1
世界上永远不缺另辟蹊径的人。有人努力赚钱,就有人努力从前者身上赚钱。
攻击术,完美的诠释了这种思想:利用相对不高的成本,以勒索可能造成损失的一部分为要挟获利。
这基本上是个百试不爽的套路:对于逐利为主的商人而言,大多数选择息事宁人损失最小化,一抓一个准。
这套思想自古就有:山贼盘踞山林占据镖局必经之路,水路占领土匪打劫商船。久而久之山贼土匪这个行当甚至发展了秩序:分区而治,按运货比例收取过路费,最大限度保证利润以及生意的持续性。对于镖局的实力甚至体现在打通了多少山贼。如镖局与足够多的山贼达成“战略合作”,就能开更多商路。
任何事情存在即合理,最终达成默契平衡。
2
说到近代最原汁原味的攻击术,莫过于保护费了。很多发展落后的小地方,这甚至是涉黑团伙仅有的生存手段。以保护为由每月收取一定的费用,小学生都知道保护费这种经典此套路。
嗯,我保护你不会受到我的侵害,灰色幽默。
不过这样太原始,一不小心就得吃牢饭。香港电影里面那种混混条子见面互怼,抓了大不了叫老大赎人是不存在的,在大陆三年起步。
高级一点的,选择在娱乐场所挂一个安保人员,正常领工资。这已经发展成行业潜规则了,如果有心可以去娱乐场所了解一下, 几乎每一个场所都少不了这样的角色。
3
相比于传统的硬核攻击流派,动不动就需要三五个膀大腰圆的小弟,新时代的攻击术显得更为魔幻。
DDos攻击是现在最常见的勒索方式。这套玩法在国内已经玩了十多年了,经久不衰,是很多黑帽生存之道。
尽管经过这么多年,互联网攻防已全面完善,有实力的平台都组建了安全团队保护自身。但网络安全这行业有一个悖论:防御比攻击成本高太多,防御者需要24小时消耗的安全成本,而攻击者只用出一趟工。
有实力的平台自然能应付大部分麻烦。但很多小平台没有实力,人在明敌在暗的情况下不知留下多少辛酸的泪水。
黑帽们又偏爱攻击从事bc,非法金融生意的平台:毕竟本身就带点违法,敲诈了也只能忍气吞声。
我有个朋友搭了个擦边的金融平台,刚起步的时候一直不温不火维持了半年。
直到一个月前因为某次运营活动,取得了不错的效果,各种KPI都上去了,流水蹭蹭往上涨。
正高兴着玛莎拉蒂可以入手了,准备全公司聚餐庆祝一下。
不曾想当天庆功宴都还没吃完,技术的电话就打来了:网站被黑了。
如果有心的朋友会发现我朋友给的这两张照片,背景是正在吃饭,这个时候是有人打着技术顾问的名义联系上来。我朋友在庆功宴上忍痛交涉。
说一下他们是怎么操作的:
事先就已经盯上了这家公司,拿到了他们的数据库。在流水突破某个阈值的时候,果断出击。立马黑了一个小时。
同时以安全行业的身份介入,带着所谓的技术解决方案。
第二天网站正常,宣称是我们连夜维护好的。
并告知如不合作,将停止维护。
果然第三天网站又登陆不了了。
都知道怎么回事,但没办法说穿,尽管饭桌上暴跳如雷不服一定要干,最后还是付了钱。相比忍气吞声损失两天的盈利,暴怒硬刚付出的成本太大了。
不过这件事之后,他们多投入了成本做安全防护。
4
舆论攻击也是很常见的方式。
在我们固有印象中,传统的纸媒里面的岗位无外乎编辑、校对、排版等技术之类的职位。但还有一些隐秘的岗位或许不被大众所知。
很多纸媒都有商务部之类部门,其中的渠道人员负责开拓市场创收。媒体行业有什么市场可言?一部分是现在大家知道的广告,另一部分就是攻击术,攻击术的人员甚至不在报社编制内。
他们或主动,或被动的拿到了某企业相关的负面的新闻后,渠道人员会以某媒体有关系的借口与企业谈判。如果给足了封口费,这篇文章就不会出现在大众的视野。
早期很多报社都有这种隐秘操作,草莽哥有一个前同事,现在在金融行业做机构业务,做起金融同样也很野性。而他在这份工作之前的履历就是在广州某报社从事渠道工作,我想了想他这股野性只能理解为以前做舆论渠道练出来的。
在大陆,这种现象还不算明显。把目光挪到香港,能看到更广阔的的视角,乱象丛生超乎你的想象。
香港言论相对自由,有很多野鸡媒体,以娱乐花边新闻为主。而与之匹配的,很早之前我们就听过一个词:狗仔。这就是一帮卖消息的人,他们将负面消息的攻击术玩到淋漓尽致。
这两者结合起来发生了奇妙的化学反应,把香港艺人当韭菜。我们在媒体上看到的某某明星私会被偷拍流出,多只是价格谈崩的一部分,更多的是被艺人自己花钱消化了。
因此相对于大陆艺人,香港的艺人对被偷拍更深恶痛绝。
在大陆,很多艺人公开私生活甚至都不会带口罩,即使发现被拍也不会太气愤。而香港艺人发现被偷拍,可能会暴怒。
陈冠希被发现偷拍,脚踹路人,砸坏摄像手机。
前段时间爆出的许志安出轨事件起因也是攻击术:出租车司机发现载客是许志安,临时客串起了狗仔。在车内录下实锤证据。
据说找许志安要封口价格没谈拢,最后一怒之下四十万卖给了狗仔。
艺人们闻风丧胆。
纸媒尚且如此,披上互联网的外衣更疯狂。
说一个比较牛逼的灰产操作:假新闻网站勒索。
一台服务器,批量挂几十个新闻网站,XX新闻网,XX日报,XX在线,不要媒体资质,不要工信部备案,就可以开工,成本在万元级别。
筛选大量负面新闻甚至杜撰假新闻,放在新闻网站里,只需要一点小小的seo技术,就能给人以该新闻霸占了互联网人尽皆知的错觉。
然后对中枪企业公关,以有偿删帖的名义进行勒索。小的本地网站,勒索几千元,多的勒索上百万。
5
只要把握了攻击术的精髓,一万种玩法都能轻易找出第一万零一种。
域名勒索:看上了某一个域名,对方不愿意转让,那就无限攻击,打到你服为止。
手机号定制:很多所谓定制靓号的套路,货源渠道是在客户下单后,根据客户要求的号段,筛选所有符合号段的手机号码,批量轰炸,萝卜加大棒,总有人不堪忍受转让。
短信勒索:这就多了,几个比较经典的版本是1我是你老板,不方便取钱,小张你给我打五万到卡里;2你儿子被绑架,现在在某某医院,需要多少钱垫付医药费;3我,秦始皇,打钱。无数傻之又傻的套路,小学生编的剧本,却坚挺这么多年,坑了更多更傻逼的人。
病毒勒索:对中招的电脑进行勒索,给钱解毒。前段时间比特币勒索病毒再一次亮瞎了大家的眼。
太多了。
6
攻击术的方法千千万,但是如何通过技术渗透获取信息是个难题。
没有足够的技术就无法黑进网站盗取信息,不会用比特币钱包就无法比特币收款,不会背个伪基站扫街就无法短信群发,甚至连手机轰炸的技术都没有就无法进行威胁。
那怎么办呢?
社工库完美的解决了这个问题。
可能对于普通人来说第一次听说这个词,但在黑帽界,这是如圣城耶路撒冷一般酷炫的存在。
简而言之,社工库就是一个黑帽们将泄漏的用户数据整合分析,然后集中归档的一个地方。这些用户数据大部分来自以前黑客们拖库撞库获得的数据包,包含的数据类型除了账号密码外,还包含被攻击网站所属不同行业所带来的附加数据。
在这样信息暴露的时代,每个人的信息基本上都有泄露。这本来不是最恐怖的事情,但是乐于分享的黑帽们将所有泄露的信息整合,就发生了质的变化:你的信息永久暴露了,并且以整理好的形式任人采摘。
事情变得不一样了。
不费吹灰之力就能了解一个人的基本信息:姓名、身份证号、照片住址、工作单位,开房记录、购物习惯,兴趣爱好,消费水平....
这已经是一张基本的用户画像。
如果黑帽觉得有价值,只用去碰撞各个平台的账号密码,根据一般人只会设置两到三个账号密码的习惯,基本上你注册过的平台都能挖掘出来,你的癖好,你的私密圈,你在网上飙过的骚话,甚至你十年前发的qq空间,全部给你整的明明白白。
前段时间刘慈欣飚的骚话就被挖出来了,人设崩塌。
这些骚话慌中带皮,稳中带急,尴尬的让我完全不敢相信是一个严肃科幻作者的内心。
再比如我们搜索逻辑思维的罗振宇:
根据百度提供的出生日期,很容易发现第三条就是。
而在互联网信息世界,名人和普通人一样只不过是一条数据。
有了这些东西,很多事情就变得简单了。
所有攻击术都能变得细致无比,当能说出你妈都不知道的东西的时候,你只能颤抖着给钱。
即使最简单粗暴的从事所谓代查开房记录、银行存款的生意,也能养活很多会用社工库的脚本小子。
7
灰产玩来玩去核心就是老一辈留下的那几套东西,无论之前说的旁氏,高利贷,亦或者是今天说的攻击术,只不过时代发展了,承载的形式更丰富了。
对错暂且不论,存在即合理。
但起码,别等退潮了才发现自己在裸泳。
(本文部分图片来自于网络,侵删)
-完-
网友评论