拜讀小鐵大分享兩篇精彩文章 - 對岸高手用駭客技巧狠狠教訓用裸照勒索女生的渣男及用網拍漏洞偷走手機的騙子的故事。觀犘學習(誤)之餘,忍不住想筆記一下手法,作為防範借鏡。

我人肉了一个用裸照威胁女孩的变态

故事是有個女孩在網路交友過程被某個渣男錄下裸照,並以此要脅見面,女生求助於作者。作者先用 QQ 找回密碼功能取得手機三碼,同時肉搜其發表過文章,以貼文平台忘記密碼功能再多蒐集到兩位手機號碼,接著用同帳號查出微博,再從微博忘記密碼再取得手機一碼。此時手機號碼只剩 5 碼未知,透過長時間篩選(作者未說明方法)找出真實手機號碼,透過 QQ 手機號碼搜尋好友功能確認為本人,進一步由手機號從支付寶查出姓名。手機號查微信查到另一組 QQ 號,進一步找到更多資訊。最後共取得渣男畢業學校、真實姓名、手機及 QQ 號、年紀,並在微博發現疑似身分證號,之後從特殊管道買到身分證對應的大頭照。

接著作者展開進攻,假冒其學姐加 QQ 找他玩遊戲取得 IP 定位地理位址,然後自稱是女生的男友連絡渣男,攤開己掌握的資訊(有照片就很嚇人了),渣男嚇到屁滾尿流,刪照求饒。

我被人吞了一部手机,调查后发现对方是淘宝打假人

故事是作者在網拍賣手機,對方先藉故拒收包裹要求賣家退款,拿到退款後卻又跑去配送點領走包裹,鑽機制漏洞騙走手機。惹到駭客是很可怕的,作者展開人肉搜索,由零碎資訊拼湊出真實姓名(在微博留了真名)、電話號碼(設定 URL 時自己洩露的)、居住地。作者佯假買家跟騙子搭上線要到微信,弄了個釣魚網站,假好心用微信傳了連結通報對方被盜圖,對方一連上網站就洩漏了 IP 與地理位置。

掌握姓名、電話、居住地,也查出對方以在淘寶打假謀利(舉報假貨,拿貨又退款),作者跟騙子攤牌想拿回手機,沒想到對方不當回事還氣焰囂張,氣得作者怒火攻心決定放大絕。知道騙子在某個遊戲交易平台有註冊,先 PS 改圖寄給交易平台客服謊稱自己手機掉了無法改密碼,同時間用「齷齪手段」讓騙子的手機收不到確認簡訊或電話(這部分特別神奇,但作者未交待細節)並發動垃圾信淹沒確認郵件,同時持續以焦急口氣催促客服人工授權,就這麼改了密碼~ (嘩,好麗華的社交攻擊!)

接著上演的橋段更精彩,作者拿出神奇道具 Bad USB(一插就中毒的行動碟),設成一插上電腦就下載木馬程式,附上"這是你的照片? 看看"小紙條一起寄給騙子。四天後,騙子收到也看了行動碟,電腦被種了木馬讓作者取得了控制權。

結局作者打了電話(因為微信被對方封鎖了)告知已取得遊戲交易平台帳號及看光電腦檔案的事,終於讓騙子嚇出一身冷汗,答應乖乖歸還手機。(文末似乎還暗示騙子已被公安抓了)

兩個故事都很精彩,裡面包含不少駭客技巧(順便整理從防衛角度如何因應)

  • 肉搜技巧:由多個來源搜羅資料再拼湊出全貌
    防範:盡可能減少在網路留下個資或相關線索
  • 忘記密碼功能是取得手機號碼片段的好方法
    防範:除非放棄用手機還原密碼,否則只能寄望平台業者打厚一點的馬賽克了
  • 自製釣魚網站,透過社交攻擊引誘瀏覽
    防範:來路不明的網址請多加留意
  • 社交攻擊(從遊戲交易平台客服下手) 防範:突破點為第三方廠商,無險可守
  • 阻斷特定手機接收簡訊及來電(很神奇,但作者未交待細節)
    防範:未知
  • 狂發垃圾信阻礙重要信件接收
    防範:當收到大量垃圾信時格外提高警覺
  • 使用 Bad USB 植入木馬程式
    防範:於下段說明

關於一插上就中獎的 Bad USB

其中阻斷手機接收簡訊或來電及 Bad USB 這兩項技術對我格外有興趣,前者查不到什麼線索,Bad USB 倒是幾年前 Black Hat 駭客大會的熱門話題,目前似已商品化(文章作者就花了近一百塊人民幣買了一只),查了資料,最簡單的做法是在 USB 行動碟裡藏了 Leonardo 版 Arduino,Leonardo 版有個特性是能模擬鍵盤滑鼠,因此可設計成使用者插入 USB 後假裝自己是鍵盤輸入一連串指令,如這篇 Badusb 初级使用展示,可偷偷開啟 DOS 視窗執行 PowerShell,使用 .NET System.Net.WebClient 連到特定網站下載並執行惡意程式,這原理說穿不難理解,但想出由這個管道進攻很有創意,也很難防守。模擬按鍵操作電腦過程會顯現一些跡象,也可能受使用者當時的鍵盤滑鼠操作干擾,所以作者才說「如果他反應夠遲鈍即可入侵成功」。

我的心得是 Bad USB 這招真的防不勝防,恐怕只能從拒插任何來路不明的 USB 行動碟下手。

說到 Arduino Leonardo,我還真買過一塊,就是衝著它的鍵盤滑鼠模擬功能,改天來玩看看。:P

thumbnail


Comments

# by 小小訪客

大開眼界

# by Jimmy

用偽基站就可以擋簡訊和上網了吧, 反正他都知道對方住哪裡

# by 里克威斯特

阻斷手機接收簡訊或來電, 我猜想會不會是通知電信公司, 表示手機搞丟了, 要求掛失手機號碼, 讓該號碼的SIM卡失效

Post a comment