雇個黑客用用

從“腳本小子”到能搞定復(fù)雜工控系統(tǒng)的高端黑客團(tuán)伙，均聲稱提供“間諜服務(wù)”。但黑客雇傭是怎樣實(shí)現(xiàn)的?下面我們來看一起真實(shí)的案例。

2013年，美國灣區(qū)兩名私家偵探開始著手調(diào)查一起涉及被挖角員工的普通案件。但這兩位私人偵探使用的手法卻有如好萊塢大片似的“精彩”。檢察官稱，他們?yōu)榱藗刹榭蛻舻膶κ郑蛡蛄藘擅诳汀?/p>

內(nèi)森·莫澤和皮特·西拉古薩被互聯(lián)網(wǎng)市場營銷公司ViSalus委托調(diào)查一個競爭對手，也就是曾起訴ViSalus非法挖走其前雇員的一家公司。政府宣稱，莫澤和西拉古薩(舊金山警察局從警29年的退休警察)招募了兩名黑客入侵對頭公司的電子郵件和Skype網(wǎng)絡(luò)電話賬號。起訴書中顯示，兩名黑客為隱藏蹤跡，采用在Gmail郵箱帳號“krowten.a.lortnoc”和“control a network”的草稿箱中留言進(jìn)行溝通。

聯(lián)邦檢察官并未指明被告是怎樣找到這兩名黑客的，但一個明顯屬于其中一名黑客——印度賈巴爾普爾邦的蘇米特·古普塔的郵件地址，在去年也被用于在自由職業(yè)者留言板WorkingBase上找尋可以入侵安裝了Windows系統(tǒng)和微軟Office辦公套件的計(jì)算機(jī)的軟件。發(fā)帖人稱愿出250～750美元求購代碼，但要求代碼必須“完全無法檢測，運(yùn)作良好”，并“期待找到物美價廉的競標(biāo)者”。

客戶群跨度從希望壓過競爭對手一頭的公司高管到意圖監(jiān)視前任情人的分手情侶，什么樣的人都有。

這起加州黑客案件揭開了發(fā)展迅猛的網(wǎng)絡(luò)犯罪市場一角，自由黑客們，無論活躍在公共論壇還是隱身于黑市，隨時隨地滿足每個人的特別需求，從想作弊的學(xué)生和嫉妒心爆棚的男友到律師事務(wù)所和公司高管們。

盡管很難證實(shí)美國最富盛名和最具影響力的商業(yè)雜志之一《Fast Company》調(diào)查過的6家在線交易平臺上黑客帖子的合法性和真實(shí)性，有些站點(diǎn)自夸其擁有類易趣網(wǎng)的反饋機(jī)制，可以使用戶為可靠的賣家提供證明并相互提醒防騙。從業(yè)余的青少年小黑客用現(xiàn)成間諜軟件執(zhí)行單一任務(wù)最高喊價300美元，到動輒要價數(shù)萬美元跨國竊取知識產(chǎn)權(quán)的復(fù)雜工業(yè)間諜服務(wù)。

黑客市場威脅情況十分復(fù)雜。黑客組織可把情報賣給任何一個愿意出價的人。

舉個例子，在上文中提到的黑客中介網(wǎng)站黑客工單上，黑客們能以與外包服務(wù)網(wǎng)站類似的方式競標(biāo)項(xiàng)目。尋求黑客任務(wù)外包的人可以免費(fèi)發(fā)布任務(wù)，或者額外多付一點(diǎn)費(fèi)用讓自己的任務(wù)列表出現(xiàn)在顯眼的位置。黑客通常花費(fèi)3美元進(jìn)行項(xiàng)目競標(biāo)，用戶發(fā)送信息也是要收費(fèi)的。網(wǎng)站提供第三方委托付款機(jī)制來保證服務(wù)提供者只有在黑客任務(wù)完成后才能拿到錢。

盡管黑客工單稱其僅作為像是找回遺失密碼之類“合乎道德和法律的用途”，但它每天大約新增12個任務(wù)列表，有些任務(wù)需要能夠黑進(jìn)私人網(wǎng)站、社交媒體賬戶和網(wǎng)游的人。

在3月份發(fā)布的一份報告中，歐洲刑警組織——歐盟的執(zhí)法部門，預(yù)測在線社交網(wǎng)站和像密碼貨幣這樣的匿名現(xiàn)金轉(zhuǎn)移機(jī)制將會繼續(xù)刺激“犯罪即服務(wù)”的增長，并為像自由職業(yè)者一樣工作的罪犯提供種種便利——在線社交網(wǎng)絡(luò)可提供相對安全的環(huán)境進(jìn)行簡單匿名的溝通交流。

但這一環(huán)境也不總是安全的。上個月早些時候，一名安全偵探撕下了黑客工單創(chuàng)建人的面具，揭示其幕后主人就是查爾斯·藤德爾，一名居住在丹佛的安全專家。之后不久，斯坦福法學(xué)學(xué)者喬納森·梅耶爾爬取了該網(wǎng)站的數(shù)據(jù)，曝光了該站數(shù)千名訪客的身份及其發(fā)布的黑客任務(wù)內(nèi)容。

梅耶爾只找到21件成功完成的任務(wù)，包括：“我想黑進(jìn)我女朋友的臉書賬號”，1月份完成，成交價90美元;“需要進(jìn)入某gmail賬號”，2月份完成，成交價350美元;“我要黑了一個數(shù)據(jù)庫，因?yàn)槲乙盟M(jìn)行網(wǎng)絡(luò)泄密活動”，4月完成，成交價350美元。網(wǎng)站上的大量黑客任務(wù)都涉及入侵臉書(23%的任務(wù)書中明確提及)和谷歌(14%)，并且事由是商業(yè)糾紛、感情糾葛或者篡改學(xué)分，攻擊目標(biāo)包括加州大學(xué)、康涅狄格州立大學(xué)和紐約市立大學(xué)。

梅耶爾在其博客中寫道：“盡管絕大多數(shù)黑客任務(wù)都是單純而不合法的，有極少數(shù)交易確實(shí)聳人聽聞，且大多數(shù)已完成任務(wù)看起來似乎是犯罪行為，這些任務(wù)項(xiàng)目依然清晰反應(yīng)出普通互聯(lián)網(wǎng)用戶可能尋求的典型黑客需求。但盡管如此，黑客工單絕對代表不了高端定制黑客攻擊市場。”

無論所用軟件是什么，無論黑客有多么精通黑客技術(shù)，基本的入侵方法總是相似。通過誘騙目標(biāo)打開電子郵件附件或點(diǎn)擊惡意網(wǎng)站鏈接在目標(biāo)主機(jī)上安裝惡意軟件。方法古老，但奏效。