为方便您的阅读,课戳以下蓝字,进行快速跳转!!!
01 前情提要
在现实生活中,大多数人对黑客一词有着太多的误解。
大家普遍认为,你能够轻而易举的盗号、一气呵成地修电脑、随随便便地破解软件,甚至认为你能破解支付宝、淘宝,坐拥无数财富!
查开房记录当绿帽侦探,修手机、修平板、修家用电器的更是不在话下了。
总之,在大家的印象里,在有关于计算机的所有方面,黑客翻手为云、覆手为雨!
好,你们说黑客这么厉害,我都信了,我又觉得自己能行了,所以来小试牛刀看看如何从支付宝里搞钱吧
02 正常的支付宝支付流程
你说你要是当个小偷,你不得敬业点,先观察观察行人平时把喜欢钱包放在哪个位置,之后便于你下手嘛。
同理,要想从支付宝搞钱,我们先得了解一个普通人——张三,他使用支付宝的流程是什么样子的。
最简单的情况下,我们从零开始使用支付宝付款或者转账至少要经历两个确认步骤。
一是你需要登录你的支付宝账号,输入你的登录密码
二是在你需要在付款或转账时,输入你的支付密码
而除此之外,支付宝还提供了人脸识别、指纹识别、手势密码等额外的安全认证服务,在本文中暂且不提。
03 攻击者的思路
好,通过上文的逆向思考,我们已经了解到,张三使用支付宝必须要输入登录密码、支付密码。
那作为黑客来说,是不是说明如果我们知道了张三的支付宝登录密码和支付密码,我们便可以用他账号里面的钱给自己买辣条吃呢?
其实我也不知道,但是目前的思路就是这样:
第一步努力:获取登录密码;
第二步努力:获取支付密码;
我们暂且来试试看
04 具体操作方法
1、登录密码怎么破?
我们知道,张三在使用自己的支付宝进行转账、付款等操作时,很简单,登录支付宝账号的时候先输入密码进入账户再说。
而且有的时候张三在付款的时候甚至不用输入登录密码,点进支付宝就已经是登录状态了,这是为什么呢?
是的,的确有这种情况,但这是有前提条件的。前提条件是是你经常登录,并且没有换手机使用支付宝。
在这种情况下,支付宝判断你账户是低风险的,所以支付宝没有必要每次都让你输密码,免得你嫌它烦!
而与之对应的,如果你在一部手机已经很久没有使用支付宝了,那当有一天你突然点开支付宝的时候,是需要重新输入登录密码的。
而如果你是换了一部新手机登录支付宝的情况,登录则更复杂一些,那么你不仅要输入密码,还要进行二次校验(短信验证码或者回答安全问题)。
所以,以支付宝的严苛程度,如果我作为一名黑客,如果只知道张三的支付宝登录密码,也会因为不知道二次验证的内容而进入不了张三的支付宝账号。
那么,难道作为黑客的我就没有办法了嘛?也不是!我可以从以下几方面入手:
1)到网络上到处看看有没有张三的的身份信息。
我们知道普通人的安全防范意识较弱,甚至有些人身份证、银行卡信息、手机号信息都直接暴露在互联网上,而这就是我们的突破口。
要知道支付宝密码是可以被重置的,而这需要登录的人提供身份证、银行卡等一系列信息。
如果这些信息隐私信息都被我掌握了,那么从某种程度上说,我就是张三了。我登录张三的支付宝也就轻轻松松了。
2)张三的手机被我捡到了,并且发现手机没有锁屏密码
拿到这样一台裸奔的手机,你不登他的支付宝,简直对不起张三!
在这种情况下,我会遇到两种情况
张三在几天内用过支付宝,那么,我不用输入密码,就能直接登陆了。
张三最近没有登录支付宝,我登录的是时候要输入登录密码,不过不用怕,手机在我手上,我选择重置密码,手机接收验证码就可以了。
2、支付密码怎么破?
现在我已经登录进张三的账号了,如果接下来我想用账户里的钱,就需要使用到支付密码了。
那黑客要怎么知道张三的支付密码呢?这里也有两个方向可以努力努力:
1)用张三之前泄露的其他登录密码尝试
虽然很少有人会把其他平台的登录密码作为支付宝支付密码,但是我们也可以尝试一下。比如试试看其他平台密码的前六位或者后六位,万一见鬼了呢
2)直接重置张三的支付密码
其中重置密码,需要张三的个人信息,或者需要张三的手机。这些信息,我们可能在登录支付宝账号步骤就已经了解,或者还可以通过翻看张三的手机看看里面有没有身份证、银行卡电子档信息。
如果我已经掌握了上述这些信息,那么我很可能重置支付密码成功
3、可以直接转账了吗?
经历了以上的两步,我感觉张三的小金库已经在和我招手了,我摩拳擦掌,口水都要流下来了。
只见我眼疾手快,在支付宝里通过手机号搜索到本人的支付宝账户,然后点击转账,确认转账金额 520 ,之后点击确认转账,结果
或者
嗯???什么意思,临门一脚,你给我搞这一出,支付宝你一点都不懂的体会我的辛苦!
原来,支付宝安全支付的最后守门员——AlphaRisk 风险控制系统,早就看破一切,就等着看我气急败坏的样子。
那AlphaRisk 风险控制系统到底是如何判断的呢?
其实我就像个猴子一样,我之前的所有操作,包括重置登录密码、发送手机验证码、通过手机号搜索账号等花里胡哨的动作, AlphaRisk 都在一旁默默看着呢。
AlphaRisk就像一个经验丰富的警官一样,他判断你是坏人不是无来由的,而是有理有据的。他会从众多维度来判断一笔交易的风险程度。比如:设备、环境、偏好、行为、关系、账户、身份、交易,等等。
张三在平时操作支付宝的时候, AlphaRisk 对他的一笔交易都做了极其细致的评估之后,觉得操作者是个大大的良民才不拦着的。
而要是其中有多个维度出现问题,就引起 AlphaRisk 的警觉。他会直接强制停止交易、对操作者要求指纹验证、人脸验证,手机验证等,要么干脆就截断交易,冻结账号。
对于本次黑客的一系列操作来说,AlphaRisk风控系统或许会观察到以下内容:
1、操作者陌生的手机上登陆该支付宝账号
2、操作者重置支付宝的登录密码
3、操作者重置了支付宝的支付密码
4、操作者通过手机号搜索了陌生的联系人
5、这两个账户之间从未有过直接转账且转账金额数较大
AlphaRisk风控系统在观察到以上内容后,就会察觉其中大概率有蹊跷,于是冻结了张三的账号。
面对AlphaRisk风控系统的刁难,孤单的我留下了无助的泪水!
05 我的Happy ending
正当我哭的像个孩子的时候,这时候有人上门查水表了,喜出望外的,我被请进去喝茶、吃饭了。
通过这件事,我深刻的了解到,以支付宝的技术和公关实力,可以在最短的时间里,查清每一笔资金流、追踪 IP 定位到始作俑者、修复出现的漏洞、控制舆论化解攻击事件。
毫无疑问,我被AlphaRisk 风险控制系统,一个集众多安全大牛之力研发的作品,重重地按在地板上摩擦。我发四,我下次不敢了!
所以得出结论:敢从支付宝搞钱?您想早点入土了嘛!
06 一本正经说些什么
通过上述一个蠢蠢黑客的故事,我想分享给大家一些理念:
正如SRC公告上常说的细则一样:反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞或数据。
白帽子要有白帽子的操守,正如知乎大V史中说的,技术可以打下世界,但只有良知可以赢得人心。 世界辽阔,而且,没有想象中那么糟。
感谢你这么帅气还来阅读我的文章,如果可以的话不妨点点赞哟,非常感谢你~~~
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
