周末帶小孩去電影院看了《孤注一擲》，老婆說這是給小孩的教育片，當做成長路上的教育片來看，片方也在營造全家必看，全社會必看的輿論，“嘎腰子、緬北、KK、殺豬盤”的社會熱點推高了本片觀影與期待。

做為網絡安全從業者，今天談談電影《孤注一擲》涉及到的相關的黑客攻防技術和場景。

電影制作方也算是用心了，隔壁王大娘提醒我男主張藝興飾演的潘生與編程語言Python在讀音上似乎有點弦外之音，有點類似或諧音。

開篇男主潘生從標準碼農襯衫打扮到刻意西裝革履意氣風發，體驗了什么是職場失落，在公司全員大會上晉升受阻襯托下氛圍瞬間尷尬，男主一氣之下扔掉工牌，當場離職不干了，這里其實有違背職場離職流程，現實職場程序員離職還有諸多的流程，交接文檔、交接代碼庫等等。

1. SQL注入,投放大量表情包

從瞬間離職可以看出男主比較血氣，雖然沒有rm -Rf、刪庫跑路之類的神操作，但片中男主潘生利用sqlmap工具，掃描和尋找可利用的漏洞或弱點，目的也就是通過sql注入方式入侵公司系統，修改了新晉升研發老大的演講屏幕，并在屏幕上給予了一堆的笑與哭泣的表情包，這也是本片第一個秀了一把黑客入侵場景，也奠定說明了男主有一定的攻防技術，為本片后續情節做了技術鋪墊。

那什么是SQL注入？，大白話(講給隔壁王大娘聽),假設王大娘您去超市購物時，柜臺需要王大娘您提供商品的名稱。王大娘您告訴柜臺：“我要買蘋果”。柜臺人員會根據王大娘您的請求找到蘋果并交給您。 但是，想象一下，如果有人惡意地顧客告訴柜臺：“我要買蘋果' OR '1'='1'”。這種情況下，柜臺人員可能會將所有的商品都給該惡意地顧客，因為條件 '1'='1' 總是為真。這就是SQL注入的原理。

黑客世界中, 黑客通過SQL注入偽造請求或繞過網站相關安全驗證，竊取你的數據或全部用戶數據，甚至是修改和刪除數據。

本片段，男主潘生利用SQL注入漏洞入侵數據庫，獲取后臺密碼，同時利用用戶名admin和密碼RC075219登陸公司大屏管理系統，并投放系列泄憤的表情包，最后一走了之，奔向夢想的新加坡螢火游戲公司。

2. 男主潘生入侵騙子手機的傲氣與“螢火”夢想破滅

離職后的男主和一群懷著對未來充滿希望的年輕人，在飛往夢想的飛機上談笑風生，潘生對飛機上的幾個人都能爆出其大名，同行人都很詫異，怎么知道他們的名字?，這也是本片第二次涉及網絡安全，潘生說他入侵了孫陽飾演安俊才的手機，顯然，本片段沒有講述如何入侵手機并讀取如通訊錄、照片等信息。

黑客入侵手機的方式方法有很多，如誘導下載帶后門/木馬的應用程序、偽裝成圖片并誘導受害者打開圖片并植入木馬、搭建wifi熱點并誘導受害者連接并讀取通訊錄/圖片/短信等等，諸多方式可入侵手機 ，我在這里也提醒王大娘，在大街上/菜市場/陌生人等渠道謹慎掃描二維碼，時髦的王大娘不要輕易安裝陌生人推薦的APP、不要輕易的趁陌生的WIFI/熱點。

隔壁王大娘也用智能手機，讓我好好講講手機入侵影響小到個人，大到政府官員/國家層面，好好給王大娘講講，好奇的王大娘。

現實世界中，入侵手機的案例時常發生，我告訴王大娘，黑客最喜歡入侵您的智能手機，入侵之后竊取您的各類材料只需要喝一杯老北京豆汁的時間，而且您再也沒有隱私了。針對政府要員、競爭對手的手機入侵也屢見不鮮，如以色列網絡情報公司NSO開發的黑客軟件“飛馬”入侵多國國家元首、政企界人士、皇室成員等的智能手機，超過5萬個電話號碼遭監控。

隨著飛機到騙局里的目的地，在孫陽飾演安俊才也就是阿才的“看秀”誘惑下，一群帶著夢想的年輕人第一次體驗了夢碎異國他鄉，被街頭群毆，從虛幻的滿懷期待被拽回殘酷的現實，從電影院現場觀影觀眾的情緒和反應來看也算拉起來本片第一個意外的小高潮。

入園區之后經過恐嚇、挨打、傳銷式給夢想打氣:今天睡地板明天睡老板、避免家人報案: 象征性的給家人報平安, 利用二進制求救（太高端，大家都沒有get求救信號），各種帶6的手勢和包含6的信息（6的二進制是110，意思就是求救，撥打110） 等系列流程之后，男主潘生接到的第一個工作任務或叫研發任務就是寫爬蟲，阿才問潘生會不會寫爬蟲，爬取電話號碼和郵箱信息。

隔壁王大娘問那為什么要寫爬蟲呢？為什么要爬取電話號碼和郵箱信息？ 大家或許都收到過莫名涉及賭/博彩等相關內容手機短信或郵件，正所謂姜太公釣魚愿者上鉤，騙子也會利用這點并夾雜著無限誘人的虛假內容，誘導受害者。

同時網絡安全領域有一種攻擊戰術叫釣魚攻擊，通過內容偽造、誘導等方式，誘使受害者填寫銀行卡密碼、轉發重要文件、點擊惡意鏈接、打開藏了病毒的附件等操作。詐騙集團會利用爬取到的手機號、電子郵件等進行精準詐騙。

3.  為了安娜500W業績目標，全面開啟“殺豬盤”模式

本片中男主潘生在現實與逼迫下，各種逃跑無路, 一句”我幫你完成業績任務，你出去報警救我“男主潘生與金晨飾演的梁安娜在同病相憐現實下達成畸形的合作模式，也開啟了二人的行騙之旅，說到這，連隔壁王大娘都很詫異，問我還有如此簡單的程序員，就算任務完成，詐騙集團有放安娜離開的可能嗎？

為了金晨飾演的梁安娜能達成500百萬的業績目標，整個騙子集團開啟了“殺豬盤”模式。

整個“殺豬盤”,分為3個核心階段,分別為尋豬、養豬、殺豬。

尋豬階段

所謂“尋豬”也稱為“圈豬”， 就是找到潛在受騙目標或受騙人群，這里就是為什么男主潘生被逼問會不會寫爬蟲，爬取目標受害人群的電話或郵箱信息，詐騙集團利用爬取的手機號碼或電子郵件進行精準投送詐騙信息，這也是王大娘經常和我說手機接收到的各類博彩信息的背后邏輯。

本片中最大受害者,王大陸飾演的顧天之，就是因為收到一條詐騙集團在“尋豬”階段推送的帶有誘導短信內容，一步一步落入騙子的金錢誘惑、美人計等連環圈套中，開啟了人生一條不歸路。

王大娘問我,現實世界中,詐騙集團都有那些階段來圈定受騙目標,也就是“尋豬”手段都有那些?

• 詐騙集團經常會通過微信、微博、百合、QQ、世紀佳緣、探探、陌陌等，這些都是詐騙狗推們“尋豬”途徑；
• 非法分子利用偽基站進行釣魚,傳播詐騙短信，在安全意識不足情況下點擊鏈接就可能被“釣魚”或成為“尋豬”對象；
• 非法分子群發釣魚郵件,惡意傳播木馬或經受不足誘惑,被“釣魚”或成為“尋豬”對象。

以上只是羅列常見的“尋豬”手段,面對詐騙集團不斷翻新的“尋豬”技戰術，且已經形成完整成產業鏈，唯有提高自我警惕性，不要相信天上掉餡餅，唯有如此才能最大限度的避開各類誘惑。

養豬階段

已落入“圈豬”圈套的顧天之，時刻沉溺在虛幻喜悅中卻全然不知，此時詐騙團伙已經為顧天之量身制定了周密的進一步誘騙計劃，也就是所謂的“養豬”，不斷的讓顧天之得到甜頭，不斷的投喂虛幻的收益和美人計下的溫柔與關心。

王大娘也很納悶,顧天之不是賺了不少錢，是真到到賬嗎？我和王大娘說詐騙集團“不怕你賺錢，就怕你不玩”，人都有兩心，貪心與不甘心。

在這個階段，因為在已經淪為騙子角色的男主潘生技術的加持下，“養豬”的技術手段進一步升級，我和王大娘說涉及到的技術如下（王大娘聽的一愣一愣）。

• 養豬”的第一階段為顧天之量身定制收益頁面，使其腎上腺素飆升，也就是動態篡改網頁或動態生成虛假網頁，調整虛假賠率，營造巨額收益的假象，使其癡迷。王大娘總結說是不是看到的，你因為的，其實不是真的，大娘總結的精辟。

• 養豬”的第二階段，詐騙集團釜底抽薪，各種套路誘騙顧天之奮不顧身的投身網賭，顧天之不惜與女友、朋友、家人分裂，最終背水一戰瞞著家人抵押房產套現800萬元購買科太幣。

殺豬階段

也就是對于被騙者最悲催的階段，深陷泥潭的顧天之完成房產抵押，并將獲得的800萬抵押款打入詐騙集團賬戶，詐騙集團開啟收網模式進入“殺豬階段”。片中顧天之滿心期待下被微信拉黑，一切泡沫瞬間破裂，奔潰、自責、懊惱，最終在父母、女友、朋友的面前跳樓自殺，走向人生末路，把悲傷留給活著的人。

隨著顧天之一躍而下，本來前途一片光明的年輕生命就此畫上句號，詐騙集團也血淋淋的呈現整個殺豬盤完整過程。

寫到這里，也再沒有心思的完成剩余的片段分析。就像電影的最后，出席記者招待會上最后一排一個手拿詐騙集團標志人物依然鎮定自若的坐著,  這個鏡頭也告訴我們類似的詐騙、類似的悲劇不會停止，唯有提高自我的安全意思，才能更好的保護自己，保護好家人、朋友。

最后送上一首來自網絡的反詐“三字經”：

詐騙術、千千萬，要防范、也不難。

莫貪心、要記牢，一盲信、就中招。

陌生號、咱不接，陌生人、咱別信。

聽講課、發紅包，帶節奏、是忽悠，

大餡餅、不砸咱，小便宜、騙大錢。

假鏈接、咱不點，來推銷、咱不理，

銀行卡、保管好，要轉賬、問兒女。

存理財、要當心，賣股權、您別信，

有異常、快報警，找警察，幫助您。

你安裝防詐APP了嗎?