想雇个黑客？小心他是个诈骗分子

2015年，一家提供“黑客服务”的网站 Hacker’s List 正式在新西兰成功注册成为公司。该网站采用了中介的形式，给雇主和职业黑客提供了有保障的交易。网站页面会列出了“黑掉 Facebook 账户”、“黑掉 Gmail 账户”、“黑掉某网站”，以及“黑掉某商业账户”等等项目。国内也有类似有相关的网站，只需要在搜索框内输入“黑客服务”就可以看到相关的网站。

就像购物网站上的物品有好有坏，有真有假，黑客服务也不例外。

近日，谷歌和加利福尼亚大学的研究人员通过伪装成有所需求的买家，直接与27个提供黑客服务的买家接触，并要求他们针对所选择的 Gmail 账户进行攻击。 结果显示，大多数网上提供的黑客雇佣服务都是诈骗或者无效的。

黑客服务测试过程

首先，研究人员会创建一些 Gmail 账户。这些受害 Gmail 账户其实是研究人员与谷歌一起协调设计好的蜜罐，用来进行此次研究。账号允许研究人员记录其与受害者的关键互动行为，以及其它方面信息，如商业网络服务器、朋友或合作伙伴的电子邮件地址。

将蜜罐部署好以后，研究人员开始伪装成有需求的买家，与 27 个提供黑客服务的买家进行接触，并要求他们针对所提供的 Gmail 账户进行攻击。

在参与的 27 项黑客服务中，有 10 项从未回复过他们的请求，12 项做出了回复，但并没有真正尝试过发动攻击，只有 5 位黑客最终发起了针对测试 Gmail 帐户的攻击。在响应请求但没有发动攻击的 12 人中，有 9 人表示他们不再攻击 Gmail 帐户，而其他三人似乎是诈骗份子。

研究人员表示，如果按小时计算的话，黑客雇佣的价格在28美元到300美元之间浮动，完成一个黑客任务获得的报酬，则会达到100美元至500美元之间。，而且没有人使用自动化 工具 进行攻击，所有攻击都涉及社会工程，黑客使用鱼叉式网络钓鱼来微调针对每个受害者的攻击。在实验中，一些黑客询问了研究人员要攻击的受害者的详细信息，而其它人则不过问，并且选择使用可重复使用的电子邮件网络钓鱼模板。

黑市与黑客服务

黑市的存在使得雇佣黑客成为一件很简单的事情。

暗网和地下黑市除了售卖武器毒药、恶意软件、漏洞利用工具等各种商品，也会出售黑客服务。其中最为常见的几种黑客服务包含：

1、窃取信用卡、支付凭证、社交账号、邮箱账号等各种数据信息；

2、个人信息搜集和调查（ Doxing ）；

3、 DDoS 攻击服务。

戴尔安全工作室曾在2016年发布的一份俄罗斯地下黑客市场的报告，披露了诸多黑客攻击手法的雇佣价格。从软件售卖到黑客教学，再到银行卡盗窃、 DDoS 攻击等各种网络攻击服务，应有尽有。

有趣的是，黑客还提供客户支持，不收预付金，并承诺最快时间完成任务（依据入侵目标的复杂性），而且还保证完全的隐蔽性，“目标都不会注意到自己被黑”。

但是，从2016年4月开始，欧盟通过了《一般数据保护条例》 （General Data Protection Regulation） ，2017年，我国颁布的《中华人民共和国网络安全法》全面施行。各国政府在打击暗网犯罪方面大有突破。

“四大”暗网交易市场中的 AlphaBay、Hansa Market 和 RAMP 在2017年相继被警察查封关闭。暗网最古老的市场之一 Dream Market 也于今年3月份宣布关闭。黑客服务的市场也随之缩减。

黑客服务不再只是影视剧中那样高风险的遥不可及的服务，而是可以解决人们日常生活中入侵系统的需要。然而这个领域的合法性似乎还颇具争议。无论如何，我们应该对网络安全知识有正面积极的认知，而不是触碰法律底线，游走在法律和道德的边缘。

来源：开源中国、计算机与网络安全、freebuf

- End -

:warning: 注意

2019 看雪安全开发者峰会门票正在热售中！

长按识别下方 二维码 ， 即可享受  2.5折  优惠！

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

↙ 点击下方“阅读原文”，查看更多资讯