黑客暴利生意:一個黑客的自白
2011年12月21日上午,有黑客在網上公開了中國最大的開發者社區CSDN網站的用戶數據庫,600余萬個注冊郵箱賬號和與之對應的明文密碼泄露;12月22日,網上接著曝出人人網、天涯、開心網、多玩、世紀佳緣、珍愛網、美空網、百合網、178、7K7K等知名網站的用戶賬號密碼遭公開泄露堪稱中國互聯網史上最大規模的用戶信息泄密事件,再次讓大家對黑客以及其背后的隱秘的產業鏈產生了濃厚的興趣。以下為一個黑客的口述。
盤下一家肯德基的“教主”
那個靠做黑色產業發家,后來洗白,花800萬元盤下一家肯德基店的人,我們叫他教主。
教主是海南人,1987或者1988年出生,身材瘦小,皮膚偏黑。他年紀雖然小,但是舍得花錢,很大氣,做事也很老到,2004年左右(16歲)看他跟人打交道就非常成熟,很難想象是什么情況造成他這種性格。
2003年年底,我加入了一個QQ群,那個群當時在技術性入侵領域很有影響力,無數人想進入,可以說是一位難求。群里的聊天記錄每天能有3000頁,大家都非常純真,純粹是為了交流技術。2004年,教主可能在黑客基地報名學了點簡單的東西,但是學得又不太明白,他進入了這個群。在群里,我親眼見他和群主討價還價買賣17173(一個游戲門戶網站)的權限,群主開價700元,教主說我就500元,一年半以后,同一個權限有人開價15萬元購買。
那個時候,大家都沒想到靠17173的權限還能賺錢,說白了,其實就是獲得網站控制權,掛馬,然后獲得用戶賬號密碼去網游《傳奇》、《魔力寶貝》里盜號。后來我找人打聽了一下,教主這單可能賺了兩三萬塊錢。
教主真正開始立業,是在2004年時去做中國臺灣的游戲市場,他是先行者。他自建渠道,跟臺灣當地人合作,在盜取網游賬號后,由當地人負責賣游戲裝備,交易的錢被匯入當地人用假身份證開的賬戶里。從2004年下半年到2005年上半年,教主在臺灣賺了估計能有500萬元。臺灣人被搞怕了,后來很多網站都禁止大陸人訪問。后來教主又去做韓國和美國的游戲市場,等到他2008年洗白那會兒(20歲),賺了絕對不少于2000萬元。他是一個很高調的人,經常在群里說他去哪個國家玩了,買了多少棟房子,買了什么車之類的。
教主的技術并不高超,但他有商業頭腦。不從技術角度出發,純講入侵水平,國內黑客一直都不弱于世界頂尖國家,可能比美國、俄羅斯還要強,中國人能算計,在入侵思路方面比較聰明。
我親眼見過一個例子。2004年年底,有個黑客端著筆記本電腦進了一家五星級酒店,第二天他出來的時候,電腦里存著這家酒店所有的客戶數據。這是酒店競爭對手給他下的單子——把客戶都搶過來。從談判到見面交易我都陪他去,后來這批數據賣了129萬元。
還有一件事也是我親眼所見——在電商網站搶單。長沙有一幫人,在各大電商網站的數據庫里裝后門,實時在本地更新數據庫或直接進入電商網站后臺看數據。他們一般挑貨到付款的顧客,只要一看到有人下單,立馬在最短時間內發貨,動作比電商網站的物流快,冒充該網站讓顧客簽收。等顧客下單的貨真正到的時候,他肯定就拒收了。這伙人專挑服裝、成人用品、減肥用品這些出貨量大的品種,每個網站偷三五單,網站很難發現。但他們在四五十家網站偷,一年下來凈利也有2000多萬元。
比這更黑的生意是通過網銀或信用卡偷錢,但也更危險。很少有人敢在國內做,我以前有兩個手下因為做這個,現在還在牢里待著。我知道有個人在澳大利亞偷中國國內的網銀,他雇了一些臺灣人和香港人來大陸,每個月付他們一萬塊錢,讓他們幫忙取他從別人網銀賬戶里轉過來的錢。他曾經截過一張圖給我看,那是他弄到的一張銀行卡的打款記錄,卡主人每個月的打款金額都在1000萬元左右,我記得很清楚有一筆是打給臺灣一家唱片公司的,備注里寫著“周杰倫演出費”。銀行的U盾有沒有用我不知道,我自己用的是工行網銀,之前我試驗了一下,至少一代U盾算法不強,是可以復制的。
網上流傳賺5000萬元的黑客我沒見過,但賺1000萬元的不少,我在北京有很多這樣的朋友,他們大多沒有正經工作,也不出名。但說句實在話,他們都是打工的人,這條產業鏈上真正的大魚是渠道商。有人給渠道商下單了,他們就會雇一些人來找黑客談價錢,這都指不定倒幾次手了,可惜我沒有接觸過渠道商。
中國黑客在韓國鬧得也很厲害,韓國現在被搞得比臺灣當年還要風聲鶴唳草木皆兵。我手里有4000萬韓國網民的數據(2011年韓國人口總數5051.5萬),而且他們實行實名制。
黑客圈生態
我是上大學以后接觸黑客圈的。我遇到了很多拿個簡單工具到處攻擊的菜鳥黑客,我在研究他們的同時對黑客技術也有了些興趣,心想“不過如此”,之后我就開始自己下載工具,給別人裝個木馬鬧著玩,嚇唬嚇唬對方。再往深里研究,我慢慢接觸到了一些掃描器、入侵工具,自己也到處看一些相關的原理,因為我大學讀的是數學,跟計算機關系比較大,一年之后,我差不多把入侵需要的東西全學會了。那時候我就算是圈里人了,每天跟一個小團體在一起探討技術。
后來,有一個叫孤獨劍客的人開了一個網站“黑客基地”,我就去聊天室里當講師,給別人做VIP培訓,講入侵,每周一節課,他們一節課給我200塊錢。那個時候也沒有什么法律觀念,每節課都拿別人的網站做試驗。比如這節課我要講這個漏洞,我就去找符合條件的網站,先把漏洞留好,講課的時候現場入侵,一步步解說,工具發下去之后再把步驟說一遍。當時禍害了不少網站,我印象里有網易的分站。
但實際上入侵靠的是經驗,靈活應對各種情況,比如快速判斷這個地方會不會出現弱口令、有沒有驗證等。技術手段說白了,如果天天學的話,兩三個月足夠。現在高明的攻擊手都不會那么累,他會使用社會工程學的一些方法,比如他通過跟你聊天知道了你們公司的部門組成,如果你們是按部門排座位的話,他接著就能推算出你們的網絡構架,他的攻擊能變得更加精準;再比如他通過掛馬獲得了你們老板郵箱的賬號密碼,他用這個郵箱給你們的同事發一封郵件,要求獲得網絡管理員的賬號密碼,基本員工都會中招。當然,技術高超的攻擊手能解決一些更復雜的問題。
挖掘漏洞的人是我最佩服的,因為他直面系統。這是一個非常非常枯燥、我看見就想吐的活兒。圈里有名的一位挖掘者,三個月不出門,全吃方便面。所以擅長挖掘漏洞的人都不擅長入侵,因為他沒時間。
黑客圈其實也是拼人脈的,因為得拿到漏洞才能由程序員去制作入侵工具,你人脈廣,才有人愿把漏洞送給你或跟你交換。圈里把沒公布的漏洞叫0DAY,如果剛好趕上這個網站有0DAY漏洞,也許我一秒鐘就能把它搞定。一個0DAY漏洞能換50個普通漏洞,拿去賣市價可能有幾十萬元,還有一些女黑客為了騙0DAY漏洞情愿跟人上床,所以圈里人也把我們這個圈叫“娛樂圈”。
我在“黑客基地”講了半年課,技術提升比較快,因為給別人講東西自己得先會,一些以前沒注意的東西,在講課的過程中重新學習到了,慢慢地我在圈里有了些名氣。大學最后一年,我想賺點錢,剛好有人給我下單子,讓我去一個全國性網站掛馬。他收我“信封”(一個賬號加一個密碼叫一封信),一封一塊錢,我一周大概有700-800元的收入。然后,他拿這些賬號密碼去《傳奇》里面撞庫盜號。
2004年,我從河南、安徽、廣東、遼寧一共湊了9個人組成工作室,我們租了個100平方米的房子弄成上下鋪,兩個帶媳婦的住兩間,剩下5個人住單間。我們分頭去攻擊網站,靠得來的賬號密碼去網游里盜號。我們中有人能挖淺顯的漏洞,但系統漏洞挖不了,寫程序的也不多,入侵工具我們寧愿去買,穩定性比自己做的好些。我們當時還特意分出來一個女生管后勤。
2005年左右,我不太想做這個了,圈子里其實很多人都在偷偷摸摸地做,但都不好意思說出來,怕別人鄙視,說你怎么玷污了我們的精神?那個時候大家還信奉有什么東西就得公布出來共享,入侵一個站點大家一起玩。其實我自己也是那種很糾結的心理,搞技術的還靠這個賺錢?但后來發現,都他媽有人賺幾百萬了,我想想,還是偷摸著回去搞吧。
黑客產業在2006年的時候最兇猛,國內國外都兇猛,韓國、巴西、越南的網游市場都被中國黑客搞過,我記得我還搞過馬來西亞的。后來有個國內網游公司的工作人員跟我說,馬來西亞市場運營得不怎么好,自從某月被批量盜號后就不行了,我心想這事兒我多虧沒跟你說。馬來西亞代理公司的老板給我打電話,說我每個月固定給你錢,你別搞我們了,我們也快不行了??那時候法律還沒管到這塊,他抓不了我。
我做這行屬于斷斷續續的,比如這個月賺了50萬元,那我就出去玩,花光了回來再做,如果按全工作時算,前后可能也就干了三四個月,加起來也就賺了200來萬元。這種錢花得可真快,動動鼠標就得到的我不會珍惜,我和女朋友出去玩都是住五星級酒店,有時候懶了經常跨省打車。
沒有信仰,只有喪心病狂
從中國有黑客開始,我就開始接觸到一些網站的用戶賬號密碼庫,它們明文保存密碼,真是腦殘的行為。但以前我都是亂扔,新浪、天涯的我都直接刪了,心想哪有硬盤存這些東西,那時候沒有遠見能看到這些也是能賣錢的。
中國黑產圈子里的人有些喪心病狂了,講道義、講信用的人很少,大家都沒有信奉的規則,明的暗的都沒有。中國為什么沒有維基解密?因為大家都沒有信仰再加上文化程度低,很多人連世界觀、價值觀都沒了,當他們碰上法律不健全、看似自由的網絡世界,這個圈子能變成什么樣子可以想見。
當年我做黑產的時候,經常幾個人在一起討論:哎呀,真墮落啊,我們干這個!但年輕人,沒有那么多是非觀念,我們甚至在盜取一個網游賬號后會這樣安慰自己:又拯救了一個網癮少年!
我現在也沒什么理想和信仰了,以前還會有一種精神,想在中國黑客圈占有一席之地,我分享一些東西,讓大家覺得你這人值得尊敬,我會有一種成就和滿足感。但是2006年之后,這個世界就變了,從業者增加了,我現在認識的這些人,基本都是在2005年之前就接觸過,2005年之后才進入的,我一個都不認識。
CSDN樹大招風,它的數據庫當年人手一份。今年年初我開始有意收集能接觸到的各個數據庫,想著以后還能寫本書,證明自己當年也牛逼過。當時有人想50萬元預訂我這些庫,我說不賣,我知道你想干嘛,不就是寫個程序然后找網游挨個盜號嘛。所以這次賬號密碼大規模泄露,還代表著新一輪的網游盜號狂潮要到來。
我還是懷念當初的那種日子,去名人的郵箱、網站看看,在群里貼貼王力宏的ICQ聊天記錄,能知道別人不知道的信息就是一件很幸福的事情。
【編輯推薦】
