我們在攻與防的路上你追我逐
我們在黑與白的邊界徘徊不定
我們有很多人一開始走上***測試的道路都是因爲"興趣"。想象自己在學校官網上留下自己的大名?想象自己精心製作的網頁留在某個很出名的網站?想象自己在某臺計算機或服務器內爲所欲爲?也有甚者想的很簡單,就是單純的覺得這個軟件很拽,我要破解它。這個***很好玩,我要學會它。爲了這麼簡單又這麼困難的"夢想"付出了多少汗水,付出了多少個孤寂的夜晚,付出了多少......
我想很多人已經"學有所成"了吧?不少人已經幹掉自己的學校了吧?不少人已經嘗試過掛黑頁的感覺了吧?不少人已經進入過服務器留掛馬了吧?
但是這些人還有多少是爲了當初的"興趣"?不少人在學習過程中已經聽過網絡黑產了吧?
有一句話是這樣說的:如果資本家有百分之十的利潤,它就敢保證到處被使用;有百分之二十的利潤,它就活躍起來;有百分之五十的利潤,它就鋌而走險;爲了百分之一百的利潤,它就敢踐踏一切人間法律;有百分之三百的利潤;它就敢犯下任何罪行。
我相信聽過黑產的巨大利益不少人已經砰然心動了吧?已經不再是單純的爲了學習而學習了吧?爲了$而學習、爲了$而熬夜的人數不勝數吧!?那麼我們來聊聊黑產的模式及風險。(以下內容純屬個人見解,不對的地方多多指正。牛逼之處多表揚,**之處多批評,絕不裝逼)
風險評級只是針對***者!
訂單數據利益鏈
1.***者(負責拿數據)
2.中介(也有可能沒有這一環)
3.詐騙團伙(收數據的人)
大的商城、如唯品會、京東、萬能寶,小的商城數不勝數。 這些人收數據有個硬性標準、一個商城每天數據至少要一百以上(也就是訂單量要在一百以上)他們纔會勉強收購你的數據。通常一條數據是5-15$,這得看你是什麼商城,什麼商品,商品的價格。如果是批發數據那要相對便宜一點
如果是同城,比如愛尚鮮花這樣的數據就可能只值1-2元、甚至一文不值。
爲什麼呢?拿到數據的人要幹嘛呢?他們首先要求最低規格的數據格式:訂單號、下單時間、買家電話、商品名字、商品價格、已付款、未發貨。貨到付款的是不能運作的!!
如這樣↓
有了這些信息他們就可以構成詐騙了。通常這種商城都是數據在後臺的,而後臺也很少能getshell(具體看程序)
而且商城的權限很容易掉,因爲詐騙會讓官方很快收到消息排查起來。所以一般在***商城的駭客都會很小心很小心的隱藏自己IP。
順便提一下、商城大部分都是XSS漏洞進入。
風險:★★★
航空數據利益鏈
也是詐騙,這個風險比較大,他們首先要求最低規格的數據格式:下單時間、旅客姓名、旅客電話、訂單號、未起飛等(沒深入瞭解這個、歡迎補充)
如這樣↓
搞航空數據被抓的比比皆是!且行且珍惜。
風險:★★★★★
貴金屬、原油、紙黃金等利益鏈
還是那三種人,不過這個風險相對低一點、而且這個比較“千姿百態”,你可以***某個理財公司的呼叫系統!如下↓
他們要求的數據很簡單,電話、姓名。但是這種數據需要先***者發一點數據過去讓詐騙團伙測試。這裏也順便提一下,這裏的詐騙團伙不同於上面兩種,一般是有正規營業執照,有公司的,但是公司是什麼樣的呢?看圖↓
這是一家比較小的"理財"公司,15個電話手,兩個管理人員。管理人員把在網上拿到的數據(或者測試的數據)打印出來刪除收到的數據記錄。
把一張張紙發給各位電話手,由電話手去.......讓人來開戶。然後滾着滾着¥就到公司手上了。就給客戶說虧了。
一般這種數據出自什麼地方?交易所絕對是各大黑闊“重點關照”的對象!通常這種數據是穩定每日出貨,一條數據5毛-2元。
風險:★★
洗錢利益鏈:
洗錢有很多種,最最最暴利的是比特幣,有大黑闊掌握一個0day可以日如五十萬以上!一點都不誇張,一點都不虛假。他利用自己拿到的權限給幕後的洗錢團隊合作,老闆指定衝某某賬戶、然後團隊進行一系列操作通過澳門等地方洗來洗去。一會就洗白白了。這種很高端也很神祕。普遍大家接觸不到
說說大家經常接觸到的,釣魚!屢見不鮮了吧,也有不少人發表過這類文章了。我看到的關於釣魚、洗錢方面最好的文章是烏雲的微信公衆號推廣的。
這裏不多說附上一個經典的系列:
考試數據:同樣是兩種,高三報考數據、人事報考數據。高三的很好理解,拿到數據交給詐騙團伙,團伙打過去就說有答案。但是現在好像很少有做這個的了。人事數據反而最火。
看一下有多少類型的數據,受歡迎程度超乎你的想象,最歡迎之一的城市應該是成都。。可能是這個市的人好騙吧,我真的沒有地域黑。。。
如下↓
而且這個不是一錘子買賣,如果你能長期掌握權限,那麼每次報考的數據都夠你吃一個月了!
風險:★★★
永遠最暴力最屌的BC:
1.***者
2.黑帽SEO
3.開盤口的
***者負責拿站、通常這些人會選擇新聞源,退而其次也是需要高收錄高權重的網站!爲什麼呢?因爲新聞源每天更新,蜘蛛喜好。具體自行百度
黑帽SEO負責把手上的資源(***者提供資源,也就是站點)做出實際的效果
如下↓
你們可以搜索以後去點擊這些站點,百分之八十都是跳轉到某個盤口或者某個廣告版。爲什麼需要這麼做我想不需要我說了吧?
剛剛提到了廣告版,一個廣告版就像一個導航網站、一個好的廣告版一個月賺一百萬人民幣都沒問題!
哦,再簡單說一下,不要去爆菊哦。因爲能夠拿下這些站點的人絕不是一般人,他們的技術超乎你的想象,各種0day、穩定權限也是一把好手!大部分都散佈在柬埔寨、馬來西亞、菲律賓等小國家,這些人的ID早些年在圈內赫赫有名的,這裏具體就不提起了,我怕被摁在鍵盤上打。。。
關於盤口方面的盈利、***者的薪酬、黑帽SEO的薪酬我就不多說了,這個看盤口的大小、流水以及***者的能力來定的
風險:★★★★★
講完這些,再說一個很多人都誤解的一個問題。
網監監控騰訊QQ的聊天記錄?扯淡,騰訊確實是有我們的聊天記錄,但是一般情況下是不會“管理”的,想象一下整個QQ有多少QQ羣?他們怎麼檢索的過來?怎麼監控得過來?這得多大人力物力。有時候國家需要調查點什麼確實是會找騰訊“合作”,騰訊應該也會“積極配合”。這個時候來檢索!!!