持还要摧毁多少人的生活?-变化吧博客
特别声明:以上文章内容仅代表作者本人观点,不代表变化吧博客观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
免费“工具”的背后——网络犯罪分子劫持黑客的阴谋 劫持

免费“工具”的背后——网络犯罪分子劫持黑客的阴谋

要知道,在这个世界上没有什么是免费的。 如果此刻您正在互联网上搜索免费的黑客工具,那么就需要注意,大多数能够免费提供的工具,也只不过是一个骗局而已。比如在去年,我们报道了一个有关于Facebook的黑客工具,它确实是有能力去攻击Facebook帐户,但它其实并不是你想要的工具,因为所有人都能获得它。 在最近,又有一个远程访问木马(RAT)构建工具包可以在多个地下黑客论坛上免费找到,它包含一个后退模块,能够帮助作者访问受害者的网络时提供工具箱的所有数据。 该远程访问木马(RAT)构建工具包所构建的恶意软件在今年2月份就已经开始流通了,其与njRAT和H-Worm系列恶意软件有一些相似之处,至少已经可以追溯到2013年。 据Zscaler的ThreatLabZ研究人员发现,这个远程访问木马(RAT)构建工具包包含的“免费恶意软件构建器”很可能允许其他黑客玩家相对轻松地构建自己的Cobian RAT版本。 一旦犯罪分子使用这个免费的构建器创建自己的恶意软件版本,他们就可以通过受损网站或传统的垃圾邮件活动将其分发给世界各地的受害者,并且能够将受影响的设备招募到恶意的僵尸网络中。 然后Cobian RAT会窃取受损系统上的数据,截取屏幕截图,记录音频和摄像头视频,安装和卸载程序,执行shell命令,使用动态插件和管理文件的功能。 网络犯罪分子想要劫持黑客 我想如果您知道恶意软件构建工具包的作者提供的所有功能都是免费的,那么您会感到非常兴奋。 但不幸的是,使用这种免费的Cobian RAT恶意软件构建工具包创建的自定义RAT具有隐藏的后门模块,可以连接到套件作者的命令和控制(C&C)基础设施的Pastebin URL。 任何时候,后门都可以被套件的原始作者使用,向所有建立在平台顶端的RAT发出命令,使被他们感染的wannabe黑客和受感染的系统处于危险之中。 在周四刊登的博客文章中,Zicaler安全研究部高级主管Deepen Desai写道:“使用这个套件来传播恶意软件,并从最终用户中来窃取第二级运营商。实际上,我们这是被作者所欺骗,想想多么讽刺的一件事。 ” “作者本质上是想使用众多模型来构建一个利用第二级运营商Botnet的僵尸网络。” 研究人员还解释说,原来的Cobian开发人员是“依靠二级运营商来建立RAT Payload并进行传播感染的”。 目前来看,由于具有后门模块,作者可以全面控制Cobian RAT僵尸网络中的所有受损系统。 甚至可以通过更改其配置的C&C服务器信息来删除二级运营商。 研究人员最近在来自巴基斯坦一家提供防御和电信方案的网站(可能会受到影响)观察到了Cobian RAT的payload,其被做成了MS Excel电子表格伪装在.zip文件夹中进而进行攻击。 特别声明:以上文章内容仅代表作者本人观点,不代表变化吧观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。 体验了下微信小程序,觉得微信小程序是创业者的“试验田”
当心!你的DNS可能被劫持了! 劫持

当心!你的DNS可能被劫持了!

百度疑遭神马流量劫持 搜索暗战又将爆发?近期,有网友在微博上爆料说,在使用百度搜索的时候,浏览完落地页返回搜索结果页时,会进入到一个虚假的百度移动搜索结果页,一眼看去与百度搜索并无差别,但仔细观察会发现,该页面提供的搜索结果充斥大量低俗色情的内容,网友直呼“感觉上了一个假百度”,严重的影响了网友们的… 大家可能遇到过以下情况: 网速突然变慢,延迟变高,甚至网页都打不开,但 QQ 这类腾讯软件却可以正常使用;明明以前没有广告的网站出现了很多弹窗广告;不同电脑访问同一个网站、玩同一个游戏速度和延迟明显不一样;游戏、软件更新缓慢…… 出现以上情况,很可能是你的 DNS 被劫持了。 1DNS是什么? 假设你的上网设备是生活在互联网世界的“互联网人”,他想去 Taobao.com 大型购物中心,但是现在他只知道这个购物中心叫做 Taobao.com(只知道域名),不知道具体地址(不知道 IP 地址),他还是没办法到达目的地。 这时候他想起来自己有一个记事本,专门用来记录不同的域名和它们的IP地址,这个记事本叫做 Hosts。 他打开Hosts一看,里面 Baidu.com 车站的地址是220.181.38.148,但没有记录 Taobao.com 大型购物中心的地址。 他又想起来可以打开导航软件搜索,导航软件可以告诉你Taobao.com 大型购物中心的具体地址,这个导航软件在互联网中叫做DNS服务器。 因此DNS服务在我们访问网站的时候起到导航的作用。 2DNS污染 前面提到,DNS能够在我们访问网站的时候起到导航的作用,但导航也可以让我们走错路。 举个例子:某些无良DNS服务器,在将IP地址发给你的时候会夹带私货,让原本干净的网页出现广告,这就叫DNS污染。 3DNS劫持 更缺德的DNS服务器,会把你带到另一个网站,比如数字编号的导航网站、钓鱼网站,这就叫DNS劫持。 如果你不修改DNS,通常DNS系统会默认使用运营商提供的DNS,也就是离你最近的服务器,而有些 DNS 污染和劫持很可能来自你的网络提供方,毕竟卖广告的收益很高。 那为何腾讯软件不受影响呢?因为 QQ 等腾讯软件直接通过内部IP地址连接腾讯服务器,不走 DNS 服务器,这样既能保证安全又能保证快速。 4解决方法 ①手动修改DNS 以Windows 7为例: 控制面板 - 网络和 Internet - 网络和共享中心,点左边的「更改适配器设置」 右键正在使用的网卡 - 属性 - Intelnet 协议版本 4,手动指定 DNS 服务器地址。 首选和备选建议都填上。 当在首选服务器无法正常解析域名的时候,会自动用备选服务器来代替。如果没有填备选服务器,或者备选服务器也无法解析域名,网页就打不开了。 小石这里提供两个免费的DNS服务器供大家选择: 114DNS: 首选114.114.114.114 备选114.114.115.115 谷歌DNS: 首选8.8.8.8 备选8.8.4.4 ②修改路由器密码 1、在地址栏中输入:http://192.168.1.1(如果页面不能显示可尝试输入:http://192.168.0.1)。 2、填写您路由器的用户名和密码,路由器初始用户名为admin,密码也是admin,如果您修改过,则填写修改后的用户名和密码,点击“确定”。 3、填写正确后,会进入路由器密码修改页面,在系统工具——修改登录口令页面即可完成修改(原用户名和口令和2中填写的一致)。 特别声明:以上文章内容仅代表作者本人观点,不代表变化吧观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。案例|不停弹出广告窗口?你可能遇到了“流量劫持”你可能曾经有过这样的上网经历 打开某网页后不停地弹出广告窗口 点进去的网页自动导航 至另外一个未知网页 使用手机软件时莫名出现低俗广告 …… 其实这就是 流量劫持 或许当你按下电脑开机按钮或者打开手机APP软件时,流量劫持便已经悄然发生。部分不法分子利用手中掌…
8种网络黑灰产作案工具 劫持

8种网络黑灰产作案工具

个人信息安全、黑灰产业链... 这些词语近年来高频出现 除了网络安全相关的专业人士 现在普通的网络用户 对网络安全的重视程度也越来越高 9月17日,2018国家网络安全宣传周——网络安全博览会揭幕。本次展会集中展示网络安全领域的新技术和新理念等内容。而且,在博览会上,有展馆展示了多种网络黑灰产作案工具。 比如: ①能够同时操控16张电话卡进行虚假注册的猫池; ②成本不足百元却能悄无声息偷走手机短信的“2G短信嗅探设备”; ③可以任意修改来电号码的VOIP网络电话设备; ④还有能对目标主机发起远程物理攻击的BadUSB病毒; ⑤用于信息窃听流量劫持的大菠萝Wifi Pineapple和伪基站; 等等...... 以下就是展馆展示的八大网络黑灰产作案工具: 1猫池(可以同时接受多个用户拨号连接的设备) 涉及黑灰产类型:大规模薅羊毛、电信诈骗 作案方法:在猫池设备上,可以同时管理大规模的电话手机卡,通过配套的软件可以实现同时接收、发送短信,拨打电话的功能。黑灰产的猫池上的电话卡,常为通过黑产渠道拿到的非实名认证的廉价电话卡。猫池常被黑灰产用来在各大电商平台上进行大规模网络手机账号垃圾注册,为薅羊毛提供必须的账号资源。 22G短信嗅探设备 涉及黑灰产类型:电信诈骗、信息窃听 作案方法:2G短信嗅探设备总材料不足100元,但可以做到获取周边任何人的短信内容,危害非常大。基站以广播方式转发到用户手里的加密短信,可被这套设备所截取并破解还原出来,最终被黑产用于实现信息窃取、资金盗刷和网络诈骗等犯罪。当前此类犯罪只针对移动与联通,不针对电信,同时这种犯罪只针对2G信号。部分手机3G、4G也可被监听,原因是部分信号会降频成2G信号。 3公民个人信息四件套 网路配图 涉及黑灰产类型:电信诈骗、洗钱 作案方法:黑产人员经常到偏远乡村,以100元到300元不等的低廉价格,购买当地农民的身份证,以及用这些身份证办理的银行卡和手机卡。最终形成了黑产口中的个人信息四件套,即“银行卡,身份证,手机号卡,网银U盾”。购买者多将“四件套”用于电信诈骗、伪卡盗刷、洗钱、销分等犯罪活动中。 4移动AP+物联网卡 网络配图 涉及黑灰产类型:电信诈骗 作案方法:匿名防追踪是电信诈骗人员最关注的自保措施。近年来,黑产已经远离公共家庭无线、有线网络环境,转向了便携可移动的无线设备,来达到反追踪的效果,便携、低价的移动AP已成为黑产常用移动网络设备。此外,产生的流量卡更多是来自实名制度还未完全覆盖的物联网卡。无固定点位,网络身份未实名,这些特点加大了办案人员的侦察难度。 5VOIP/GOIP网络电话设备 涉及黑灰产类型:电信诈骗 作案方法:根据公安部的资料,近年发生的电信诈骗案中,使用网络改号电话作案的占90%以上。VOIP协议能够将网络语音转成网络数据包,用户收到的存储在该网络数据包中的来电号码可被修改,不法分子正是使用此原理将来电号码进行了任意替换。当前展示的GOIP设备是近年来诈骗电话的另外一个方向,该设备能够将传统电话信号转为网络信号,从而起到不法分子隐藏真实身份反侦察的效果。 6BadUSB 网络配图 涉及黑灰产类型:病毒木马 作案方法: 2014年,位于柏林的SR安全研究实验室专家发现了一个代号“BadUSB”的重大USB安全漏洞,该漏洞影响全球数十亿设备。使用BadUSB设备,可以对目标主机发起物理攻击,插入U盘后,该设备可以自动运行提前设置好的攻击代码,从而控制被害人的电脑,更为致命的是,由于是硬件发起的攻击,因此当前还没出现一个有效的解决方案。 提醒:为了安全起见,日常请勿随意使用你无法确保安全的USB设备。 7大菠萝WifiPineapple 涉及黑灰产类型:信息窃听、流量劫持 作案方法:大菠萝路由器的原理是网络中间层入侵劫持,这种设备可以伪装出一个免费的WIFI信号,让用户上钩从而达到获取用户个人信息或推送伪装过的后台程序的目的。当任意用户连接上由此设备创建的WIFI时,用户的浏览记录就会被监听,用户访问网页时候的站点也可以随时被修改替换。经过简单配置,此设备也可以强制使附近的客户端连接到自己创建的伪装WIFI ,而不需要用户去主动连接。 提醒:请谨慎使用公共场合的WIFI热点。 8伪基站 网络配图 涉及黑灰产类型:电信诈骗 作案方法:伪基站设备是嫌疑人私自组装生产的一种违法高科技仪器,能够强制连接用户手机信号,摄取一定半径范围内的手机信息,可以任意冒用手机或公用服务号码强行向用户手机发送短信。伪基站设备实施违法犯罪是一种新型犯罪,涉及地域广、社会危害大,严重危害国家通讯安全,扰乱社会公共秩序,影响人民群众安全感。 据展馆所属公司相关负责人介绍,展示网络黑灰产前沿内容,是为了让广大人民群众更深入了解网络安全的复杂形势,提升网络安全的防范意识,避免和减少诈骗等具有严重社会危害的黑灰产案件发生。 来源:看作者 特别声明:以上文章内容仅代表作者本人观点,不代表变化吧观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。
网络诈骗就在我们身边,时刻提高警惕 劫持

网络诈骗就在我们身边,时刻提高警惕

为什么DNS监测能够让你的网络更加安全但由于极少有公司会出于安全目的监测DNS状态,DNS如今已成为攻击者理想的攻击手段。 在DNS层实施安全防御,可以有效检测和控制此类恶意软件感染。在恶意连接建立之前将威胁扼杀在摇篮里是做好安全的第一要务。要做到这一点,就必须监控网络,跟踪员工及其使用设备的网络… 诈骗运作模式正在呈现专业化、公司化的趋势,犯罪手段也变得更加智能,并且已经逐渐形成了“恶意注册-引流-诈骗-洗钱”等各环节精细分工的完整链条,形成了网络诈骗的“新范式”。 今天,带着大家一起来“盘一盘”5大新型网络黑产案件,希望大家识别套路,不再陷入不法分子的陷阱! 1- 出租收款码轻松“躺赚”?实则在为黑产洗钱 - 所有人都希望能找到一份钱多、活少、离家近的工作,可惜打着这种广告的通常不是诈骗就是传销。 近年来,网上突然流传起一种“出租收款码”的赚钱方式,据说只需要提前交付对方一定数额的押金,再按照对方要求输入收款金额,然后把收款码截图发送给对方,就能按照收款金额拿到一定比例的佣金。 但其实,这套“出租收款码”的模式原来是非法赌博网站精心研究出的新型洗钱路径,利用互联网上的庞大用户把他们的赃款分散,最终漂白? 在这条洗钱路径中,赌博网站通过中介平台和代理商把赌博用户充值的赃款下发给“出租收款码”的用户,这部分用户在扣取自己的收益后把剩下的钱再通过代理商返还给中介平台,中介平台和代理商收取各自的利益后再把钱打给赌博网站。 这样一来,非法赌博网站数以亿计的赃款就能通过这些私人账户分批分量地运作,最终把钱赃款漂白,并且由于洗钱路径隐蔽分散,也加大了警方的侦查难度。 这个案件里最可怕的还在于,这一次参与者并不仅是受害者,还在不自觉中沦为了违法犯罪活动中的工具,可能需要承担法律责任! 所以,各位小伙伴们在面对“天上掉馅饼的好事”时,一定要注意提高警惕!想占小便宜的人,很可能会被别人占了大便宜。?点击查看案例详情哟>>>躺着就赚钱的项目?出租 “收款二维码”,你只会成为黑产链条上一只“待宰的羔羊”! 2- 谈恋爱误入“杀猪盘”?这种爱情在为黑产引流 - 如果说,你是一名大龄单身青年,现在突然有个“灵魂伴侣”降临到你身边,他的一切都符合你的“幻想”;为了两个人的未来,他打算利用公司的系统“漏洞”带你发大财,你会不会心动? 小心了,不仅赚钱是假的,这份爱也是假的!这其实是令无数受害者“伤心伤财”的“杀猪盘”? “杀猪盘”是业界的一种俗称,实际上它是指一种打着交友名义,通过培养感情获取信任,再诱惑受害者至博彩网站投资,从而实施敛财的新型情感投资类诈骗。 此类骗局最早兴起在2017年,以男性同志和单身大龄女青年等感情寂寞的人士为主要目标,而操盘者的大本营大多设在东南亚,尤其是在菲律宾、柬埔寨、泰国、马来西亚等允许线上赌博的国家。 一支完整的“杀猪盘”团队,通常会分为资料组、话务组(钓鱼)组、技术组,以及洗钱组。 资料组是实行犯罪的基础,他们的工作就是快速筛选用户,找到那些容易上当受骗的人; 话务组是直接与受害者接触的“前线”,主要任务就是利用目标人群对于美好生活的渴望、精神的空虚和对爱情的向往,打造一个“完美的恋爱人设”; 技术组的主要工作内容是为资料组及话务组提供技术支持,就包括获取受害者信息、制造假的照片音频视频等身份证据以及最重要的搭建博彩网站、控制博彩中奖概率、直接修改胜负概率等; 而洗钱组,顾名思义就是要将骗来的钱“漂白”成可用于流通的正常款项。 与其他纯粹圈钱敛财的骗局不同,在“杀猪盘”这样的情感类诈骗中,受害者往往曾认真付出过感情,而当他发现自己被欺骗后,失去的就远不止是金钱,还有爱情的毁灭,人财两空的打击会对其身心造成巨大损害。 因此,我们在网络交友时,一定要留心查证对方身份,不随便轻信陌生人。?点击查看案例详情哟>>>编剧都不敢这么写!40岁女子网恋3帅哥,次次都是“杀猪盘”! 3- 出国务工“高薪梦”,成为“狗推”被困海外 - 海外办公、包吃包住、工资高而且还有许多福利?这么好的机会,还不速来把握?! 在很多招聘平台上,我们时常能看到这样极具诱惑力的类似广告。但奇怪的是,无一例外,对方的“门槛”都很低,不会有工作经验、学历、专业的要求,大伙觉得这是怎么回事呢? 真相就是,这可不是一份“正经工作”,而是担任“网络博彩”行业推广业务员! “狗推”是网络博彩行业推广业务员的简称,让受害者人财两空的“杀猪盘”就是他们的杰作之一。“狗推”上要对老板负责(也被称为“狗庄”),服从管理,为老板赚钱,拿微薄的提成;下要寻找作案对象,把那些期待爱情、期待激情、期待志同道合的人,发展为待宰的“大肥猪”。 在外人面前他们留给大家印象大多是光鲜亮丽,一个个非富即贵。但实际上,却过着猪狗不如的生活。在这些员工之中,很多人是在不知真相的情况被忽悠而来的,还有一部分人是专门付了中介费出国务工的,没做满半年的话就得给公司赔付,同时,如果没有完成公司制定的业绩,就会遭到公司的警告、记错、罚款甚至是毒打、软禁。 值得一提的是,这些“狗推”一方面是受害者,被不法分子忽悠而进入这行业,同时在这过程中不仅挣不到钱还可能受到生命威胁;而另一方面,还有一些“狗推”由于公司的“文化宣传”、“激励制度”最终利欲熏心,被“洗脑”成一个实打实的“职业狗推”,成为了“庄家”的帮凶,四处坑骗同胞。 想要提醒大家,在网上寻找工作时,一定要核实公司与职务的真实性,不要被“诱惑”蒙蔽了双眼,最终陷入无尽深渊。?点击查看案例详情哟>>>刷来刷去还是那波“狗推”的人,只不过他们升级了.... 4- 动辄千万的“数据神话“,背后完整的“刷量”黑产 - “十秒卖出上万件产品,2小时销售额超千万”“日均视频播放量50万人次,坐拥全网百万粉丝”……在各大平台上,KOL(网红、大V等意见领袖)正在创造一个又一个的“数据神话”。 然而,这些数据都是真的吗?不,这里头,水分可是真不少。? 据 “2019 中国文娱金数据年中发布会”数据显示:2019年上半年全网无效声量再创新高,达到了71%,无效用户的占比高达49.4%。也就是说,在全网范围内可能有近一半的用户都是“僵尸粉”,是假人。 从粉丝数、互动量、播放量……任何数据都可以轻易飙升,都可以造假,“刷量”服务随着技术的日益升级,已然形成了一条专业化、体系化、分工明确的黑色产业链。 那究竟是如何在短期内“创造”出庞大的网络流量数据的呢?这就得提到虚假流量运作手法和庞大的刷量工作人员了。 第一种最低级的做法就是单纯依靠机器进行自动刷量,刷量者通过代理IP和模拟登陆态势的形式制造虚拟用户,并引入“群控”技术,实现由一台电脑控制多台手机、多个账号的批量操作。 第二种高级一些的,刷量方通过各大网络社交平台,雇用了大批的网友来充当“投手”组团完成刷量任务,例如当有一篇文章需要刷点击率时,需求方就会将文章链接发布到由数百位“投手”组成的任务群,并要求每个人点击。 最新的刷量手法,则是依靠“人工+机器组合刷量”,它将人工刷与机器刷巧妙的结合在一起,先通过网络社交平台搜集、雇佣和租赁大量的真实账号,接着将“挂机平台”作为一个中台,链接账号和下游的机器刷量平台,通过“挂机平台”自动进行刷量服务。 其实,凭借“制造出来的虚假流量”营造的数据狂欢不仅难以持续,而且还可能引发多种危害,我们所有人都应该自觉抵制数据流量的造假行为! 5- 不断翻新的”网络赌博“,已形成完整产业链 - 随着网络科技的不断发展,一些不法分子也乘上了互联网的快车;他们利用网络的强互动性、支付方便、流量庞大等特点,将从前四处躲藏流窜的地下赌庄,变成了如今可以实时下注的赌博网站、赌博APP。 并且,如今的“网络赌博”,从搭建平台的技术人员、负责推广的推广人员、后台操控的技术人员到负责洗钱的后台人员等已然形成了一条分工明确、公司化、制度化运作的完整产业链? 首先,随着近年来移动通信的发展,网络赌博逐渐发展出移动化的APP形式,不法分子在建立赌博平台时就会利用“强伪装”使其更具有迷惑性和隐蔽性。 其次,为了扩大“客流”,这些赌博平台都会使用线上线下双重推广来宣传引流。线下推广方式除了雇佣大量的临时工,张贴小广告、发小卡片外,主要是通过利诱会员发展下线,实现“人拉人”,而线上则通过网络域名劫持、盗取信息群发消息、利用社交平台、网站等方式引流。 最后,如今的网络赌博已经衍生出了除专业赌博网站、赌博APP外的”丰富“参赌形式,例如借网络游戏抽装备“开赌场”、开发直播软件“设赌局”等等。 在此,要警示大家,组织和参与“网络赌博”都是违法行为;我们既要做到自觉抵制赌博,另一方面若有发现相关赌博情况,也应该第一时间进行举报投诉哦! 特别声明:以上文章内容仅代表作者本人观点,不代表变化吧观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。从容应对“网络挟持”,从最低层级解决安全风险!您是一家领先制造企业的负责人,负责整个北美地区的运营,在某天和往常一样工作时,突然接到报告,称最大一家工厂的产品出现了瑕疵。这种问题已经出现了一段时间,且一直在加剧,但工厂经理却无法确定出现瑕疵的根源。工厂似乎一切运行如常。我们是让所有设备停止运行,实施更详细…