被黑客勒索是一种怎样的体验？纳尼！居然要求支付1个比特币_雷锋网-爱微帮
&& &&& 被黑客勒索是一种怎样的体验？纳尼！居然要…
你的所有文档，照片，工作文件，数据库以及其它重要文件都已经被加密。只有本程序可以解密这些文件，不要尝试使用杀毒软件或者任何工具尝试恢复文件，否则你的所有文件将永远无法恢复！这段话有可能成为你的开机欢迎词，如果你不小心下载了奇形怪状的东西。这就是最近在国外风靡的“小游戏”——“勒索木马”。现在看来，这只马已经学会了中文，驾临大天朝。这是一个残酷的“游戏”，因为它和你玩真的。也就是说，当你看到这条信息的时候，你的重要文件真的已经被黑客进行了高度加密。而且你很可能要真的按照黑客的指示去做才能恢复心爱的“艳照们”，如果你没有把它们传到百度云的话。。。你看，雷锋网活捉了一个中了木马的倒霉蛋，他电脑上的70000多个文件都被黑客加密，总大小差不多20G。所以，这里面得有多少漂亮的日语老师啊。勒索木马的界面显示你已经被加密的文件个数和大小如果你看过电影，一定知道传统的敲诈流程，那就是：“你的女鹅在我们手上，今天晚上十点，把十万块钱放到街角第二个垃圾桶里！胆敢报警，我们就撕票。”但是在互联网世界，勒索你的黑客有可能身处遥远的哥伦比亚，他们可没有功夫飞到中国来翻垃圾桶。要想支付赎金，你需要一种名为“比特币”的东西。比特币是一种广泛使用的虚拟货币，和现实的货币存在汇率比价。由于比特币独特的运作原理，它可以非常完美地隐藏付款人和收款人的身份信息。对于绑匪来说，比特币简直就是天堂。然而，这种支付赎金的方式，对一个普通中国人来说，要比把钱塞进垃圾桶难一千倍。要想支付比特币，你需要连接暗网，要想连接暗网，你需要使用暗网浏览器，要想使用暗网浏览器，你需要翻过一堵墙。所以，问题来了。你知道从哪里购买比特币吗？你会用比特币付款吗？你知道什么是暗网吗？你知道怎么使用暗网浏览器吗？你知道怎么翻墙吗？你知道怎么为Tor浏览器设置代理吗？要想做一个好的绑匪，先要做一个好的科普作家。看起来，这年头干绑票都至少需要计算机硕士文凭。在勒索界面，绑匪耐心细致地教导受害者如何下载一个暗网浏览器（Tor），并且“毁人不倦”地建议用户上百度搜索“Tor浏览器使用”。（我才不要，用百度搜索会死人的好不好！）下一步，就到了“翻墙”阶段。显然，绑匪深知翻墙的难度，甚至直接建议受害者寻求“专业人员”的帮助。（哪个专业人员会翻墙？站出来我看看！）雷锋网编辑本着实事求是的精神，寻求了“专业人员”的帮助，按照绑匪的要求跨越了千山万水，竟然成功连接上了绑匪设在暗网的主站。（别问我是怎么做到的，我什么都不知道。）那么，绑匪究竟要使出什么花招呢？向我开炮吧！绑匪的暗网网页，还有雷锋网在上面的火钳刘明映入眼帘的是一个网页，网页设计漆黑幽暗，带给人一种想要付钱的冲动。在这个法律都无法触及的“盗梦空间”，绑匪终于撕下了科普作者的面具，开出了价码：要解锁被加密的文件，你需要支付1个比特币！纳尼，1个比特币？听起来并不贵嘛，现在一个烧饼都要两块钱了好不好。雷锋网编辑根据绑匪的指示，欣喜地进入了购买比特币的“火币网”，却发现了一个令人震惊的事实。火币网比特币汇率什么？1个比特币要将近3000块人民币？谁规定的？工商允许了吗？税务同意了吗？还有没有王法？你们是在绑票吗？哦对，你们就是在绑票。事到如今，我们还是打开电脑，哦不好意思被锁了，那就找一个木棍，在地板上算算帐吧。你的20G文件里到底有什么呢？当然如果只有日语老师，似乎并不值得你用3000块来换。但是，如果里面有你给公司做的一万字的策划呢？如果里面有你和前女友的“珍贵回忆”呢？如果里面有你创作的被退稿无数次但是视若珍宝的玄幻小说呢？绑匪的残忍之处在于，他允许你查看这70000多个文件的具体名称，在浩如烟海的文件中，你很可能会找到那些不忍割舍的回忆。想到如果不付赎金，这些美好的文件就会随着过往的岁月一起烟消云散，你诚实的身体开始移动鼠标准备付款（内心暴怒的OS：3000块。。。不就是三个月工资吗？老子忍了！）。绑匪教被害人如何购买比特币的教程截图其余的事情变得很简单，绑匪验证你的比特币到账，就会发回一串密钥，你把密钥输入到解锁程序中，就开始了自动解锁过程。随着解锁的进度条不断推进，你仿佛看到了一张张毛爷爷升上天空，一段段珍贵的回忆又飘落人间。▌等等，好像有哪里不对？电影里的绑匪好像从来没有顺利收到赎金啊！难道我们不可以运用自己的智慧，纠结一帮身怀绝技的黑客，最终成功手撕绑匪，救回亲爱的文件吗？带着这样热切的期盼，雷锋网采访了腾讯电脑管家的安全专家刘钊，他表示：针对这个木马的样本还在紧急研究中。不过根据以往的研究，这个木马很可能是典型的电脑密锁类木马，这类木马的制造者可能会采用例如 RSA 加密等方式对受害者的文件进行加密。由于 RSA 加密方式是一种非常安全的加密手段，很多银行都采用这种加密方式保护客户的安全，所以目前几乎没有办法破解被这类加密方法锁定的文件。使用扫描软件探测被黑客锁定的硬盘，呈现出一派“惨状”雷锋网想到了光良的那首歌：童话里都是骗人的。。。由于暗网和比特币优秀的匿名性，连 FBI 都无法准确探测到藏身于暗网的犯罪分子，所以“手撕绑匪计划”什么的，还是应该先放一放。然而这个世界并不是完全绝望的。因为坐在电脑前看这篇文章的你，显然还没有被这个木马感染。刘钊告诉雷锋网，只要事情还没有发生，就有很多种方法来防患于未然：不要随意点击邮件附件；不要在可信度不高的网站下载软件；不要轻信别人通过网盘、QQ群等方式分享的文件；在电脑上安装使用安全类防护软件，并保持在可用状态。相信在对木马加以分析以后，各大安全厂商都会在第一时间把木马样本加入病毒库，一旦检测到这类木马感染了用户的电脑，在它发作之前就会先发制人把木马控制住。目前看来，这个敲诈木马还没有在我们中间大肆流传。对了，有一件事非常重要，那就是：赶快把你的重要资料做好备份。当然，因为你懂的原因，有些“重要资料”是无法上传到百度云或360云的。这个时候，你需要一个超大的移动硬盘。总之，祝你好运。
点击展开全文
悄悄告诉你
更多同类文章
还可知道有多少人阅读过此篇文章哦
阅读原文和更多同类文章
可微信扫描右侧二维码关注后
还可知道有多少人阅读过此篇文章哦
雷锋网，读懂智能&未来。
您的【关注和订阅】是作者不断前行的动力
本站文章来自网友的提交收录，如需删除可进入
删除，或发送邮件到 bang＠ 联系我们，
(C)2014&&版权所有&&&|&&&
京ICP备号-2&&&&京公网安备34关注网络安全
倡导绿色网络，
为了您家人及朋友的财产安全，
请多多转发，
本文来自微信公众账号提交，由微讯啦收录，转载请注明出处。
微信扫码 分享文章支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？
这世上的骗局，到底谁买单？
随着移动支付的普及，我们的生活变得越来越便利。我们甚至已经可以不带钱包、现金、银行卡出门，只用手机就能完成吃饭、娱乐、交通、购物的支付。
平时我们一讲到支付安全，大家最容易想到的就是钓鱼、诈骗、木马。确实，钓鱼、诈骗和木马是支付领域最常见犯罪手段，它的犯罪成本低、易于实施。他们其实属于社会工程攻击的范畴，犯罪者一般先通过各种方式获取受害者的信息，比如联系方式、甚至可能是受害者的个人隐私信息，然后犯罪者利用受害者心理弱点进行欺诈，诱使他们做一些操作。例如洗钱调查开安全账户、家人生病、来看看我们的照片等等都是常见的欺诈手段。最近几天被广泛传播的《为什么一条短信就能骗走我所有的财产？》文章中讲的也是一种诈骗手段。
所有欺诈手段的共同点是，犯罪者都要诱使受害者犯错，只有受害者执行了错误的操作才能够让犯罪者得逞。那么是不是只要用户保持清醒的头脑不受骗上当就安全了呢？
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/wp-content/uploads/fa.jpg" ALT="fa" WIDTH="554" HEIGHT="415"
TITLE="支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？" />
答案是否定的。除了用户有犯错的机会，产品厂商的设计者、开发者也会犯错，他们犯的错误也可能导致用户财产受到犯罪者的侵害，当然也可能导致厂商自己受侵害。大家都知道开发者写代码出错，那叫Bug。而如果正好有某个Bug不巧，能够被攻击者利用，在没有被授权的情况下访问或者破坏系统，那这个Bug就叫做漏洞。
有些人会把这类攻击者叫做黑客，但我这儿为了避免混淆不这么称呼，因为在不同场合下黑客有不同含义。有时候，黑客被认为是利用技术研究成果实施计算机犯罪的人，这类人也被叫做黑帽黑客；有时候，黑客是指那些把研究成果用于帮助厂商改进产品，帮助保护用户安全的人，这类叫做白帽黑客。
白帽子们会在各种渠道，例如 GeekPwn
这样的平台上分享并展示出自己的研究成果，然后我们将这些成果提供给厂商，以帮助他们提升产品安全。正因如此，这些案例中的漏洞并没有被用于犯罪行为中，而是被厂商及时地修复了。今天我们就来看看我们能从中吸取到些什么经验和教训。
&消费型App存在哪些问题？
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/wp-content/uploads/af.jpg" ALT="af" WIDTH="554" HEIGHT="415"
TITLE="支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？" />
所谓消费型APP是指所有能在其中进行充值、购物、购买服务等等消费行为的APP。在这个案例中，是一个O2O提供线下服务的APP，用户可以在APP中充值余额。然而一个恶意的用户可以做到在APP中充值任意多的钱，实际却只支付1分钱或其他任意金额。这个场景中的受害者是这个APP服务的提供商。
那么这个任意占厂商便宜的漏洞是怎么产生的呢？在分析原因前，我们先看一下攻击的流程。
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/wp-content/uploads/.jpg" ALT="0" WIDTH="554" HEIGHT="415"
TITLE="支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？" />
这个场景中有手机APP、支付平台、APP服务端三方。根据厂商的设想，他们预期的是这样的支付流程，我们看下图的左侧：
1、手机APP首先生成了一个100元的充值订单发送给APP服务端；
2、用户获得一个支付链接，依据链接向支付平台支付100元；
3、支付平台会向APP服务端发送消息，说某个订单成功支付了100元；
4、APP服务端收到消息，检查是否支付成功，如成功就往账户余额中增加100元。
这个流程问题在哪儿呢？我们看刚才那幅图的右侧：
如果这个APP用户并不是一个老实的用户，他并没有按照订单返回的支付信息支付100元，而是把它修改为支付0.01元，并且完成支付。在这个情况下，APP服务端同样会收到支付平台发来的消息，说某个订单成功支付了0.01元。然而APP服务端却并不管实际支付了多少钱，只关心这个订单支付成功了，并且按照订单金额给账户中充值了100元。这样用户就成功地坑了APP厂商99.99元。
导致这个问题的原因是什么呢？是一个APP服务端的漏洞，APP服务端没有遵循支付平台的API文档标准，对支付平台回调的支付结果信息做充分的校验。
&二维码支付存在哪些问题？
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/wp-content/uploads/d.jpg" ALT="a1d" WIDTH="554" HEIGHT="415"
TITLE="支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？" />
我相信大多数朋友都用过二维码支付，在实体店铺中展示二维码，扫一下就能完成支付，非常方便。我们这就来看一下二维码扫码支付的漏洞案例。在这个案例中，攻击者到任意实体店铺进行消费，以二维码方式支付，但却从受害者的账户中扣费。这里的受害者可以是任何一个在这个支付平台上注册过的用户。在分析原因前，我们先来看一下攻击流程。
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/wp-content/uploads/.jpg" ALT="c5" WIDTH="554" HEIGHT="415"
TITLE="支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？" />
这个场景中有用户、实体店铺和支付平台三方。根据支付厂商的设想，预期这样的支付流程：
用户Alice点开扫码支付，这时候支付客户端会向支付平台服务端请求一个二维码，假设这里请求的AccountNo叫Alice，这样支付平台服务端就会返回一个二维码，这个二维码对应于Alice的账户，并且只能用一次，这就相当于一个支付令牌。
店铺的二维码扫描枪扫了一下这个二维码，店铺就获得了这个支付令牌，它就可以从Alice的账号中扣款了。然而有个叫Chuck的恶意用户，它在向服务端请求支付二维码的时候，在AccountNo当中填入了Bob，而不是他自己的账户Chuck，这时候店铺虽然扫描了Chuck手机上的二维码，但实际上会从Bob账户中扣款。
&手机POS机存在哪些问题？
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/wp-content/uploads/4947e4ffd9.jpg" ALT="ffd9" WIDTH="554" HEIGHT="415"
TITLE="支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？" />
很多小店铺或者私营业主使用手机收款POS机来进行收费，这为刷卡消费提供了很多便利。在这个案例中，消费者到一家店铺的POS机上进行刷卡消费。然而在消费者刷卡完成离开店铺之后，恶意的POS机收款方虽然并没有拿到消费者的银行卡和银行卡密码，但依然可以从消费者的卡中扣除任意金额的资金，转到自己账户中。分析原因前，我们先来看一下演示视频。
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/wp-content/uploads/4a228b8c08.jpg" ALT="c08" WIDTH="740" HEIGHT="399"
TITLE="支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？" />
【视频链接】
这个视频是我们GeekPwn和央视在315晚会上合作的一个短片，短片展示了之前描述的POS问题的案例。在视频中，恶意的POS持有者在刷卡者刷卡消费完成之后，随便拿了一张便利店的会员积分卡，输入任意密码就刷走了之前刷卡者银行卡里的钱。在这里刷便利店的磁条卡和输入任意密码仅仅是为了触发刷卡支付的相应步骤。由于315晚会时间的限制，短片没能细致地解释这个盗刷流程，因此不少观众以为演示的是复制磁条卡的问题，其实这个案例比复制磁条卡更进一步。在刷卡消费过程中，需要两个要素，一是磁卡，二是磁卡的支付密码，缺一不可。因此如果只是复制磁卡，那么还需要额外获得磁卡的密码。在这个案例中，受害者刷卡消费时，刷真实的卡，输入正确的密码，在收款客户端中生成了一个扣款的令牌。然而这个扣款令牌并没有实现一次一密，在刷卡完成后并没有作废，因此恶意的POS持有者就可以从手机内存中取出这个令牌，反复使用反复扣费。所以说，导致这个案例的原因，是支付平台的POS支付协议的漏洞。
&指纹支付存在哪些问题？
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/wp-content/uploads/c.jpg" ALT="c" WIDTH="554" HEIGHT="415"
TITLE="支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？" />
如果你的手机忘了锁屏，放桌上被人拿走了，钱会被偷走吗？你可能会想：&应该没法转走钱吧，毕竟支付的时候还需要再验证一次。更何况我设置了指纹验证，比支付密码更安全。&大多数时候确实如此，但是如果这里有漏洞，那就不是这样了。这个案例展示了攻击者拿到一台已经解锁屏幕的手机，绕过指纹验证进行支付的场景，受害者当然是手机被拿走的那个人。在分析原因前，我们先看一下攻击流程。
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/wp-content/uploads/.jpg" ALT="be87" WIDTH="554" HEIGHT="415"
TITLE="支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？" />
按照正常的指纹支付流程，APP在受到支付请求时会要求验证，让指纹驱动提供相应账户的身份认证信息，比如说需要Alice用户的身份信息。如果这时候是Alice本人在操作，那么指纹驱动控制硬件读取Alice的指纹，并且跟之前登记的Alice的指纹进行特征比对。如果匹配成功，那么指纹驱动就会将Alice的身份认证信息提供给APP，APP就可以继续支付流程。然而在这个案例中的这款手机里，指纹驱动有漏洞，它允许普通用户开启它的调试模式。而在打开调试模式的情况下，它不会再校验指纹，不论刷什么人的指纹，它都将向APP提供手机中登记的身份认证信息。因此，无论谁只要能插上USB线调试这台手机，就能完成支付流程。
我们很容易理解的是，谁犯的错误就应该由谁来避免或纠正。对于钓鱼诈骗这类的威胁，是基于用户的上当受骗而实施的犯罪，这时我们通常需要教育用户，以免用户上当受骗。而对于漏洞威胁，是基于产品厂商的设计者、开发者所犯的错误，那么当然主要就应该由厂商来担负起应对威胁的责任。
对于厂商，有些普适性的建议措施，比如：采用HTTPS等加密协议保护所有的通讯，尽快把磁条卡换成芯片卡等。除此之外，还需要针对性的措施，比如：修复掉所有被发现的漏洞。
每一次漏洞被发现被修复的过程，代价都是高昂的，对于厂商而言，更经济的做法是在产品设计初期或开发过程中就能够提升产品的安全性，这就需要增加设计与开发人员的安全教育，提升安全意识，并且在设计架构、设计协议、开发程序的过程中，引入安全开发流程。这样可以尽可能地减少产品中的漏洞，把漏洞消灭在萌芽阶段，从而减少安全应急的成本。
手机银行存风险隐患
&#9679; 直接风险
移动支付的习惯与文化不是短期内能够形成的，主要障碍仍然是存在潜在的风险与安全问题。
一则，手机病毒或木马的侵袭，或者支付软件自身存在的漏洞，很可能会造成支付隐患。同时，移动支付所追求的就是便捷的用户体验，甚至比互联网支付更加程序简易，这就降低了支付安全性，因为在支付环节中，便捷与安全往往是此消彼长的关系。所有这些，都可能对资金和交易安全产生影响。在微信红包的使用中，过于便捷的移动支付认证与使用，同样也会有相应风险存在。当然，公众经常关注的，所谓手机丢失容易造成移动支付账户的损失，这也令人担忧。
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/wp-content/uploads/58PICzqn_1024.jpg" ALT="46258PICzqn_1024" WIDTH="696" HEIGHT="471"
TITLE="支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？" />
二则，消费者信息的安全性同样值得关注，长期以来我国对于个人信息、隐私的保护机制都严重缺失，在互联网支付中已经出现过类似的用户信息泄露事件，而在场景更开放的移动支付环境下，这一问题变得更加突出。
三则，由于移动支付的门槛更低，因此也会带来对灰色交易的担心，例如洗钱、腐败行为等。例如，预付卡、购物卡的出现，就曾经使人担忧其助长了隐蔽送礼、行贿受贿等行为，如今如微信红包之类的更便利的模式，似乎更易操作。当然由于处于起步阶段，这种影响还相对较小，同时也应归结于背后的社会和制度问题，但是毕竟在一定时期内不得不正视。
四则，无论互联网支付还是移动支付，某些出现的风险问题，都是源于支付消费者的安全习惯较弱，这也不是短期内能够改变的，而需要移动支付文化的逐渐形成。例如，在抢微信红包的热潮中，一些红包群里有人发出与抢红包极为类似的链接，但进入后却是商户介绍，更有甚者引发木马中毒。假红包虽然引发了用户对微信支付的信任问题，但却是与支付环境及支付安全习惯相关。
&#9679; 间接风险
移动支付还深刻影响着其他金融活动。金融学告诉我们，支付清算是金融体系最根本性的功能，在此基础上才能开展各种资金配置等活动。同样，在所谓的互联网金融时代，许多创新都发端于支付创新。近年来以支付宝为代表的第三方支付企业的发展，引发了阿里小贷、余额宝等新兴金融组织或产品的兴起。P2P网络借贷和众筹融资的发展，背后也离不开支付结算环节的保障与创新。
同样，移动支付的兴起，也带来移动理财、移动财富管理的活跃。依托手机为主的移动渠道，已成为网络理财的主要模式，更多人已经开始关注手机上的财富管理，这给了用户更加便捷、直接、及时的体验。
如果深入剖析现有的APP理财模式，大致可以分为几类。一是传统金融产品与支付企业的结合，现在主要表现为互联网货币市场基金，在带来投资回报的同时，更多是融合了消费支付功能，同时降低了门槛；二是传统金融机构设立的APP平台，进一步向移动端拓展，利用移动支付方式来沟通银行理财产品、保险产品等；三是新兴的P2P网络借贷、众筹融资等APP；四是某些非规范的、处于灰色地带的投融资行为APP，在披上&互联网金融&外衣之后，可能进一步赶上&移动金融&的时髦。
<img src="/blog7style/images/common/sg_trans.gif" real_src ="/wp-content/uploads/gp0.jpg" ALT="u=,&fm=21&gp=0" WIDTH="637" HEIGHT="380"
TITLE="支付安全&所有的支付都有风险&黑客究竟用什么姿势偷走了你的钱？而你还在帮他们数钱了？" />
由此来看，不同移动理财模式的风险特征是不一样的，前两者相对规范一些，但在公众纷纷介入之后，也要更重视风险的提示，因为即使货币市场基金也不是无风险的，同时还要避免对收益率等信息的误导。对于第三种类型，其风险在于整个行业&良莠不齐&，可能出现&劣币驱逐良币&的现象，也缺乏有效的监管规则。最后一种，则是民间金融&灰色成分&的变种，其风险不言而喻。
文章由整理发布，如果文章有出入，欢迎随时交流 。-科技从未如此性感，转载请注明出处，本文链接：/?p=4846
查看原文：
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。}