雇個黑客用用

從“腳本小子”到能搞定復雜工控系統的高端黑客團伙，均聲稱提供“間諜服務”。但黑客雇傭是怎樣實現的?下面我們來看一起真實的案例。

2013年，美國灣區兩名私家偵探開始著手調查一起涉及被挖角員工的普通案件。但這兩位私人偵探使用的手法卻有如好萊塢大片似的“精彩”。檢察官稱，他們為了偵查客戶的對手，雇傭了兩名黑客。

內森·莫澤和皮特·西拉古薩被互聯網市場營銷公司ViSalus委托調查一個競爭對手，也就是曾起訴ViSalus非法挖走其前雇員的一家公司。政府宣稱，莫澤和西拉古薩(舊金山警察局從警29年的退休警察)招募了兩名黑客入侵對頭公司的電子郵件和Skype網絡電話賬號。起訴書中顯示，兩名黑客為隱藏蹤跡，采用在Gmail郵箱帳號“krowten.a.lortnoc”和“control a network”的草稿箱中留言進行溝通。

聯邦檢察官并未指明被告是怎樣找到這兩名黑客的，但一個明顯屬于其中一名黑客——印度賈巴爾普爾邦的蘇米特·古普塔的郵件地址，在去年也被用于在自由職業者留言板WorkingBase上找尋可以入侵安裝了Windows系統和微軟Office辦公套件的計算機的軟件。發帖人稱愿出250～750美元求購代碼，但要求代碼必須“完全無法檢測，運作良好”，并“期待找到物美價廉的競標者”。

客戶群跨度從希望壓過競爭對手一頭的公司高管到意圖監視前任情人的分手情侶，什么樣的人都有。

這起加州黑客案件揭開了發展迅猛的網絡犯罪市場一角，自由黑客們，無論活躍在公共論壇還是隱身于黑市，隨時隨地滿足每個人的特別需求，從想作弊的學生和嫉妒心爆棚的男友到律師事務所和公司高管們。

盡管很難證實美國最富盛名和最具影響力的商業雜志之一《Fast Company》調查過的6家在線交易平臺上黑客帖子的合法性和真實性，有些站點自夸其擁有類易趣網的反饋機制，可以使用戶為可靠的賣家提供證明并相互提醒防騙。從業余的青少年小黑客用現成間諜軟件執行單一任務最高喊價300美元，到動輒要價數萬美元跨國竊取知識產權的復雜工業間諜服務。

黑客市場威脅情況十分復雜。黑客組織可把情報賣給任何一個愿意出價的人。

舉個例子，在上文中提到的黑客中介網站黑客工單上，黑客們能以與外包服務網站類似的方式競標項目。尋求黑客任務外包的人可以免費發布任務，或者額外多付一點費用讓自己的任務列表出現在顯眼的位置。黑客通常花費3美元進行項目競標，用戶發送信息也是要收費的。網站提供第三方委托付款機制來保證服務提供者只有在黑客任務完成后才能拿到錢。

盡管黑客工單稱其僅作為像是找回遺失密碼之類“合乎道德和法律的用途”，但它每天大約新增12個任務列表，有些任務需要能夠黑進私人網站、社交媒體賬戶和網游的人。

在3月份發布的一份報告中，歐洲刑警組織——歐盟的執法部門，預測在線社交網站和像密碼貨幣這樣的匿名現金轉移機制將會繼續刺激“犯罪即服務”的增長，并為像自由職業者一樣工作的罪犯提供種種便利——在線社交網絡可提供相對安全的環境進行簡單匿名的溝通交流。

但這一環境也不總是安全的。上個月早些時候，一名安全偵探撕下了黑客工單創建人的面具，揭示其幕后主人就是查爾斯·藤德爾，一名居住在丹佛的安全專家。之后不久，斯坦福法學學者喬納森·梅耶爾爬取了該網站的數據，曝光了該站數千名訪客的身份及其發布的黑客任務內容。

梅耶爾只找到21件成功完成的任務，包括：“我想黑進我女朋友的臉書賬號”，1月份完成，成交價90美元;“需要進入某gmail賬號”，2月份完成，成交價350美元;“我要黑了一個數據庫，因為我要用它進行網絡泄密活動”，4月完成，成交價350美元。網站上的大量黑客任務都涉及入侵臉書(23%的任務書中明確提及)和谷歌(14%)，并且事由是商業糾紛、感情糾葛或者篡改學分，攻擊目標包括加州大學、康涅狄格州立大學和紐約市立大學。

梅耶爾在其博客中寫道：“盡管絕大多數黑客任務都是單純而不合法的，有極少數交易確實聳人聽聞，且大多數已完成任務看起來似乎是犯罪行為，這些任務項目依然清晰反應出普通互聯網用戶可能尋求的典型黑客需求。但盡管如此，黑客工單絕對代表不了高端定制黑客攻擊市場。”

無論所用軟件是什么，無論黑客有多么精通黑客技術，基本的入侵方法總是相似。通過誘騙目標打開電子郵件附件或點擊惡意網站鏈接在目標主機上安裝惡意軟件。方法古老，但奏效。