当前位置: 永利棋牌 > 书评随笔 > 正文

互联网黑市分析,社工库的传说

时间:2019-10-04 12:14来源:书评随笔
我国有句古话叫「文无第一,武无第二」,古人简简单单的一句话,却说出很多行业的潜在运行规律,也是中国大多数行业的背后法则:公平简单规则下的竞争会推动竞争者个体的提高

我国有句古话叫「文无第一,武无第二」,古人简简单单的一句话,却说出很多行业的潜在运行规律,也是中国大多数行业的背后法则:公平简单规则下的竞争会推动竞争者个体的提高,而复杂的规则下,竞争者更多的反而去在争夺竞争规则的资源,或者在游戏规则上做文章。简单的说就是,如果竞争规则不是简单客观公平的,「专业性」就没那么重要。

任何一个行业都是一个江湖,有江湖就有故事,追名逐利的人喜欢被写入故事,踏实做事的人却希望被隐匿。久而久之,江湖上的故事越来越虚名浮利,听故事的人也越来越坐井观天。岂不见无数江湖武侠小说,开篇的人物总是让我们误以为是江湖大侠,看着看着才发现一山更比一山高,到最后才发现开篇人物简直是不入流的小啰啰。而真正的高人,反而隐匿成传说。

任何一个行业都是一个江湖,有江湖就有故事,追名逐利的人喜欢被写入故事,踏实做事的人却希望被隐匿。久而久之,江湖上的故事越来越虚名浮利,听故事的人也越来越坐井观天。岂不见无数江湖武侠小说,开篇的人物总是让我们误以为是江湖大侠,看着看着才发现一山更比一山高,到最后才发现开篇人物简直是不入流的小啰啰。而真正的高人,反而隐匿成传说。

比如说从学校走向社会,对人的衡量就不仅仅是相对客观公平的考试成绩,而是各种复杂的游戏规则;比如在行业浸泡越久,就越发现影响成功的因素永远比想象的要复杂,靠学习和努力根本无法逆袭的;再比如在一个行业没进入到核心圈子,就很难了解真正潜规则。这是我国几千年文化和传统作用的结果,也是大多数行业的运行规律法则。

互联网行业也是如此,大家喜欢创造故事,故事也越来越千篇一律的浮躁:什么产品上线7天就几百万用户、什么开发阶段就上亿投资、什么90后霸道总裁颠覆行业、什么大咖的内部分享、从xx看xx的四大趋势、从xx看xx的十大价值、xx的专注力、xx的微创新、xx的平台化、xx的独家专访首次讲述xx辛酸、xx概念的深度解析加独特见解,等等。翻来覆去,好像也就是那么多东西了。

互联网行业也是如此,大家喜欢创造故事,故事也越来越千篇一律的浮躁:什么产品上线7天就几百万用户、什么开发阶段就上亿投资、什么90后霸道总裁颠覆行业、什么大咖的内部分享、从xx看xx的四大趋势、从xx看xx的十大价值、xx的专注力、xx的微创新、xx的平台化、xx的独家专访首次讲述xx辛酸、xx概念的深度解析加独特见解,等等。翻来覆去,好像也就是那么多东西了。

这种意识形态也在潜移默化的影响着互联网,但在互联网这个法则是逆向作用的并且被放大:由于行业快速的发展,规则在不断的变化,几乎所有的创新者眼中的「创新」都会聚焦在「新规则」上,占据了新的规则就占据新一轮的发展的机会,投机的回报要远大于积累。行业也越来越浮躁,充斥着「我的想法能改变世界,就差找个技术合伙人给我做app」的声音。

就好像有些江湖人士,是需要靠卖艺为生,请个会吆喝的帮忙吆喝吆喝,弄个猴子上蹿下跳一下,响啰使劲的敲几下,骗骗几个外行人,撒点碎银子,仅此而已。接下来大家再接着吹嘘一番,比比谁拿的碎银子多点,动口不动手。长期以往,有些人招摇撞骗,也竟然成为了一代口碑中的大侠。久而久之,如今很多江湖人士只是卖艺拿贵客的碎银子为生,如何卖艺卖的更好是大家追求的目标。那些内功心法,武功秘籍,也都成为了历史,那些大侠们,也成为了传说。

就好像有些江湖人士,是需要靠卖艺为生,请个会吆喝的帮忙吆喝吆喝,弄个猴子上蹿下跳一下,响啰使劲的敲几下,骗骗几个外行人,撒点碎银子,仅此而已。接下来大家再接着吹嘘一番,比比谁拿的碎银子多点,动口不动手。长期以往,有些人招摇撞骗,也竟然成为了一代口碑中的大侠。久而久之,如今很多江湖人士只是卖艺拿贵客的碎银子为生,如何卖艺卖的更好是大家追求的目标。那些内功心法,武功秘籍,也都成为了历史,那些大侠们,也成为了传说。

就好比是比武,既然每一轮都会变一次规则,既得利益者和大玩家都会在这个上面做文章并获利,而规则变得越来越愚蠢和搞笑。可能大家都记得八十年代电视剧《霍元甲》里面的武状元,根本不会武功,但是由于比武比的是各种「才艺」,加上银子使然,就真的成天下第一了。这并不是完全虚构而有一定是历史事实成分,清末的武举制度的规则,已经让武举成为笑话。

难道江湖不再是那个江湖了么?其实不然,浮躁沉沦的只是江湖白道,只是这些大内侍卫,镖局镖师,衙门捕头而已。而江湖黑道中,黑客技术、海盗精神,继续被追捧,虚浮的商业模式永远不如深度技术被重视,“铁甲依旧在”的情怀还在回荡,而地下产业链相关的进步也在不断的深入,并且潜伏起来暗自发展,为了更大的目标和黑暗梦想。

难道江湖不再是那个江湖了么?其实不然,浮躁沉沦的只是江湖白道,只是这些大内侍卫,镖局镖师,衙门捕头而已。而江湖黑道中,黑客技术、海盗精神,继续被追捧,虚浮的商业模式永远不如深度技术被重视,“铁甲依旧在”的情怀还在回荡,而地下产业链相关的进步也在不断的深入,并且潜伏起来暗自发展,为了更大的目标和黑暗梦想。

虽然主流互联网圈子「擂台比武」已经成为讲故事、唱首歌、拉选票、比颜值、贴海报,秀招式的闹剧,但并不是说武艺已经失传,在互联网黑市的快速变现的要求与目的驱动下,一些武师和武艺朝着另一个极端的方向发展:长期的内功磨练、对一招致命的极致追求、阴劲、下毒、暗器,无所不作,只是为了保持在黑市中的生存本能。

TOMsInsight继续互联网黑市的分析报告系列,今天的主角是:社工库的传说。

TOMsInsight继续互联网黑市的分析报告系列,今天的主角是:社工库的传说。

TOMsInsight继续互联网黑市的分析报告系列,今天的主角是:虚假运营手段。

什么是社工库

什么是社工库

什么是虚假运营

社工库是社会工程学数据库的简称(Social Engineering Data)。

社工库是社会工程学数据库的简称(Social Engineering Data)。

虚假运营,简单的说就是有目的的给网络用户营造一个假象,这种假象利用一些网络规则和心理技巧,让我们难以识别,信以为真,从而获利。

提到社工库就必须先介绍一下社会工程学(Social Engineering),这个名词最早是在2002年由传奇黑客米特尼克(Kevin David Mitnick)在提出,但其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失。由于米特尼克在黑客界的传奇地位,很快社会工程学就开始被深入研究并且发扬光大。

提到社工库就必须先介绍一下社会工程学(Social Engineering),这个名词最早是在2002年由传奇黑客米特尼克(Kevin David Mitnick)在提出,但其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失。由于米特尼克在黑客界的传奇地位,很快社会工程学就开始被深入研究并且发扬光大。

如果用现实社会对比,我们可能会遇到雇佣一些群众让售楼处看起来非常火爆的情况、会遇到购买东西时候的各种托、或者拍卖会的时候有自己抬高价格。但由于成本问题和构造虚假环境的经验,所以在现实社会应用并不多,但是在互联网上就是完全另外的一种情况了。

社会工程学,准确来说是一门艺术和窍门的集合。它利用人性的弱点、心理的缺陷,以顺从意愿、满足欲望的方式,让人们上当,或以此为入口进行攻击。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素,利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科,由于其非法性和在很多国家地区都被严厉的打击,社会工程学也变成了一个见不得光的学派。

社会工程学,准确来说是一门艺术和窍门的集合。它利用人性的弱点、心理的缺陷,以顺从意愿、满足欲望的方式,让人们上当,或以此为入口进行攻击。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素,利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科,由于其非法性和在很多国家地区都被严厉的打击,社会工程学也变成了一个见不得光的学派。

中国社会的特殊性,让其传统的人和人的信任逐步弱化,但与此同时互联网却在此方面的表现恰恰相反:总体而言,反传统社会的信息对等的产品概念和相应的用户体验、除去了直接的沟通避免了更多信任损耗,更好的视觉体验,以及更强的社交属性都让互联网享受着与线下社会交易相反的信任红利。

但是在黑客群体中,社会工程学就是他们的第一方法论和必修课。离开了社会工程学,黑客们运用的网络技术几乎都没有用武之地。如果我们用黑客最喜欢的海盗来比喻,各种网络技术可以比作航海、游泳、剑术、而社会工程学即是海盗们的行为准则和创新指引。

但是在黑客群体中,社会工程学就是他们的第一方法论和必修课。离开了社会工程学,黑客们运用的网络技术几乎都没有用武之地。如果我们用黑客最喜欢的海盗来比喻,各种网络技术可以比作航海、游泳、剑术、而社会工程学即是海盗们的行为准则和创新指引。

我们从下图的调研结果可以看出,虽然网上充斥着大量的相互攻击和对舆情怀疑的论调,但是仅仅是少数群体,90%以上的网民还是觉得互联网虚假信息仅仅在30%之内。

那么什么是社会工程学数据库呢?即黑客在运用社会工程学进行攻击的时候,积累的各方面数据的结构化数据库。简单的说,社工库是黑客用来记录攻击手段和方法的数据库,这个数据库里面有大量的信息,甚至可以找到每个人各种行为记录(每个人在每个网站上的账号、密码、分享的照片、信用卡记录、订的机票记录、通话记录、短信内容、各种社交软件的聊天等等包罗万象),比如之前有很火爆的查询开房记录的数据库,就是一个典型的极简单的社工库的例子。

那么什么是社会工程学数据库(社工库)呢?即黑客在运用社会工程学进行攻击的时候,积累的各方面数据的结构化数据库。简单的说,社工库是黑客用来记录攻击手段和方法的数据库,这个数据库里面有大量的信息,甚至可以找到每个人各种行为记录(每个人在每个网站上的账号、密码、分享的照片、信用卡记录、订的机票记录、通话记录、短信内容、各种社交软件的聊天等等包罗万象),比如之前有很火爆的查询开房记录的数据库,就是一个典型的极简单的社工库的例子。

图片 1

那么社工库又是如何产生的,在国内的互联网地下产业链中,又是什么模式的存在,发展又是什么情况呢,我们接着分析。

那么社工库又是如何产生的,在国内的互联网地下产业链中,又是什么模式的存在,发展又是什么情况呢,我们接着分析。

1

社工库的发展:数据盗窃

社工库的发展:数据盗窃

这种红利,再加上网络展示出来的仅仅是抽象的数据和信息,营造一个虚假的氛围环境的成本极低,都给虚假运营带来了极大的空间。

既然是传说,背后就有很多故事,说到社工库的产生和发展,我们就得先从互联网的数据窃取与交易开始说起。

既然是传说,背后就有很多故事,说到社工库的产生和发展,我们就得先从互联网的数据窃取与交易开始说起。

举个最简单的虚假运营手段,就是淘宝商家的刷单,通过刷单的方式让顾客觉得自己生意或单品火爆,从而带来从众心理的消费。但是淘宝刷单仅仅是虚假运营手段一个最简单的例子。近些年来,虚假运营进入地上主流互联网的运营世界,比如大家访问微博,会发现僵尸粉,有的僵尸粉还会自动评论;随便访问一个招聘网站,就充斥大量的假职位,还有假猎头给你发消息留言,但是得交钱加入会员才能看到留言;婚恋网站总有一些漂亮的姑娘,但是注册会员后反而找不着了;任何一个交友app查看附近的人都有大量的美女,哪怕你在深山老林沙漠;刚刚上线3天的p2p网站,就弄到了几百万用户,等等。

互联网用户数据泄露一直是行业关注的焦点,从最近的京东用户密码泄露事件,到之前的CSDN的数据库完全爆出,再到如家酒店的用户数据泄露,网站和黑客在用户数据上一直在进行着旷日持久的攻防战。但是爆出来的数据泄露,仅仅是冰山一角,甚至也不到。而且这些信息其实对于黑客来说,根本没有什么价值。而对于用户来说的危害,也没有想象的那么大,因为大多数时候这些数据在黑市中几乎都已经是半公开的性质了。

互联网用户数据泄露一直是行业关注的焦点,从最近的京东用户密码泄露事件,到之前的CSDN的数据库完全爆出,再到如家酒店的用户数据泄露,网站和黑客在用户数据上一直在进行着旷日持久的攻防战。但是爆出来的数据泄露,仅仅是冰山一角,甚至也不到。而且这些信息其实对于黑客来说,根本没有什么价值。而对于用户来说的危害,也没有想象的那么大,因为大多数时候这些数据在黑市中几乎都已经是半公开的性质了。

但是对于黑市上的虚假运营手段来说,上述都是完全的可笑的小儿科,黑市上的虚拟运营模式早已经在十几年的「内功磨练」中达到一层层的门槛高度,顶级的虚拟运营可以构建一个完整的网络世界副本,而这个世界副本仅仅是为了一个用户定制化,看上去有种「楚门的世界」的虚幻感,但是却完完整整的发生在我们所访问的互联网的每一个角落和每一块重要的流量变现地带,让虚幻的互联网中,再次嵌套了一层虚幻。

而数据窃取与交易这个细分领域也几乎是地下产业链隐藏的最深的一部分,很多在互联网地下产业链中沉寂了多年的大佬都并不了解此道的相关信息。绝大多数被盗窃后的网站数据,并不会公开与众,只是交易后进入到地下产业链的其他环节而已。所以目前到底有多少网站的数据已经被窃取我们没法客观的进行数据分析。但在互联网黑市中,大家说起来类似的问题,常用的一个词是“十墓九空”,也许这个说法有点夸张,但是也可以参考。

而数据窃取与交易这个细分领域也几乎是地下产业链隐藏的最深的一部分,很多在互联网地下产业链中沉寂了多年的大佬都并不了解此道的相关信息。绝大多数被盗窃后的网站数据,并不会公开与众,只是交易后进入到地下产业链的其他环节而已。所以目前到底有多少网站的数据已经被窃取我们没法客观的进行数据分析。但在互联网黑市中,大家说起来类似的问题,常用的一个词是“十墓九空”,也许这个说法有点夸张,但是也可以参考。

虚假运营手段

我们从2009年以来,通过黑市的舆情监控和专业网络调查,对互联网每年的流量排名前100的网站(刨去没有用户账号机制的)进行调查,结果如下:

我们从2009年以来,通过黑市的舆情监控和专业网络调查,对互联网每年的流量排名前100的网站(刨去没有用户账号机制的)进行调查,结果如下:

我们把虚假运营手段分成5个阶段,这5个阶段并不是按照时间发展的顺序,而是手段的深度和技术水平来划分,对大多数虚假运营来说,都停留在前两个阶段。而每一次的突波,带来的不仅仅是对虚假运营水平的提高,更多的是对互联网产品生态的认识,用户的心理的把握以及变现的节奏感的整体提升。

图片 2

图片 3

与此同时,我们也用小a举例,对每一个阶段的手段进行具体的分析。小a的故事纯属虚构,仅为分析例证,不代表任何互联网实例,请不要对号入座,更不要询问相关内容真假。

数据窃取产业虽然隐藏的非常深,但是发展历史永久,地下产业链也随之成熟,对于如何把数据变成货币,已经有了非常完整的程序的分工协作渠道。而其模式相对简单,一般只包括:脱库、洗库、撞库这几个阶段。

数据窃取产业虽然隐藏的非常深,但是发展历史永久,地下产业链也随之成熟,对于如何把数据变成货币,已经有了非常完整的程序的分工协作渠道。而其模式相对简单,一般只包括:脱库、洗库、撞库这几个阶段。

马甲阶段

在地下产业术语里面,“脱库”是指入侵有价值的网络站点,把数据库全部盗走的行为,因为谐音,也经常被戏称作“脱裤”。在取得大量的用户数据之后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以是黑客收获颇丰。

在地下产业术语里面,“脱库”是指入侵有价值的网络站点,把数据库全部盗走的行为,因为谐音,也经常被戏称作“脱裤”。在取得大量的用户数据之后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以是黑客收获颇丰。

编辑:书评随笔 本文来源:互联网黑市分析,社工库的传说

关键词: