黑客讲述如何一边搭飞机一边抢银行

（原标题：黑客Jayson E.Street讲述｜我如何一边搭飞机一边抢银行）

本文作者：李勤

在演示如何“抢银行”前，Jayson E.Street是非常轻松的，正甩着两条小腿坐在演讲台上随音乐在摇摆。

Jayson E.Street是黑客盛会DEFCON 组织的全球协调人，在SyScan 360对他的介绍（想必也是他自己写的）中，写道“他是一个披萨爱好者，曾经把披萨从北京带到巴西分享，他不希望人们对他的认识仅仅如此，如果注意的话会发现他在2006年被《时代周刊》评选为年度人物”，对，雷锋网编辑也曾获得这个奖项，知道这个老梗的人你可以笑了。

不过，告诉你如何抢银行不是一个笑话，Jayson 今天要出奇制胜，成功夺得你的注意力。

知己知彼，百战不殆。Jayson 也懂得这个套路，为了防范和侦测这些攻击，他先要演示攻击者如何看待“你”的网站和员工，利用他们来攻击“你”。这个小伙可是在美国银行从事防御工作15年，在6年多时间内在多个项目中扮演攻击者，是居家旅游抢银行必备。

而且，Jayson 的“抢银行”还是被付费的——很多银行的 CEO 付费找他测试银行系统是否安全，是否会被入侵。

攻击电信公司

在聊聊 Jayson 是如何抢银行前，先来看看他是如何攻击电信公司，因为两个方法路数一致，仅略有差异。Jayson说，

我曾被电信公司雇佣，CEO 希望我进行钓鱼攻击，要求是只能利用一个介入点，任何人点击任何链接都受到攻击。

Jayson 采取的策略是锁定这家公司的一个人，于是他先登录电信公司的网站，找到电信公司 CEO 的介绍页面，根据页面上 CEO 的照片，找到了他的推特，然后顺藤摸瓜发现了其他相关工作人员帐号。

[该 CEO 的展示页面]

[该 CEO 的社交网站页面]

知道了这些后，他可以假装成任何人来和电信公司的员工进行联系。

在社交网站上，Jayson 找到很多资料和可能的目标。他发现，这个 CEO 中有一个联系人参加了 Mobile 360的会议，他找到了会议网站，找到了同一会议的其中一名参会者（演讲者）的详细信息，以他的名义进行钓鱼邮件。

这封钓鱼邮件是一封商务合作邮件。

这封邮件的狡猾之处在于，提到的是从移动设备发送，Jayson 说，人们心理会有预期：移动设备打开的网页（即实际上是钓鱼网站）看上去会和实际官网不一样，于是会放心打开，就算比对也不会怀疑。

放心地打开后，出现这个页面，就说明钓鱼成功了。

到这一步，我只花了三十分钟。

Jayson 带着小骄傲说，并没有任何复杂的技术，但却完成了这次攻击。

一次未完成的银行抢劫

看上去是社会工程学的方法，事实上，在针对银行开展袭击，即抢银行时，又是另一个不同的小故事。

比较忧伤的是，Jayson 称，这个故事所有的信息搜集，在乘飞机的过程中就完成了，对，你不要嫉妒，人家乘飞机时可以上网。

曾经有一个银行想让我去介绍如何进行对银行的攻击，让我设计一个攻击路线图。我找到了某地最大的一家银行官网，登录攻击目标网站时，普通人首先看到的是：嗯，这个蓝色页面的网站很好看嘛。

不过，攻击者才不看这些，攻击者关注的是 IP 地址，找到美国主机的位置，包括是否有第三方主机服务公司来托管网站，还有其他信息，如网络、FTR、ASN，如果所有这一切都在第三方托管中，只要找到第三方托管服务器的漏洞， 不仅是这个网站，托管在上面的网站就可以一网打尽。

通过搜集信息，Jayson 在社交网站上找到这家银行的工作人员，可以详细看到各种信息，在哪里读书，手机号码、家庭地址，大家都看得到，大部分人愿意在社交网站上分享他们的信息，而“受害者”并不知道黑客在“调查”她。

Jayson 强调，重要的一点是，在美国抢劫银行前可能会先劫持银行的工作人员，拿到她的权限再来抢银行，所以获得这些有权限的银行工作人员特别危险，尤其在社交网站上把家庭地理位置和房屋照片都晒出来的这种。

他们还会被绑架，甚至作为人质，直到第二天早上这个银行上班之后，挟持他们打开保险柜，这是美国抢劫银行会出现的事。

我先从她的朋友下手，尤其是她的社交网站上新加的盆友。

他找到了目标对象——银行工作人员最近添加的参加银行开展的打保龄球活动的朋友，然后从朋友的角度发了一封钓鱼邮件给这个银行工作人员。

为什么这么做，Jayson 解释：

因为新加的朋友沟通还不多，还不熟悉，甚至之间还会提一些问题，她们还有一些共同点，比如，给孩子打保龄球的公益活动，仿制被攻击者朋友的公司邮箱地址，就可以发邮件了。

这封邮件的内容是什么，为什么被攻击者会心甘情愿地点击？

来看一下邮件内容：

在这里，最近当选美国总统的川普要躺枪了。在轻松友好的交流氛围中，Jayson 对雷锋网表示，他不支持川普，因为这个“更糟糕”。

于是，他在钓鱼邮件中，其实是邀请被攻击者参加抗议活动——政治是我们都关心的事！所以，十有八九要中招！

不过，Jayson 多次强调，这次演示的攻击并没有真实发生，因为邮件他没有发送出去。只是为了给大家展示：看，我能这么做，而且这么简单！

摸清攻击者的老底

还有一个重要问题是，攻击者为什么能这么迅速地收集信息？Jayson 把攻击者的老底摸清了。

我在这里给大家展示从攻击者角度怎么看，我不想给你们传播不好的东西，让你们恐惧，我们希望给大家普及这些只是之后，你们提高防范意识。

Jayson 先给大家打了预防针，意思是：不是教你去当攻击者！看看就好，预防第一。

先上技术网站找攻击工具，然后找一下攻击目标，比如，摄像头，防火墙薄弱的地方。而对于银行业，则可以在暗网等找到银行被贩卖的数据。

所以，下面雷锋网(公众号：雷锋网)展示一下 Jayson “推荐”的攻击者必看信息。

1.攻击者常用工具

2.在哪里找被泄密的数据

3.找到网站架构的薄弱地带

知己知彼，反攻

知道攻击者将会如何开展行动后，Jayson 对企业和个人进行安全防护有以下重点建议。

1.至少每周要监测能搜到的“银行”的信息。

2.建议网站进行潜艇式构建——这个地方有问题，别的地方可以被保护，一个地方被攻击，其他地方还能工作，所以需要分段网络架构！

3.在网站上的沟通可以进行切割，不是所有人都需要有外部沟通的权限，有些沟通只要在局域网沟通。

4.利用各种工具检视现有网站受到攻击的可能。

5.关于网站上“你是谁”的代码名称是联系信息，把这个名字设置成非真实姓名，但贴上真实电话分机号，联系电话、邮箱分别设置不同名称。

6.为1X1单像素照片添加提醒链接，一般人不会点开这种图片看，只有攻击者才会利用这种图片来寻找突破口。

7.还应为用户代理字符串设置提醒。

8.如果可以，控制可以看到你的网站国家和地区，比如，一个地方性银行需要全世界的人来点击吗？预防攻击。

9.在你的职位列表上添加触发器/错误线索，违规操作立马就能知道。

10.不使用公司设备进行危险社交操作，如扫二维码。

11.对员工进行安全意识培训。

最后，需要再次声明的是， Jayson 演示的对企业、银行开展的攻击都是企业授权，读者盆友不要非法尝试，伸手必被捉。“抢劫者” Jayson 还告诉雷锋网，做了这么多看似有破坏性的事情，事实上他一直在遵循自己“守卫者”的准则，他还有什么故事？敬请期待雷锋网对 Jayson 的人物专访。