黑客只有初中毕业:1分钱充300话费 赚了6万被判5年

利用软件修改APP和服务器之间的通讯数据,这叫做抓包,这种技术在羊毛界被叫做FD。

如果电商或外卖公司存在漏洞,不对前端传回来的数据做有效性校验,就可能出现这样的问题:1分钱吃外卖、1分钱充话费、1分钱买彩票,1分钱买手机……

因此,羊毛界有时也管这类黑客叫做“1分党”。

2018年4月27日,北京市第三中级人民法院最终宣判:因为对亿美软通、北京易麦通两家公司的信息系统进行攻击,黑客王某获利6万余元,被判有期徒刑5年。

资料显示,亿美软通是上市公司银之杰的全资子公司,国内领先的移动商务平台技术和应用方案提供商,其客户中包括谷歌、百度、阿里巴巴等知名厂商。

1分钱充300元话费 黑客赚了8990元

2016年4月19日,黑客王某在收费群中发现一条线索:亿美软通公司的微信公众号“来抢”存在漏洞,在公号上充值话费,服务器不对传回的数据做有效性验证。(也就是上文所说的1分钱攻击)

(看着这个奖,觉得很别扭)

于是,王某根据线报提供的操作步骤,打开FD软件和微信公众号,输入要充值的手机号,再点击FD软件的拦截按钮,软件就会自己拦截充值信息。再在FD上把充值金额从300元修改成0.01元。

看起来很简单对吧,没错,这种操作几乎不需要任何黑客技能,只需要“花钱买线报”和“大胆不怕坐牢”就行。王某只有初中文化程度,他的攻击软件、攻击流程都来自线报群,当初为了进这个群,他花了年费1688元。

根据法院判决书,用这种抓包修改方式,王某共充手机话费30次,获利8990元。

当天晚上,王某还在聊天软件上跟人炫耀:“手慢了,我还给其他人充了不少,不然这一波2万元没问题”

4月20日,亿美软通公司发现问题,及时报警。

5月30日,王某在山东老家落网。

抓包攻击易麦通,黑客赚了6万元

被抓之后,王某还向警方坦白交代,利用抓包技术攻击北京易麦通旗下的“品质365”网站,兑换成4万余元的话费,iPad air、iPhone等电脑和手机设备,总计价值约6万元。

第一次攻击之后不久后,5月2日,王某利用“品质365”网站的漏洞,采用几乎同样的攻击方法,修改服务器和APP之间的通讯数据。

易麦通公司证人、技术人员王某表示,“有人利用我们的漏洞,反复在商城刷退款记录,然后用退款的钱换我们的话费和商品”

至于具体的攻击办法,王某表示:“如果他要充100元话费,就要在自己的账户里充入100元,再向我们商城申请充值100元;但他只在账户里充40元就向我们申请充值100元,我们的系统肯定会将这个申请退回。退回的时候服务器会发出一条退回命令,他用黑客软件截获这条命令,然后将退回的金额修改为400元,服务器接受这条命令后,就会把400元退到他的账户中”(从王某的描述看,这就是服务器没有对数据有效性进行校验)

让人哭笑不得的是,易卖通公司没有及时发现黑客的攻击,朝阳警方联系该公司、向其核实王某的交代是否属实,公司自查之后才发现漏洞存在。

抓包攻击已泛滥 受害者有巨头有小公司

前不久黑奇士公号曾报道,某外卖巨头也因此类攻击损失30多万,抓包攻击已经成为羊毛党经常使用的攻击手段之一。

一旦电商、外卖、金融等公司出现此类漏洞,则羊毛党们除了自己撸羊毛之外,还可能通过赚客网站、QQ群等方式进行广泛扩散,从而给公司造成巨大损失。

文章出处:黑骑士

本文由来源 黑骑士,由 congtou 整理编辑,其版权均为 黑骑士 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

3

发表评论

// 360自动收录 // 360自动收录