0
作者|木有、陈川
视频链接:https://www.bilibili.com/video/BV1Sf4y1u79x
这是一起典型的裸聊诈骗的过程,裸聊诈骗最恶劣的地方在于,他能榨干你所有的钱,被骗金额可能高达数十万;
被害人害怕事情败露,往往不敢报警,独自吃下苦果,就怕校园财富排行榜上面出现自己;
而且即便你被骗了所有钱,对方仍然可能把裸聊视频发出去,哎,就是玩儿。
所以,互联网B面第四期,我们来聊聊,安全公司和警方是如何抓住这种违法犯罪分子的。
反攻的第一步就是从这个裸聊软件入手。在安卓app的开发过程中,开发人员将Java源代码编译成安卓可以运行的机器码。
而安全公司和警察则可以将APP还原成Java源代码来追踪黑产的服务器,暴打黑产。
作为Android主要的开发语言,Java的设计哲学是追求跨平台的兼容性——Write Once Run Anywhere。
实现这点需要配置一个虚拟环境,让你的代码在任何设备上都畅通无阻,而这个虚拟环境就是Android Runtime,简称ART。
你的代码被统一编译、代码合成为可以在ART中运行的文件,这里的合成工具是dx,所以这个文件以.dex结尾,称为classes.dex文件,最后classes.dex文件和资源文件,配置文件一起打包成我们常用的下载包—apk。
整个过程就像黑产在层层打包一个黑箱,而要打开这个精心编织的黑箱,最好的办法就是把这个过程倒过来。
首先从apk中将classes.dex文件解压出来,但此时的dex文件并不能直接查看。
这时就需要将dex文件转化成可以查看的文件,classes_dex2jar.jar。
然后使用代码查看工具——jd-gui,打开classes_dex2jar.jar,就可以查看APP的源代码了。
拿到源代码非常重要,通过源代码,我们可以找到黑产的IP和服务器地址,
有的黑产甚至把QQ号微信号留在代码里面,
如果代码中服务器地址没有设置权限,输入IP还可以看到储存在服务器中的裸聊视频。
搞定这些就可以直接呼叫110,抓人封服务器,一顿爆锤。
我们刚才提到的这种情况是你主动下载了注入病毒程序的APP,但更多情况下你下载的APP并无恶意,
例如淘宝,只是他们收集的信息因为我们前两期讲的内鬼泄露和API泄露了。
这个时候,就需要我们像黑产一样思考问题。
不管黑产盗窃数据的手段有多高明,拿到数据以后肯定要到市场上去卖。
而我们就可以监视这些数据的买卖。偷来的东西不怕它不出手,一旦出手就可以抓住现行,所以最重要的是监视黑市中的数据交易。
首先我们可以拓展情报渠道,像暗网、云端网盘、在线文库、代码托管、Telegram 群、Potato 群、各大黑灰产论坛等等,布控所有可以买卖数据的地方。
在这些交易平台设置插件自动监控,捕捉交易信息,比如当我们设定“顺丰速运”为关键词,可以爬取关于“顺丰速运”的所有交易帖。
监测到关键词的交易以后,可以进一步核实数据的真实性,比如身份证号和姓名是否对应。
如果这些数据都是真的,那我们至少可以知道这些数据是如何泄露的。
例如短信平台泄露的是券商通过第三方短信通道下发给用户的验证码短信,泄露的数据格式是手机号-地区-运营商-短信内容。
那么根据短信内容我们就能反推出数据来源。
找到信息泄露的源头以后,就可以关闭对应的API来堵住漏洞,亡羊补牢。
但我们不能每次都等到事故发生了才想起来补救。一个互联网平台内部可能有上千个API,分布在不同部门,所以即使没有泄露数据,也应该提前对公司的所有API进行梳理,找到高危API,重点监控。
虽然历次数据泄露的问题十分严重,但想要肆无忌惮地贩卖数据并不现实,暗网上的醒目位置一度出现过不要买卖手机号和身份证号等敏感数据的标志。
感谢永安在线鬼谷实验室和360烽火实验室提供的内容支持。B站搜索雷锋网关注我们,下期视频,我们来聊聊诈骗和反诈骗的斗争。我们下期节目见。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
