共计 6071 个字符,预计需要花费 16 分钟才能阅读完成。
《孤注一掷》潘 生
潘生 ,华京科技大学计算机硕士,计算机蠢才,缅北欺骗产业的亲历者。
1.《孤注一掷》潘生心理实录
我曾在一家互联网教育公司工作 6 年,我有天性,也肯致力,升职 K7 原本是众望所归、天经地义的事,却被关系户打乱了升职门路。一气之下,我丢掉工牌,决定入职一家名叫“萤火”的新加坡游戏公司。我给共事和家人都看过“萤火”的办公环境和宿舍环境照片,没有人狐疑这是一个骗局。
(一)Emoji 泄愤
来到升职大会后,我越想越怄气,一怒之下,通过 SQL 注入 PMS,失去酒店管理系统的登录明码,管制了酒店的投屏零碎,向屏幕投放了许多 Emoji 表情。我想让大家看看,台上站着的这个关系户多像个能干的小丑,这家公司有多丑恶。
Emoji 投放到酒店屏幕的过程:
·PMS(Property Management System): 酒店或其余住宿设施用于治理客房预订、客户账户、前台操作等的零碎。简而言之,它是酒店的外围操作系统。
·SQL 注入: 是一种攻打技术,攻击者通过提交歹意的 SQL 代码来试图获取、批改或删除数据库中的信息。例如,如果酒店管理系统的登录页面没有正确地解决用户输出,攻击者就能够利用这个破绽来执行不当的 SQL 查问,从而绕过身份验证或间接从数据库中提取信息。
·获取登录明码: 通过胜利的 SQL 注入攻打,攻击者可能拜访数据库中存储的明码(或哈希的明码),而后应用这些明码尝试登录 PMS。
·管制投屏零碎: 一旦攻击者胜利登录 PMS,便能够取得对酒店其余零碎的拜访权限,包含投屏零碎。投屏零碎通常用于会议室或客房,容许用户将内容投放到大屏幕上。管制这种零碎可能会导致隐衷泄露,或者使攻击者可能在屏幕上显示任何内容。
为了防备此类攻打,酒店应该:
·保证系统及时更新和打补丁。
·应用预编译的 SQL 语句或参数化查问来防止 SQL 注入。
·定期审计和监控系统活动。
·加密存储和传输的敏感数据。
·为不同的零碎和网络层设置不同的权限。
(二)植入木马,窥探共事
起初,我登上了出国的飞机。我向每个新共事的手机都植入了木马,看看他们到底是什么来历。
钓鱼植入木马的操作原理和过程:
·制作钓鱼链接或邮件:黑客创立一个假装的链接或电子邮件,这通常看起来像是一个非法和值得信赖的起源(如银行、社交媒体网站或其余罕用的服务)。
·木马载荷:黑客在链接或附件中嵌入恶意代码,这段代码被设计为在用户的设施上执行并下载木马。
·欺诈受害者:通过各种社交工程技巧,如引诱受害者点击某个紧急的链接、提供特定的处分或利用人们的好奇心,黑客会劝告受害者点击这个链接或关上附件。
·执行恶意代码:一旦受害者点击链接或关上附件,恶意代码即被执行,从而在设施上装置木马。
·获取拜访权限:一旦木马被植入,黑客能够近程管制受害者的设施、窃取敏感数据、监控受害者的行为,甚至将设施用于其余歹意流动,如发动 DDoS 攻打。
避免被黑客攻击和挫伤的办法:
·教育与意识:进步员工和集体对网络安全的意识是首要任务。定期进行平安培训和模仿钓鱼测试。
·小心邮件附件和链接:永远不要轻易点击来源不明的邮件中的链接或附件,特地是那些没有预期中收到的邮件。
·应用安全软件:确保手机和其余设施上装置并更新了最新版本的防病毒和反恶意软件解决方案。
·定期更新软件:软件更新通常包含平安修复,肯定要定期检查并更新所有的应用程序、操作系统和其他软件。
·双重身份验证:启用双重身份验证(2FA)能够减少账户安全性,即便攻击者取得了您的明码,他们依然须要第二重身份验证来拜访。
·审慎受权应用程序:不要轻易给予应用程序拜访您设施上的数据的权限,特地是那些不值得信赖的应用程序。
·备份数据:定期备份重要数据,以防万一蒙受攻打,手机或者其余设施还能够复原到未被感化的状态。
·应用强明码和明码管理器:应用长而简单的明码,并防止在不同的网站和服务上应用雷同的明码。明码管理器能够帮忙您生成和存储这些明码。
新共事安俊才忽然向咱们自我介绍,说本人是新加坡本地人。但我看过他手机里的信息,他是湖南人。于是立即质疑他的身份。几番交谈后,大家都晓得了我会黑客技术,并且在入职之前就黑掉了所有共事的手机,理解到了所有信息。
飞机要到迦南转折,安俊才让咱们跟他去看美女秀,咱们兴奋不已,毫无防范。出了机场就把护照乖乖上交给他,谁知没走几步就被一群拿着武器的歹徒劫持管制,被抓到了欺骗园区。
(三)深陷骗局,命悬一线
正是自作聪明的炫技行为,让欺骗分子对我的技术功底更加理解。走进缅北欺骗园区后,他们对我提出了更高期待和更高要求,让我成为了“正将”,也让我吃到了更多痛苦。
欺骗行业分工:
中国自古便有千门八将之说。所谓千门,即以骗为生,即是老千职业深造培训学校。正、提、反、脱、风、火、除、谣,便是千门八将之中的上八将。电影《孤注一掷》清清楚楚明明白白开展一幅网诈浮世绘,各工种高深莫测。这些工种之间互相配全,形成残缺的欺骗产业链。
千门八将
正将:潘生所在的小组,负责网站保护,网址保护,避免警察追踪,以及避免同行竞争,避免同行歹意域名劫持,把本人的流量疏导对方的平台上。
提将:也被戏称“狗推”,负责猎取潜在的客户,造就客户的感情,剖析客户的心理,诱导客户下单 (先小赌尝试,而后拉托炒群,而后大额带打算,最初让人赔得倾家荡产。
反将:梁安娜所在的组,负责美色诱惑、激将法的“托儿”。
脱将:负责欺骗团体预先脱身。在影片中,将梁安娜拘捕并转交给阿才,在进行联结围剿前给犯罪集团通风报信的当地警方,便是所谓的脱将。
风将:收集指标需要信息,传递音讯,潘生因高薪信息被诱入局,安娜因高薪招聘信息入局,便是“风将”的杰作。
火将:千门中的打手,专门用武力解决一些事件,阿才便是火将的代表。
除将:负责会谈,收尾工作。陆经理的身份便是处将,当公司被查抄时,他安顿人砸烂电脑,销毁证据,被动留下解决问题。
谣将:负责散发流言,诱使受骗者入局。影片中,谣将便是通过印制梁安娜的低俗小卡片迫使其被解约。
(四)爬虫技术,为虎作伥
在暴力的胁迫下,除了短暂的斗争我别无他法,欺骗团体让我用 Python 爬虫技术获取受害者邮箱,逼我成为善人。
爬虫过程和原理:
·爬虫技术: Python 是爬虫技术中罕用的语言。爬虫(Web Crawler)是一种主动遍历互联网并下载页面内容的程序,通常用于创立搜索引擎的网页索引。
·应用正则表达式: 正则表达式是一个弱小的文本匹配工具,能够用来匹配、查找或替换简单的文本模式。例如,电子邮件的常见正则表达式是:
regexCopy code[a-zA-Z0-9._-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,6}
该正则能够匹配大部分电子邮箱格局。
·提取电子邮箱:一旦爬虫下载了网页内容,它就能够应用正则表达式从中提取电子邮件地址。
反爬虫措施:
·robots.txt:网站能够应用 robots.txt 文件来批示哪些页面能够被爬虫拜访,哪些不能够。
·User-Agent 查看:查看申请头中的 User-Agent 字段,如果它来自已知的爬虫,那么能够回绝该申请。
·设置拜访频率限度:对于间断的、高频率的申请,能够应用限速或封禁策略。·应用 CAPTCHA:对于可疑的申请,能够要求用户实现 CAPTCHA 验证。
·应用动静 AJAX 加载:数据通过 AJAX 动静加载,而不是间接渲染在 HTML 页面上,这样基于简略的 HTML 解析技术的爬虫很难获取数据。
·检测并阻止常见的爬虫 IP:通过辨认已知的爬虫 IP 或一直尝试拜访的 IP,将其增加到黑名单。
自我爱护办法:
·不公开敏感信息:防止在公开的网站或论坛上公布集体邮箱或其余敏感信息。
·应用垃圾邮件过滤器:大多数古代邮箱都有垃圾邮件过滤性能,确保启用它。
·不点击可疑链接:收到来源不明的电子邮件时,不要点击其中的任何链接或下载附件。
·启用双因素验证:对于重要的在线帐户,如电子邮件、社交媒体帐户等,启用双因素验证减少安全性。
·定期更改明码:定期更改电子邮件和其余重要帐户的明码,并确保应用强明码。
(五)天上不会掉馅饼
起初我意识了荷官梁安娜。我帮她实现五百万的业绩要求,让她逃回国内再来救我。不久,梁安娜就钓到了大鱼——阿天。阿天家境殷实,尝到赌博的小苦头之后,便越赌越上瘾,最初甚至卖掉了本人的房子,把 800 万全都投入到了赌场。最初,欺骗分子把他拉黑,阿天竹篮打水一场空,含恨跳楼。
赌场原理:
·欺骗分子利用前端后端技术自定义玩家输赢,博彩软件里有木马,生产习惯、银行短信和盘托出,欺骗分子依据这些数据施行精准欺骗,而后放贷款,走漏内幕消息。
·自定义玩家输赢:欺骗分子能够利用软件后端的权限,在后端代码中插入逻辑来确定玩家的输赢,而前端则仅作为一个显示界面。例如,无论玩家的操作如何,后端都能够通过特定算法或逻辑确定其后果。
·植入木马:博彩软件中的木马可能是一个暗藏的程序,当玩家下载并运行博彩软件时,木马也会在后盾运行。木马程序能够监控、记录和发送用户的手机流动、生产习惯、银行短信等敏感信息。
·精准欺骗:取得的数据使得欺骗分子可能精准地针对每个用户进行欺骗。例如,如果他们晓得用户最近有大量银行交易,他们可能会伪装是银行员工,申请用户提供更多的银行详情。
·放贷款及走漏内幕消息:利用用户的财务状况,欺骗分子可能会诱使用户借款,而后利用高利率和不正当伎俩进行催收。同时,提供所谓的 ” 内幕消息 ” 为钓饵,进一步诱惑用户。
自我爱护办法:
·审慎下载软件:只从官网或可信的利用商店下载软件,防止从不明链接或人为发送的链接中下载任何内容。
·应用安全软件:定期运行防病毒和反恶意软件程序来检查和革除可能的威逼。·隐衷设置:在手机和应用程序中启用隐衷设置,限度哪些利用能够拜访你的短信、联系人等敏感信息。
·不要轻易给予权限:当软件申请某些权限时,如读取短信,思考一下这是否真的必要。如果不是,不要受权。
·验证身份:如果收到银行或其余金融机构的复电或短信,不要间接回复。应该通过官方网站或本人搜寻到的官网电话进行验证。
·不要轻易走漏个人信息:无论是电话还是电子邮件,都不要轻易走漏你的集体或财务信息。
·审慎看待各种引诱:如收到提供高额贷款、内幕消息等要放弃理智、回绝贪婪、谨防受骗。
·定期检查银行和信用卡记录:这样能够及时发现任何异样交易,并及时采取行动。
(六)预留后门,终极自救
狗推们住着最差的房子,吃着最差的食物。我看他们切实可怜,被动提出帮陆经理写一个程序,让程序取代狗推们的脏活累活,利用破绽设置陷阱,有外来者入侵后,暴力破解明码 3 次零碎会主动销毁数据。替换的条件是他把大家都放回国内。他欣然接受了我写程序的申请。但我从没放弃求生和回国的信念,写程序的时候留了后门,受害者名单都留在了惟一能够拜访服务器的终端的手机里,只有保障这部手机不被销毁,立功的证据就会留下,说不定就能把善人绳之以法,避免更多人被骗。
# 利用破绽设置陷阱:
破绽是指零碎、程序或利用中存在的设计或实现缺点。当攻击者找到这些破绽并利用它们时,能够执行未受权的操作。在电影中,男主角为欺骗团伙编写的程序中成心退出了某种安全漏洞,让外界攻击者能够尝试进入。
数据自毁机制:电影中形容的主动销毁数据性能,实际上是一种安全策略,目标是确保在间断屡次尝试谬误明码后,数据不会落入非法用户手中。这是一种针对暴力破解的反制策略,避免攻击者一直尝试明码。
后门的作用:
后门是一个通常暗藏的入口,容许程序员或攻击者绕过失常的认证过程拜访零碎或数据。在电影中,男主角为程序留下的后门实际上是他的“逃生通道”。即便欺骗团伙认为他们的零碎是平安的,男主角依然能够轻松地拜访它。
终端手机中的数据:
男主角抉择一个手机作为惟一能够拜访服务器的终端,这意味着这个手机成为了一个要害的硬件令牌。只有持有这部手机的人才能拜访服务器,这提供了另一层的平安防护。
2. 回归事实,危机仍旧
在飞速发展的数字时代,科技成为咱们日常生活的重要组成部分。科技给咱们带来了极大的便当,但同时,咱们对科技的依赖也为不法之徒提供了新的欺骗机会。咱们早已习惯用手机点外卖、抢红包、收款付款,甚至是借贷生产,每一笔生产都实在地反映着个体当下的需要和经济情况,这些信息一旦被不法分子把握和利用,将会让欺骗分子对症下药,奇妙地设计出更多骗局来戕害大家,贻害无穷。因而,与这些要害数据相关联的信息系统常常会成为不法分子攻打的对象。通过利用程序中的破绽,黑客便可收集到大量隐衷信息,并将这些数据用于欺骗等犯罪活动。
Equifax (2017):
· 详情: Equifax 是美国的一个次要信用报告机构。在 2017 年,它蒙受了一次重大的数据泄露,影响了约 1.47 亿的美国消费者。
· 破绽: 利用了 Apache Struts 框架中的一个已知破绽。
· 泄露的数据: 包含了姓名、社会平安号、出生日期、地址以及一些驾驶执照号码。
Capital One (2019):
· 详情: 2019 年,Capital One 银行发表其数据中心蒙受攻打,影响了 1 亿美国人和 600 万加拿大人。
· 破绽: 攻击者利用了配置谬误的 Web 应用程序防火墙。
· 泄露的数据: 包含了信用卡申请信息,如姓名、地址、邮政编码、电话号码、电子邮件地址、出生日期和支出。
Facebook (2019):
· 详情: 这是世界上最大的社交网络平台之一。在 2019 年,Facebook 公开了一项安全漏洞,可能导致近 5000 万用户的账户受到攻打。
· 破绽: 利用“查看作为”工具,该工具容许用户查看他们的个人资料是如何出现给其余用户的。
· 泄露的数据: 攻击者能够潜在地获取受影响账户的令牌,进而管制用户账户。
为污染网络空间的安全性,解决因程序破绽对社会产生的危害, 智能含糊测试技术已逐步成为企事业单位进行破绽开掘的首要抉择 。智能含糊测试的外围工作原理是通过 AI 算法结构海量的有效或异样的数据,来测试其对不良输出的反馈能力,进而发现零碎的安全性与稳定性问题。
云起无垠开创团队联合含糊测试畛域的深厚积攒,基于含糊测试,交融 AI、笼罩疏导、遗传算法、神经网络等技术研发了自有智能含糊测试技术,相比以往,该技术能够更精准地对应用程序进行平安检测,能够更精确地发现安全漏洞。当下,云起无垠又率先将 GPT 大模型引入含糊测试技术,在破绽自动化开掘和修复中起到了更好的后果。
在安服方面,云起无垠也依据现有技术能力,推出了全面的服务体系,以破绽发现和行为模仿两大重点内容为主,辅以人才培养、规划设计、能力建设等服务项目,助力企业疾速补齐平安短板,全面晋升平安防护能力。
电影《孤注一掷》基于实在的人物与事件,帮忙大家深刻地理解缅甸电信欺骗产业的状况。不法分子骗人去缅甸的伎俩一直迭代,骗走个人财产的骗术也越来越精美。云起无垠作为网络安全的一份子,违心为网络安全奉献一己之力,为宽广用户提供继续平安的网络环境助力。
最初,如电影所讲,心愿大家都可能克服好本人的两颗心——“贪婪”和“不甘心”,明确“天上不会掉馅饼”的真谛,遇骗多质疑,立即找警方,放弃投机心理,守好本人的钱袋子。
申明:相干剧情、素材均来自网络