15年安全老兵详解《孤注一掷》里的黑客技术及杀猪盘

安全
做为网络安全从业者,今天谈谈电影《孤注一掷》涉及到的相关的黑客攻防技术和场景。

周末带小孩去电影院看了《孤注一掷》,老婆说这是给小孩的教育片,当做成长路上的教育片来看,片方也在营造全家必看,全社会必看的舆论,“嘎腰子、缅北、KK、杀猪盘”的社会热点推高了本片观影与期待。

做为网络安全从业者,今天谈谈电影《孤注一掷》涉及到的相关的黑客攻防技术和场景。

电影制作方也算是用心了,隔壁王大娘提醒我男主张艺兴饰演的潘生与编程语言Python在读音上似乎有点弦外之音,有点类似或谐音。

开篇男主潘生从标准码农衬衫打扮到刻意西装革履意气风发,体验了什么是职场失落,在公司全员大会上晋升受阻衬托下氛围瞬间尴尬,男主一气之下扔掉工牌,当场离职不干了,这里其实有违背职场离职流程,现实职场程序员离职还有诸多的流程,交接文档、交接代码库等等。

1. SQL注入,投放大量表情包

从瞬间离职可以看出男主比较血气,虽然没有rm -Rf、删库跑路之类的神操作,但片中男主潘生利用sqlmap工具,扫描和寻找可利用的漏洞或弱点,目的也就是通过sql注入方式入侵公司系统,修改了新晋升研发老大的演讲屏幕,并在屏幕上给予了一堆的笑与哭泣的表情包,这也是本片第一个秀了一把黑客入侵场景,也奠定说明了男主有一定的攻防技术,为本片后续情节做了技术铺垫。

那什么是SQL注入?,大白话(讲给隔壁王大娘听),假设王大娘您去超市购物时,柜台需要王大娘您提供商品的名称。王大娘您告诉柜台:“我要买苹果”。柜台人员会根据王大娘您的请求找到苹果并交给您。 但是,想象一下,如果有人恶意地顾客告诉柜台:“我要买苹果' OR '1'='1'”。这种情况下,柜台人员可能会将所有的商品都给该恶意地顾客,因为条件 '1'='1' 总是为真。这就是SQL注入的原理。

黑客世界中, 黑客通过SQL注入伪造请求或绕过网站相关安全验证,窃取你的数据或全部用户数据,甚至是修改和删除数据。

本片段,男主潘生利用SQL注入漏洞入侵数据库,获取后台密码,同时利用用户名admin和密码RC075219登陆公司大屏管理系统,并投放系列泄愤的表情包,最后一走了之,奔向梦想的新加坡萤火游戏公司。

2. 男主潘生入侵骗子手机的傲气与“萤火”梦想破灭

离职后的男主和一群怀着对未来充满希望的年轻人,在飞往梦想的飞机上谈笑风生,潘生对飞机上的几个人都能爆出其大名,同行人都很诧异,怎么知道他们的名字?,这也是本片第二次涉及网络安全,潘生说他入侵了孙阳饰演安俊才的手机,显然,本片段没有讲述如何入侵手机并读取如通讯录、照片等信息。

黑客入侵手机的方式方法有很多,如诱导下载带后门/木马的应用程序、伪装成图片并诱导受害者打开图片并植入木马、搭建wifi热点并诱导受害者连接并读取通讯录/图片/短信等等,诸多方式可入侵手机 ,我在这里也提醒王大娘,在大街上/菜市场/陌生人等渠道谨慎扫描二维码,时髦的王大娘不要轻易安装陌生人推荐的APP、不要轻易的趁陌生的WIFI/热点。

隔壁王大娘也用智能手机,让我好好讲讲手机入侵影响小到个人,大到政府官员/国家层面,好好给王大娘讲讲,好奇的王大娘。

现实世界中,入侵手机的案例时常发生,我告诉王大娘,黑客最喜欢入侵您的智能手机,入侵之后窃取您的各类材料只需要喝一杯老北京豆汁的时间,而且您再也没有隐私了。针对政府要员、竞争对手的手机入侵也屡见不鲜,如以色列网络情报公司NSO开发的黑客软件“飞马”入侵多国国家元首、政企界人士、皇室成员等的智能手机,超过5万个电话号码遭监控。

随着飞机到骗局里的目的地,在孙阳饰演安俊才也就是阿才的“看秀”诱惑下,一群带着梦想的年轻人第一次体验了梦碎异国他乡,被街头群殴,从虚幻的满怀期待被拽回残酷的现实,从电影院现场观影观众的情绪和反应来看也算拉起来本片第一个意外的小高潮。

入园区之后经过恐吓、挨打、传销式给梦想打气:今天睡地板明天睡老板、避免家人报案: 象征性的给家人报平安, 利用二进制求救(太高端,大家都没有get求救信号),各种带6的手势和包含6的信息(6的二进制是110,意思就是求救,拨打110) 等系列流程之后,男主潘生接到的第一个工作任务或叫研发任务就是写爬虫,阿才问潘生会不会写爬虫,爬取电话号码和邮箱信息。

隔壁王大娘问那为什么要写爬虫呢?为什么要爬取电话号码和邮箱信息? 大家或许都收到过莫名涉及赌/博彩等相关内容手机短信或邮件,正所谓姜太公钓鱼愿者上钩,骗子也会利用这点并夹杂着无限诱人的虚假内容,诱导受害者。

同时网络安全领域有一种攻击战术叫钓鱼攻击,通过内容伪造、诱导等方式,诱使受害者填写银行卡密码、转发重要文件、点击恶意链接、打开藏了病毒的附件等操作。诈骗集团会利用爬取到的手机号、电子邮件等进行精准诈骗。

3.  为了安娜500W业绩目标,全面开启“杀猪盘”模式

本片中男主潘生在现实与逼迫下,各种逃跑无路, 一句”我帮你完成业绩任务,你出去报警救我“男主潘生与金晨饰演的梁安娜在同病相怜现实下达成畸形的合作模式,也开启了二人的行骗之旅,说到这,连隔壁王大娘都很诧异,问我还有如此简单的程序员,就算任务完成,诈骗集团有放安娜离开的可能吗?

为了金晨饰演的梁安娜能达成500百万的业绩目标,整个骗子集团开启了“杀猪盘”模式。

整个“杀猪盘”,分为3个核心阶段,分别为寻猪、养猪、杀猪。

寻猪阶段

所谓“寻猪”也称为“圈猪”, 就是找到潜在受骗目标或受骗人群,这里就是为什么男主潘生被逼问会不会写爬虫,爬取目标受害人群的电话或邮箱信息,诈骗集团利用爬取的手机号码或电子邮件进行精准投送诈骗信息,这也是王大娘经常和我说手机接收到的各类博彩信息的背后逻辑。

本片中最大受害者,王大陆饰演的顾天之,就是因为收到一条诈骗集团在“寻猪”阶段推送的带有诱导短信内容,一步一步落入骗子的金钱诱惑、美人计等连环圈套中,开启了人生一条不归路。

王大娘问我,现实世界中,诈骗集团都有那些阶段来圈定受骗目标,也就是“寻猪”手段都有那些?

  • 诈骗集团经常会通过微信、微博、百合、QQ、世纪佳缘、探探、陌陌等,这些都是诈骗狗推们“寻猪”途径;
  • 非法分子利用伪基站进行钓鱼,传播诈骗短信,在安全意识不足情况下点击链接就可能被“钓鱼”或成为“寻猪”对象;
  • 非法分子群发钓鱼邮件,恶意传播木马或经受不足诱惑,被“钓鱼”或成为“寻猪”对象。

以上只是罗列常见的“寻猪”手段,面对诈骗集团不断翻新的“寻猪”技战术,且已经形成完整成产业链,唯有提高自我警惕性,不要相信天上掉馅饼,唯有如此才能最大限度的避开各类诱惑。

养猪阶段

已落入“圈猪”圈套的顾天之,时刻沉溺在虚幻喜悦中却全然不知,此时诈骗团伙已经为顾天之量身制定了周密的进一步诱骗计划,也就是所谓的“养猪”,不断的让顾天之得到甜头,不断的投喂虚幻的收益和美人计下的温柔与关心。

王大娘也很纳闷,顾天之不是赚了不少钱,是真到到账吗?我和王大娘说诈骗集团“不怕你赚钱,就怕你不玩”,人都有两心,贪心与不甘心。

在这个阶段,因为在已经沦为骗子角色的男主潘生技术的加持下,“养猪”的技术手段进一步升级,我和王大娘说涉及到的技术如下(王大娘听的一愣一愣)。

  • 养猪”的第一阶段为顾天之量身定制收益页面,使其肾上腺素飙升,也就是动态篡改网页或动态生成虚假网页,调整虚假赔率,营造巨额收益的假象,使其痴迷。王大娘总结说是不是看到的,你因为的,其实不是真的,大娘总结的精辟。

  • 养猪”的第二阶段,诈骗集团釜底抽薪,各种套路诱骗顾天之奋不顾身的投身网赌,顾天之不惜与女友、朋友、家人分裂,最终背水一战瞒着家人抵押房产套现800万元购买科太币。

杀猪阶段

也就是对于被骗者最悲催的阶段,深陷泥潭的顾天之完成房产抵押,并将获得的800万抵押款打入诈骗集团账户,诈骗集团开启收网模式进入“杀猪阶段”。片中顾天之满心期待下被微信拉黑,一切泡沫瞬间破裂,奔溃、自责、懊恼,最终在父母、女友、朋友的面前跳楼自杀,走向人生末路,把悲伤留给活着的人。

随着顾天之一跃而下,本来前途一片光明的年轻生命就此画上句号,诈骗集团也血淋淋的呈现整个杀猪盘完整过程。

写到这里,也再没有心思的完成剩余的片段分析。就像电影的最后,出席记者招待会上最后一排一个手拿诈骗集团标志人物依然镇定自若的坐着,  这个镜头也告诉我们类似的诈骗、类似的悲剧不会停止,唯有提高自我的安全意思,才能更好的保护自己,保护好家人、朋友。

最后送上一首来自网络的反诈“三字经”:

诈骗术、千千万,要防范、也不难。

莫贪心、要记牢,一盲信、就中招。

陌生号、咱不接,陌生人、咱别信。

听讲课、发红包,带节奏、是忽悠,

大馅饼、不砸咱,小便宜、骗大钱。

假链接、咱不点,来推销、咱不理,

银行卡、保管好,要转账、问儿女。

存理财、要当心,卖股权、您别信,

有异常、快报警,找警察,帮助您。

你安装防诈APP了吗?


责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2012-09-26 13:49:29

Windows 8微软

2015-10-13 13:48:45

戴尔EMC收购

2023-08-22 20:23:15

2023-08-18 12:53:31

2019-08-28 20:34:52

5GHTCVR

2012-09-10 09:14:13

2011-08-31 15:45:17

2021-11-29 08:24:57

腾讯技术职业

2011-08-31 15:36:03

2011-05-27 14:18:39

2010-09-30 13:58:28

2011-08-31 13:41:46

2015-04-15 13:19:52

Chinapub读书会

2011-08-31 13:39:06

2018-03-26 09:02:54

MongoDB高可用架构

2011-01-26 09:34:56

2011-07-28 10:50:33

2011-07-28 10:46:30

2011-08-31 13:12:42

2018-10-31 08:55:02

点赞
收藏

51CTO技术栈公众号