15岁黑客Cosmo的堕落历程

Cosmo，15 岁，曾是 UGNazi 黑客组织的一员，参与过该组织一系列臭名昭著的网络犯罪。在 FBI 最近的多国网络犯罪搜捕中，Cosmo 和他的同伙们被逮捕，他明年的生日要在监狱里度过了。

或许你还没有听说过 UGNazi，但是他们一连串的网络犯罪足以让人瞠目结舌。从去年冬天到今年春天，他们用 DDOS 手段攻击了大量的政府和金融网站。今年 4 月，他们使纳斯达克、加州政府和 CIA 网站下线数小时；他们曾跳过 Google 的两步验证，劫持了 4Chan 的 DNS，把它的网址导向自己的 Twitter 账号；他们曾把纽约州长 Micheal Bloomberg 的住址和社保号码泄露到网上；今年 5 月，他们用社交工程技术攻入一个结算公司，泄露出 50 万个信用卡号码。

Cosmo 是 UGNazi 的社会工程师，善于获取各种账户密码。他攻击过的大公司包括：亚马逊、苹果、AOL、PayPal、Best Buy、Buy.com、Live.com（Hotmail、Outlook、Xbox）等等。他能够从 AT&T，Sprint，T-Mobile 或本地电信公司劫持电话号码。

在网上，他是 Cosmo the God.在现实中，他是高中辍学者、说谎者、骗子、破坏者、盗贼，一个缺乏管教和指导的孩子。

Wired 网站的编辑 Mat Honan 最近对 Cosmo 进行了一次采访，而采访的起因却极为奇特。或许你还记得不久前那次 iCloud 账户被黑事件。Mat Honan 就是那位账号被黑的编辑，攻击他的黑客网名是 Phobia.由于那次事件，他认识了这位黑客，并和他保持经常的联系。后来，Phobia 向 Mat Honan 介绍了 Cosmo，说 Cosmo 非常乐意给他谈谈自己的事情。于是，Mat Honan 去了加州长滩和 Cosmo 见面。

Cosmo 居住的地方紧挨着暴力犯罪频发的区域，但是他从来没有参与过这类犯罪活动。“他总是在家里。那里也不去，”他的祖母说，“他是一个好孩子。他是一个非常好的孩子”。

Cosmo 告诉 Mat Honan，他曾因为在学校浴室吸毒被捕过。然后，他说自己后来一次被捕是因为被其它黑客恶搞了，这是因为他的名字和地址早就发布到了网上。SWAT 特警曾经去过他的家，而更多的时候是本地警察，这是因为其它黑客使用了互联网电话，向警方报告说他的家里发生了人质绑架事件。Cosmo 说通过 AOL，你可以使用 AT&T Relay 服务来呼叫 SWAT.那是给残疾人用的服务，但是很好登记。通过这种方法，黑客可以对他进行了恶搞，而警察也不会很容易地发现他们。

Cosmo 走上黑客的道路的起点是在线游戏。有一次玩 Xbox 的时候，他在中途被人踢下了线，输掉了游戏。他发现只需要现成的程序就可以黑掉别人的 IP.对于 Cosmo 来说，这次事件让他第一次开了眼。

Cosmo 这个名字同样来自他的一次黑客活动。对于年轻的 Xbox 玩家来说，都希望自己在游戏中有个比较酷的名字，但是好名字往往被其他人抢占。于是，Cosmo 利用社交工程手段，获得了自己想要的名字。在微软加强安全措施之前，重设密码只需要账户名、信用卡的最后四位数及失效日期。他发现一位名为 Cosmo 的用户同时也有一个 Netflix 账号，于是他给 Netflix 打了一个电话。

“我给 Netflix 打了电话，这太容易了，”他笑着说，“他们问‘你的名字是什么？’我说，‘Todd’，然后给了他的邮箱。他们说，‘好吧，你的密码是 12345’。我登录进去，发现了他信用卡的最后四位。随后，我填好了 Windows Live 密码重设的表格，它只需要信用卡拥有者的姓名、最后四位数和失效日期”。（经 Wired 网站实验，这个方法仍然有效。）

Cosmo 说他并不知道 Netflix 是否有他所需要的信息。这个成功是一个惊喜的时刻。他说那个时候亚马逊也很容易攻破，不过后来安全措施也加强了。其它黑客攻破 Mat Honan 的密码的时候，使用的正是 Cosmo 发明的方法。当 Mat Honan 问到他怎么想到的时候，他耸耸肩膀说，“主意自然就来了”。

通过在线学习新的社会工程技巧，并和其它人广泛交流，他很快掌握了获取信息的各种渠道。有一天，某位线上的朋友问他是否愿意加入新的黑客团队。这个人网名是 Josh the God，他正在组建一个叫做 UGNazi 黑客团队，其目的是利用网络技术抗议 SOPA 和 CISPA.他们希望攻击支持这些法案的机构，而 Cosmo 的工作就是通过社会工程技巧，获取攻击目标的数据。

SOPA 毫无疑问是灭亡了。但是 UGNazi 显然无意停止自己的破坏活动。他们开始攻击一系列网站，在网上制造混乱。一位安全专家说，UGNazi 在攻击网站上根本没有什么界限，任何网站都可能成为他们的目标，而且他们也没有自我保护意识，这最终导致了自己的灭亡。从这方面来说，UG 和 LulzSec 很相像。

UGNazi 最后一次大型攻击是针对 4Chan.对于攻击 4Chan 的动机，Cosmo 解释说，“Josh 认为 4Chan 上的每个人都是虐童者”。当然，另外的动机还包括恶搞，以及对名声的渴望，因为他们要把 4Chan 的网址引向自己的 Twitter 账户。

要劫持 4Chan 的网址，他们需要攻破 4Chan 的 DNS 服务商 CloudFlare.为了攻破 CloudFlare CEO Matthew Prince 的密码，他们从网上购买了 Prince 的社保号码，然后给 AT&T 打电话，并最终成功绕过 Gmail 的两步验证机制，攻入了 Matthew Prince 的个人 Gmail 账号。（Google 一位发言人告诉 Wired，这是一个安全漏洞，现在已经填补上，因此同样类型的攻击将会无效。）他们掌握了后台的管理工具，将 4Chan 的 DNS 转移到自己的 Twitter 账户。这次事件使 UGNazi 成为 2012 年最为臭名昭著的黑客团队。

Cosmo 通过收集与大公司相关的个人信息，来获取攻击所需的资料。有时候，他会给公司的技术部门打电话，假称自己是另一个部门的员工。他只所以能够频频成功，是因为他会事先深入了解公司后台系统的细节。

“ 我有一个朋友，他在 Netflix 的计算机上安装了一个远程控制工具，当 Netflix 雇员不在的时候，他能够使用那个计算机。从那里他弄了一堆截图，发现后台管理工具叫做 Obiwan”。

这就是他做事的秘密。当 Cosmo 给某个公司打电话，假装自己是员工的时候，他不需要等待别人追问细节。相反，他会说出自己掌握的个人资料。假如他已经拥有拼图中的三块，所需要的只是第四块，他会把这三块的情况先说出来，以表示自己对系统非常熟悉，以打消电话线另一端的人的怀疑。有时候，他会故意提供更多的资料，显得自己了解很多，从而避免被追问。这是非常经典的社会工程技巧。

他的一些技术有时显得非常复杂，需要多层次的社会工程，比如他攻击 PayPal 的方法。这需要首先假造身份，创造网上银行账户，随后给 PayPal 客服打电话，取得他们的信任后，把自己的电话号码和新的银行账户添加到某个用户的名下。然后，他会通过 PayPal 网站重设密码，最终攻入个人账户。Wired 网站按照他的方法，证明这种手法确实可行。当 Wired 把这个问题告诉 PayPal 之后，PayPal 弥补了其中的安全漏洞，并说这是产品测试导致的临时问题。

关于 FBI 的搜捕行动，Cosmo 说他不知道是如何被盯上的，他感觉是因为 UGNazi 泄露大量信用卡号，而不是因为对 CloudFare 的攻击。不过，他说自己对于那些账号被盗的用户表示抱歉。

Cosmo 说他曾在攻击 CloudFare 的前一夜给 Matthew Prince 打过电话，希望给他一个警告，但是他没有接电话。对此，Matthew Prince 说他的确接到一些电话。那么，Cosmo 的确会这么做吗？Mat Honan 认为这似乎符合他的性格。在 Cosmo 被逮捕之后，他设法了解到 Mat Honan 的账户被黑的事情，并通过 Twitter 和 Mat 的朋友联系上，说自己愿意说出黑客们的方法，乐意给 Mat 提供帮助。

通过黑掉 Mat 账号的 Phobia，Cosmo 联系到了 Mat 本人，他说自己想要透露 AOL 的一个安全漏洞。他跟 Mat Honan 说，重设 AOL 邮箱和聊天工具密码非常容易，只需要给技术支持员工打个电话，说出账号的姓名和邮编，而重设收费邮箱的话，AOL 询问的是地址，或者信用卡的后四位。听完这个之后，Mat 盯着他看。

“Yeah……你需要做的就这么多”。Cosmo 说。

Wired 证实他的方法完全有效。当他们把这个安全漏洞告诉 AOL 之后，AOL 很快停止了通过电话重设密码的方式。在邮件中，AOL 告诉 Wired，他们发现这是电话客服的一个漏洞，现在已经解决了。

在 Mat Honan 看来，Cosmo 仍然是一个谜。他不知道 Cosmo 所说的话中，有多少是真实的。或许，Cosmo 真的是后悔了，并希望弥补自己的过失。Mat 愿意相信这一点，但是 Cosmo 的确是一个“非常、非常好的说谎者。”

他唯一确定的是：在线安全不过是个幻想罢了。

15岁黑客Cosmo的堕落历程相关推荐

拼多多再添新瓜！15 岁上浙大、22 岁获世界冠军的天才黑客 Flanker 疑因拒绝违法攻击被强制开除...
拼多多又出事了. 近日,拼多多因员工猝死,跳楼自杀.开除员工等事一直游走在舆论的风口浪尖,而前拼多多安全大佬 Flanker 离职的故事也被扒了出来,成为了拼多多舆论的又一风暴点. 1 月 12 日早 ...
15岁上浙大、22岁获世界冠军，90后「天才黑客」为何被开除、错失上亿股票？
本文转载自新智元 2021年开年持续霸占热榜的互联网某厂又霸榜了.1月12日早间,名为"如何看待天才黑客 Flanker 疑因拒绝做黑客攻击业务,被拼多多强行辞退,错失上亿股票?" ...
上海15岁女高中生蝉联“最年轻科学家”
这两天,上海的一位高中女生火了,正在上海举行的第二届世界顶尖科学家论坛,汇聚了全球65位诺贝尔奖.沃尔夫奖.拉斯克奖.图灵奖.菲尔兹奖.麦克阿瑟天才奖等全球顶尖科学奖项得主,被称为"全球最强 ...
任务完成从不加班_我如何从不知道如何编码转变为在9个月内交付9个项目-都在我15岁之前就完成了……...
任务完成从不加班 by Samarth Jajoo 通过Samarth Jajoo 我如何从不知道如何编码转变为在9个月内交付9个项目-全部在我15岁生日之前 (How I went from not ...
年轻计算机科学家,15岁最年轻科学家具体什么情况？谈方琳个人资料介绍有何成就...
不补课不刷题 15岁上海女生蝉联"最年轻科学家" 第二届世界顶尖科学家论坛于10月29日在上海开幕,一群穿梭在会场的 "00后科学家"格外引人注目,他们与诸多诺 ...
15岁黑进北美防空司令部，社工界的鼻祖如何社工？
他曾一度是"黑客"的代名词-- 15岁,仅凭借一台电脑和一部老式的调制解调器,他就成功入侵了北美防空司令部的防务指挥系统,翻遍美国指向前苏联及其盟国的所有核弹头数据资料! 你无法想 ...
【锋会现场】15岁少年极客黑入小米路由器
继昨天成功举办"妹子专场"(舌尖上的智能)之后,今天雷锋网又在北京举办了史上最有技术范儿的活动:OpenWrt开发者沙龙.据说,国内OpenWrt圈有一半的大牛都来到了现场,更有好 ...
当我一个人做游戏时，我在做些什么？专访15岁成名的天才游戏开发者
引言这是一位天才少年游戏开发者十几年后的故事.2003年左右,15岁的方Dragon 通过自学做出了他的第一部系列制游戏:"C22 系列三部曲",是不少人的童年回忆.十几年后的 ...
15岁天才创办4chan匿名网站，如今因股权分配不均，与谷歌不欢而散！
点击上方"视学算法",选择加"星标"或"置顶" 重磅干货,第一时间送达视学算法报道转载自:新智元来源:cnbc 编辑:LZY ...
15岁成杀人犯，监狱里学编程，37岁获释后年薪70万
栗子郭一璞发自凹非寺量子位报道 | 公众号 QbitAI 22年前,他是轰动一时的少年杀人案凶犯,杀死了自己的弟弟,还没有成年.没有读过大学就被投入了监牢: 22年后,他出来成了一位硅谷程序 ...

15岁黑客Cosmo的堕落历程

15岁黑客Cosmo的堕落历程相关推荐

最新文章

热门文章