手机用户：
后使用快捷导航没有帐号？
只需一步，快速开始
& & & & 这就是战争
今日: 0|主题: 12|排名: 433&
今日热点 /1
《琵琶网游戏》是琵琶网专门为游戏玩家量身定制手游助手APP，拥有最丰富独家礼包、提供最新最热手游下载、最实用手游资讯、原创攻略及评测，最直观的游戏直播，还有在线游戏，快来下载吧！
Powered by
Copyright (C)新浪广告共享计划>
广告共享计划
中国军事专家：这就是战争的信号
28号，日本内阁官房长官菅义伟称，日本将依照《国际法》应对中国的无人机。鉴于之前日本曾经多次声称将会击落侵入日本领空的中国无人机，这个发言让刚刚消停的无人机风波再起。军事专家杜文龙在接受媒体采访时表示，如果日本击落了中国的无人机或者有人机，对方肇事者的飞机肯定不能安全返回预定的基地。
近日，日本不断发出好战言论，此前对于中国军机在东海有关海域的正常训练和飞跃活动，日本防卫省声称，如果中国军机进入日本领空会考虑将其击落。而日本内阁官房长官菅义伟在记者会上更是强调，在发生外国飞机侵犯日本领空情况时，日本将采取让自卫队战机紧急起飞拦截的措施，措施的要领是基于《国际法》和《自卫队法》进行应对。
针对日方言论，中国国防部新闻发言人耿雁生表示，中国飞机从未侵犯他国领空，也绝不允许别国飞机侵犯中国领空，如果像日方所说采取击落等强制措施，就是对中国的严重挑衅，是一种战争行为，中国必将采取果断措施，予以反击，一切后果由肇事方承担。
谈到日本如果真的击落中国的无人机的话，是不是后果会非常严重，会否发生擦枪走火时，杜文龙表示，按照我国国防部发言人说的，这就是战争的信号、标志，如果日本在这个方向击落中国的有人机或者无人机等于宣战，这种回应是史无前例的。击落一般理解是使用机载武器，比如机炮或者导弹进行攻击。实际上这个空域未必是在钓鱼岛上空，只要在某个区域哪怕是中间的公共空域，击落了中国的航空器，也属于战争行为。
另外，如果是通过其他手段扰动或者干扰中国无人机坠落，也是一种入侵行为，是战争行为。如果出现了这种行为，我们是对等反击、坚决反击。如果击落了中国的无人机或者有人机，对方肇事者的这架飞机不能安全返回预定的基地，中国的航空兵以及舰载的航空兵器，会使用各种火力，把这架肇事飞机打掉。另外就是起降这种肇事飞机的基地也有可能是我们的攻击目标，所以整个这种反应是有一定的纵深，也显示了我们的强硬和能力。
我的更多文章：
( 13:20:47)( 13:20:08)( 13:19:46)( 13:19:19)( 13:19:01)( 13:18:43)( 13:18:11)( 13:17:56)( 13:17:42)( 13:17:04)
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。黑客揭秘！骗子如何拿到你的卡号和密码，黑客网站 - 首页
&&&&&& & 正文 &
黑客揭秘！骗子如何拿到你的卡号和密码
时间: 16:58
点击:2817次
来自:网络原创
作者:金融界
导读： 你的QQ账号被提示在异地登陆，你的 Apple ID 被提示异地登陆，甚至小米账号都被提示异地登陆。
你接到莫名其妙的电话，电话那头的“银行客服”竟然能一字不错地说出你的银行卡号，还告诉你卡上被误扣了钱款。如果你跟随他的指导进行操作，银行卡上的钱最终会莫名其妙地被划走。
你收到了一封邮件，来…
你的QQ账号被提示在异地登陆，你的 Apple ID 被提示异地登陆，甚至小米账号都被提示异地登陆。你接到莫名其妙的电话，电话那头的“银行客服”竟然能一字不错地说出你的银行卡号，还告诉你卡上被误扣了钱款。如果你跟随他的指导进行操作，银行卡上的钱最终会莫名其妙地被划走。你收到了一封邮件，来自你刚刚购买的淘宝店铺。你打开了看起来再正常不过的附件，一天之后却发现银行卡里的资金全部不翼而飞。这些事情如雾霾一样，弥散在我们周围，很多童鞋因此损失财物。在慨叹这个世界变得疯狂而危险的同时，你有没有浮现出深深的疑问：对方为什么会如此精准地掌握了你的个人信息？你的个人资料究竟是怎么到了坏人的电脑里？“草根侦探”赵武自称草根的赵武，在互联网威胁情报界摸爬滚打多年。用嫉恶如仇来形容他并不为过。他曾经反黑进黑客的服务器，拿回被黑客窃取的个人信息，然后依次给受害者打电话提醒他们改密码。他曾经破解了黑客用伪基站窃取的用户数据库，然后向警察叔叔报案。警察：你是受害者吗？赵武：不是。警察：受害者都没报案，你报什么案？2015年他创建了安全公司白帽汇，专门提供威胁情报，用以对抗用户信息泄露、网络诈骗等黑产。之所以说他是草根，主要因为他的“办案”手法异常接地气：通过白帽汇，把上千个白帽子（白帽子，就是心地善良，从事安全行业的黑客）作为“眼线”撒到黑色产业内部，通过这种“地下工作”实时掌握黑客们的动向。赵武说，你根本想象不到这些白帽子有多神通广大，他们和黑色产业有着千丝万缕的联系。我不关心白帽子是通过什么“野路子”拿到这些消息的，我要做的只是用技术和非技术手段对于小道消息小心求证。这些“料”来自“敌人的心脏”，往往独家而隐秘。说起来，他的白帽汇更像是威胁情报界的“私家侦探”。在安全牛威胁情报解决方案峰会上，这位专门对抗黑业的“草根黑客”揭秘了黑客的“游戏规则”。【在 Nosec 上提交的泄露信息和漏洞】精妙的时间差你的信息是怎样被泄露的呢？它们就像进行了一次长途旅行，通过“火车、汽车、牛车”这样的接力，最终到达黑客手里。而这第一站就是各种电商网站或者社区平台。用户在购物时，都要填写自己的真实的住宅信息和信用卡信息。而这些信息存储在网站的服务器上，原则上是绝不能对外泄露的。黑客想要拿到用户的个人信息，就必须进攻网站的服务器。进攻网站的服务器，就要绕过网站的“保安”。绕过网站的“保安”，需要挖一条“地道”。这些特别的地道就叫做“漏洞”。在黑客眼里，漏洞和古玩市场里的青花瓷瓶一样，是有“品相”之分的：有的漏洞可以直达对手心脏腹地，有的漏洞却仍只能让黑客在金库外围徘徊。有的漏洞可以通吃所有网站，有的却只能击败几个对手。无论是在黑色产业链还是安全产业中，这些漏洞都有专业的黑客负责挖掘，根据他们的目的不同把这些黑客分为了“黑帽子”和“白帽子”。白帽子发现漏洞，会及时通知网站进行修复，而黑帽子发现漏洞，则会尽快出售给“下家”用于网络攻击。而一旦发现自己的网站出现异常，电商企业也会求助于白帽汇这样的安全公司紧急查找修复漏洞。漏洞是有“生命周期”的。从被发现到被修复，这一段时间是被黑产利用的黄金时期。如果一个通用漏洞只有少数几个黑客掌握，而所有的网站都毫不知情，它就被称为“0Day”漏洞。著名的互联网漏洞平台“乌云”就是一个鼓励白帽子提交各种漏洞的社区。很多极具杀伤力的“0Day”漏洞经常出现在乌云上。根据乌云的规则，漏洞被白帽子提交之后，会通知相关厂商修复，然后会把技术细节依次向核心白帽子、普通白帽子和公众公开，级别越高的白帽子看到技术细节的时间越早。而正是因为这个规则，一个核心白帽子的账号和密码在黑市中的价格会超过万元。因为他们有权限在大多数人之前看到漏洞细节。对于瞬息万变的互联网世界，这个时间差已经足够了。在大多数人得知这个漏洞细节之前，黑产便发动手中强大的“战争机器”，用这个锋利的漏洞地毯式轰炸一大批网站，迅速盗走其中的用户信息，甚至安插后门，以便今后随时“光顾”。当这个漏洞普及之后，许多网站再进行修复，其实已经于事无补了。【漏洞交流社区 乌云】这样精妙的时间差，加上巨大经济诱惑下黑产强大的资源调度能力。让大多数网站防不胜防。但是赵武告诉雷锋网（搜索“雷锋网”公众号关注），更多的网络进攻实际上没有这么惊心动魄。即使一个漏洞被爆出很久，成为了“NDay 漏洞”，仍然会有一大批网站由于技术、成本、认识等等原因不去修复。例如在2014年爆出席卷全球的“心脏滴血”漏洞，有的企业至今还在“施工中”。在真实的场景中，往往会发生这样的事情：黑客给某企业 CEO 发一封伪装成应聘邮件的钓鱼邮件，附带上一个利用“老掉牙”漏洞的木马，瞬间就会感染公司内部，让黑客拿到一切资料。脱缰的野兽现在，你的个人信息已经和众多无辜的人一起到了黑客的手里。然而，他们对你的伤害还远远没有停止。庞大的个人信息库被从各个站点拖出来，汇集成为一头脱缰的野兽。在黑色产业链中，有专门的团体负责“撞库”——用已知的账号和密码去大量尝试其他网站和平台。大多数人都有一个习惯，那就是在不同的网站使用相同的密码。这个糟糕的习惯会造成难以挽回的恶果：原本只是你的网易邮箱账号被盗，黑客通过撞库，却进入了你的 Apple ID 和淘宝账号，进而获得你的手机隐私、银行卡号和家庭住址。通过对你发送钓鱼邮件， 甚至可以获得你的银行卡密码。简单的邮箱泄露，却藉由几层跳板直达你的财务系统。这就是“撞库”这头血腥猛兽的恐怖之处。依靠着“漏洞—拖库—撞库”的循环往复，跟据不完全统计，仅仅在中国，在黑产中流传的账号密码就已经累计超过20亿个。也就是说如果至今为止你人生中还没有改过密码，那么你在黑客眼中十有八九已经“透明”了。赵武说，他的团队曾经攻破了1900多家钓鱼网站，在其中提取了16000多名受害者的完整信息。这里的完整信息是指：用户名、银行卡号、密码、身份证号、家庭住址、联系电话。如果你还不知道这意味着什么，可以试着把这些信息告诉你的朋友，一个普通人几乎都可以利用这些信息毫不费力地转走你的资金。今年央视315晚会曾经报道，黑客向受害者发送一个 App 链接，只要安装了这个 App，受害者的手机通话记录和短信就全部被黑客拿到。这在技术上来书是确实可行的。【315晚会上展示如何通过扫码盗取用户个人隐私信息】在黑客的服务器上，赵武发现了密密麻麻的个人短信。每个人的聊天记录都赤裸裸地躺在磁盘中。其中的通信内容不免让人唏嘘。让赵武记忆犹新的是，有一个人给老婆发短信，兴冲冲地告诉她自己中奖了，要赶快把家里的银行卡号发来。这个让老婆管钱的可怜人只是众多受害者中再普通不过的一个。而堆叠亿万受害者，就像水滴汇成海洋，我们最终将会从倒影中看到自己。黑色产业内部的分工和协作已经远远超出了大部分人的想象。漏洞挖掘，拖库、撞库、洗库、实施犯罪，这些环节由不同的团伙负责，而你的个人信息就这样赤裸裸地在不同的空间“自由流转”。从一个简单的例子，就可以看出黑产的分工精细到何种地步：黑客扩大攻击的重要手段是钓鱼邮件。用户上当之后会进入黑客构建的钓鱼网站，从而在诱骗之下输入敏感的个人信息。为了防止公安和安全公司的追踪，就连钓鱼网站使用的服务器都不是黑客自己注册的。在黑色产业链中，专门有一批人申请服务器，以一个星期2000块的价格租给钓鱼网站的使用者。白帽子一旦反向侦察，只能定位到服务器申请人，而难以捕捉真正黑色产业从业者的蛛丝马迹。攻心为上之前所说的黑产和白帽子之间的对抗，都像是在下一盘棋，按照攻守的逻辑套路对弈。而发生在现实世界的对抗，还要复杂得多。所谓进攻的最高境界，就是“手中无剑，人剑合一。”这并不玄妙：如果黑客拿到了公司内部人员的账号，通过合法的手段登陆公司内网，再不急不缓地把所有敏感信息拖出来。没有任何防御措施可以防止这一点。因为黑客攻击的不再是系统，而是人。当然，拿到一个人的账号，仍然可以通过前述的黑客手段。然而，最难以防备的是通过互联网之外的手段。例如商业行贿、美人计。现实世界的好处在于，它的想象空间要远远超越赛博世界，在这里你可以无所不用其极。当黑客们在实践中意识到其实做黑产其实并不需要攻击系统，而仅仅需要攻击这个系统中的人。他们的世界就豁然开朗了。最近被广泛关注的拉钩员工黑进Boss直聘 App 开发者账号一事，就是因为外部人员掌握了公司核心的开发者密码。而这个密码很可能是通过线下渠道泄露出去的。而追查这种毫无踪迹的信息泄露，难度可想而知。【Boss直聘发布的声明】企业面对黑客们的“降维打击”，每一步操作看上去都“合理合法”，而最终的结果却是鸡飞蛋打。企业精心构建的边界防御在“人”的面前土崩瓦解。现实世界和结合让反黑产的工作难度陡增。赵武同样根据这个思路提出了对抗的办法，那就是：通过反制手段直接攻入黑客们的老巢，定位这些罪犯的身份信息，在现实世界里把这些黑客绳之以法。由于黑客在钓鱼或者诈骗时，一定会留下回连的接口，用以接收搜集来的隐私信息。理论上来说，循着这条狭窄的通道，白帽子一定可以触碰到黑客本人。通过这种无间道，白帽子可以回连到黑客的网络，从而拿到坏人的QQ，进而通过监视他的聊天内容分析黑客线下的身份，然后获得他常用的手机号码，姓名，住址。对黑客所做的每一件事都是像黑客曾经对别人做的那样，只是这最后一步不再是欺诈和盗窃，而是抓获和惩罚。安全永远不是等来的。赵武说。}