黑客就在你身边 - 通过名片怎么黑掉你

黑客就在你身边 - 通过名片怎么黑掉你

余弦 · 3 个月前

2014/6/2更新：

没想到引来很多争议，本不想搭理那种喷子的，但是某些同学还是很客观地做了评论，想想负责任地更新下吧。

Q1：公司邮箱有密码找回？
A1：举两个例子：
1. 某些公司（包括某些大公司）习惯用 163/sohu/sina/QQ 等的邮箱或 vip 邮箱；
2. 某些企业邮箱确实存在坑爹的「密码找回」功能。

Q2：最牛逼的是那个隐私库！可你却没细说！
A2：隐私库这玩意懂的人懂，不懂的人不懂，真没什么好细说的，你可以把我这当小说看，反正我也声明是「如有雷同、纯属巧合」的故事了。喷子继续喷，不要让我给你证明什么。

Q3：这文章在恐吓！
A3：C 说：「 Too Young，Too Simple！」

今天我在微信公众号里发表声明了：暂停更新这个系列。想想确实可惜，很多玩意是大家见都没见过，黑都不知道怎么被黑的故事，那些黑客电影里会说？这点小玩意就把某些人吓尿了，真担心之后的系列文章会让某些人神经病掉。

注意：以下正文请当故事看。

-----------正文开始-----------

引子

特别声明：本系列面向大众。

2014.5.11 我站在 TEDxBUCT 上做了个分享《黑客就在你身边》，站在科普角度来看，PPT 的内容要表现的东西很多，18 分钟很是捉襟见肘，但是呢，我早已做好了计划，演讲归演讲，之后我肯定会抽时间展开科普，这不，从这篇文章开始我会展开来谈谈「为什么黑客就在你身边」。

你不用着急，在我这个系列完成之前，保持跟进就好，从现在开始请保持足够的聚焦，我不想做安全恐吓，这不是我的目的，我的目的是希望你了解了黑客的一些手法后，能保持警惕，并帮助到你身边的人。

黑客是一个复杂的群体，有好有坏，好中有坏，坏中有好，如同一个江湖。为了迎合大众口味，黑客被区分出「白帽黑客」与「黑帽黑客」。简单的区分：白帽是做好事的，黑帽是做坏事的。但是白帽为了达到一些好的目的也必须使用一些看去坏的技能，或者说技能本没好坏，一把飞刀，在白帽手里可以对抗强敌，在黑帽手里却可以滥杀无辜。

介于白帽与黑帽之间的，有人称为灰帽。在我看来灰帽才是最靠谱的社区推进者，不过这个话题以后再说。

在我的这个系列里，不用和我谈道德，不要表现出伪善，不要以「名门正派」自居，不要非黑即白。

线索1 - 名片

第一个线索就拿名片开刀。

名片再常见不过了，但是如果我说：「一张名片可能会导致你彻头彻尾被黑个遍。」你会有什么感受？

讲个「如有雷同、纯属巧合」的故事。

北京，夏天，国际会议中心，某互联网大会，穿得不能再少的漂亮姑娘们很职业地宣传着雇主的产品，一片眼花缭乱后，C 带着一只无度数的眼镜，一顶会场发的帽子，来到一家公司的展台前，漂亮姑娘职业的微笑让 C 觉得这是个好的开始，美女如果能留意到你，确实是个好的开始，要知道会场的人真多。

C 掏出自己的名片作为交换，轻松就得到了展台桌子上摆放的几张名片，其中有一张是雇主的。简单交流后，C 转过身去，狡黠地笑笑，离开了。当然，C 递出去的那张名片是从另一个展台顺手要来的。

「有这张名片，我想，应该够了。」C 来到会场的角落，打开电脑，接上3G。熟练地在浏览器中输入隐私库网址，密码认证后，登录，键盘敲得干净利落。

如果有人能见到这份隐私库，估计都会觉得恐惧，历史上，互联网曝光过多起用户数据库泄露事件，已经让用户一次次改密码改到手软，对于职业黑客来说，曝光的仅是冰山一角，C 说过：「这些库在我这还有价值，我估计永远不会去曝光，曝光对任何人都没好处，尤其是对我。」

输入名片上的邮箱、手机号、姓名等一番关联检索后，C 再次狡黠地笑了，通过邮箱「密码找回」功能，回答出正确的答案后，C 登录了目标邮箱，半小时后，一切隐私都透明了。

就好像死亡笔记里，夜神月拿到目标的名片，知道他的姓名后，就可以决定这人的生死。C 不会决定他的生死，但是 C 已经看穿他的心灵。剩下的纠纷 C 不想关心，任务完成。

故事完毕。

我的故事如果不够尽兴，可以点击：Hacker的剥洋葱理论，读读另一个黑客强盗丙的故事。

实际上拿到名片获取信任后，还可以做更多的事，比如对该公司官网进行一次入侵渗透；比如拿下该公司其他员工的邮箱，再用猥琐技巧拿下更多的邮箱，要知道，邮箱里尽是公司各种机密；比如换个身份加个 QQ 继续搭讪，获取信任后，套取更多信息。

C 说：「那些觉得电影里才能出现的场景的人，实在是 Too Young，Too Simple！」

我说：「要不我以后的某系列把你的故事写进去？」

C 推了推那只没度数的眼镜说：「可以，不过你得把这只眼镜也写进去，我是有多喜欢它。」喝了口西柚冰饮后，C 说：「因为那张倒霉的名片，我想我黑掉了整个公司……」

我笑了笑：「可惜的是这家公司永远不会发现。我结账去了。」在我掏出信用卡准备递给服务员的时候，C 坏坏地笑道：「如果你是我的目标，我想我可以黑掉你的信用卡了。」

这句话至今在我脑海中深刻留存，我那时才意识到 C 已经玩出花样了，好在他不是个黑帽。C 是个诡异黑客，可惜他比我要早地跨入了另一个行业，未来我和他会在那碰撞出更有价值的火花。现在不给他留下点什么，实在太可惜了，我尽力。

下篇预告：信用卡安全。

提前问个问题：你或你身边人的信用卡有被盗刷过吗？

安全建议

1、名片不要随意递出；

2、至少保证重要网站的密码遵循「一站一密」思想；

3、密码复杂度高些，可以给自己来个规律（自己思考）；

4、不要亲信陌生人，小心被社工；

5、举手之劳，把我的文章传播出去吧，让更多人懂。

最后，向黑客要联系方式不是件礼貌的事，除非你和他建立了信任。