这几年，在欧洲犯罪分子之间盛行一款西班牙手机，这款手机可以加密聊天，而且一旦输入错误密码就会清除手机内的全部信息，警方抓到一个犯罪分子用的是这个手机，再抓用的还是这个，于是警方便雇佣黑客破解该手机，成功的来了一次教科书级别的抓捕行动。 图上这款西班牙手机就是在欧洲犯罪分子盛行的 BQ Aquaris X2 Pro，这手机的特点是能运行双系统，平时正常使用的时候就是普通的安卓系统，当你按下侧边按钮的时候，就可以输入密码进入到另一个系统。而且这个手机还自带匿名SIM卡、完全禁用GPS、摄像头、麦克风、USB数据传输等潜在可能泄露信息的功能，只要输错密码几次就会清除手机上的所有信息，为此警方头疼不已。 犯罪分子喜欢这款手机的原因除了这个加密的“第二系统”之外，更大的原因是因为这个系统里面的一个名为 Encrochat 的加密聊天软件，根据官网介绍，这个软件成立于2016年，是一个端到端的加密方案。 虽然Encrochat标榜自己是为了给政客和商业人士一个安全通话数据保障的名号，实际上投放广告的网站往往都是犯罪分子喜欢浏览的。 在这个软件里，每个联系人的每条消息都会使用不同的密钥进行加密，而且用了公认比较难以破解的RAS + AES 的加密方式，里面的消息可以设置阅后即焚。 要说缺点的话，就是只能运行在特定的手机上，比如BQ Aquaris X2 Pro。 加密系统+加密聊天软件=既能交流又不会担心泄露的好手机，哪怕这款手机售价1000美元，而且还有3500美元/年的使用费。但是相对犯罪分子赚的利润来说，非常值得。这个背景前提下就造成了一种现象，今天我抓了一个罪犯用的是BQ AquarisX2 Pro，明天我抓到一个罪犯用的也还是这个手机，周末和其他警局的人聊天发现，卧槽，怎么用的都是这个？于是警方就将部分注意力放在了这款手机上的Encrochat上，本来想的是通过已抓获的犯罪分子的手机直接用聊天软件套出一些内容，但是它的安全措施做的太好了，直到2018年，法国警察才得知Encrochat在发过有一个服务器站点。 为了能够在Encrochat上能够有所突破，法国的数字打击罪犯中心（C3N）专门对手机和软件服务器做了研究，然后雇佣了黑客做针对性部署。 这一搞就是两年多，直到今年3~4月份才成功的在Encrochat的服务器里动了手脚，突破点终于来了！ 起先警方开始通过Encrochat往手机里发送恶意软件，从而让用户无法一下清除手机里的信息和检测屏幕密码，还复制了所有应用程序的数据。不过由于警方这些动作一直都是秘密进行，Encrochat官方并不知道，以为是软件遭到了恶意入侵，便尽快出修复补丁，警察和黑客就不停的制作新的恶意软件，官方不停的修复出补丁。 后续的恶意软件设置可以直接修改犯罪分子手机的屏幕密码，让他们无法使用。通过这些拦截到的上亿条犯罪分子交流信息，加上AI识别特定危险词汇，迅速筛查出了疑似犯罪分子的账号。 有了这一突破点，警方从今年6月份开始，荷兰逮捕了100多名犯罪分子，缴获了8吨可卡因、 1.2吨冰毒、数十把枪和差不多2000万欧元的现金、还突袭了19个毒品实验室。 同6月份英国搞了两次官方行动—— Operation Venetic（ 静脉行动 ）和 Operation Eternal（ 永恒行动 ）。 两次一共逮捕了917人，收了超过三吨毒品，差不多7千万美元现金，还有各种冲锋枪手榴弹、 AK-47之类的火器。同时瑞典、法国、爱尔兰也同时在6月收网了一大批罪犯，搞得最近的欧洲犯罪分子人心惶惶，各种想办法隐藏自己，连隐藏在迪拜这种避风港地区的爱尔兰黑社会大佬也不得不赶紧溜走。 这两个月的打击，让几乎所有欧洲的大型犯罪组织都陷入了惶恐中。。 这些简单的犯罪分子，已经直接被捕获。而那些情况更复杂的犯罪分子，估计警方也已经掌握了不少信息，据说，不少以前怎么抓也抓不到的那些顶级罪犯，已经在露出马脚，就等着警察盘完了收网。 Encrochat在全球用户只有60000人，而在英国的使用用户有90%以上都都是犯罪组织或进行犯罪的个人。 许多大型罪犯没有被抓捕的原因是在欧洲的环境下，警察雇佣黑客的手段并不合法，一些证据并不能拿出来使用，发明Encrochat的团队警方也一直没有找到，警方甚至怀疑这个软件就是犯罪团伙制作的。 其实早几年也有过和 Encrochat 差不多的软件，像号称安全手机公司 MPC 其实是由苏格兰罪犯 James 和 Barrie Gillespie 创建的；还有加拿大的手机 Phantom Secure ，也是一伙贩毒分子魔改了黑莓来给自己用，后来才对外销售。有意思的是Encrochat出这事，立马就有一个叫Omerta的软件迫不及待蹦出来，甚至还给Encrochat的用户发送了邮件。。 “Did you narrowly escape the recent Mass Extinction Event? Celebrate with 10 percent off.Join the Omerta family and communicate with impunity .（您刚刚逃脱了最近的大规模灭绝事件吗？以10％的折扣庆祝。加入 Omerta 一家，在这里沟通不会被抓哦。） ”  有了 Encrochat的前车之鉴，哪有犯罪分子还敢去使用 Omerta，而且估计警方也会马上在这个软件上做好“手脚”以便他们抓捕罪犯。 啊！Omerta这波是曲线救国吧！...

QQ群号：979727860 点击链接加入群聊：https://jq.qq.com/?_wv=1027&k=FDmmUxxL 暗网？！随着老K给我发过来的一些在小蓉电脑里发现的资料，我也开始意识到事态的严重性。 那些资料显示，小蓉很长时间以来，一直在网上跟一个神秘男人聊天。 之所以说神秘，是因为他们聊天的内容，一个汉字都没有。 而且大部分都是用法语进行的。 而那个男人的IP地址显示，他确实是在法国，应该是个法国人。 天一亮，我马上把他们的聊天记录都发给了我新收的徒弟一二三，并给他转了3000元钱。这小子父母都是大学教授，尤其是他母亲，精通英语日语和法语，那3000块就算是给他母亲翻译聊天记录的酬劳。 因为一二三跟我当徒弟的事儿瞒着他妈，所以我这么做主要是为了不让他妈妈起疑心。 很快一二三就给我回消息了，他说他妈妈看了我发的聊天记录，说俩人是男女朋友关系。 一个多礼拜之前，那个叫布鲁诺的男人向小蓉发起了邀请，希望小蓉放寒假之后到法国找他玩。 这就有意思了，小蓉竟然谈了一场跨国的网恋？ 但是我知道这并不好玩，既然老K提到了暗网，那么这看似甜蜜的关系，很有可能是致命的。 可能很多朋友不知道暗网是什么，这个我一会儿会进行科普。 仔细查看一二三母亲翻译的小蓉和法国男人的聊天记录，真相逐渐浮出了水面。 原来小蓉从小就对浪漫的法兰西国度充满了憧憬和向往，希望自己将来能够到国学习和生活，所以大学才报考了外语专业。 为了更好地学习法语，她想到了一个好办法，就是结交一个法国的网友。 功夫不负有心人，两个多月之前，她终于在网上认识了自称在巴黎读大学的布鲁诺，一个法国高富帅。 俩人聊了半个多月之后，涉世未深的小蓉很快就被热情幽默、浪漫体贴的布鲁诺俘获了芳心，开始以Chéri（亲爱的）相称了。 但是因为法国跟中国有7个小时的时差，她平时在宿舍里跟布鲁诺聊天不太方便，所以才会出去租房住。 一个多礼拜之前，布鲁诺知道了小蓉快放寒假了，于是就邀请她到法国玩。 可是小蓉说自己并没有护照和签证，也没有那么多钱买飞机票。而且去法国这么大的事儿，她也要征得父母的同意。 布鲁诺就笑话小蓉，说她都已经成年了，可是还这么不独立，太让他失望了。 热恋中的女孩子被恋人嫌弃，是一件很严重的事儿。 小蓉觉得很没面子，于是就说那你需要等我一段时间，我需要放寒假回北京才能办理护照和签证。布鲁诺很快就回消息说那样就太晚了，机票钱你自己想办法，护照和签证的事情他来搞定。 没过几天他就发消息给小蓉，说他已经帮小蓉搞定了护照和签证，让她赶紧买机票。看到这里我已经明白了，小蓉是用她的跨国男友布鲁诺给她的假护照去的法国。怪不得我之前没有查到她买机票的信息。 按照聊天记录里布鲁诺给小蓉的假身份，我再次查询了她的购票记录。 结果我发现，她果然在一个多礼拜之前，利用布鲁诺给她提供的假身份，乘坐法航的航班去了法国。 这么一来，事情就闹大了。 因为能够搞到假护照的人，绝对不是一般人。 老K发来的资料显示，小蓉的假护照等身份信息，全都来自一个暗网的论坛。 那个论坛素来以人口贩卖而著称。 而且老K对小蓉最后的追踪定位显示，小蓉的假身份在法国一落地，信息马上就中断了，没有任何的出行和住宿记录。 也就是说，小蓉自以为的热恋对象布鲁诺，应该也是个假身份。 按照聊天记录里布鲁诺说的大学，我又委托老K进行了查询，结果查无此人。 这真是个悲惨又荒唐的结局。 在这场所谓的跨国恋情里，大一女孩小蓉可以说是付出了所有的真心和感情。 自己的私密照片以及各种详细个人信息，全都毫无保留地告诉了远隔重洋的布鲁诺。但是布鲁诺除了给她发过几张不甚清晰的照片之外，关于他的个人信息基本上丝毫未露。而且从他们俩人的聊天记录里看来，那个布鲁诺显然是个情场老手，字里行间都在套小蓉的话。一步步把小蓉购进了他设置好的圈套。所以这个布鲁诺的真实面目，极有可能是个暗网的人口贩子或掮客。他和小蓉在网络的相识，其实从头到尾根本就是一场骗局。故事讲到这里，有必要介绍一下暗网的情况。“96%的互联网数据无法通过标准搜索引擎访问，虽然其中的大部分属于无用信息，但那上面有一切东西，儿童贩卖、比特币洗钱、致幻剂、大麻、赏金黑客……”这段话出自美剧《纸牌屋》。万万没想到，打脸来得如此之快。 暗网也被称为“深层网络”（DeepWeb），是非法交易的天堂，匿名交易者在这上面交易毒品、假身份证、军火还有黑客软件等一切被法律禁止的物品。 人口贩卖也是重要的交易环节之一。 可以说，在暗网只有你想不到的，没有他们没有的。 不过要想进入暗网，就没有那么容易了。 必须要通过动态请求或由特定的搜索器(如TOR)等特殊的技术手段，传统的浏览器是不可能找到的。 从这一点上来说，暗网其实是和普通人的普通世界隔绝的。 但它又是真实存在的。 如果说我们所接触到的互联网是海上的冰山一角，而暗网则是深藏于海面之下，体量数十倍于它的平行互联网世界。 在暗网的平行世界里，一切都是隐形的，网站地址、用户身份、IP地址，全部都虚无缥缈，像是最邪乎的都市传说。 这里没有法律，也不存在道义，你可以从事各种违法活动或在线交易而不必担心受到惩罚。 某种程度上，可以说暗网是人类世界最血腥和暴力的地方。甚至可以说，任何超乎你想象的犯罪形式，都可以在这里找到。 只要你愿意付出足够的代价，你甚至可以雇个杀手杀死你不喜欢的人。 这么一来，买卖假护照之类的交易就太小儿科了。 暗网的交易，主要通过比特币来实现，至于什么是比特币，大家可以自行百度，我就不再赘述了。就像现实生活中的美元一样，在互联网上，比特币可以用于任何交易，而且可以全世界流通和提现。 重要的是，它不是由任何国家的银行发行的，所以是匿名的，交易记录不可追踪。 看到这里，可能会有人觉得很有趣，好奇心驱使你很想看看究竟什么是暗网。 不过好奇害死猫，我奉劝你还是别看为好。 以前就有人在暗网里挖得太深，看到了不该看的，最后命丧黄泉。 这绝对不是危言耸听，也是为什么老K给我发那五个字消息的原因。 暗网对我们而言，的确是不可触碰的禁区。 老K作为资深黑客，他对暗网的了解远比我更为透彻。 按照他后来给我看的消息，他在网上最后一次追踪到小蓉假身份的下落时，定位显示她已经在中东某土豪国了。 然后很快老K的IP地址就受到了不明来历的人的追踪。 并且很快他也收到了警告的消息，让他不要再继续下去了。 “Stop！Your hands are too long！” 2017年1月11日 尽管心急如焚，因为这是一条鲜活的生命，但是经验告诉我，我即便再继续追踪下去，也不会有任何结果的。 于是我买了最早的飞机回北京，因为经济舱售罄，买的全价头等舱。 一落地，我立马开车去见了小蓉的父母。 表达了我无能为力的歉意之后，我退回了双倍的定金。 但是我并没有跟他们说实情，因为我实在不知道该如何跟他们表达这个“死不见尸”的结果。 因为小蓉的最终下场，很有可能是被明码标价，成为那些不知名的富豪们竞逐的商品。 我只能是建议他们报警，尽管我知道报警的话基本上也是徒劳。 太残忍了。 两位老人说什么也不收我的钱，小蓉的父亲甚至跪在地上恳求我再想想办法。 我也赶紧跪下，扶着小蓉父亲想安慰他。 但是看着他头上这几天多出来的白发，心都碎了，根本不知道该说什么。 但最终我还是忍住了把实情告诉他的冲动。 因为也许不说，心里就还会留有一丝希望吧。 后记： 这桩活儿之后，很长时间我心里都特别难受。 这个世界，尤其是国门之外的世界，真的不是我们想象的那么安全。 之所以我们没有感觉，是因为我们的国家给我们提供了强大的保护，把危险隔离在我们的生活之外。 再说说暗网的人口贩卖吧。 其实暗网并不完全都是黑暗可怕的，有一些其实是合法的。 它们更像是一些在某领域有着特别爱好或造诣的资深玩家的高级论坛，因为普通互联网里的信息对他们而言已经完全不够用了。 当然，说到底暗网更多的还是毒品、枪械、色情等非法交易。 而杀人直播和人口贩卖作为其中最为隐蔽和邪恶的存在，可以说是暗网最大的生意之一。人口贩卖的可怕之处，并不完全在于这些耸人听闻的事件，而是你一旦进入人口黑市，就意味着从这个世上彻底消失。 就像沙漠里的水滴一样蒸发，什么痕迹都不会留下来。 而且，在暗网的人口黑市里，亚洲女性最受 " 青睐 "，是中东和欧洲客户最喜欢的口味。 最近几年来，随着中国人在海外活动的增加，神秘失踪或遇害的噩耗也频频传来。 至于他们去了哪里，除了极少数幸运儿之外，剩下那些人的去向，就真的是个永不可能解开的谜了。 话说小心驶得万年船，不怕一万，就怕万一，多做些防备，总没有错。 总结了几个出国旅行的小贴士，希望对大家有帮助。 1.尽可能避免单独行动，无论去哪儿最好都结伴而行； 2.不要轻信所谓的“陌生人的善意”，你真的没有那么大的魅力； 3.无论是住宿还是乘车，记得留下自己的行动轨迹，并分享给自己的亲人朋友，让他们时刻知道你的位置，特立独行其实一点儿也不酷； 4.如果你不是经验很丰富的国外旅行老鸟，最好不要有所谓的“探险精神”，因为，危险真的可能就在你身边。 ...

在中国境内访问一些国外网站一直无法访问，民间称为“墙”，除非上梯子，否则很多国外的网站的信息，无法直接获取。 今天发现墙已经有所松动，有些之前需要翻墙访问的网站，现在不用翻墙。 现在，终于可以直接访问国外网站了，五花八门，各学科专业性网站、各国际性组织机构官网、各外企官网，各外媒新闻官网等都能顺利打开，甚至有些政治党派的网站也能登陆。有图有真相。 https://www.foxnews.com/ 美国福克斯新闻网 https://www.premierleague.com/tables  英超联赛 https://www.forbes.com/ 福布斯杂志 https://wall-street.com/ 华尔街日报https://www.bbcearth.com/ BBC地球https://ustr.gov/美国商贸部https://www.yna.co.kr/ 韩联社https://www.sankei.jp/ 日本产经新闻https://www.thelancet.com/ 柳叶刀 https://www.wto.org/ 世界贸易组织 https://www.thomsonreuters.com/en.html 路透社 https://www.yahoo.com/ 雅虎搜 https://www.afp.com/ 法新社 https://www.dpa.com/en/ 德意志新闻 英文不好的同学可以借助google浏览器翻译 以下更多官网地址，建议收藏，拿走不谢。 https://www.un.org/en 联合国https://www.who.int/ 世界卫生组织https://www.imf.org/external/index.htm 国际货币基金组织https://www.nato.int/ 北大西洋公约组织https://www.usnews.com/ 纽约时报https://www.nbc.com/ 全美广播公司https://www.foxnews.com/ 福克斯新闻 https://www.kyodo.co.jp/ 共同社 https://the-japan-news.com/ 读卖新闻 https://www.asahi.com/朝日新闻 https://www.bostonglobe.com/波士顿环球报https://www.opec.org/opec_web/en/ 欧佩克https://www.olympic.org/ 国际奥委会https://www.fifa.com/ 国际足联https://europa.eu/ 欧盟 https://tass.com/ 塔斯社俄罗斯通讯社 https://www.ap.org/en-gb/ 美联社 https://www.arabnews.com/ 阿拉伯新闻 http://www.uzaobao.com/ 联合早报 https://www.dpa.com/en/ 德意志新闻 https://www.indiatimes.com/ 印度时报 https://www.latimes.com/ 洛杉矶时报 https://www.thetimes.co.uk/ 泰晤士报 https://wall-street.com/ 华尔街日报 https://www.sciencemag.org/ 美国科学在线 有些媒体说墙完全放开了，毒蜂亲测不是全放开了，很多网站还是访问不了，我举例两个网站， www.google.com 不能搜索  www.youtube.com twitter.com打不开 平时我主要上的两个网站，google用来搜索技术文章，看一下国外的黑客天天在干嘛，twitter上面有网络安全专家需要关注。所以说有些非专业媒体不要自嗨了。完全放开短时间不可能，但能放开一些，这也是进步。 ...

推特出事了！新闻称美国总统候选人拜登、电视真人秀明星卡戴珊、美国前总统奥巴马、亿万富翁马斯克和说唱歌手侃爷，布隆伯格、贝佐斯、巴菲特、苹果官方账号，以色列总理内塔尼亚胡等一系列知名人士的推特账号被入侵，发布不实消息。 （布隆伯格推特） （马斯克推特） （苹果官方推特） （比尔·盖茨推特）  （美国前总统奥巴马推特） 经过我详细了解了一下事件，发现被入侵者在推特发布的都是关于比特币的诈骗推文，大概意思是：“所有发送到以下地址的比特币将被双倍发送！如果你寄1000美元，我就寄回2000美元。只做30分钟。”文字下边附带网站链接。   入侵这么多政要、知名人士的推特，大摇大摆的留下诈骗推文，不得不佩服黑客的所作所为。这一消息曝光之后也是在微博、百度搜索里引发众多网友议论。 在微博动态下边也是不少“神评论”： 事情发生之后，Twitter找到事情起因，公司检测到了一次协同式社交工程攻击，发动者成功锁定了一些具有访问内部系统和工具权限的Twitter员工。黑客利用这些访问权限控制了许多知名账号和密码，之后便使用其账号发布关于比特币的动态。   与此同时，推特先把所有的官方认证账号都禁止发推文，未认证的推特账号还可以发文。随后官网发两条推文称：“在我们检查和处理这一状况时，你可能无法发推，也无法重设你的密码。”“我们仍然在继续限制发推和重设密码、以及一些其他的账户功能，感谢你的耐心。”  （推特官方原文） 推特官网的这一操作，我心存一丝忧虑，禁止账号发文不能从根本解决问题，禁止推文无视了美国政要和知名人每天的推文需要，而且未经过认证的账号还可能会流出不实的比特币推文。不过先禁止不实言论，再弥补推特网站类似的漏洞，亡羊补牢、为时不晚，杜绝此类事件再次发生也算是吃一堑长一智。 ...

GitHub已于2018年被微软收购，目前被托管的仓库超过1亿个，有4000万开发者为其做出贡献。 作为全球最大也是最知名的程序员“交友”网站，代码托管服务平台Github那是一天都不能没有的。今天Github突然就崩了，让很多程序员很担心，询问Github现在的实控人微软之后，客服回应服务器被盗了，正在追回。 网友shijin1爆料，网传微软回应了某个客户的咨询，解释了Github崩溃的原因。在这封邮件中，微软客服表示经过他们的排查，发现由于疫情的影响，微软Github各地的服务器均有被盗走的现象。 目前微软正在全力追回被盗的服务器，希望能够找回被盗的服务器和数据。 邮件真实性还不能100%确认，微软也没有提到具体是哪里的服务器被盗了，不过感觉上偷走服务器这事不太可能，数据中心服务器通常都有多重备份，专业点就是异地容灾设计，即便被盗走了服务器，数据什么的应该是不会受影响的。 不过话说回来，在某些国家，偷窃服务器这事应该还是很可能的，希望Github早点找回吧。 ...

经常有圈内新手、圈外人问我这样一个问题 黑客真有这么厉害吗？  就目前而言，在黑客游戏或影视作品中 黑客所展示的能力与现实是相差无几的 （黑客帝国此种类型除外） 唯一的区别是 影视作品中的主角能够瞬控电力系统，造成城市电力瘫痪。分分钟窃听遇到的任何人。    在现实里，很有可能是一群衣衫不整、日夜颠倒的技术人员，花了几天甚至几个月才能拿到相关权限或0day（零日漏洞）。 拿到后，瞬发是可以的，这是现实；见到一个完全没接触过的新目标，还能秒杀控制的——这是科幻。 所以，总有人提问，如何从零成为黑客大神？ 回答了好多次了，今天整理一下分享给大家。 白帽黑客级别 无论何事都是有“难”度的，所以我先来科普划分一下级别 （全部按小白基础，会写个表格word就行的这种）      1级：脚本小子；难度：无 达到“黑客新闻”的部分水准（一分钱买iphone、黑掉母校官网挂女神照片什么的） 2级；网络安全工程师；难度：低 能凭借技术就业，当一个薪资不错的白领，不过门槛会越来越高。 3级；实验室研究员；难度：中 精通至少一门领域，审计经验出色，脚本、POC、二进制相关都了解。 4级；安全大咖级；难度：高 某一领域知识点打穿并有自己的了解建树。一个人能支撑APT某一职能的所有需求树。（其实此点和经验#时间有关，难度也与天赋没有太大关系） 所以，如果你只是想入门，想要学会一些技能，不管你基础多差，都能够照葫芦画瓢做到。 觉得入门艰难的人，恐怕三分钟热度居多。 如何从入门达到相应的级别呢？        1阶段#脚本小子 技能点主要在黑客工具的使用上 所以你只需要花时间去了解下OWASP TOP 10，学习下主流的扫描器、工具、和使用方法。这些在我们的公开课里只需要六节课就能学完，属实不难。 2阶段# 当你想要以此就业，就要了解行业的现状。 比如时下热门的网络安全工程师：“人才缺口率达到95%"、“薪资及满意度排行第一”、“没有网络安全就没有国家安全”；这些广告词太多，数都数不过来。 但大众很少明白，一个黑客的工作内容到底是在做些什么？毕竟，为公司创造价值是员工和公司关系维持的根本。     你会发现，主要是驻场运维 or 对客户资产系统进行攻击测试。 这时第一阶段的水平已经不能胜任了，因为甲方有钱，靠WAF防火墙都能堆出基础的安全防范。 所以，这个时候需要打基础，体系化的去学习渗透的内容。 啥内容呢？所有主流攻击手段和攻击手法的利用，及原理。 ...

自从比特币诞生以来，区块链技术发展至今已经将近12个年头。在这12年时间里区块链行业存在着各种各样的财富故事，正是因为有了这些财富故事才吸引了大量的人关注这个行业。然而有钱的地方骗局也特别多。尤其是类似区块链这种技术，它作为一种金融创新和金钱走得非常近，从而导致这个领域里面存在着大量的诈骗行为。最近，有媒体公布了一条消息，说3名大学刚毕业的95后，创立了一家区块链公司，在不到一年的时间里利用诈骗手段获利亿元。他们是如何行骗的呢？经查，陈某等人利用区块链“智能合约”技术疯狂作案，在非法获取大量受害人ETH后，进行套现并肆意挥霍。 7月10日，澎湃新闻（www.thepaper.cn）从浙江温州市瓯海区公安分局获悉，该局日前破获全国首例利用区块链“智能合约”犯罪的案件，抓获犯罪嫌疑人10名，涉案金额亿余元。7月9日，该犯罪团伙5名主要成员已被检察机关以涉嫌诈骗罪批准逮捕。今年4月，瓯海公安分局接市民李先生报案，称加入一个名为“火币Global搬砖套利HT中文群社区”的Telegram（境外即时聊天工具）交流群，群主在群内发布了一些“搬砖套利教程”。很多群友在群内分享经验，称按照教程操作已经获利。“ETH（以太币）、HT（火币）与人们熟悉的BTC（比特币）一样，都是虚拟货币。简单的说，就是把自己的ETH转到对方指定的账户，对方会返还1：60数量的HT，兑换后的HT增值部分就是我赚的钱，利润在8%左右。然而，当我将10个价值1.2万元的ETH转到群主提供的账户时，对方却返还了600个无法交易的虚假HT。等我联系对方想要问个清楚时，对方已经把我拉黑。”李先生告诉办案民警。3名大学刚毕业就“创业”的95后，不到一年获利亿元，开上了价值400万的迈凯伦-650S、300万的法拉利-California T，买了价值800万的豪华奢景别墅……民警很快发现，应对此类新型犯罪，传统的侦查手段难以奏效。警方迅速转变思路，发现李先生加入的群管理人员一直在利用其自身发布的HT“智能合约”非法获取受害人的ETH，案件线索开始渐渐浮出水面。 所谓智能合约（Smart contract），是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易，这些交易可追踪且不可逆转。经侦查，民警发现这个名为“火币Global搬砖套利HT中文群社区”的聊天群有几十个，群内成员13000余人，但有10000余个账号常年不在线，这是嫌疑人为了烘托群内人员规模所申请的僵尸账户。剩下的在线人员中，又有大部分是电脑机器人(15.110, -0.46, -2.95%)操控，它们只会回复一些前期编辑好的“教程有效，可获利”之类的信息。 最后仅剩几个管理员账号真实在线，他们的任务就是发布教程，引诱受害人上当。 这样的配置，俨然构成了一个完整的群内作案架构， 每天都有几十到几百名人员加入群内，被当成“待宰的羔羊”。 犯罪分子通过群内的“托”，让受害人信以为真，将ETH转到“群主”提供的账户内，返还没有任何价值的虚假HT，从而非法获利。 经一个多月的侦查研判，警方最终掌握了该诈骗团伙的大量犯罪证据，确认了以陈某、余某和许某三人为首的犯罪团伙，并锁定了他们的活动范围。6月4日，瓯海警方在福州警方的配合下，在福州市仓山区某豪华别墅和某商品房内，将10名犯罪嫌疑人悉数抓获，现场扣押作案手机、电脑30余台，缴获ETH、BTC等虚拟货币2万余个；扣押查封迈凯轮、法拉利等豪华轿车3辆，查封房产3处，车、房价值共1300多万元。经查，犯罪嫌疑人陈某、余某、许某等三名95后都是福建人，大学同学。毕业不久后，3人凭借着对电脑方面的兴趣以及对虚拟货币的了解，选择共同“创业”。他们招揽7名员工，对电脑、区块链方面的知识进行“业务培训”，还给他们详细分配了注册区块链钱包地址、销赃、与受害人聊天、日常管理等工作。随后，他们租用了百来台境外服务器，对作案环节进行全自动化程序控制。 陈某等人利用区块链“智能合约”技术疯狂作案，在非法获取大量受害人ETH后，进行套现并肆意挥霍。他们夜夜出入酒吧、夜总会，常年住在高档别墅、高档酒店总统套房内，甚至明目张胆的租用大型写字楼作为作案场地。 2019年以来，该团伙共利用虚假HT“智能合约”非法获取受害人ETH虚拟货币5万余个。截至目前，警方共掌握全国1300余人被骗信息，涉案价值高达1亿余元。 ...

7月5日，网络盛传的“阿里天才黑客”吴翰清通过微博辟谣：“我从没黑过阿里网站，‘马云下死命令留我’、‘500万年薪’都是以讹传讹的假新闻。” 阿里巴巴集团风险委员会主席邵晓锋也转发微博证实了吴翰清的说法，并表示：“如果有人黑阿里网站，我们绝不会高薪聘请，反而会把他们交给警察。” 此前，这样的段子在网上广泛流传：一位15岁就考入西安交大少年班的天才少年，在05年其20岁时参加了阿里巴巴的实习面试。在展示个人能力环节，其略显腼腆地在电脑上敲了几行代码，就在面试官不以为然的时候，整个阿里巴巴内部网络同时瘫痪！瞬间惊呆了面试官，最终马云下了死命令，怎么也得留住他。于是阿里用500万的年薪将这个天才少年留了下来。而这位腼腆的天才少年就是当年号称中国最顶尖“黑客”之一，如今每天为阿里抵挡16亿次“黑客”攻击、号称阿里巴巴的“守护神”、阿里云首席安全科学家、阿里云盾负责人——吴翰清。 目前，吴翰清仍在阿里巴巴工作，不过已从安全转至人工智能领域。以下为吴翰清发布的声明—— “这是个假新闻！请不要再消费我和阿里来赚流量了。 我再澄清一次： 1、我从没黑过阿里网站。 2、宣传黑客攻击是倡导错误的价值观，这是法治社会，黑客攻击不是英雄，是罪犯。 3、黑客精神和黑客攻击是两码事，不要混为一谈。 4、“马云下死命令留他”、“500万年薪”都是以讹传讹。 5、阿里的安全是上千名工程师的共同结晶，我只做出了微小的贡献，不能记在我头上。 6、对反复传播这些假新闻的人，百般无奈，我只能通过法律来追诉了。 7、我近几年都在做人工智能领域，没有做安全了。” ...

朋友圈是真的烦，不发吧，说你跑路了，你要发朋友圈总人截图乱传。还有人专门卖明星的朋友圈截图。我昨天也设置成3天可见了。但有人用黑客思维给破解了。来华盟君带你看看怎么做到的。 之前微博上出现过一个热搜话题：超一亿人朋友圈仅三天可见。 微信创始人张小龙在年度演讲里说，这个开关，是微信里使用最多的。很多网友大概都有过这样的经历：每次加了新朋友亲戚 满怀期待点进去想看看，发现一条灰线……， 如何破解朋友圈三天可见？ 先说一下重点，这个不太适合好友特别多的微友。 具体操作只需要一句话： 打开微信的好友列表，将除了你想破解的这个人之外，其他好友的朋友圈都设置为【不看她】的状态。设置完成之后，你的朋友圈只会显示这一个人了。 接着，打开微信朋友圈，刷新，你会发现，可以查看她/他3天以外的朋友圈了。 这种方法的确是只适合为了一个人，专门开了个小号视奸的那种... 当然，一个个去关闭好友朋友圈比较麻烦，这里还有一种相对快捷的方法： 打开微信-【设置】-【隐私】，在这里找到不看他（她）然后把除了你想破解的这个人以外的人，全都添加到这个名单中。保存退出，接着打开朋友圈刷新，就可以查看那个人3天以外的朋友圈了。 在这里再次提醒一下，根据以上步骤完成设置后，也有可能会出现刷不到的情况。 这是因为，这个方法只针对设置后对方另外发的朋友圈有效。而且通过这个方式最多能查看到，你们加好友那天起的动态。 虽然麻烦了一些，不过感兴趣的小伙伴可以去试一下。 ...

什么是“暗网”？利用加密传输、P2P对等网络等，为用户提供匿名互联网信息访问的一类技术手段。其隐蔽性很强，沦为不法分子的犯罪之地。连日来，浙江余姚市公安局网警大队接连成功破获了两起利用“暗网”非法牟利的案件。其中一名在校大学生和一名在创业的富二代，因沉沦暗网不法交易被抓获！在校的大学生暗网上做起“大生意”：贩卖淫秽物品！6月初，网警大队民警在网络巡查中发现，一名用户在某暗网论坛上出售淫秽物品，每份淫秽物品售价在5美元到10美元不等。交易后，卖家通过百度网盘将淫秽物品链接分享至买家手经查证，每份链接内包含了200余部淫秽视频及800余张淫秽图片。论坛显示，该淫秽物品已累计交易成功30余次。经侦查，民警迅速锁定了该名用户的真实身份信息。7月5日晚，余姚市公安局低塘派出所在网警大队的配合下，远赴贵州省盘州市，将该名利用暗网贩卖淫秽物品牟利的在校大学生胡某成功抓获。经审讯，胡某今年22岁，大学所学专业与信息技术相关。2018年下半年，胡某在学习中偶然接触到了使用暗网的相关技术。暗网的内容，极大地勾起了胡某的好奇心。2019年年底，胡某因家庭条件困难，缺少收入来源，萌生了通过暗网贩卖淫秽物品牟利的想法。随即，他在同一暗网平台内购买了淫秽物品链接，并以相同手法进行贩卖。直到被捕，胡某共利用暗网贩卖淫秽物品牟利人民币3000余元。90后的富二代暗网里大肆贩卖公民个人信息30万条！六月中旬，网警大队民警在网络巡查中发现在某暗网中文论坛内一名用户大量出售公民个人信息。民警在调查中发现，该用户所出售数据涵盖了公民日常生活的多个方面，极易被诈骗等犯罪团伙利用，潜在危害大。网警大队随即组织民警展开侦查。在迅速锁定了该名用户的真实身份后，6月22日下午，网警大队在三七市派出所、河姆渡派出所的配合下，赶赴广东省广州市一办公楼内，将犯罪嫌疑人陈某成功抓获。经审讯，陈某今年22岁，目前在广州某公司内担任电话销售。据民警调查，陈某其家庭情况相当不错，是个富二代。但一直以来，他与父母关系较为紧张。初中辍学后，为增加收入，陈某自行学习了信息技术，雄心勃勃开始创业。在今年年初，他逐渐接触到了暗网。暗网论坛中充斥着大量的公民个人信息交易活动，令陈某嗅到了非法牟利的“商机”。4月份以来，陈某不断尝试将暗网论坛中购买的公民个人信息通过境外聊天软件进行出售。尝到了不法收入的甜头后，陈某随即将公民个人信息大量出售在了另一暗网论坛中，以赚取差价。直到被捕，陈某利用暗网累计出售数据30余万条，从中非法获利5000余元。目前，胡某与陈某均已被余姚警方依法采取刑事强制措施，案件正在进一步办理中。余姚市公安局网警大队民警介绍，所谓“暗网”，是利用加密传输、P2P对等网络等，为用户提供匿名互联网信息访问的一类技术手段。“暗网”的最大特点是经过加密处理，普通浏览器和搜索引擎无法进入，很难追查到使用者的真实身份和所处位置。民警提醒暗网并非法外之地，任何利用暗网从事非法活动的个人或组织，都将面临法律的严惩。QQ群号：979727860 点击链接加入群聊：https://jq.qq.com/?_wv=1027&k=FDmmUxxL ...

成都电子科技大学被印度留学生搞了，教学楼显示屏出现“拒绝中国制造”口号？自从前段时间中印边境冲突之后，印度反华的情绪就一直居高不下，从最开始抵制中国制造，砸电视、砸手机，到后来下架国内59款APP。 钉子刷微博的时候刷到一个ID上帝之鹰发的成都电子科技大学清水河校区品字楼C区的教学楼显示屏上面出现了“给我离南亚远点，抵制中国制造”的字样，怀疑是阿三在校留学生搞的鬼？ 校方在接到学生反映，一些教学楼的显示屏上出现了“离南亚远点，抵制中国制造”（Stay Away From South Asia, Boycott Made in China）字样后，第一之间成立了专项小组，表示严肃处理。 首先的处理方式是将被黑的电子屏拆除，并关闭了其他所有显示屏。 虽然校方第一时间做出了反映，但是学校论坛里已经炸了，学生全部怒不可遏。 敢在我们本土这么干，现在阿三都这么猖狂了吗？ 网上也有很多人质疑校方的态度：“我们要的不是拆电子屏，我们要的是抓出肇事者，公布对肇事者的处理结果”。 还有一些留言说电子科技大学对于留学生管理过于宽松。“这并非该校第一次特殊对待留学生，中国国内新冠肺炎疫情刚结束，学生返校的时候，中国学生被禁止出入，留学生却可以随意出入，后来校内反对声音太大了，才允许中国学生出入。” 毒蜂想有一些问题值得质疑，作为985，211水平的一流电子科技大学，为什么还能被阿三攻破内网管理系统在显示屏上挂图片？这网络信息安全水平是不是有待提高？ 这是要让我们网络打印小队找个印度高校反击一下了？ ...

暗网出现一则出售“5.38亿微博用户绑定手机号数据”的交易信息，我们报道过，TG有一个闲鱼市场，有各种黑产数据。都有什么东西。比如：定位：都需要比特币充值就在前几天毒蜂，刚充了比特币，今天有人微信跟我说暗网闲鱼市场跑路了！我打他们的群看了一下。群里有67884人。我亲自测试了一下他们的市场的机器人，真的不回复消息了。前几天发消息，会有机器人自动回复，今天没人回复了。 毒蜂猜测有三种可能性 1，真的跑路了。2，被抓了。3，机器人坏了。 TG用户越来越多，国内搞安全的都在想办法破解。早晚有一个会破解成功的，比如skype,whatapp。如果真的能解密谁在登陆，聊天内容。也就是TG暗网市场倒闭的那天。毒蜂就没想到，我刚冲钱还没消费就跑路了，你这个王八蛋。截至发稿时间，闲鱼机器人还是没好，群主也没看见，我们将持续关注。如果大家有最新消息，也可以留言交流。...

最近，浙江大学网络空间安全学院院长任奎与加拿大麦吉尔大学、多伦多大学的研究小组联合发布了一项针对智能手机窃听攻击的研究成果：利用手机内置的加速传感器，当用户不知情的时候，智能手机 APP可以对用户语音进行窃听，并且准确率达到90%。 加速传感器也称为加速计，是目前智能手机中最常见的一种内嵌传感器，主要用来检测手机自身的运动情况，如平时常用的步数统计和游戏控制等应用场景。不像麦克风、照相机等为公众所知的硬件，它们可能获取个人敏感信息，因为加速器似乎与诸如语音通话、短信等敏感信息没有实际联系，因此，当收集智能手机的加速度信息时，不需要用户授权。但是，正是这款不起眼的设备，可能让人们陷入隐私泄露的危机。任奎表示，加速度计可以用来侦听电话，这主要是由于智能手机本身的物理结构。我们都知道声音信号是由振动产生的声波，它能通过各种介质传播。所以来自手机扬声器的声音就会引起手机本身的震动。而且，加速计可以精确地感觉到手机震动——攻击者可以通过它捕捉由声音信号引起的手机震动，并推断出其中包含的敏感信息。总体而言，这是一种应用非常广泛的攻击方法，并且对用户隐私构成严重威胁。语音监听的准确性与特定的监听任务有关。基于实验结果，该方法能以平均90%的准确率在关键词检测任务中识别和定位用户语音中携带的关键词。在训练自己的攻击模型时，攻击者可以自己选择要识别的关键词。对于数字识别任务，这种窃听攻击的准确率可高达80%，能区分0到9这10个数字的英文发音。「正确率下降的原因，是数字发音更简单，而复杂词的正确识别率更高」。任奎解释说，这种攻击对场景没有特殊要求，即使是使用手机边走边打受害者的时候，攻击者也能准确识别手机喇叭播放的语音信息。就像人类的听觉系统一样，声音的清晰度也会影响这种攻击的准确性。不同手机系统的窃听效果是不是不一样？任奎表示，在不同的手机系统中，加速度计的窃听效果可能有所不同。首先，加速度计在不同手机系统上的使用限制不同。例如， IOS要求访问加速度计的所有应用程序提供一个句子，以说明为什么要收集加速度计的数据，根据这个要求，显然没有使用加速度计的应用程序可能不能实施这种窃听攻击。另外，各个手机系统在后台收集加速计数据的机制上也有所不同，这将影响窃听攻击的实际应用场景。另外，手机本身的结构和性能也会影响窃听的实际效果。对于不同型号的手机，加速度计采样率与采集的声音信号强度可能有一定的差异，从而影响最终的语音识别效果。怎样才能防止这种窃听方式？任奎表示，作为普通消费者，在各大手机厂商提出进一步解决方案之前，最有效、最方便的防御方法就是通过耳机听电话或语音信息。由于移动电话中的加速计和耳机之间的物理隔离，导致它不能接触到耳机产生的振动，所以通过耳机播放的声音不会受到这种攻击。主要手机厂商应提高加速度计的使用权限等级，尽量避免各类应用在不需要的情况下采集加速度计；也可对加速度计的采样频率加以限制，或提前过滤掉含有最多语音信息的高频部分。为了避免在未来出现类似的漏洞，建议主要厂商重新评估各个传感器的安全性和灵敏度，修改 Android操作系统，授权手机 APP调用各种传感器数据，像鸿蒙 OS这样自主可控的操作系统更能从系统层面上进行考虑，杜绝未来的侧通道攻击。...

直播行业在国内已经火了几年，除了一些视频以外，也兴起了不少语音形式的直播。前段时间，警方接到某科技公司报警，说自己旗下的一款直播聊天软件中，一个用户每天都在购买刷礼物用的虚拟币，但是后台却一直没有进账，用户冲了七万多，公司一分钱没收到。图上是该直播聊天软件后台收入的趋势图，报案者称软件内一用户每天都会进行大大小小的充值，但是公司后台却一直没有收到进账，单从软件这里无法查到是怎么回事。 警方在接到报案后立马开始展开调查，发现这位用户利用平台不能验证支付单据的真实性这一漏洞，使用虚假的支付单据进行充值，进行盗充虚拟币。警方根据资金流与证据链，最终将犯罪嫌疑人刘某锁定。经调查，刘某今年26岁，是一家软件公司的实际运营人，一月份的时候，他发现这款聊天软件存在漏洞，便利用技术手段盗取了价值七万余元的虚拟币，然后给女主播刷礼物。刘某利用漏洞充值后给平台的女主播刷礼物，虚构自己的身份，并且还和多个主播进行合作，双方约定刘某每刷一笔钱，都会分给自己20%的提成。几个月的时间，利用这种套现方式非法获利8000多元。最后刘某因涉嫌诈骗，被警方刑事拘留。...

微信安全中心发布最新提醒——如果你的手机出现这个界面一定要提高警惕，说明你当前支付存在巨大风险，很可能处在骗局之中，这15分钟，非常关键。微信官方介绍，在付款过程中，当系统识别出收款方账户有异常特征时，微信会根据风险的程度对用户进行交易风险提醒或拦截。 当系统识别出收款方账号涉嫌欺诈违规，或者恶意程度较大，微信会对交易进行拦截保护，提醒用户注意资金安全，比如短视频中对付款用户进行15分钟的保护限制。 也就是说，当你收到上面这样的风险提醒或拦截时，很可能正身处骗局之中！ 在15分钟的“转账冷静期”内，你应该尽量核实收款方的身份，仔细想想是否存在风险。“转账冷静期”解除后，可以根据核实后的情况选择是否继续支付。 微信支付团队提醒： 1、网购需谨慎。“先付款后收货”的交易方式风险很高，在社交平台上进行交易要提高警惕，谨慎确认，尽量使用可信的官方交易渠道。这样即使出现问题，也可以通过平台申诉退款退货。 2、使用微信支付时，若出现“风险提醒”要加倍小心，你很有可能正在陷入骗局。 ...

印度是一个对于自身实力有着迷之自信的国家，自从1947年脱离英国殖民统治建国以来，印度一直想要拥有控制南亚次大陆，并且将自己的影响力辐射到整个印度洋的能力，不过受限于本身实力的不足，印度的这种霸权主义思维更多是以吃瘪告终，前几天，中国与印度在边界冲突，中印军人打架，没动枪。打死好几个印度军人，印度最高一个上校被打死。印度全国民族主义高起，不买中国货，砸中国电视，中国手机。增兵冲突地区。我们中国也没示弱，一样大量增兵冲突地区。who 怕 who? 印度黑客也叫嚣要对华网络战。我们今天就来聊聊印度黑客能打赢对华网络战吗？ 前几天，公民实验室Citizen Lab（简称：Citizen Lab）扒掉了一家印度公司的底裤。Citizen Lab的研究员称其正在进行：“有史以来规模最大的雇佣间谍活动之一。” BellTroXInfoTech（简称：BellTroX）是一家貌不惊人的印度信息技术服务公司，明面上，它扮演着好好先生的角色，是一家服务于医院、诊所、专家证人、独立从业者和企业等群体的转录和听写服务提供商。 背地里，他却则干着为客户提供黑客间谍情报服务的勾当，在长达7年的时间里对全球超过1万个电子邮件账户进行了入侵。把邪恶的触手伸向了欧洲的政府官员、巴哈马的博彩大亨以及美国著名投资机构等群体，其中就包括美国私募股权巨头KKR和做空机构浑水（Muddy Waters）。 没错，那家忙着调查别人家的公司，实际上，它也在被别人“调查”。 （BellTroX公司官网） “印度无名小IT公司”罪行初现端倪 2017年，一名被钓鱼攻击的记者向Citizen Lab求助，询问是否可以对不堪其扰的钓鱼邮件进行调查。随后，Citizen Lab对发来的钓鱼链接进行了溯源分析， Citizen Lab很快发现，这很可能是一个“黑客雇佣军”在全球范围内发起的黑客入侵活动。 CitizenLab将这一黑客雇佣军组织标记命名为 “Dark Basin”（黑暗盆地）。 跨越万里的邮件 ，一路追溯到印度 在对钓鱼链接进行了溯源分析时，Citizen Lab通过技术手段追查到了大量包含相同钓鱼链接的URL地址。在这里，Citizen Lab顺利的找到了抽丝剥茧的线头。 他们发现，在大量的钓鱼邮件中，有数百封邮件中的时间戳与印度UTC + 5：30时区的工作时间相吻合，可以加以猜测，这些邮件的源头可能是印度。 接下来，Citizen Lab又相继在Dark Basin组织使用的URL缩短服务中发现了几个与印度相关的名词：Holi，Rongali和Pochanchi，它们分别是印度宗教中两个著名的节日，以及音译的孟加拉数字“55”。 在钓鱼邮件的日志记录代码中，有些代码也以UTC + 5：30记录了时间戳，日志文件还显示Dark Basin似乎使用印度的IP地址进行了一些测试。 这绝非巧合。 毕竟再高超的黑客技术，也难以掩盖技术背后那些人的生活痕迹。 （Dark Basin使用的URL缩短服务） 有记忆的互联网，难以清除的蛛丝马迹 紧接着Citizen Lab继续顺着发现的线索一路查了下去，当他们在印度的一些网站进行信息检索时再次有了新发现。他们在领英上发现了一家名为BellTroX的公司。该公司雇员的工作职责描述写的十分耐人寻味，描述中这样写道：工作内容包括电子邮件渗透、广告推销、企业间谍、声波发射、提供网络情报等。 BellTroX公司的雇员们还在社交媒体上发帖赞扬了攻击技术，并附上了含有Dark Basin相关链接的截图。（BellTroX公司员工在社交媒体中发布的攻击技术讨论贴） 就这样经过一步步推敲，Citizen Lab最终捋清了Dark Basin与BellTroX之间千丝万缕的联系，BellTroX公司就是操纵Dark Basin组织的幕后黑手！ 以往中国黑客，俄罗斯黑客、美国黑客会不时出现在新闻头条里，但现在印度黑客也开始崛起，成为一股不可忽视的力量。 由于历史原因，印度在经济上比较依赖欧美，经济联系也比较紧密。印度人在软件开发上有着语言上的优势，例如一个印度中学生把主要精力花在学软件上就行了，没有语言障碍。所以，欧美要搞外包，肯定会首选印度。印度去欧美留学的学生非常多，他们成绩好，无论在欧美工作还是在印度工作，都在学习。印度的教育体制是比较灵活的，他们为印度培养了一大批软件开发者以及各阶段的工人，他们接收着欧美的经营管理思想，为外包培养了一批先行者和管理者。但印度并不像中国一样，家家都买得起电脑，他们很喜欢通过技术赚钱，所以黑客安全组织也比较多，但很松散。因为他们的国家缺乏像美国硅谷那样的地方，无法将一些网络专家的技能转化为高薪工作，这也进一步带动了印度黑客文化的发展。 最近印度黑客安全组织也开始高调进入媒体的视线了，印度趁着我国爆发新型肺炎期间，黑客却盯上了我国肺炎的情况。利用新型病毒题材文档攻击。后来经过侦查发现，发起此种攻击的是印度的黑客组织APT，该黑客组织采用的是鱼叉式钓鱼攻击方式，通过邮件文档投递进行诱饵式入侵。只要医疗机构点开这些文件就会受到入侵。据业内人士分析称，印度黑客入侵我国医疗机构具有几种原因，一方面为了窃取我国最先进的医疗技术和信息，另一方面可能是为了窃取我国医疗设备数据，还有一种可能是，印度想要制造更多其它不稳定的因素！接着他们在一社交网站扬言印度黑客是世界第一，美国才第二。他们还表示，中国在互联网方面比较落后，还排不上名。到第二天，该黑客安全组织的网站被黑掉了，首页被挂上We come from China及一个星星标志；并且在社交网站发的那条说说也神奇地失踪了。据调查，这个的确是源自中国的标志，但策划这一行动的是在印的一个华人网络黑客安全小组干的，他们都是来自中国，并且声称是华夏黑客联盟的成员；他们是看不惯印度黑客组织的嚣张，所以才把它给黑了，并告诉他们：“懂英文不是炫耀的资本，懂技术才是真正的高手”。随后印度黑客组织被吓得魂不守舍，再也不敢高调了。 https://www.quora.com/Can-Indian-hackers-win-the-cyber-war-with-China 国外知乎，有网友提出这样一个问题 Can Indian hackers win the cyber war with China?印度黑客能打赢对华网络战吗？ quora读者的评论：Dhruv ApteWell it might be shockingly true but Indian hackers might lose the race to Chinese ones....they are better trained and more sophisticated说出来也许你会震惊，不过印度黑客应该会输掉对华网络战。中国黑客更训练有素，技术更精湛。 Mihir Karbelkar, Studies at Vellore Institute of Technology, BhopalIt is not necessary that we wil lose against China. China may have many hackers but not all maybe very skilled. Indians utilise their resources effectively, forgot about Mars orbiter mission. If the "war" starts , at first, we will have less soldiers but we will progress and bring them down.我们不一定会输掉对华网络战。中国的黑客也许不少，但是并非所有黑客的技术都很精湛印度人会充分利用本国资源，比如印度就成功向火星发送了探测器。“战争”爆发初期，我们的黑客也许没他们多，不过我们会进步，然后打败他们 Abhishek Joshithe indian hackers will find it very hard to win a war againts chinease..i am not anti india but telling you the truth...Indian goverment does not have any organization unlike china where all hackers work together .In case of an cyber war the Indian goverment will first ask all hackers to retaliate but that can take some time...also note that china has used it technocrats in way to put all there efforts in defending there networks and trained them in an offensive way to attack cyber space.印度黑客会发现很难打赢对华网络战。我不是反印。跟你们说吧，印度政府并未建立黑客组织，而中国让所有黑客一起工作。一旦爆发网络战，印度政府会要求所有黑客发动报复，不过这需要时间来组织。 In china there is whole leading unit of army whose sole task is to attack cyber space, while in India we do not have any uniform structure.Also note that it is not neccesaary every Indian hacker will be that good so it hack there every website.Also note that language is other barieer as most of routers and computers in china are set to run on mandarian it will become more difficult for Indian hackers to attack there.中国有一支专门用来攻击网络的军队，而我们印度没有这样的组织。语言是一个障碍，中国大多数路由器和计算机用的是中文操纵系统，给印度黑客的入侵造成了更大的困难。 ...

截止到28日5点，护网行动终于结束，朋友圈感觉是在过年，到处是倒计时和庆祝声。看来防守方们7*24小时的看监控还是比较无奈的。本次复盘基于我对整个护网行动的观察总结而来，仅代表我个人观点，如有不妥之处，欢迎交流。 1. 整体攻防的思考   本次攻防，从规则到各方实力，都是绝无仅有的。经常有人问，是攻击队厉害还是防守队厉害？经过我这些年的思考，还是没有得出一个确切的结论。有时候觉得攻击队厉害，因为攻击可以在非特定时间随意发起，出其不意攻其不备，甚至手持0day指哪打哪，毕竟木桶原理决定着攻破一处即可内部突袭；有时候又觉得防守方厉害，因为防守方拥有全部访问流量，随时洞察攻击者的探测并封堵IP，也可以在主机层监控攻击者一举一动，甚至部署蜜罐玩弄黑客于鼓掌之中。总之，这么些年的摸爬滚打经验告诉我，攻防就是这样，道高一尺魔高一丈，一如黑客防线中说的“在攻于防的对立统一中寻求突破”。   2. 从攻击方思考   在真实的攻击行动中，一般一个目标要搞到核心系统根据防御程度不同，也需要1个月到半年的样子，甚至APT要潜伏一到两年才能拿到自己想要的数据。而此次总共给攻击方的时间只有3个周，并且每个队伍据说10多个目标，这也就决定了攻击要快速、要自动化。   a) 分布式扫描器   要说快速，还是得上扫描器，但是一个扫描器速度肯定不行，再者，被发现攻击行为，立马IP被ban掉，后续就无法进行。所以，分布式扫描器在这种情况下一定是个趋势。首先对全部目标的全端口进行一次扫描+端口识别，根据Banner快速收割一轮；   在这个过程中就会有个陷阱，比如在收集二级域名时，经常采用字典爆破，而防守方会设置一个诱饵二级域名，把流量引入蜜罐之中，坐等攻击方上钩。这时就需要攻击方们机灵一点，时刻反思这个是不是蜜罐。   对于AWVS的扫描器，还需升级到最新版，别被防御方反制，毕竟老版本扫描器自身就存在一个RCE。   b) 菜刀？蚁剑？冰蝎？   对于所有的黑客来说，菜刀肯定是一个传奇，一直是最稳定、最牛逼的webshell管理工具之一，但同时，菜刀也是一个最容易被发现的攻击工具，毕竟流量特征太明显了，而且一旦发现就100%意味着服务器已沦陷，防守方会里面下线进行深入分析。记得当初第一次见到菜刀这工具时的感觉，总结起来就是“厉害”。因为在菜刀之前，我们学习的都是先小马后大马的姿势。而用了菜刀之后，我深刻理解了什么大马小马都无所谓，能执行命令搞定目标的都是好马。然后经过了几年的迭代，中国菜刀在国内安全圈也是经历了各种风风雨雨，各种后门版满天飞。最后鉴于其加密性能较弱，陆续出现了几个替代版本，蚁剑就是很优秀的一个项目。讲真，我开发水平相对较弱，见到蚁剑才发现原来js也可以写出优秀的跨平台客户端应用。可是正式由于其nodejs写的，才导致其跟AWVS一样，存在一个本地nodejs解析的RCE，很可能被防御方反制。再之后给我“厉害”感觉的就是冰蝎了，其双向通信加解密的管理方式，让诸多基于黑名单正则的防御产品厂商直接歇菜。可是很奇怪的时，还是有很多大量攻击方采用菜刀、jspspy之类的原始webshell，结果被防御方轻松发现并清除。   不过说到最后，我有一个疑惑，为什么大家非得用webshell这种方式搞服务器呢？比如存在weblogic反序列化或者Struts2 RCE漏洞时，黑客们写的工具还是一键写入webshell这种。安全发展到今天，防御手段越来越多，各位白帽子是时候改变了。正如我之前说的，不管用什么shell工具，只要能在服务器端执行命令，下面就肯定有更好的解决方案。我一般会使用命令方式加载自己的二进制版远控来操作。现在的二进制远控不像以前还要生成exe用菜刀上传，在命令行下执行，现在基本都可以做到类似mshta或者powershell的一句话直接动态上线，并且基于TCP/UDP协议的命令执行、文件管理。这样的好处：一是稳定，二是完全绕过那些基于黑名单的流量分析设备。类似metasploit的脚本payload反弹的meterpreter，但是msf特征明显，也容易被杀，所以我个人估计后面攻防还是会发展到类似cobalt strike之类的工具对抗上。   c) 水坑&鱼叉   针对水坑或者鱼叉攻击来讲，可以想象到肯定大量的攻击队伍采用这种方法进行攻击，攻击手法多基于邮件进行。现在假想成攻击队伍，我会首先在github上搜索一波，举个例子：https://github.com/search?q="4dogs.cn"+password&type=Code,注意域名要加上双引号进行精准匹配。在翻到一个可登陆的邮箱后，去通信录导出所有联系人方式，进而进行简单的口令爆破；在这些操作还没拿到有用密码的情况下，就可以根据组织结构进行定点攻击了。高级点的用浏览器0day，没有0day的也可以直接发宏病毒，注意要编个理由并且加密发送，防止被沙箱抓样本。   假如没有有用的邮箱账号，也可以用搜索引擎收集邮箱，再根据规则，加载中国姓名top500字典进行组合，总归能抓到一两个用弱口令的。   如果还是什么都没有，也可以使用swaks一类直接伪造成admin发送钓鱼邮件。   对于防御方来讲，最厉害的莫过于直接关停外网邮箱了。次之，可以派人随时查看登录日志，及时发现异地登录爆破情况。对于有钱的甲方，可以通过流量镜像，对附件进行沙箱判定。   d) 内网渗透，还是要了解业务   在突破边界进入内网后，剩下的主要是内网渗透了。内网渗透可以简单分为横向渗透和纵向渗透。内网渗透的实质和关键是信息收集，通过不停的突破系统拿到更多的权限，而更多的权限带来更多的信息，最终在信息和权限的螺旋迭代下，拿到目标的最高权限。   对于有域的环境，一般目标时拿下域控，而在本次攻击中却恰好爆发了一个直接打域控的0day，这就容易多了。但是即使一键拿下域控权限，还是要回到信息收集的本质上，要在海量的终端里筛选出自己的目标数据在哪台机器里，还是需要一些技巧的。   而不管是什么环境，我个人感觉阻碍攻击队伍进行内网渗透的主要原因还是对目标业务的了解程度。比如电力行业的16字方针，很多时候搞到边界系统后，ipconfig一看是10段的，以为进了个大内网，而实际情况是那只是冰山一角而已。纵向突破还有很长很长的路要走。再者，假如对电信行业、金融行业不了解，进到内网肯定也是一脸懵。这也是内网渗透耗费精力的原因。   e) 0day的优劣势   在本次演习中，陆续发现了大量的0day，印象里有七八个，0day具体细节可以参考各大公众号之前的报到。这里只讨论下针对0day的问题。   从0day的内容和数量上来讲，护网结束后我感觉什么系统都有漏洞，并且有一种想去挖几个留着的冲动，奈何工作杂事太多，先搁置一下吧。   对于攻击方来讲，手握0day是指哪打哪的一个有效支撑。从漏洞类型上，基本覆盖web、网络、操作系统等等方面。针对国内的网络安全现状，讲真，我对那些商业应用真的不报任何安全的奢望。对于国企和政府来讲，自有系统大都是外包厂商开发，而这些外包开发者，大部分不懂安全，甚至sql注入是啥都不知道，更别说防御框架漏洞了。所以对于攻击者来讲，去攻击一个客户广泛的厂商，拿到一个0day即可攻下其相关的所有目标，收益非常高。但同时也要明白，现在0day的生存期非常之短。10年前，我们一个0day可以用半年都没被人发现，而在这次演习中，0day的生存期可能只有半个小时，因为防守方发现shell就会溯源，进而预警。不过排除这次防守方7*24小时的有效监控，在真实情况下，0day的生存周期可能不超过一周。所以我认为，当前网络环境中，0day大量存在，但使用非常谨慎。至于防守方怎么防御0day，请看后面的内容。   3. 从防守方考虑   整体来讲，防守方都是从“事前排查”、“事中监控”、“事后溯源”三个方面进行防御的。根据我的观察，国企安全防御能力一般弱于互联网公司；而国企和政府单位的投入普遍高于互联网公司。导致了演习前大量的“人贩子”到处求人驻场的问题，一度炒到每人每天上万元。下面从几个方面分析这次防守方的经验和教训。   a) 防御过度问题   这次演习的意义和重要性，甲方自己应该更明白，这里不再描述。而正是由于防御方的重视，出现了大量的防御过度现象：一是在开始前的大量系统关停，二是对于互联网IP的大量封禁。大量的关停本质上是掩耳盗铃，在护网结束后依旧面临各类外部攻击者的威胁。希望存在这类情况的厂商，还是能从根源上排查漏洞，加固系统，对系统采取必要的防护措施。   针对恶意封禁IP的情况，虽然体现了防守方及时发现攻击的能力，但同时，也影响了正常业务的运行，特别是一封一个B段的情况。各位甲方还是考虑下从根源解决问题。   b) 应急排查   对于事前的应急排查，甲方大都采用临时购买人工渗透服务的方式进行，毫不客气地说，他们买到的一部分是在校大学生，或者培训机构的实习生。即使钱给够了，去的是个渗透大师，也会因为内网漏洞太多，无法完全覆盖。举个例子：假如给我一个系统，我大概需要一上午分析每个端口，每个业务接口的安全性，进而给出一个完整的测试报告。我基本上可以保证我测试过的系统短时间内不会出大问题。但是假如给我一个B段，告诉我3天完成，那我就只能模拟横向内网渗透，masscan先来一些端口，wvs扫描一轮，然后一批一批的去看。这种模式就决定了无法完全覆盖全部业务系统。即使时间够，那对于新增的业务又怎么办？   那针对这种情况该怎么办？我一直给我的客户普及的一个想法：内网漏洞不要指望短时间内购买一次服务就完全解决了。针对漏洞隐患的工作必须常态化开展：一是上资产管控手段，对内网所有的服务器，通过主动扫描、被动流量分析等手段进行搜集，实时监控内网到底开了多少端口，每个端口运行什么服务，应用是什么版本；二是解决遗留问题，对内网既有的框架漏洞、弱口令漏洞，进行专项整治。相信通过本次护网，原来没搞过安全的防守方，在部署安全设备后发现了大量的永恒之蓝、木马受控等遗留问题。建议大家用几周时间集中解决一类问题，循环下去即可解决遗留的全部问题；三是建立新业务上线审查流程，对于新上线的业务系统，必须通过第三方安全测评，只有拿到安全测评报告的才允许上线。   c) 重边界、轻内网的防御策略   这次的防守方普遍是重边界、轻内网防御，造成了一旦边界被破，内网整体垮掉的风险。而这个情况在我入行时就普遍存在。安全发展到今天，实在是说不过去。去年看到了Google提出的0信任网络，感觉是个趋势，一度想转行做0信任网络的布道者，虽然普及还有一段路，但是我还是希望大家可以转变思维，一定不要认为我在内网就是安全的。万一哪天被黑，可能影响的就是国家利益，带来的就是社会动荡。   d) 威胁情报系统的意义   首先，针对这次攻击，各种原有IOC情报基本无效，比如恶意域名库、恶意IP库等，因为攻击方使用的都是新的域名和IP，这也是黑名单做安全的尴尬。但是同时要感谢安全厂商们的威胁情报库，让更多的国企、政府单位认识到了自己内网办公电脑有很多已经被控制。   e) 面对0day攻击的无力感   面对0day攻击，理论上谁都扛不住，但是实际是这样么？仔细想想并非如此，首先，面对0day真正扛不住的是以黑名单为基础的安全设备，包括waf类、态势感知类、IDS类等。而这些安全设备，又确确实实是各大厂商的首选安全监控设备，一旦这些设备没报警，那基本啥都干不了，这也是防守方们7*24小时防守但其实大部分时间无所事事的原因。   首先，对于web 0day的防御，完全可以采用openrasp类防御方法，从根源上防止各类web漏洞攻击。如果有想购买商业版rasp方案的同学，可以勾兑下我哦。   其次，对于网络0day和系统0day，我们可以采用EDR手段进行防御，在终端上装上agent，在agent上采用白名单策略，对于无关的进程启动和危险命令直接报警或阻断。想起来我们四年前做过的一个产品叫麒麟卫士，可以说是国内首款EDR雏形了，可是去卖的时候发现大家对于需要安装agent的做法都耿耿于怀，不敢装。四年过去了，相信后面会有更多的人接受EDR带来的安全改变。   f) 蜜罐   这次演习的一大亮点就是很多防御方采用了蜜罐的方式进行诱捕和攻击引流。要说蜜罐做得好，那是真的很有用。我理想中的蜜罐应当是完全仿真，而不是动态针对部分服务的仿真。同时可以具备反制的功能，一是可溯源攻击者真实身份，二是可利用AWVS或者蚁剑这类黑客工具自己的漏洞反向攻击攻击者。相信后面会有大量的优秀产品脱颖而出。不过防守方真的真实部署后，可能半年也捕获不到一次有效攻击，毕竟这次是演习，平时黑客攻击还是少。不过安全就是如此，防患于未然。   写在最后：   我个人来讲是一个安全技术爱好者，从攻击到防御，都有涉猎。自从创业以来，干的事情更杂了，但是我一有时间还是在刷安全圈的技术文章，写一些poc。我是一个CEO、一个销售、一个售前、一个产品经理，同时，我也是一个“黑客”，期待着用我的所学所知，能为安全圈带来一些改变。“不忘初心，牢记使命”，与君共勉。 ...

比特币技术公司Bitfury的研究报告显示，暗网比特币交易总价值在最近一年里增长了65%，在三年里内增长了340%。有些新人可能会有疑问，暗网到底什么？ 其实，我们整个互联网可以划分为三个类别，分别是明网、深网以及暗网。今天，我们就简单介绍下它们的区别。 请先看下图：明网（Surface Web），是指能被普通搜索引擎检索到的网络，约占整个互联网的 4%。举个例子，网站内容可以用普通搜索引擎（比如 Google、百度、搜狗）检索到的网站，比如新华网、微博、知乎等，被称为明网。我们的大部分上网时间，都是停留在明网上。 与明网相对的，被称为深网（Deep Web），是指内容不能被普通搜索引擎检索到的网络，约占整个互联网的 96%。深网里面的内容，需要账号密码、访问权限等才可以访问。比如说，我们邮箱里的内容，存储在云服务里面的内容，公司的数据库，学术论文数据库等等，都属于深网的范畴。我们的一部分上网时间，停留在深网上。 在深网这个大范畴下，还有一部分网络被称为暗网（Dark Web），需要通过特定的浏览器、特殊授权或者特殊设置才能链接上的网络，普通的浏览器和搜索引擎无法进入。 暗网的一个特点是经过加密后隐秘性强，不容易追踪到真实的地理位置和使用者的身份。这也导致了暗网上充斥着许多非法交易，比如贩卖Jun Huo、Du pin、身份护照信息等等。 早期，比特币因为匿名性强且小众，主要的交易量和使用场景在暗网里。臭名昭著的“丝绸之路”，就曾经是暗网上的一个专门贩卖Du pin、药物等违禁品的网站，流量非常大，被称为是暗网里的亚马逊网站。经过多年的侦查之后，“丝绸之路”于2013年被美国 FBI 关闭。因为“丝绸之路”，自由主义信仰者成为黑暗帝国的主宰，FBI 明星探员沦为金钱的奴隶，初出茅庐的警员成为真相最后的守护者，相关的故事可以查看白话区块链之前的推文《比特币迷局》。 简单总结一下，整个互联网可以分为明网和深网，区别在于内容能否被普通的搜索引擎检索到，其中占了 96% 份额的深网中还有一小部分被称为暗网，需要特定的浏览器、特殊授权或是特殊设置才能访问，隐秘性强且大部分都是非法的内容。QQ群号：979727860 点击链接加入群聊：https://jq.qq.com/?_wv=1027&k=FDmmUxxL ...

根据Terbium Labs最新发布的暗网调查数据，欺诈指南占暗网销售数据的近一半（49％），其次是个人数据，占15.6％。 研究人员调查了三个主要的暗网市场：“The Canadian HeadQuarters”、“Empire Market”和“White House Market”，将所有在售数据列表分为六类：个人数据、支付卡、财务账户和凭证、非财务账户和凭证、欺诈指南以及欺诈工具和模板。 暗网市场效仿大型零售商 近年来，网络犯罪分子效仿大型零售商如亚马逊和eBay，逐渐改变了暗网市场的运营结构，例如提供搜索功能、电子商务和卖家评级等服务。 由于出售廉价的个人和财务数据以及提供“欺诈指南”这样的操作指导，上述三个暗网市场销售的数据对于企业来说尤其危险，因为网络犯罪分子可以轻松地进行攻击。 根据调查结果，欺诈指南是最常出售的数据类别（49％），其次是个人数据（15.6％）、非财务账户和凭证（12.2％）、财务账户和凭据（8.2％）、欺诈工具和模板（8％）和支付卡（7％）。 欺诈指南危害被低估 在暗网上，单个欺诈指南的平均成本仅为3.88美元，而在单个列表下出售的一组指南的成本为12.99美元。 企业经常忽视欺诈指南的负面影响，从而给企业带来更大的数字风险，例如网络钓鱼、企业电子邮件泄露、账户接管、凭证收集和欺诈。 欺诈指南中的泛滥使得大多数网络犯罪新手也能将商品数据转化为金融犯罪，对个人和组织造成损害。 个人信息只值一美元 除了欺诈指南外，暗网市场上最“畅销”的是个人数据。这些数据使企业很容易遭受网络钓鱼攻击，企业电子邮件泄露以及账户接管，从而使犯罪分子能够更准确地锁定个人并冒充受害者。 个人记录的平均价格为8.45美元，但有时候“单价”可低至1.00美元。与被盗数据对企业造成的损失相比，个人信息在暗网上的价格低得惊人。 报告指出，犯罪分子购买数据后还需要相关知识和工具来利用这些数据，企业应当尽早检测并响应被盗数据（在处于“原始材料”阶段），这样可以大大减少潜在损失。QQ群号：979727860 点击链接加入群聊：https://jq.qq.com/?_wv=1027&k=FDmmUxxL ...

红队已经暂停了，防守队如果没有攻击队，防守什么呢？ 最近北京疫情反复，升到二级，出差都出问题。跟圈内一些大佬交流，有可能日期有更改。 纯小道消息，官方为主 ...