作者|木有、陳川
視訊連結:https://www.bilibili.com/video/BV1Sf4y1u79x
這是一起典型的裸聊詐騙的過程,裸聊詐騙最惡劣的地方在于,他能榨幹你所有的錢,被騙金額可能高達數十萬;
被害人害怕事情敗露,往往不敢報警,獨自吃下苦果,就怕校園财富排行榜上面出現自己;
而且即便你被騙了所有錢,對方仍然可能把裸聊視訊發出去,哎,就是玩兒。
是以,網際網路B面第四期,我們來聊聊,安全公司和警方是如何抓住這種違法犯罪分子的。
反攻的第一步就是從這個裸聊軟體入手。在安卓app的開發過程中,開發人員将Java源代碼編譯成安卓可以運作的機器碼。
而安全公司和警察則可以将APP還原成Java源代碼來追蹤黑産的伺服器,暴打黑産。
作為Android主要的開發語言,Java的設計哲學是追求跨平台的相容性——Write Once Run Anywhere。
實作這點需要配置一個虛拟環境,讓你的代碼在任何裝置上都暢通無阻,而這個虛拟環境就是Android Runtime,簡稱ART。
你的代碼被統一編譯、代碼合成為可以在ART中運作的檔案,這裡的合成工具是dx,是以這個檔案以.dex結尾,稱為classes.dex檔案,最後classes.dex檔案和資源檔案,配置檔案一起打包成我們常用的下載下傳包—apk。
整個過程就像黑産在層層打包一個黑箱,而要打開這個精心編織的黑箱,最好的辦法就是把這個過程倒過來。
首先從apk中将classes.dex檔案解壓出來,但此時的dex檔案并不能直接檢視。
這時就需要将dex檔案轉化成可以檢視的檔案,classes_dex2jar.jar。
然後使用代碼檢視工具——jd-gui,打開classes_dex2jar.jar,就可以檢視APP的源代碼了。
拿到源代碼非常重要,通過源代碼,我們可以找到黑産的IP和伺服器位址,
有的黑産甚至把QQ号微信号留在代碼裡面,
如果代碼中伺服器位址沒有設定權限,輸入IP還可以看到儲存在伺服器中的裸聊視訊。
搞定這些就可以直接呼叫110,抓人封伺服器,一頓爆錘。
我們剛才提到的這種情況是你主動下載下傳了注入病毒程式的APP,但更多情況下你下載下傳的APP并無惡意,
例如淘寶,隻是他們收集的資訊因為我們前兩期講的内鬼洩露和API洩露了。
這個時候,就需要我們像黑産一樣思考問題。
不管黑産盜竊資料的手段有多高明,拿到資料以後肯定要到市場上去賣。
而我們就可以監視這些資料的買賣。偷來的東西不怕它不出手,一旦出手就可以抓住現行,是以最重要的是監視黑市中的資料交易。
首先我們可以拓展情報管道,像暗網、雲端網盤、線上文庫、代碼托管、Telegram 群、Potato 群、各大黑灰産論壇等等,布控所有可以買賣資料的地方。
在這些交易平台設定插件自動監控,捕捉交易資訊,比如當我們設定“順豐速運”為關鍵詞,可以爬取關于“順豐速運”的所有交易帖。
監測到關鍵詞的交易以後,可以進一步核實資料的真實性,比如身份證号和姓名是否對應。
如果這些資料都是真的,那我們至少可以知道這些資料是如何洩露的。
例如短信平台洩露的是券商通過第三方短信通道下發給使用者的驗證碼短信,洩露的資料格式是手機号-地區-營運商-短信内容。
那麼根據短信内容我們就能反推出資料來源。
找到資訊洩露的源頭以後,就可以關閉對應的API來堵住漏洞,亡羊補牢。
但我們不能每次都等到事故發生了才想起來補救。一個網際網路平台内部可能有上千個API,分布在不同部門,是以即使沒有洩露資料,也應該提前對公司的所有API進行梳理,找到高危API,重點監控。
雖然曆次資料洩露的問題十分嚴重,但想要肆無忌憚地販賣資料并不現實,暗網上的醒目位置一度出現過不要買賣手機号和身份證号等敏感資料的标志。
感謝永安線上鬼谷實驗室和360烽火實驗室提供的内容支援。B站搜尋雷鋒網關注我們,下期視訊,我們來聊聊詐騙和反詐騙的鬥争。我們下期節目見。
![這37名跨境賭博犯罪分子,廣東公安喊你馬上投案自首[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)