當前位置:首頁 ? 網賺項目 ? 正文

分類頁和文章頁“當前位置”下方廣告(移動版)

頂級黑客歡樂解析:宋喆被人肉的七種方法

757 人參與  2016年10月22日 15:42  分類 : 網賺項目  評論

  作為敢搶奧運會頭條的男人,宋喆遭遇了圍追堵截。這次全民捉奸不僅是娛樂圈的狂歡,科技圈也神亂入了一下:

  如果沒有廣大黑客技術愛好者的參與,狗仔們似乎也無法在幾天之內扒出宋喆的身世、愛好、住址、開房記錄,用體無完膚來形容毫不為過。

網友總結的宋喆個人信息(保護公民隱私,敏感信息已被打碼)

  實際上,黑客們認真捉起奸來,可以獲得諸多讓人驚訝掉下巴的奇異信息。雷鋒網決定向頂級黑客請教一下,暫時拋開法律和道德因素,究竟怎樣人肉一個人呢?或者從反面來說,如果你不小心愛上了明星的媳婦而成為了全民公敵,如何避免被人肉的悲慘遭遇呢?

  這次雷鋒網采訪到了擁有傲人娛樂氣質和專業黑客精神的安全研究員——360 網絡攻防實驗室老大林偉。以下是干貨。

  01

  iPhone——隨身攜帶的定時炸彈

  憋說話,掏出你的 iPhone。(如果你有的話)

  打開:設置—隱私—定位服務—系統服務—常去地點

  看到了沒,讓我猜猜,你去的次數最多的地方是你的家,而排名第二的,就是你的公司。如果覺得不夠詳細,點進去還有地圖。就是這么驚悚。

蘋果手機會默認開啟“常去地點”功能,完整記錄你的生活軌跡

  如果黑客搞到了你的 iCloud 賬號,用任意一臺 iPhone 登陸,都可以獲得你常用的位置信息。所以如果你成為了全民公敵,就不要驚訝為神馬第二天就有人在你家樓下堵住你的去路。

  當然,事情原本可以不用這么復雜,看到“查找我的 iPhone”了嗎?

  然而所有的信息都建立在你的 iCloud 被破解的基礎上。而iCloud 的安全性, 很大程度上依賴于你的密碼強度還有密保郵箱的密碼強度。如果你的密保郵箱是網易,呵呵。

  宋喆的郵箱用于找回密碼的密保郵箱使用了相同的弱密碼,這導致黑客可以輕易修改他的郵箱密碼

  這一點都不可笑,宋喆的常用郵箱就是網易,這也是他被突破的關鍵點之一。從網上流傳的馬蓉自拍圖來看,這些圖片來源很可能是馬蓉或宋喆的 iPhone 手機。這表示很可能已經有黑客攻陷了二人至少一部手機。

  02

  弱密碼——紙糊的門鎖

  現實世界中的情況是,幾天之內宋喆的所有郵箱、人人網、京東賬號似乎都已經被攻破。黑客們是如何做到的呢?根據爆出的信息,林偉為我們簡單地梳理了一下他被“社工”的步驟:

  1、手機號、身份證信息被網友通過社工庫泄露。(身份證上包含住址,但后來證明此居所已被出售。)

  2、網易郵箱密碼被破解,牽連出背后的密保郵箱和其他常用郵箱。

  3、利用郵箱登陸的人人網、豆瓣賬號被搞定。

  4、與郵箱密碼相同或相似的京東、大眾點評、外賣 App 被攻破。

  5、某電商收貨地址暴露,導致藏身住址被扒出,被媒體圍堵。

  我們來追本溯源,這一切的一切都始自于郵箱被破解。眾所周知,網易并不給力,曾傳言被拖庫(用戶信息庫被黑客拖下來)。雖然官方否認,但多個渠道證明在黑產中流傳著完整的網易郵箱的用戶信息。

  

在黑產中流傳的網易郵箱密碼庫

  正因為如此,才能在社工庫里看到宋喆的郵箱密碼。然而有一件事必須說明,那就是網站被拖庫,并不意味著你的密碼信息一定會被泄露。

  科普一下。現在幾乎所有網站的用戶信息都已經被“加鹽”,即所有的用戶名和密碼都是在加密狀態被存儲的。即使黑客黑進了網站服務器,拿到了你的密碼信息,也不能讀出明文,而是需要通過密碼字典破譯。破譯的難度和密碼的復雜度成正比。也就是說,如果你的密碼足夠復雜,以目前計算機的算力,仍然難以被破解。

  事實上,看似精明的宋喆在網絡安全意識方面還不及一個普通人,他的密碼之簡單令人發指。確切來說,他的常用密碼只是自己名字的拼音,或者在前后加上自己的生日。這才造成了短時間內一連串賬號被破解的悲慘遭遇。

  那么問題來了,應該怎樣設置密碼才安全呢?

  林偉告訴雷鋒網,密碼應該和電影一樣,至少分為三級:

  第一級:

  iCloud 密碼、微信 QQ 密碼、支付寶密碼,應該設置十位以上,數字字母符號混排的無意義字符(如果你喜歡記憶有語義的密碼,可以采用一個技巧,那就是用0代替o,用1代替i,諸如此類。)

  第二級:

  京東、團購、外賣等常用網站,設置八位以上,數字字母符號混排的無意義字符。注意密碼排列不能和第一級密碼有部分重合,否則一旦破譯了二級密碼,可以直接以二級密碼作為字典,輕松破譯一級密碼。

  第三級:

  一般網站,為了照顧自己的智商,可以采用容易記憶的相對較弱的密碼。同樣注意不能和其他兩級密碼有重復,否則極易功虧一簣。

  

提供幾個高強度密碼供童鞋們參考,忘了別怪我

  03

  微信朋友圈——潛伏+無間道

  你認識你的所有微信好友嗎?相信你一定會回答“不”。那么,你又怎樣確定自己的朋友圈里是不是潛伏著一個無間道呢?

  如果你看到微信上有多年不見的老同學加你好友,看頭像還確實認識,你會通過驗證嗎?正常人十有八九會通過驗證。

  然而事情的真相可能是:黑客通過你人人網上的公開信息和好友信息,拿到了你的老同學的照片和基本信息,然后躲在微信后面添加你為好友。

  一旦通過,你的朋友圈便對黑客敞開了。想想看,你在朋友圈里曬的每一張照片,每一個感想,都能成為黑客判斷你位置和性格的有力證據。

  林偉說:

  大多數人在朋友圈發送內容的時候,都沒有很高的警惕心。如果在陌生人添加你為好友,并且看起來可信度比較高的時候,你最好先對他屏蔽自己的朋友圈,然后添加好友,之后先查看對方的朋友圈,確定對方的身份可信之后,再對他放開朋友圈。

  04

  微博、人人網、豆瓣——再見,隱私

  宋喆在事發后第一件事就是清空了自己的微博,看來他也意識到,自己在微博上發的信息,都會成為對自己不利的“呈堂證供”。然而,他沒有在第一時間清空自己的人人網。(一般人確實很難在第一時間意識到還有人人網這個神器的存在。)這導致了黑客搶先黑進了他的郵箱,更改了他人人網的密碼。很可能他已經無法登陸自己的人人網賬號。

看起來,帝吧的朋友們已經占領了宋喆的人人網

  你可能會問,宋喆為什么不可以通過登陸郵箱把人人網密碼修改回來呢?答案是,他的郵箱被曝光出來之后,已經有潮水般的網友在世界各地嘗試登陸,進入了異常保護狀態,任何人都已經不能嘗試登陸。另外,就算沒有這種人肉 DDoS,之前提到,他的郵箱很可能已經被攻破并且改密,所以宋喆已經失去了對自己郵箱控制。

  想想你都在人人網上做過什么吧?這個已經有點過氣的社交平臺,潛伏著你的所有黑歷史。以宋喆為例,在人人網上,你可以公開查詢到他的生日、從小到大的學校信息、他喜歡養狗、他的偶像是陳冠希、他的性格放浪不羈等等。

  稍后會提到,在破解其他賬戶或郵箱的時候,這些個人信息會作為密保問題的答案,扮演破解的重要角色。

  

王珞丹在微博中曬出的兩張圖片導致住所被網友定位

  再來說說微博,假設被人肉者沒有第一時間清空,所有人都可以公開查看他發布過的信息。因為發微博被人肉的事情,已經屢見不鮮:

  • 王珞丹曾經因為發布了從窗口拍攝的圖片,被網友根據小區內景、窗口高度、光照情況,在幾小時內就定位到了她的小區、樓號和門牌號。

  • 劉強東因為和女助理同時發布了同一盆西紅柿的照片,從而被網友懷疑出軌地下情。

  宋喆以自家斗牛犬的名號開了微博“虎斑小DD的幸福生活”,網友據此照片定位到了他生活的小區

  作為一名擁有頂級安全意識白帽子黑客,林偉也會在微博、人人網抒發情感,但是他有一些發布微博的心得:

  盡量不要拍攝包含過多信息量的照片,也盡量不要附帶地點信息。盡量不要使用某些人才能懂的暗語,因為如果有人盯上你的時候,暗語很容易被破解。

  05

  小號——隱秘線索牽出驚天秘密

  人在做壞事的時候,一般會使用小號。

  宋喆在約姑娘的帖子里,透露的并不是常用的網易郵箱,而是一個 Hotmail 郵箱

  宋喆也明白這一點,所以在豆瓣約“群P”的時候,留下的并不是常用郵箱。但實際上,豆瓣把他的登陸郵箱和小號郵箱之間的關系聯系了起來。

  在注冊很多小號的時候,人們會選擇用一個獨立的郵箱,但是很多人往往不會新買一個電話號用來收驗證碼,即使有兩個手機號碼的人,也會選用生活或工作中的一個。這樣就會建立虛擬 ID 和真實身份之間的聯系。

  有的人會有小號 QQ,但是為了方便管理,往往會互相加好友,甚至拉群。在這種情況下,一旦 QQ 密碼被攻破,就很容易牽出你的小號 QQ。如果大小號使用相同的密碼,則很容易被一鍋端。

  林偉說。

  實際上,根據內部人士的爆料,宋喆的常用郵箱和小號郵箱使用了相似的弱密碼,這就導致了黑客直接沖進了宋喆的小號郵箱,看到了他黑暗的一面。

  宋喆的一個小號郵箱被匿名黑客攻破,向雷鋒網提供了截圖,未滿十八周歲禁止觀看

  不過,對于小號和身份的關聯,遠不止這么簡單,林偉列舉了一些事實:

  如果你使用同一臺設備登陸過大號微信和小號微信,那么在微信的大數據層面,就會為這兩個號碼建立一定的關聯。

  如果你匿名用百度搜索過一些關鍵詞,還是會有廣告彈出在你的設備上。這些都是在服務提供商的大數據中強制關聯的。

  這樣說來,安全級別最高的小號使用規范大概如下:

  1、匿名申請一張電話卡

  2、在專門的平臺上申請一個臨時動態郵箱

  3、以這個臨時郵箱作為密保郵箱,申請新的永久郵箱

  4、使用全新的專用手機登錄小號,并且不在其他任何設備上登陸小號

  5、兩部手機不能同時帶在身上,以防位置信息重合,產生關聯;嚴禁開啟 Wi-Fi,防止被釣魚定位。

  相信我,如果宋喆用這種安全級別的小號約炮,全世界沒有幾個人能發現。

  當然這種“高級小號指南”只是是玩笑。林偉概括了一下:如果想要用小號保護自己的隱私,就要盡可能做到虛擬身份和現實身份的割裂。

  06

  外賣,京東,淘寶——出賣你的收貨地址

  公眾對于宋喆的“圍剿”,最終讓網絡上的人肉變成現實中的人肉。媒體最終根據種種信息成功堵截到了宋喆,這其中立功的關鍵,很可能是電商。

  林偉相信,淘寶、微信這些巨頭企業對于用戶信息的保護級別是很高的,一般不會出現泄露。不過,如果前文提到的密碼分級沒有做好,會導致撞庫的發生(黑客破解了其他平臺的密碼,從而用這些密碼嘗試登陸淘寶和微信)。

  而例如大眾點評、餓了么、京東這些平臺,其安全級別可能會弱于 BAT 的“親生”平臺。

  總之,電商信息的泄漏,會產生一個致命的影響,那就是你的收貨地址。這些收貨地址真實性是非常高的,而且極可能包括“被人肉者”和親友的全部常用地址。

黑產中流傳的京東訂單泄露信息

  雖然娛樂記者沒有透露,但是林偉推斷,最終“線人”定位到宋喆的“藏身之所”(實際上是他為父母購置的新寓所),很可能是由于某個電商的收貨地址泄漏導致的。另外,如果宋喆的外賣軟件(例如美大、餓了么)的密碼已經被黑客掌握,一旦他在藏身之處點了外賣,收餐地址會馬上出賣他。

  從電商和外賣平臺泄露的信息,還不止這些。例如有黑客爆料,宋喆的京東購物記錄里,有大量的狗糧,因此判斷他可能會在早晚出門遛狗。

  07

  Wi-Fi ---上帝之眼

  你可能并不相信,只要你的手機一直打開 Wi-Fi,理論上黑客可以采用一種方法,追蹤你的空間移動軌跡。

  先來做個科普:

  所有的手機只要打開 Wi-Fi,都會實時對外廣播自己曾經連接過的 Wi-Fi 名稱,而只要在信號范圍內存在相同名稱的 Wi-Fi,手機都會自動嘗試連接。

  這是一個林偉都難以理解的奇葩行為。

  林偉設想了這樣一種攻擊模式:

  首先在宋喆家門口,用隨意設備搜索 Wi-Fi 信號,信號最強的即是宋喆家中的 Wi-Fi,Mark 下 Wi-Fi 名稱。

  然后使用一種被稱為“大菠蘿”的 Wi-Fi 信號發射器,對外發送和宋喆家同名的Wi-Fi 信號。

  最后把“大菠蘿”放在宋喆有可能經過的地方,一旦有手機連接上 Wi-Fi 信號,“大菠蘿”就會向控制者回傳信號。

  

大菠蘿無線信號發射器(Pineapple Wireless)

  這樣的“大菠蘿”可以有許多個(如果你的捉奸經費足夠的話),布置在小區車庫門口、樓道門口,所有他可能會落腳的地點。這樣,就好像在城市中布滿了攝像頭,只要收到信號,就表明被追蹤者(或者家人密友)經過了此地。(可以通過連接設備的名稱判斷連接者的具體身份。)

  “大菠蘿”不僅可以提供虛假的 Wi-Fi 信號,還可以提供真的 Wi-Fi 功能。只不過,在這些“釣魚 Wi-Fi”上傳輸的明文信息,都可以被攻擊者一覽無余。

  由于這樣的攻擊方式是建立在 Wi-Fi 的奇葩協議之上的,所以林偉也表示沒有太好的防御方法。“在必要的時候才打開 Wi-Fi,是一個無奈的方法。”

  08

  還有哪些奇葩走位

  以上介紹了諸多在北京城“追逃”的方法。然而,遭遇人肉和社工的“全民公敵”有可能第一時間飛往國外。如何判斷一個人究竟是否“出逃”了呢?

  “你聽說過航旅縱橫嗎?”林偉問。

航旅縱橫

  很多經常坐飛機的童鞋都用過航旅縱橫,它可以完整呈現一個人所有的航班信息。在過去的版本中,你只輸入自己的身份證號,就可以查詢自己的航程。同樣,你輸入別人的身份證號,也可以查看別人的航程。

  林偉告訴雷鋒網,在新版的航旅縱橫中,App 對查詢者的身份校驗變得更加嚴格,需要用戶上傳自己的身份證照片。

  他說:

  這種情況下,攻擊就比較麻煩了。因為你需要 PS 一個身份證。

  沒錯,審核人員是很難分辨一個身份證的真偽的。

  “另外有閃付功能的銀行卡也有一個奇葩的特性。”,林偉補充道,“如果你用 NFC 設備去讀取它,會得到最近十筆消費記錄。這種攻擊只需要用設備在對方身邊掃描一下就好,那些娛記圍堵到宋喆時,不應該僅僅采訪,還應該用這樣的設備掃描一下他。”

  使用特定NFC設備掃描卡片,卡號、持卡人姓名和身份證號,還有最近十筆交易記錄都可以被讀取出來/圖片由 360 獨角獸團隊提供

  林偉說,作為一個黑客,講究攻心為上。如果僅僅為了找到宋喆,那么以上的技巧綽綽有余。但是,人們更想要的是真相。而獲得真相的前提,則是宋喆和馬蓉兩人產生裂痕。

  在林偉看來,網絡上流傳的宋喆開房記錄,正是攻心的一種。客觀上來說,詳細到鐘點房的開房記錄,只有警方才能掌握。所以這份資料的來源似乎永遠不會有答案,警方自然也不會出面澄清。這樣的結果是,永遠無法有人證明這份記錄的真偽。進一步來看,假設這個開房記錄是黑客偽造,那么在一定程度上就達到了加重二人相互猜忌的結果。

網曝宋喆開房記錄

  猛然驚醒。原來黑客的最高境界,是在人的精神世界安插一個定時炸彈。

  傳播正能量的時候到了。作為資深黑客,林偉深知法律和道德的邊界。

  用社工方法入侵他人的賬號是非法的行為,人肉他人也是不道德的行為。之所以介紹這些攻擊方法,是因為在互聯網時代,每個人都面臨攻擊的威脅。知道進攻的方法,才能更有效地防御。

  他說。

  從這一點上來說,宋喆的血淚史至少教會我們兩件事:

  看好自己的老婆,別動別人的老婆;

  看好自己的密碼,別動別人的密碼。


內容來源于網絡收集


推薦閱讀:

如何利用王寶強賺錢?借力“王寶強離婚”事件引爆你的流量解密

解密王寶強馬蓉離婚事件如何讓他在3天時間里賺了10萬元+

來源:艾樂博客(微信/QQ號:178551440),轉載請保留出處和鏈接!

本文鏈接:http://www.ztpilu.tw/?id=872

文章底部廣告(移動版)
百度分享獲取地址:http://share.baidu.com/

本文標簽:

加入【網絡營銷聯盟】QQ群:59514883(加群驗證:后海博客)

這里的內容可以隨意更改,在后臺-主題配置中設置。

百度推薦獲取地址:http://tuijian.baidu.com/,百度推薦可能會有一些未知的問題,使用中有任何問題請直接聯系百度官方客服!
<< 上一篇 下一篇 >>
評論框上方廣告(PC版)
評論框上方廣告(移動版)

  • 評論(0)
  • 相關文章

◎歡迎參與討論,請在這里發表您的看法、交流您的觀點。

我是標題

    內容的形式各種各樣,可以是文本,也可以是各種廣告等。

網賺博客 | 網賺論壇 | 任務賺錢 | 掛機賺錢 |

Powered By 艾樂博客 版權所有 遼ICP備11008011號-1

三肖中特管家婆特期期准