爲方便您的閱讀,課戳以下藍字,進行快速跳轉!!!
01 前情提要
在現實生活中,大多數人對黑客一詞有着太多的誤解。
大家普遍認爲,你能夠輕而易舉的盜號、一氣呵成地修電腦、隨隨便便地破解軟件,甚至認爲你能破解支付寶、淘寶,坐擁無數財富!
查開房記錄當綠帽偵探,修手機、修平板、修家用電器的更是不在話下了。
總之,在大家的印象裏,在有關於計算機的所有方面,黑客翻手爲雲、覆手爲雨!
好,你們說黑客這麼厲害,我都信了,我又覺得自己能行了,所以我來小試牛刀看看如何從支付寶裏偷錢吧
02 正常的支付寶支付流程
你說你要是當個小偷,你不得敬業點,先觀察觀察行人平時把喜歡錢包放在哪個位置,之後便於你下手嘛。
同理,要想從支付寶偷錢,我們先得了解一個普通人——張三,他使用支付寶的流程是什麼樣子的。
最簡單的情況下,我們從零開始使用支付寶付款或者轉賬至少要經歷兩個確認步驟。
一是你需要登錄你的支付寶賬號,輸入你的登錄密碼
二是在你需要在付款或轉賬時,輸入你的支付密碼
而除此之外,支付寶還提供了人臉識別、指紋識別、手勢密碼等額外的安全認證服務,在本文中暫且不提。
03 從支付寶偷錢的思路
好,通過上文的逆向思考,我們已經瞭解到,張三使用支付寶必須要輸入登錄密碼、支付密碼。
那作爲黑客來說,是不是說明如果我們知道了張三的支付寶登錄密碼和支付密碼,我們便可以用他賬號裏面的錢給自己買辣條喫呢?
其實我也不知道,但是目前的思路就是這樣:
第一步努力:獲取登錄密碼;
第二步努力:獲取支付密碼;
我們暫且來試試看
04 具體操作方法
1、登錄密碼怎麼破?
我們知道,張三在使用自己的支付寶進行轉賬、付款等操作時,很簡單,登錄支付寶賬號的時候先輸入密碼進入賬戶再說。
而且有的時候張三在付款的時候甚至不用輸入登錄密碼,點進支付寶就已經是登錄狀態了,這是爲什麼呢?
是的,的確有這種情況,但這是有前提條件的。前提條件是是你經常登錄,並且沒有換手機使用支付寶。
在這種情況下,支付寶判斷你賬戶是低風險的,所以支付寶沒有必要每次都讓你輸密碼,免得你嫌它煩!
而與之對應的,如果你在一部手機已經很久沒有使用支付寶了,那當有一天你突然點開支付寶的時候,是需要重新輸入登錄密碼的。
而如果你是換了一部新手機登錄支付寶的情況,登錄則更復雜一些,那麼你不僅要輸入密碼,還要進行二次校驗(短信驗證碼或者回答安全問題)。
所以,以支付寶的嚴苛程度,如果我作爲一名黑客,如果只知道張三的支付寶登錄密碼,也會因爲不知道二次驗證的內容而進入不了張三的支付寶賬號。
那麼,難道作爲黑客的我就沒有辦法了嘛?也不是!我可以從以下幾方面入手:
1)到網絡上到處看看有沒有張三的的身份信息。
我們知道普通人的安全防範意識較弱,甚至有些人身份證、銀行卡信息、手機號信息都直接暴露在互聯網上,而這就是我們的突破口。
要知道支付寶密碼是可以被重置的,而這需要登錄的人提供身份證、銀行卡等一系列信息。
如果這些信息隱私信息都被我掌握了,那麼從某種程度上說,我就是張三了。我登錄張三的支付寶也就輕輕鬆鬆了。
2)張三的手機被我撿到了,並且發現手機沒有鎖屏密碼
拿到這樣一臺裸奔的手機,你不登他的支付寶,簡直對不起張三!
在這種情況下,我會遇到兩種情況
張三在幾天內用過支付寶,那麼,我不用輸入密碼,就能直接登陸了。
張三最近沒有登錄支付寶,我登錄的是時候要輸入登錄密碼,不過不用怕,手機在我手上,我選擇重置密碼,手機接收驗證碼就可以了。
2、支付密碼怎麼破?
現在我已經登錄進張三的賬號了,如果接下來我想用賬戶裏的錢,就需要使用到支付密碼了。
那黑客要怎麼知道張三的支付密碼呢?這裏也有兩個方向可以努力努力:
1)用張三之前泄露的其他登錄密碼嘗試
雖然很少有人會把其他平臺的登錄密碼作爲支付寶支付密碼,但是我們也可以嘗試一下。比如試試看其他平臺密碼的前六位或者後六位,萬一見鬼了呢
2)直接重置張三的支付密碼
其中重置密碼,需要張三的個人信息,或者需要張三的手機。這些信息,我們可能在登錄支付寶賬號步驟就已經瞭解,或者還可以通過翻看張三的手機看看裏面有沒有身份證、銀行卡電子檔信息。
如果我已經掌握了上述這些信息,那麼我很可能重置支付密碼成功
3、可以直接轉賬了嗎?
經歷了以上的兩步,我感覺張三的小金庫已經在和我招手了,我摩拳擦掌,口水都要流下來了。
只見我眼疾手快,在支付寶裏通過手機號搜索到本人的支付寶賬戶,然後點擊轉賬,確認轉賬金額 520 ,之後點擊確認轉賬,結果
或者
嗯???什麼意思,臨門一腳,你給我搞這一出,支付寶你一點都不懂的體會我的辛苦!
原來,支付寶安全支付的最後守門員——AlphaRisk 風險控制系統,早就看破一切,就等着看我氣急敗壞的樣子。
那AlphaRisk 風險控制系統到底是如何判斷的呢?
其實我就像個猴子一樣,我之前的所有操作,包括重置登錄密碼、發送手機驗證碼、通過手機號搜索賬號等花裏胡哨的動作, AlphaRisk 都在一旁默默看着呢。
AlphaRisk就像一個經驗豐富的警官一樣,他判斷你是壞人不是無來由的,而是有理有據的。他會從衆多維度來判斷一筆交易的風險程度。比如:設備、環境、偏好、行爲、關係、賬戶、身份、交易,等等。
張三在平時操作支付寶的時候, AlphaRisk 對他的一筆交易都做了極其細緻的評估之後,覺得操作者是個大大的良民纔不攔着的。
而要是其中有多個維度出現問題,就引起 AlphaRisk 的警覺。他會直接強制停止交易、對操作者要求指紋驗證、人臉驗證,手機驗證等,要麼乾脆就截斷交易,凍結賬號。
對於本次黑客的一系列操作來說,AlphaRisk風控系統或許會觀察到以下內容:
1、操作者陌生的手機上登陸該支付寶賬號
2、操作者重置支付寶的登錄密碼
3、操作者重置了支付寶的支付密碼
4、操作者通過手機號搜索了陌生的聯繫人
5、這兩個賬戶之間從未有過直接轉賬且轉賬金額數較大
AlphaRisk風控系統在觀察到以上內容後,就會察覺其中大概率有蹊蹺,於是凍結了張三的賬號。
面對AlphaRisk風控系統的刁難,孤單的我留下了無助的淚水!
05 我的Happy ending
正當我哭的像個孩子的時候,這時候有人上門查水錶了,喜出望外的,我被請進去喝茶、喫飯了。
通過這件事,我深刻的瞭解到,以支付寶的技術和公關實力,可以在最短的時間裏,查清每一筆資金流、追蹤 IP 定位到始作俑者、修復出現的漏洞、控制輿論化解攻擊事件。
毫無疑問,我被AlphaRisk 風險控制系統,一個集衆多安全大牛之力研發的作品,重重地按在地板上摩擦。我發四,我下次不敢了!
所以得出結論:敢從支付寶偷錢?您想早點入土了嘛!
06 一本正經說些什麼
通過上述一個蠢蠢黑客的故事,我想分享給大家一些理念:
正如SRC公告上常說的細則一樣:反對和譴責一切以漏洞測試爲藉口,利用安全漏洞進行破壞、損害用戶利益的黑客行爲,包括但不限於利用漏洞盜取用戶隱私及虛擬財產、入侵業務系統、竊取用戶數據、惡意傳播漏洞或數據。
白帽子要有白帽子的操守,正如知乎大V史中說的,技術可以打下世界,但只有良知可以贏得人心。 世界遼闊,而且,沒有想象中那麼糟。
感謝你這麼帥氣還來閱讀我的文章,如果可以的話不妨點點贊喲,非常感謝你~~~