专栏名称: 安在
人物、热点、互动、传播,最有内涵的信息安全新媒体。
目录
相关文章推荐
粥左罗  ·  【2025 新成员招募】 ... ·  9 小时前  
粥左罗  ·  【2025 新成员招募】 ... ·  9 小时前  
软件室  ·  一键,可永久激活~ ·  昨天  
国家数据局  ·  关于《关于完善数据流通安全治理 ... ·  2 天前  
助研空间  ·  南京大学地球科学与工程学院Science发文 ... ·  3 天前  
助研空间  ·  南京大学地球科学与工程学院Science发文 ... ·  3 天前  
51好读  ›  专栏  ›  安在

海叔圈圈 | 利用大数据的骗子遇到懂APT的极客

安在  · 公众号  · 互联网安全  · 2016-08-16 13:53

正文

前言


昨天和以太网科一起搞了场对媒体朋友的战略合作发布会!和最懂ERP、投融资、新营销的安创汇红人------以太网科CEO肖波大神同场演说。其实演讲主题就是构成一幅对联:


上联:安全.连接.未来

下联:合力.创新.安全


老实说,肖波大神的胶片那是费了不少功夫,精心原创,美轮美奂,绝不亚于乐视的水平。绝非那种拿校园招聘的内容上设计师殿堂的互联网“牛人”。


而海叔的胶片完全是借力启明星辰多个内部同事本年度给老板汇报的精华,用两天时间拼接出来的。自己原创的也就一两页,顺便还给小密圈中的海叔圈圈放个二维码。: )


更高兴的,上一篇文章《保安、保镖、保险,安全创业者未来》也在这天1213分在安在发布,得到很多安全创业的朋友的认可和转发。海叔要在这里谢谢各位创业英雄的捧场!


两周过去,孩子习惯并喜欢上幼儿园了。可不是,这周从周一到周五:音乐节、西瓜节、泼水节、泥巴节和今天的冷餐节+大集市。每天不带重样的,海叔都羡慕小子的童年时光了。


但是,看到安在小编又在群众找孙维大神催稿了,我还是自觉点,利用这早上的安静时光写点东西吧。


今天的文章,源自海叔了解到的一个真实的故事,想想也是蛮好玩的,所以必须写下来,让安在的读者也乐一乐。




掌握大数据的骗子


这段时间,又是大雨又是酷热,所以往往是宅在家中看奥运的时候。但是,总有这样一拨人(通过移动互联网进行诈骗的坏蛋)也不闲着,而且这些家伙还与时俱进。这不,我们正在为如果用大数据提高生产力、振兴经济的具体举措发愁的时候,这些骗子已经“领先一步了”,先看看下面的图:




如果读者不细心看,可能觉得这个事情已经司空见惯,电视、报纸、朋友圈早就传遍了,不就是垃圾短信吗?但是正是这样吗,且听海叔给你分析


  • 以前的垃圾短信或者诈骗短信,是群发的。而现在,背后是群发,但展现的是定向。

  • 现在的短信上把你的名字写的比你妈都写的准确

  • 找你的事由也很有针对性和合理性,聚会的、喝喜酒的、换号码的

  • 域名也升级了,很像正常WAP网站;

  • 不像在电脑上你还要用鼠标点,手机上不是好多人很容易手滑点赞吗?

  • 上面还是举短信的例子,其实微信中也有,那就更可怕了


这些现象,充分表明:


1、 骗子现在能够充分挖掘大数据了,经过分析可以发现人与人的互联关系,从原来的“陌陌”关系进入到“微信”关系

2、 骗子的心理学、行为学得到大大提升

3、 如果你的手机真的被骗子控制了,那比QQ号被盗更危险。对你手机的短信、照片、文档进行深入分析,估计有可能直接转账了。


如果故事就这么结束了,那就太不好玩了。大数据分析也会碰到黑天鹅事件的!千算万算,骗子没想到,诈骗信息发到搞信息安全的极客头上,这才是故事的开始。



APT的极客


自从火眼公司把APT的概念搞火后,国内的信息安全行业中如果说有人不懂APT的简直是OUT了。比如,最近安创汇会员东巽科技的一个最新分析报告写的非常棒,技术功底也可见一斑。


让这些信息安全的极客们来帮你还原一下骗子们的技术过程:


  • 如果你一不小心,点击了短信中的域名,一匹“小马”就会悄悄的溜过来进入你的手机;

  • “小马过河”通常也不声张,等其安居乐业后,会牵来匹运输、负重能力更强的“大马”。一般在这个时候中招的人就已经出现损失了,因为你的手机相关信息就会回传了。

  • 过一段时间,骗子就会更换域名,变种“马儿”,甚至回传地址也会变化,正所谓“做贼心虚”。另一个层面说明骗子们的技术支持水准不低,毕竟这是一条完整的产业链啊。


但是,这次骗子们运气不太好。用对抗APT的技术来分析骗子,确实有点太瞧得起他们了。


当在虚拟机中看见“大马”的动作,懂逆向的高手出手了。分分钟,这些马儿就被放倒充分解剖了。至于这些“马儿”也会用到免杀、加密、混淆等隐藏技术,但是在逆向高手看来,无非就是花的时间长短问题。


骗子敢放马过来,必是为了回传些想要东西到指定位置。至于具体的回传方式,无非是发邮件、FTP或者HTTP POST等手段。具体这个故事中,骗子用的是个免费邮箱。


看到这个免费邮箱地址,到了这个阶段,极客们的技术工作就告一段落,就需要警察蜀黍的出现了。



警民联合抓骗子


海叔一些好朋友是在网监部门工作,也都是一些年轻的技术高手并有着丰富的办案经验。以前和他们私下聊天的时候,他们最痛恨的也就是这些利用互联网诈骗的坏蛋。好好的年轻人有手有脚,还掌握着一定的电脑、网络、编程技术,就是不好好上班或者开个店,专门干这种伤天害理的事情。有些家伙是利用好人乐于助人心态来诈骗,搞得好人受伤再也不敢做好事帮助人;更可恶的是骗了病人的治病救命钱或者学生的学费,这种罪行真是罄竹难书。只是,拥有专业安全技术的网监民警人数还不多,而且很多受害人一般也不报案,有心无力。但这次一听说有这样的线索,并且还有民间的专业安全高手协助,侦破热情空前高涨。


得到警察蜀黍的授权,懂的渗透技术的高手加入进来,很快邮箱的内容就被解密出来,受害者还真不少,这表明诈骗团伙已经构成非法入侵犯罪事实。至于是否有经济上的损失,那就需要进一步的侦查了。


为了反侦查,这些诈骗团伙用来钓鱼的域名所在服务器通常都不是在境内。香港、澳门、台湾、韩国、美国都是他们喜欢的藏身之所。这给警察蜀黍办案带来的极大的麻烦。上文说的免费邮箱,虽然服务器在国内,但是由于涉及到取证跨地域问题,需要一系列的内部流程和手续,等完成这些手续后,诈骗团伙的域名、邮箱往往也就失效了,这也是侦破工作的一个难点。而这一点也恰恰说明了我们大多数公安民警还是依照法定程序办事,并非一些个案或者网上一些不负责任的媒体故意抹黑爆料的那样。


有了执法机关的合法授权,懂APT的极客的十八般武艺都可用上了。考虑到为了避免具体的技术手段被诈骗团伙无意中学习到(安在的传播影响力不容小觑),海叔此处就略去1438字。


最后的结果就是:骗子的名字、住所活动区域被定位出来。果不其然,就是那些以诈骗、黑产为主要营生的地方。接下来,网监支队的同志整装待发,带着逮捕证和手铐去收网了。大家可以自行脑补各电视台的社会新闻中出现的画面。



如何面对越来越多的新型犯罪


这个故事就讲完了,但是故事给海叔带来的新的思考,分享给大家


一、猫和老鼠的游戏永远不会结束。因为诈骗、黑产带来的暴利,所以始终会有人铤而走险,义无反顾的进入这种无良的犯罪行业。前期,互联网的迅猛发展却不注意安全防护,个人隐私信息被大量采集并且被泄露、被贩卖。并且随着大数据时代的到来,大数据分析为精准诈骗、钓鱼等犯罪活动也带来了便利。套用范伟大师的一句话:防不胜防啊! 如果以上故事不是因为骗子一不小心骗到搞安全的极客,很可能就沦陷了。所以普及安全意识教育是多么的重要,以“春秋学院”蔡校长为代表的搞信息安全教育的教育家们,请你们加油,多制作、发布一些防骗课程给广大人民群众。


二、一方面需要保护人民的公安警察队伍强化自身业务能力和素质,使用更先进的装备;另一方面也呼吁广大喜欢信息安全的朋友别光顾着争论“帽子”的颜色。与其未授权去看别人家网站有没有什么注入、XSS漏洞并发布在“乌云”、“补天”上展示自己能力(后果大家也看到世纪佳缘的系列报道),不如协助警察蜀黍一起去抓几个祸害广大老百姓的骗子团伙,更容易被社会认可价值。当然,象袁哥、TKFlashskyGEEKPWN那样深入底层研究、进行漏洞挖掘的也值得我们钦佩和学习。


三、由于互联网犯罪是跨地域的行为,因此,横亘在各地网监警察部门侦查、取证、办案程序审批也建议与时俱进的调整。毕竟侦破互联网犯罪本身就比较困难,消灭犯罪证据和线索比较容易,导致犯罪团伙作案方便被抓困难,这也是现在诈骗、钓鱼等黑产活动猖獗的重要因素。


这一点上,启明星辰集团董事长、全国政协委员严望佳也有深刻的认识,在2016年的全国政协会议上专门提案:依据网络空间属地特殊性,加强网络110报案和办案能力打击有组织网络犯罪,建议公安部、中央网络安全信息化领导小组办公室研究办理。如果这个提案能被认真研究和执行落地,必然功德无量。详细的提案内容有兴趣的请上网自行搜索和查看。



尾声


有时间讨论宝强的家事,不如好好学习新知识。安全创业者可关注如下


1、安创汇CLUB,  每个月一期,干货满满,报名的人请联系会长张耀疆


2、小密圈中“海叔圈圈”是海叔的分享整理,目前还是个开放圈,没有收费!可在圈中给海叔留言,探讨,但言论请符合国家法律法规!





 推荐阅读


坐井观涛 | 乌云背后的“白帽子”

海叔圈圈 | 约炮修行,产品经理的圈子圈套(上)

海叔圈圈 | 猎杀白帽子路人贾


推荐文章
软件室  ·  一键,可永久激活~
昨天
每天学点做饭技巧  ·  煮粽子用热水还是冷水?煮错了这么多年!
7 年前
智利中文网  ·  智利央行决定维持货币基准利率为2.5%
7 年前