黑客与安全技术指南
上QQ阅读APP看书,第一时间看更新

2.2 害人之心不可有,防人之心不可无

对于网络安全以及黑客技术这块崭新的领域,很多人往往感到不知所措、前进困难,这时就出现了一些不怀好意的人,利用各种各样的手段“伤害”读者,我们现在就来剖析一下这些常见的现象。

2.2.1  “高明”的骗子

初学者不了解黑客的世界,却又不断尝试接触,这时,不怀好意的人就会乘虚而入,利用初学者对于黑客的不了解,自称黑客高手,说出一些看似高深的名词,骗取初学者的信任,并要求其缴纳“学费”,这种行为与诈骗无异。但由于取证困难,骗子很难得到惩罚,这更加助长了他们的嚣张气焰。

在此,笔者将介绍一些识别骗子的方法,各位可以作为参考,或告诉身边对黑客技术感兴趣的初学者,提高警惕,谨防上当受骗。

1.所谓黑客

很多时候,骗子们会在各种社区、论坛或是社交网站上发布类似于“黑客收徒”的信息,往往伴随着“技术列表”,如图2-1所示。

这是一种典型的骗术,可能那些人对所列举的技术仅仅是知道名字而已,有时打出的“特价收徒”则满足了一些人贪图小利的性格,使其上当受骗。除此之外,试想,如果这个人的技术真的如此高深,为什么还会为了几十元钱而到处散布“收徒信息”,张口闭口就是“收钱”呢?真正的技术大牛应该是抓紧时间研究技术,提升自己。另外,笔者想纠正一个普遍存在的认识错误:“盗号”很简单。试想,如果盗号真的如此简单,那让腾讯、阿里巴巴这些大公司的技术人员情何以堪?就算真的有人拥有这样的技术,他也不会为了一些可笑的理由去盗取别的社交账号的。

对于这种情况,不妨随意想一种不存在的“技术名称”,询问对方是否掌握,如果对方想都没想就肯定,那么谎言将不攻自破。如图2-2所示,我随意组合了SQL和XSS两个名词。

图2-1 “收徒信息”

图2-2 与骗子交谈截图(无论你说什么,最终结果都会是:伸手要钱)

2.不要随意运行不明程序

有一些骗术手段更加隐蔽,以发送“黑客软件”为借口,给没有防备的新手发送木马软件,窃取信息,甚至让你的计算机在无声无息中沦为“肉鸡”(受黑客远程控制的计算机)。(关于木马,在第9章会有更多相关介绍。)

3.不要被看似“黑客”的东西蒙蔽

图2-3 “匿名者”标志

很多新手对黑客感兴趣是因为“觉得很酷”,正因如此,骗子们往往会用一些很酷的东西来吸引别人。例如“匿名者”以及“V字仇杀队”(图2-2左侧头像),“匿名者”黑客团队给人留下的印象就是“酷”和“神秘”,见图2-3,也难怪很多骗子打着“匿名者”的幌子招摇撞骗了。

还是那句话,真正钻研技术的人是不需要这些表面功夫的。用社交网络上夸张的头像等信息来彰显自己“黑客”身份的人,大多数是骗子或“娱乐圈”人士。关于“娱乐圈”,下一小节会做说明。

4.以假乱真的骗术

一些曾经在网络世界中招摇撞骗的人,或因巧合,或因其他原因,搜集了一些技术书籍的电子版本或一些效果明显的软件,在“学徒”缴纳学费后,发送给他们,其实说不定他们自己都看不懂这些书的内容。

2.2.2 黑客也有娱乐圈

娱乐圈在我们的社会不可或缺,但在网络安全的世界里,这个词就颇有些讽刺意义了。“黑客娱乐圈”本身没有一个准确的定义,一般认为:没有钻研技术的精神,整天考虑如何让自己看起来像黑客,仅会使用一些小工具就沾沾自喜、停滞不前的人就是娱乐圈成员;也经常用来代指以“黑客”为噱头炒作自己的人。

这样的人往往在一些QQ群里出现,这些群一般都有成百上千的群成员,并且各个群之间的成员有着相当高的重合性——这些混迹于各种社交群的人总会添加不止一个娱乐群。如果读者有一位同学,每天沉迷于谈论“刷QQ钻石”“网赚”这些东西,并乐此不疲地在自己的社交朋友圈发布“收徒信息”,那么没错了,他九成就属于笔者所说的“娱乐圈”。他们沉浸在自己浮躁的世界里,并乐在其中。

这并不是个例,很多刚进入这个圈子或渴望进入这个圈子的新手都希望追求一些更“酷”的事物,而不是潜心钻研技术。好奇之心人皆有之,笔者没资格要求他们做什么,但希望他们,特别是徘徊在“娱乐圈”的朋友们能看清那些光鲜下的不实,戒骄戒躁,悬崖勒马。

2.2.3 防范钓鱼网站

钓鱼网站的存在确实给诈骗活动提供了便利(例如,恭喜您获得了价值×××元的××奖品一类),但在此笔者要说的重点是针对用户账号、密码的钓鱼页面。

随着Web技术越来越发达,制作钓鱼页面的技术也随之提高,除去用来诈骗的钓鱼页面,还有一种钓鱼页面值得人们关注,即黑客攻击钓鱼页面。这种类型的钓鱼页面一般以得到目标用户密码等隐私信息为目的,伪造目标用户熟悉的Web环境并实施攻击,在6.4节有一个基于XSS的钓鱼示例,读者可以提前看一下。

为了防范这种钓鱼攻击,最便捷可靠的方法就是留意浏览器URL信息。

注意:此处仅仅是指浏览器显示的URL,而并不是点击链接时的URL——因为URL可以跳转,比如近期就有一个蠕虫在各大社交网站、朋友圈传播,中招的用户都会以不同方式发送一个URL:http://paypassport.suning.com/ids/oauth20/authorize?client_id=suning_01&response_type=code&redirect_uri=http://×××.com&www.qq.com。

这个链接实则是跳转到了×××.com,攻击者又在最后加入了www.qq.com进行迷惑,受害者往往在无意中就成为了蠕虫传播的一个环节,这种方式也被用于隐藏XSS的攻击。

那么,在受害者没有意识地进入攻击者的网站之后,下一步攻击又是如何展开的呢?用户的密码信息又是如何神不知鬼不觉地泄露的呢?

攻击者制作的登录页面看起来和真正的登录页面无异,但这个页面的工作原理如下:

(1)受害者输入账号、密码信息。

(2)提示密码错误,后台第一次记录账号、密码。

(3)受害者再次输入账号、密码。

(4)提示密码正确,并跳转到受害者真正想访问的网站,同时后台第二次记录账号、密码。

(5)记录两次输入的密码,发送给攻击者。

这样一来,抱有“我第一次随便输入密码就知道是不是真的”心态的防御方式彻底宣告失败。

回到刚才的那句话:“最便捷可靠的方式就是留意浏览器上的URL信息”,伪装得再精妙的钓鱼页面,URL也有着明显的不同,在登录时留意URL栏,无疑是一种简便高效的防御方式。该方法不能防御6.4节提到的XSS覆盖页面攻击,不过无须过于担心,遇到这种攻击的概率实在是可以忽略。

还有一点需要注意的是,有些钓鱼攻击者会用子域名来迷惑用户的眼睛,例如:www.baidu.com.×××.com(假设×××.com为攻击者的网站。)

这就需要我们睁大眼睛,对于要求输入密码的网站多留心,或是观察浏览器提供的信息来发现这些钓鱼页面(一些浏览器会自动判断该网站的真伪)。