被黑了怎么出款 黑产如何控制你的账号?“黑”走一辆车要多久?新极棒来揭秘
近年来,电信网络诈骗呈高发态势,而屡打不绝的一个重要原因就是其背后庞大的“黑灰产业链”,产业链各个环节勾结,上下游联手,不断滋生网络犯罪。此次来到现场的两位“神秘人物”便是利用高超的专业技术,长期协助警方打击网络黑灰产的特殊极客。
“如果有过这些经历,那么你的账号很可能已经被黑灰产利用,成为了获利链条中的一环。”两位极客现场分享了一段发现、分析和定位某个黑灰产团伙,成功保护百万级用户数据安全的宝贵经历。
首先,用户投诉是引起极客关注的开端。通过分析状态异常的用户设备,他们提取了一些技术线索。比如,所有的受害设备均为安卓设备,各种厂商的漏洞都有涉及;登录请求从“常用设备”发出,用户IP符合常用IP;几乎所有登录来源于“一键登录”功能……“这些说明可能不是一个针对特定厂商的漏洞,而且隐蔽性很高。”
为了确定黑灰产的攻击手段,极客做了很多尝试,最后确定是让用户在同设备安装了第三方恶意应用,模拟“一键登录”请求。在他们看来,运营商“一键登录”功能存在明显的鉴权缺陷,黑客正是利用该缺陷实现攻击,“控制”了用户网络账号。
“我们确定要找的(黑灰产)是一个恶意应用,但要找到它仍然非常困难。”极客分享,他们曾尝试模拟受害设备行为来“守株待兔”,也曾寻找受害设备应用列表的“重叠”部分来定位等,但都铩羽而归。经过反复试验,极客通过对比恶意应用的流量需求成功破题,最终在执法部门的帮助下抓获了黑灰产团伙,设备漏洞也得到修复。
在现场,极客们提出建议,开发者要更审慎地设计一键登录等功能,设备厂商应尽可能严格地审核应用框架。广大用户需尽量避免安装不明来源的应用,并及时反馈账号的异常情况。
极客“炫技”:“顺走”新能源汽车,用鼻尖解锁手机
除了极客的特别分享,此次新极棒大赛还汇集了数十组全国顶尖的安全团队,在现场上演各类黑科技挑战。其中备受瞩目的一场是腾讯安全玄武实验室的陈昱带来的“无限手套”攻击技术展示。
选手陈昱在演示
当前,每天都有数十亿次智能手机指纹验证用于解锁、支付等功能,而陈昱此次展示的便是暴力破解多款主流手机指纹验证的过程。
赛场上,陈昱先是用鼻尖连续五次触碰某品牌手机的指纹解锁按钮,该手机很快因多次解锁失败而锁定屏幕,暂停指纹认证功能。其后,陈昱拿出螺丝刀、电线等工具开始对这部手机进行拆解,并对部分设备装置进行改装或者植入。大约5分钟后,陈昱再次用鼻尖触碰手机的指纹解锁按钮——手机成功解锁!其后,一位观众被邀请上台,同样用自己的鼻尖解锁了该手机,主持人宣布挑战成功。
赛后,陈昱告诉南都记者,参与这场挑战赛最大的意义在于给手机厂商、供应商一些提醒,即在设计手机解锁功能,包括指纹、人脸等身份认证功能时,应考虑到防止攻击者通过暴力拆解等手段解锁手机的情况,“提醒他们在一个产品的设计阶段就避免(这些问题)。”
陈昱坦言,为了完成这项研究,他做了一些“非常夸张的事情”。在研究早期,由于要保证手机原件不被破坏,加之手机芯片很小,手法不熟练的陈昱在拆解主板时遇到了很多困难。反复试验的过程中,他在二手平台上先后购入四五十台二手手机进行尝试,甚至买空了该平台上的某款旧手机。
随着车联网的迅速普及,汽车网络安全已成为不可回避的重要问题。在一场名为“顺走一辆新能源车,需要多久?”的挑战中,评委在车内连接车内WiFi后锁好车离开,车辆处于熄火状态。两位极客站在车外,通过电脑进行操作。
选手在操作
十几分钟后,现场响起“嗒”的一声——车门自动打开。一位极客进入驾驶座后继续操作电脑,几分钟后,他成功“顺走”了这辆用作挑战的新能源汽车。整个过程在20分钟内完成,极客们的精彩表现赢得了现场阵阵欢呼。
选手成功开走试验车
值得一提的是,2023是极棒大赛连续举办的第十年。KEEN创始人、极棒大赛发起者王琦在致辞中表示,这个世界的漏洞并不是因为黑客才存在,恰恰是因为黑客发现才会被消灭。他希望通过极棒大赛让更多人了解网络安全,推动安全产业发展,壮大安全人才队伍,“也希望有一天消费者有权作出更快捷、更安全的选择。”
采写:南都记者 樊文扬 王子黎 发自上海