欧美亚洲国产精品久久,亚洲熟妇另类久久久久久,女人张开腿让男桶喷水高潮

黑客講述如何一邊搭飛機一邊搶銀行

作者：

億星網絡科技

時間：

2016-11-26 9:35:56

在演示如何“搶銀行”前，Jayson E.Street是非常輕松的，正甩著兩條小腿坐在演講臺上隨音樂在搖擺。

Jayson E.Street是黑客盛會DEFCON 組織的全球協調人，在SyScan 360對他的介紹（想必也是他自己寫的）中，寫道“他是一個披薩愛好者，曾經把披薩從北京帶到巴西分享，他不希望人們對他的認識僅僅如此，如果注意的話會發現他在2006年被《時代周刊》評選為年度人物”，對，雷鋒網編輯也曾獲得這個獎項，知道這個老梗的人你可以笑了。

不過，告訴你如何搶銀行不是一個笑話，Jayson 今天要出奇制勝，成功奪得你的注意力。

知己知彼，百戰不殆。Jayson 也懂得這個套路，為了防范和偵測這些攻擊，他先要演示攻擊者如何看待“你”的網站和員工，利用他們來攻擊“你”。這個小伙可是在美國銀行從事防御工作15年，在6年多時間內在多個項目中扮演攻擊者，是居家旅游搶銀行必備。

而且，Jayson 的“搶銀行”還是被付費的——很多銀行的 CEO 付費找他測試銀行系統是否安全，是否會被入侵。

攻擊電信公司

在聊聊 Jayson 是如何搶銀行前，先來看看他是如何攻擊電信公司，因為兩個方法路數一致，僅略有差異。Jayson說，

我曾被電信公司雇傭，CEO 希望我進行釣魚攻擊，要求是只能利用一個介入點，任何人點擊任何鏈接都受到攻擊。

Jayson 采取的策略是鎖定這家公司的一個人，于是他先登錄電信公司的網站，找到電信公司 CEO 的介紹頁面，根據頁面上 CEO 的照片，找到了他的推特，然后順藤摸瓜發現了其他相關工作人員帳號。

[該 CEO 的展示頁面]

[該 CEO 的社交網站頁面]

知道了這些后，他可以假裝成任何人來和電信公司的員工進行聯系。

在社交網站上，Jayson 找到很多資料和可能的目標。他發現，這個 CEO 中有一個聯系人參加了 Mobile 360的會議，他找到了會議網站，找到了同一會議的其中一名參會者（演講者）的詳細信息，以他的名義進行釣魚郵件。

這封釣魚郵件是一封商務合作郵件。

這封郵件的狡猾之處在于，提到的是從移動設備發送，Jayson 說，人們心理會有預期：移動設備打開的網頁（即實際上是釣魚網站）看上去會和實際官網不一樣，于是會放心打開，就算比對也不會懷疑。

放心地打開后，出現這個頁面，就說明釣魚成功了。

到這一步，我只花了三十分鐘。

Jayson 帶著小驕傲說，并沒有任何復雜的技術，但卻完成了這次攻擊。

一次未完成的銀行搶劫

看上去是社會工程學的方法，事實上，在針對銀行開展襲擊，即搶銀行時，又是另一個不同的小故事。

比較憂傷的是，Jayson 稱，這個故事所有的信息搜集，在乘飛機的過程中就完成了，對，你不要嫉妒，人家乘飛機時可以上網。

曾經有一個銀行想讓我去介紹如何進行對銀行的攻擊，讓我設計一個攻擊路線圖。我找到了某地最大的一家銀行官網，登錄攻擊目標網站時，普通人首先看到的是：嗯，這個藍色頁面的網站很好看嘛。

不過，攻擊者才不看這些，攻擊者關注的是 IP 地址，找到美國主機的位置，包括是否有第三方主機服務公司來托管網站，還有其他信息，如網絡、FTR、ASN，如果所有這一切都在第三方托管中，只要找到第三方托管服務器的漏洞，不僅是這個網站，托管在上面的網站就可以一網打盡。

通過搜集信息，Jayson 在社交網站上找到這家銀行的工作人員，可以詳細看到各種信息，在哪里讀書，手機號碼、家庭地址，大家都看得到，大部分人愿意在社交網站上分享他們的信息，而“受害者”并不知道黑客在“調查”她。

Jayson 強調，重要的一點是，在美國搶劫銀行前可能會先劫持銀行的工作人員，拿到她的權限再來搶銀行，所以獲得這些有權限的銀行工作人員特別危險，尤其在社交網站上把家庭地理位置和房屋照片都曬出來的這種。

他們還會被綁架，甚至作為人質，直到第二天早上這個銀行上班之后，挾持他們打開保險柜，這是美國搶劫銀行會出現的事。

我先從她的朋友下手，尤其是她的社交網站上新加的盆友。

他找到了目標對象——銀行工作人員最近添加的參加銀行開展的打保齡球活動的朋友，然后從朋友的角度發了一封釣魚郵件給這個銀行工作人員。

為什么這么做，Jayson 解釋：

因為新加的朋友溝通還不多，還不熟悉，甚至之間還會提一些問題，她們還有一些共同點，比如，給孩子打保齡球的公益活動，仿制被攻擊者朋友的公司郵箱地址，就可以發郵件了。

這封郵件的內容是什么，為什么被攻擊者會心甘情愿地點擊？

來看一下郵件內容：

在這里，最近當選美國總統的川普要躺槍了。在輕松友好的交流氛圍中，Jayson 對雷鋒網表示，他不支持川普，因為這個“更糟糕”。

于是，他在釣魚郵件中，其實是邀請被攻擊者參加抗議活動——政治是我們都關心的事！所以，十有八九要中招！

不過，Jayson 多次強調，這次演示的攻擊并沒有真實發生，因為郵件他沒有發送出去。只是為了給大家展示：看，我能這么做，而且這么簡單！

摸清攻擊者的老底

還有一個重要問題是，攻擊者為什么能這么迅速地收集信息？Jayson 把攻擊者的老底摸清了。

我在這里給大家展示從攻擊者角度怎么看，我不想給你們傳播不好的東西，讓你們恐懼，我們希望給大家普及這些只是之后，你們提高防范意識。

Jayson 先給大家打了預防針，意思是：不是教你去當攻擊者！看看就好，預防第一。

先上技術網站找攻擊工具，然后找一下攻擊目標，比如，攝像頭，防火墻薄弱的地方。而對于銀行業，則可以在暗網等找到銀行被販賣的數據。

所以，下面雷鋒網(公眾號：雷鋒網)展示一下 Jayson “推薦”的攻擊者必看信息。

1.攻擊者常用工具

2.在哪里找被泄密的數據

3.找到網站架構的薄弱地帶

知己知彼，反攻

知道攻擊者將會如何開展行動后，Jayson 對企業和個人進行安全防護有以下重點建議。

1.至少每周要監測能搜到的“銀行”的信息。

2.建議網站進行潛艇式構建——這個地方有問題，別的地方可以被保護，一個地方被攻擊，其他地方還能工作，所以需要分段網絡架構！

3.在網站上的溝通可以進行切割，不是所有人都需要有外部溝通的權限，有些溝通只要在局域網溝通。

4.利用各種工具檢視現有網站受到攻擊的可能。

5.關于網站上“你是誰”的代碼名稱是聯系信息，把這個名字設置成非真實姓名，但貼上真實電話分機號，聯系電話、郵箱分別設置不同名稱。

6.為1X1單像素照片添加提醒鏈接，一般人不會點開這種圖片看，只有攻擊者才會利用這種圖片來尋找突破口。

7.還應為用戶代理字符串設置提醒。

8.如果可以，控制可以看到你的網站國家和地區，比如，一個地方性銀行需要全世界的人來點擊嗎？預防攻擊。

9.在你的職位列表上添加觸發器/錯誤線索，違規操作立馬就能知道。

10.不使用公司設備進行危險社交操作，如掃二維碼。

11.對員工進行安全意識培訓。

最后，需要再次聲明的是， Jayson 演示的對企業、銀行開展的攻擊都是企業授權，讀者盆友不要非法嘗試，伸手必被捉�！皳尳僬摺� Jayson 還告訴雷鋒網，做了這么多看似有破壞性的事情，事實上他一直在遵循自己“守衛者”的準則，他還有什么故事？敬請期待雷鋒網對 Jayson 的人物專訪。

平凉压糖文化有限公司

黑客講述如何一邊搭飛機一邊搶銀行