他是誓与 AV 争宅男的 PKAV 团队掌门人;
他是每次讲演前必喝两口“黑客啤酒”的黑客;
他从前黑掉美食城充值卡,免费享受“大餐”;
他从前定位全成都的出租车轨道;
他便是 Only_guest,张瑞冬。
这位可以轻松搞到马云马化腾周鸿祎的住址和电话的黑客,有着一颗解救国际的心。最近,他正带领他的双螺旋实验室打开一场正义的战役——反电信欺诈。
本期硬创公开课,咱们约请到了Only_guest,他将为咱们叙述这两年来反电信欺诈的研讨中,发现的许多惊天隐秘。当然,还有他练就的手刃骗子的“如来神掌”。
嘉宾介绍:
Only_Guest,本名张瑞冬。双螺旋攻防实验室负责人、PKAV团队负责人、四川大学特聘网络安全专家。
———-以下是公开课访谈全文———-
Only_Guest,PKAV 和双螺旋实验室
雷锋网宅客频道:Only_Guest 的名号应该是名震四海了,不过仍是请你做个毛遂自荐。
我是个内蒙古人,网名Only_Guest,真名张瑞冬,学习网络安全14年,从业11年。最近我在西安的黑客大会上做了一场圆桌交流。谈到了一个词,叫传继:黑客文明的传继。我期望这种文明可以一向传继下去,所以我的介绍里边可以加一句,我是黑客:Only_Guest。
最早的时分我的网名叫不哭,那时分我应该11岁左右吧。。。由于那时分比较非主流。后边长大了一点,或许13岁的姿态,觉得这个姓名太不成熟了,就改名叫无泪,不哭的晋级版。其时网上有撒播一个段子,叫黑客学的再好也无法侵略你的心,我在你心里永久仅仅 GUEST,我就顺势改名叫 Only_Guest 了。后来这个姓名被业界传言为“只要我能干死你”,这个描绘不错,所以一向沿用至今。
【截图来自 PKAV 官网】
雷锋网宅客频道:也介绍一下你的团队 PKAV和双螺旋实验室的来历吧。
我 13 岁兴办团队,取名为 PKER,意思为破壳,比方咱们像刚破壳的小鸟,还在学习的阶段。经过9年的时刻堆集,咱们认为自身现已有了必定的蜕变,也更期望咱们的团队能招引更多的技能宅男参加。在2012年的时分改为 PKAV,期望将宅男从 AV 中夺回。
咱们有个实验室,叫双螺旋安全实验室。双螺旋这个姓名得来首要原因是 Gainover 的参加,他现在也是咱们团队的负责人之一。在他参加咱们团队之前,有个更为特别的身份–生物学博士。在他读博士期间,对黑客技能产生了稠密的爱好,所以开端自学。但他的学习速度不行谓是一般的快,他把生物学中 DNA 片段刺进的办法应用在信息安全的 fuzz 技能中,两者相辅相成。DNA 的双螺旋形状,就像是信息安全中的攻防对立交错在一起,很好的将生物学和黑客的攻防形状联络起来。也防止了媒体报道咱们时,总用“PK**”的为难。
【Only_Guest 对 PKAV 的界说/来自 PKAV 官网】
雷锋网宅客频道:脑子里想着 PKAV,连双螺旋都觉得污污的。。接下请简略简略介绍一下你的团队做过哪些比较牛X的作业吧。
咱们一向在做的都是贴合咱们日子或许社会需求的东西。之前一向在做网站安全方面的东西,几年时刻为多家闻名企业供给了许多的安全问题输出。最近两年就一向在做电信反欺诈,先后打掉了多个大型欺诈集团,将许多电信欺诈人员依法从事,成功溯源了三千多个垂钓网站的暗地人员。
尽管咱们冲击电信欺诈这个作业并没有被广为撒播,但在我心里这是一件特牛逼的事!
有关骗子的悉数
雷锋网宅客频道:许多人都会猎奇,你们为什么会想到做冲击电信欺诈这件事?
我之前有一次讲演,标题叫做:为谁的愚笨买单?在这之前,许多的媒体在曝光一些欺诈作业,但我看来看去都没看到一个问题,这件作业的职责方是谁?
运营商说:欺诈短信不是我发的,欺诈电话不是我打的,怪我?
银行说:用户供给的卡号正确,暗码也对,U盾都供给了,莫非我不给钱?
法律部分发声了:咱们的确很尽力的清查了,但苦于电子依据取证太难。。。
受害者说:我接受了9年的义务教育,是不是还要上个防骗培训班?
所以我就想,咱们能不能为这操蛋的作业做点什么?这个问题一向都在困扰着咱们的日子,每天都有人上圈套,而且抓捕难度十分大。所以,咱们期望与其亡羊补牢式的抓捕,还不如运用技能手法,将电信欺诈遏止在摇篮里,从源头上做到反欺诈。
雷锋网宅客频道:咱们对你们从源头上反欺诈的技能都很关怀,不过在说这个之前,仍是请你给咱们科普一下布景常识,依据你的研讨和查询,我国的电信欺诈一般分为几类呢?
大约分为五类吧:
1,直接打电话,设置一个故事布景,让你去ATM机前操作。
2,伪基站短信发送垂钓网站,假充运营商或许银行,诱导用户输入银行卡信息。
3,短信传达手机木马,阻拦短信,轻松转走你的钱,比方说前段时刻盛行的假充校园下发校讯通,假充同学发送同学录,假充朋友发送你的小视频等。
4,假充亲戚朋友领导,诱导付款,转账,借钱等。
5,综合类欺诈,假充公检法机关,财物清算,返款退税,诱导你在网银上操作,此类欺诈一般数额都十分巨大。
【Only_Guest 在 KCon 上展现欺诈团伙的欺诈流程】
雷锋网宅客频道:看来你们针对骗子做了许多研讨,可不可以给咱们描绘一下,这些电信欺诈的骗子团伙一般都有怎样的特色呢?
这是咱们在一个欺诈团伙处取得的一个完好的话术进程:引导短信,攻心短信,体系化跟进,全套的话术。
【从欺诈团伙中得到的话术截图】
打通你的电话,榜首句说什么,你答复了往后,第二句怎样跟进。欺诈剧本一般都是有时效性的,一个周期内的剧本大致相同。
这些团伙的特色大约是这样:
1.分散性。他们全国布局、跨省欺诈,这大大的增加了抓捕难度。
2.团伙的经历丰富。他们预备好了黑产4件套,以及技能防备假造手法。
3.警惕性高。网上乃至有撒播电信欺诈的流程进程和经历,骗子也在不断的前进警惕性。
和电信欺诈“死磕”
雷锋网宅客频道:电信欺诈团伙看起来预备十分充沛,我现已刻不容缓地想要知道,你们“手刃骗子”的根本思路和技能道路是怎样的?
由于现在除了是非名单以外,咱们大都是在做过后的部分,现已被欺诈了之后,怎样溯源,怎样把这次的经历总结防止下次再产生。。。。
咱们觉得这种亡羊补牢的东西,不具备时效性。不能把这些作业摧残在产生前。所以咱们现在的手法大都是在欺诈进行中,在受害人上当之前收到欺诈信息,实时预警,在上当进程中实时溯源违法嫌疑人身份信息,你还没骗到钱,我就知道违法份子身处何方了。
雷锋网宅客频道:那么实时预警是怎样做到的呢?
这是我之前从咱们体系上截取的一张图。
可以看到,咱们做了接口,实时告诉受害人,实时告诉法律部分。实时发送给银行让银行中止这个账户的付出操作,术语叫做止付、详细的技能完结触及到了咱们的核心技能,就不便当答复了。
雷锋网宅客频道:关于电信欺诈另一端,也便是骗子的追溯,你们是怎样做的呢?
咱们会溯源到骗子的虚拟身份信息,经过虚拟身份信息相关到其实在身份。运用大数据源,比方腾讯、360、百度的手机卫兵手机用户收到的伪基站短信和精准的地理位置,这些手机卫兵辨认到是欺诈短信的时分,就会做相应提示和上报他们的云途径。这些公司供给数据源和根本的垂钓网站提取,咱们会经过这些数据源做进一步的剖析的提炼,然后溯源得到垂钓网站的暗地操纵者的信息。
由于咱们没有终端用户数据,所以前端信息的获取咱们是跟一些企业协作。
雷锋网宅客频道:也便是说,垂钓网站是一个重要的打破口。这些垂钓网站有什么特色呢?咱们怎样来分辩呢?
网站页面和实在网站类似度极高。例如银行、兑奖网站、政府途径。垂钓网站在整个页面布局,和页面规划上,根本上与实在网站没有不同,所以单看页面很难区别。
可是咱们可以经过他的意图来区别,这些垂钓网站都会要求你输入许多的身份验证信息,银行卡,暗码,身份证,付出暗码等。
【某垂钓网站截图/Only_Guest 供给】
雷锋网宅客频道:这些骗子所运用的号码,是不是也是一个比较好的追溯进口呢?这些电话有什么特色吗?
欺诈电话首要分红3种:
1、虚拟号段,例如170、171,这个只能找对应的运营商,然后查找办理这个号码的公司,进行查询。
2、实在号码,直接找营运商,查找号码归属人信息。
3、VOIP 网络电话,这个的查找难度较大,由于其号码可以假形成任何号码,盯梢难度较大,咱们需求得到法律机关的授权后,进行VOIP的溯源,大都服务器在海外。
这些电话的特色,要不让你去银行,要不让你操作网银,要不让你装置软件,要不便是让你买东西。。。横竖肯定是要触及到钱这个环节的。
咱们现在的要点首要在伪基站短信和VOIP网络电话的追寻溯源,这俩种成功率高,金额大,尤其是VOIP,咱们之前监控的一个欺诈集团,我看着对方在7分钟内进账了430万。。。
【欺诈团伙的洗钱记载/Only_Guest 供给】
雷锋网宅客频道:你们看着骗子进账430万,有没有好的办法对骗子进行反制呢?
一般状况下,欺诈份子在收到用户的银行卡信息后,在5分钟之内就可以把钱悉数转走,这个时刻很短,咱们的途径会和对方同步收到这些信息。但由于咱们是途径自动化操作,告诉银行止付,整个进程可以在1分钟内完结。比及欺诈份子要去转钱的时分,发现受害者的银行卡现已不能进行转账操作了。
实际上,但单靠技能手法是很难做到根本上遏止的。要说遏止,最应该做的是加大对民众的宣扬,前进民众的防备认识。例如,让民众了解现在垂钓网站的技能程度,哪些可以假造而哪些不能假造。让民众用域名来辨认垂钓网站,这样其实在源头上就能削减许多的上圈套状况。
现在的欺诈份子技能也在不断的晋级,伪基站设备越来越小,或许便是一个电动自行车的车筐里就可以放的下,咱们叫这些人背包客,他们背着一个背包,走街串巷,把垂钓短信发进了千家万户。。。这些背包客收入都很高。一天几千块几万块。依据你发的短信数量来结算。所以会有许多人逼上梁山。
现在法律部分大都是在冲击这种背包客,但关于雇佣背包客的源头,冲击力度就显着不行,首要是技能手法约束,咱们现在就在处理这些的问题,所幸处理的还不错。
别的,关于垂钓短信,我看到一个受害者供给了自己的一切信息,欺诈份子查到他账户上有70多万,但他自己用于洗钱的账户被银行冻结了,他正在联络别的一波欺诈份子帮他洗这笔钱,这留给了咱们一个很好的时刻差,我就赶忙打电话给受害者说你现在赶忙去银行把你的银行卡暗码改了,不要在网上改,对方开端置疑我的身份,我给他讲了状况之后,他挑选了信任我。
但咱们的途径上线之后,这种问题就可以很快很即时的处理了,但条件是要银行接入咱们的途径,协助受害者完结止付。
【反欺诈途径可以提取欺诈短信和垂钓网站/Only_Guest 供给】
雷锋网宅客频道:没想到你还从前亲手阻止了一些违法的进行,这很帅啊。关于垂钓网站来说,有一些特征是不行假造的,可以略微科普一下都有哪些吗?
咱们的技能中会触及到获取欺诈份子的硬件指纹,这些东西是具有唯一性的。还有对方的虚拟身份,比方你的QQ号,微搏帐号等。
咱们会依据这些信息来确定一个违法份子。假如是说垂钓网站的特征,现在市面上的这些欺诈团伙所运用的垂钓网站迥然不同,咱们用专门的指纹技能可以辨认到对方运用的是哪套垂钓网站程序。
雷锋网(查找“雷锋网”群众号重视)宅客频道:你也提到,之前对背包客的冲击遭到技能约束,你们处理了这些问题。那么,技能上的打破便当走漏吗?
咱们处理的是背包客的雇佣者,这些欺诈团伙的源头。技能上会运用许多的数据剖析和0day,详细内容欠好透漏。
【某违法分子的 QQ 群列表/Only_Guest 供给】
雷锋网宅客频道:那么,在你们反欺诈的研讨进程中,有哪些比较头疼的技能难点吗?
1、终端数据获取比较困难。就像我方才说的,这些终端数据把握在百度,腾讯,360这些具有许多终端客户短信读取权限的厂商手里。。咱们没有,所以期望和这些厂商能打开协作。
2、违法份子的防备认识也在不断前进。他们会频频替换域名和IP,导致咱们溯源的难度加大。
3、时刻的滞后性。受害人会在上圈套很长时刻后才报警,还不敢供认自己是上圈套了,所以当咱们收到案情的时分,得到的现已是一个抛弃好久的网站域名,或许一张早就被遗弃的银行卡。
关于这些问题,咱们有一些技能对策。例如,用自动化的体系提高了咱们的功率,违法份子几小时替换一个域名,咱们不到1分钟就可以进行溯源作业。但时刻滞后性这种问题就不是很好处理,仅仅期望咱们能提高防备认识,假如产生此类作业,榜首时刻与法律机相联系。
雷锋网宅客频道:如你所说,反欺诈进程触及到和法律机关、银行的协作,或许还有一些不行抗力,怎样处理和这些力气的联系?
的确就像我开端说的,运营商,银行,法律机关,这些在电信欺诈中都有触及到。环节许多,规模广,只要完结各个环节的交流顺利,高效协作,才干操控欺诈的产生。
而咱们自身不是法律机关,咱们只供给这样的反制途径,许多时分仍是起到一个获取数据以及推送数据的效果,其他更多是需求反欺诈中心和银行联动起来,做预警和止付。
前不久咱们就遇到这样一个事例:
一个假充公检法的网站,成功骗了几百万,需求咱们技能手法找嫌疑人的痕迹。咱们花费了许多的时刻,运用技能,取得网站办理者的权限。操控了欺诈集团的一切人员电脑,咱们将收集到的skype聊天记载,还有他们的一些文档信息,以及他们的违法进程,乃至包括违法份子的住址,交付给法律机关的时,他们答复由于骗子是台湾人,考虑到两岸联系问题,没办法很好的打开查询作业。
这样的成果的确会令咱们遭到冲击。但咱们之后仍然会尽力为法律组织供给更多头绪,仅仅需求各方的交流和磕碰吧。
雷锋网宅客频道:传闻你对台湾的欺诈团伙也有一些研讨,可以给咱们描绘一下海峡彼岸那些欺诈团伙的作业吗?
假如要点评的话,两个字,专业。上下流分工清晰,经历丰富。团伙之间乃至完结了资源共享。咱们之前监控的几个团伙、有一天忽然变成了同一 IP,咱们才发现对方几个团伙在开碰头会交流经历。。。
可见其工业的兴旺程度。这现已形成了一个社会。
【欺诈份子洗钱用的黑卡的信息列表/Only_Guest 供给】
雷锋网宅客频道:电信欺诈产生,还有别的一个维度,那便是个人信息走漏。咱们常常可以接到欺诈电话,而且骗子好像对咱们一目了然。那么咱们的个人信息究竟是经过什么途径被走漏给骗子的呢?
1、许多是在购买环节,呈现了信息走漏,例如买车买房时出售方将信息售卖给下流的产品。你今日刚买房,明日装饰的电话就打给你了。
2、在日子中,填写的信息。例如淘宝的收货地址,以及收发快递时填写的信息,也会有人进行兜销。还有咱们填写的各类查询问卷,都在出卖着咱们的隐私。
3、要害的个人信息,网上撒播着许多的走漏数据,比方前两天又爆出来yahoo的5亿用户数据走漏,国内这样的数据走漏更是不计其数,许多的闻名网站数据都在地下暗盘广为撒播。
雷锋网宅客频道:所以在信息走漏这方面你会给普通人一些什么主张呢?
一般我会主张咱们设置3个等级的暗码,初级暗码可以在一些不触及任何个人信息和资金的当地用,中级暗码在有部分个人信息的当地用,高档暗码只在触及资金的当地用。
尽或许的少输入个人信息。现在许多服务比方说阿里小号,咱们可以在各类需求手机号的当地运用这些号码,来防止咱们实在号码的走漏,也可以防止许多的打扰。
【垂钓网站反欺诈途径/图片由 Only_Guest 供给】
雷锋网宅客频道:我知道你的团队曩昔从前做过一些很有意思的研讨,例如定位全成都的出租车等等,曩昔从事的研讨,关于现在的反欺诈作业,有怎样的协助呢?
技能是不断提高,而且综合运用的。一个完善的反欺诈途径需求多方的技能支持。可以说咱们之前研讨的许多技能难点,都为咱们现在的反欺诈作业在做根底,例如信息的溯源,人员画像,数据剖析,WEB安全缝隙的发掘,都是反欺诈的重要环节。
咱们手里有许多的0day缝隙,这些都可以在要害时刻起到很好的效果,详细就不便当详说了。
雷锋网宅客频道:反欺诈看起来是一个长时刻的使命。你们现在还在研讨什么黑科技,在未来有怎样的方案和方案?
黑科技却是真有一些,不过大都都还没有对外发布。咱们一向在做的都是研制更先进的技能,保证国家、公民的安全。这更是白帽子和黑帽子的赛跑,咱们首要取得“攻”的手法,就能做到有用的“防”。
至于未来的方案,咱们能会去做一些可以敞开出来的防欺诈手法,比方说 iOS 最新版别也对第三方供给了电话号码辨认的接口,咱们更期望可以供给这样的防欺诈数据,资源。技能的改造无法猜测,那咱们未来的方向也就很难猜测。缝隙不止,生命不息。咱们会不断研讨,并及时补偿高危缝隙,然后保证网络的安全。
雷锋网宅客频道:让咱们来一个诗意一点的结束吧,你可不可以为咱们幻想描绘一下,经过你们的反欺诈作业,未来会是一个怎样的图景?
全国无贼。
咱们最想完结的当然是没有人被欺诈。
一方面,咱们的技能满足领先于骗子,让骗子无法再从事这个职业。
另一方面,公民的警惕性满足高,上当的概率无限接近于 0。
精彩问答:
问:教师我想问下,我朋友他在做撸羊毛的项目。可是他撸的是违法的不时彩途径,请问他这样做,算违法吗?现在撸羊毛的人许多,关于现在撸羊毛的状况,企业一般什么状况,开端追寻查找撸羊毛的人,然后抓人。
任何侵略行为都是违法的,不论你侵略的是不是违法网站。杀人犯杀了人你就可以杀他么?这些是法律部分才有权力去做的。薅羊毛这事咱们现在也在触及,不过咱们是用数据剖析判断一个人是否会去做这个作业,做事前,但大都薅羊毛并不违法,仅仅会让企业的推行本钱加大,假如是触及到企业要去抓人了。。那就不能叫薅羊毛了,一般企业都仅仅会对这些人会IP做封禁处理。
问:不知道您有没有重视到宅客频道群众号发的一篇文章。白帽子找到了缝隙可以操控特斯拉的车,乃至能在特斯拉行进中踩刹车。想问问您对现在这种互联网+的日子有什么观点。你的日常日子会比较抵抗这种互联网产品吗?由于有时越便当,却越不安全。
简直一切的这种产品我都有在用,有人重视,发现缝隙,阐明这东西在前进,你用的产品假如没人去重视,没有缝隙,那阐明现已衰败了。就像有些人怕不安全,就去用诺基亚的旧式手机,先不说是否真的安全,但你其完结已被日子方式筛选了。
问:在咱们眼里,OnlyGuest应该归于天才型的选手,创意连绵不断,假如有童鞋想成为一个像你相同重量级的黑客,在学习和研讨方面有什么主张吗?
我的学习办法比较特别,不久前遇到冰河长辈,他说我的办法不适用于群众。。。
我把我之前在知乎答复的内容跟咱们说一下吧。
10年前,当着授课教师的面撕碎了教科书。
10年后,教科书上写满我的事例。
每个人具有的时刻和精力是相同的。
你需求巨大的时刻、精力来做学习。
你有杰出的功底,或许入门会很快,但假如没,请做好持久战的预备。
从事网络安全13年,自感在功底上的落后,每天只歇息4小时,磨刀练剑。
现在我可以说我算是了解这个职业了,但比起这个职业界真实的大牛,不能望其项背。
首要你要对这个作业充满热心,我会去一些校园做讲座。
问学生为什么挑选信息安全这个职业,无非:抢手、专业、好工作、帅!
我知道他们大都未来不会从事这个职业,他们的热心等级只要5,而这个职业的门槛需求100,战5渣平身。
好了,不说废话
问:网上黑客视频那么多,有什么值得引荐的吗?
答:大多的黑客教育视频都十分粗浅,疼爱流量。
问:网上发表的缝隙,为什么我总是测验不成功?
答:大多缝隙800个人轮着搞,轮得到你?
问:网上的黑客在线操练网站靠谱吗?
答:常识注定是平面的,无根底学习除了刀口舔血无他。
问:不能了解上面说的什么所谓的缝隙、Exploit该怎样办?
答:引荐你去找几本能看得进的黑客书本,碰到不明白的专业术语就去搜。
问:有编程根底应该怎样学习黑客?
答:若是资质好、根骨深,当然是埋伏天才团队快速晋级。否则,仍是一步步游升吧。