科技网

当前位置: 首页 >电商

黑了小扎又黑皇马这个可谓盗号之王的黑客组

电商
来源: 作者: 2019-04-05 22:42:15

黑了小扎又黑皇马,这个可谓“盗号之王”的黑客组织是如何屡屡得手的? 脑极体 07:31 如何保护好自己的社交媒体账号?这个名叫OurMine的黑客组织在盗号后,给了广大社交络用户这样一些注意的事项……

题图来自:视觉中国

时间回到几天前,8月26日,这个阳光明媚的日子里,皇家马德里俱乐部的官方推特发布了一个宇宙爆炸级的消息:梅西加盟皇马!

按道理说这个官宣可以刷新全球所有媒体的头条,但事实上所有球迷都面无表情的看着官推发疯,乃至还有点想笑 .没有任何人相信这是真的。

缘由很简单,就在这之前的三天,老对手巴塞罗那的官推发布了一条 迪玛利亚加盟巴萨 的消息。由于这件事还相对可信,世界各地的媒体还纷纭第一时间报导此事。结果几分钟以后一个叫OurMine的黑客组织在巴萨官推上发布了消息,证明官推被盗。所谓的官宣只是他们的恶作剧。

按下球迷们被狼来了的故事戏耍暂且不表,我们今天要关注的是这个叫OurMine的黑客组织到底何方神圣。其实吧,关注科技公司和欧美文娱的朋友应当对这个名字一点不陌生。

从科技大佬到热门影视剧,这个神秘黑客组织在各个社交络账号上留下了 到此一游 。他们究竟是谁,又为什么没法阻挡?我们希望从已知信息中最大化的还原这朵黑客界的奇葩。

一个仿佛没法阻挡的盗号组织OurMine这个名字开始浮现在公众视野中,源自去年6月该组织攻陷了Facebook创始人马克 扎克伯格的推特。当时占据了扎克伯格账号的黑客们发布了大量黑小扎同学的内容,并且嘲讽他用了 dadada 这个过分简单的账号(有一种神偷厌弃失主钱包放的太随便既视感),乃至还分享了一系列盗取扎克伯格账号的心得。

有趣的是,当人们惊异于科技大佬安全意识如此之低时,OurMine仿佛希望证明是自己手艺高,而非目标防范差。在2016年6到8月,他们接连盗取了谷歌CEO桑达尔 皮查伊、推特创始人兼CEO杰克多尔西、Pokemon GO开发商Niantic CEO 约翰 汉克等等科技界最知名的高管与企业家的社交媒体账号,还顺便黑进了汇丰银行的美国与英国站。

似乎是这样获得的快感其实不强烈,去年年底开始,OurMine开始将 事业重心 由科技圈转向了大众更加关心的东西。去年12月,OurMine接连攻陷了索尼PS、索尼唱片的社交媒体,并且盗取了漫威旗下大量电影IP的社交媒体账号,同时开启了盗号+造谣恶作剧的模式。比如他们使用索尼唱片的号发过 布兰妮去世 的消息,还用鲍勃 迪伦的账号进行了哀悼...

进入2017,这帮善于给自己加戏的黑客们并没有偃旗息鼓。8月他们攻陷了HB0旗下《权力的游戏》等热播剧的推特账号,随后又开始戏耍巴萨皇马,算是进军了体育界。

时至今日,国际科技界对这伙完全没有收手意愿的黑客并没有什么办法,对他们的真实身份也所知不多。好在他们虽然在盗号的路上屡屡得手,仿佛要横扫天下推特。但优点仿佛其实不打算做甚么破坏。

一般来说,他们仅仅是在盗取账号后发布一条消息,然后再发一条 嗨,我们是OurMine,正在测试您的安全,请访问我们的主页(或请联系我们) 。

这好比你回到家里,发现自己家的门锁被人开了,但屋子里分文未少,只是多了一张纸条:你家的锁不安全,我们这有质优价廉的新锁,需要请联系13xxxx。

我相信大部分人对此的第一反应都会是: 卧槽有病吧!?

一群脑洞清奇且稀里糊涂的贼如果要给OurMine做一个侧写画像的话,这群人的第一个特点应该是:一群技术非常好但商业思路烂到家的贼(也说不定背后隐藏着什么惊天诡计)。

这伙黑客跟大部分主动进行攻击并留名的 络恐怖主义黑客 不同,他们不宣扬任何攻击性的字样,也不改动密码,乃至尽可能控制可能带来的负面影响。

固然,他们也不宣称自己是黑客,而是认为自己是一家络安全小组。每一次惊天盗号以后,他们都要借机宣传一下自己提供的络账号安全服务,并将用户引导到他们的官方站。

没错,这帮货还建了一个蛮漂亮的官。

进入官有动画效果,官首页上写着 你是不是在管理着一家公司?请雇佣我们保障贵公司的络安全吧。服务一个月起步 ;功能栏里分有 、服务介绍、捐赠、联系我们、关于我们 ,在关于我们里写着对自己公司的定位是专业、全能、白帽子、服务公众.......

有没有感觉到一种扑面而来的熟悉气质?没错,这完全是一个科技创业企业官的模样,毫厘不差!

而且这家 企业 提供的服务还挺便宜的,1000美元检查站安全,5000美元检查企业全部系统,可谓业界良知。

但问题是,1帮臭名昭著黑客的服务谁敢用啊?虽然在接受匿名采访时,OurMine表示已赚到了一部分资金,但在谈到具体客户时却支支吾吾,乃至给出了疑似PS过的转账凭据。

目前来看,这类以盗号为入口,以络安全服务为核心的商业模式并没有得到验证。毕竟很难有人相信现役的贼会老老实实帮你防盗。

OurMine的另一个特点,是非常喜欢弄事情,酷爱蹭热门,也喜欢召集粉丝互动。比如他们在巴萨堕入转会窘境时出来弄了一个大,再比如他们曾号令推特用户把 HBO被黑 刷上头条。

并且这伙黑客仿佛还有些奇怪的幽默感,总是陶醉在其实不好笑的笑话里。

同时,他们在推特上留言的方式仿佛表现出他们英语不好。有科技公司根据IP追踪判断他们来自沙特阿拉伯,但被OurMine成员否认了,也没有其他确实的证据。

总之,OurMine的基本特征是一群自我感觉良好,并且自认为有幽默感的盗号者。他们大概来自第三世界国家,专精于社交络密码破解,渴望被科技圈关注,超喜欢给自己加戏,人数不会很多(OurMine成员接受匿名采访时说团队有3个人,国内有媒体称其有四万人,应该是看错了英语并且不加分析)。

认识了又聪明又笨,有点稀里糊涂的贼以后,我们应当重视的问题来了:他们究竟是如何做到的?

精准、灵活、谨慎:为什么OurMine总能成功?所有关于OurMine盗号手段的讨论,都离不开一个词:撞库。

所谓撞库,简单来讲就是利用人总是把不同平台设置成同一个密码的习惯,借由已得到的某一个平台资料,去撞击其他社交站,从而取得主要账号的使用权。

撞库的基础是取得某一平台的数据。而OurMine获得这些数据主要有两种已知的方式:第一是购买暗流出的信息,比如黑扎克伯格推特的时候,OurMine就宣称使用了领英泄漏出的账号密码数据,而其公布的数据显示扎克伯格确实在两个平台使用了一样的密码。

OurMine盗取扎克伯格推特账号的时候,正好是领英数据在暗被大肆售卖以后。所以有专家认为这两件事内部有一定联系。换句话说,通过暗,黑客之间组成了各取所需的产业链。

其二,是OurMine会利用一些站的漏洞,使用DDoS等分布式服务攻击来过载某一个数据库,从而占据数据主机,再用攻击取得的数据去撞库其他平台。终究获得特定推特的使用权。

这类手法已被OurMine屡次使用并证明了有效性,由于推特这种核心社交媒体平台常常会链接各种各样的其他平台,所以盗取了一个数据库就相当于打开了你的推特大门。

换言之,推特的安全不是由其本身决定的,而是由与之关联的安全性最低的平台决定的 总有更不安全但用户需要关联的平台,对不对?

以上手法并没有多么高明,在还没有信息证明OurMine使用更复杂技术手段的时候。从以上内容中可以得出OurMine黑客活动中具有的特点:

首先是精准,他们只要特定用户的推特,不附带其他目的,也不需要大量数据,所以其攻击难度会下落很多,对装备的要求也比较低。

其次他们利用的核心路径,是大部分人都懒得使用不同密码,并且习惯于使用关联平台带来的便捷体验。于是OurMine可以灵活的从关联推特和与用户相干的各种数据库下手,找到最弱的就赢得了一切。

另外,OurMine特点是很谨慎,即便建设官、接受采访、留下专属记号,他们的行迹也仍然处在高度保密状态。可能由于行动确切太欠揍了,其成员表示他们会两小时更改一次IP地址,豫备对付可能尾随而至的追踪。

整体来看,OurMine看似无人能挡的攻击行为其实其实不复杂,也并不是没有办法预防。想要保护自己的社交媒体账号安全,只需要谨记四条就够了:

1、不要在多个账户之间使用同一个密码。

2、设置尽可能多的双向安全认证。

3、每两到三周更改密码。

4、注意关联账户可能带来的风险。

有意思的是,这四条不是笔者总结的,也不是络安全专家告诉我的,而是OurMine自己在盗号以后,常常提醒广大社交络用户应当注意的事项

更多精彩内容,关注钛媒体号(ID:taimeiti),或下载钛媒体App

第一时间获得TMT行业新鲜资讯和深度商业分析,请在公众账号中搜索「钛媒体」或「taimeiti」,或用扫描左方二维码,便可取得钛媒体每日精华内容推送和最优搜索体验,并参与活动。

我们会向您的号发送验证码,请查收并按提示验证您的号。如果您没有收到短信,请留意垃圾短信拦截

经检测,你是“钛媒体”和“商业价值”的注册用户。现在,我们对两个产品因进行整合,需要您选择一个账号用来登录。无论您选择哪一个账号,两个账号的原有信息都会合并在一起。对于给您造成的不便,我们深感歉意。

气虚月经不调食疗方法
经期延长怎样调理
月经不调痛经吃什么药

相关推荐