去年底，600余萬個明文注冊的郵箱賬號和密碼在網(wǎng)上遭到披露；去年12月25日，天涯社區(qū)對外發(fā)布公告，同樣稱因黑客攻擊，網(wǎng)站用戶數(shù)據(jù)被盜；上月底，1號店許多用戶賬戶內(nèi)的資金不翼而飛……我們的電商賬號、社區(qū)賬號、郵箱賬號顯得那么“不堪一擊”，這種“脆弱”與黑客不無關(guān)系。

　　記者了解到，如今黑客技術(shù)已經(jīng)成為不少人謀取利益的工具，整個“黑”的過程也形成了一個體系化的作業(yè)流程。為了探明這個“黑色地下產(chǎn)業(yè)鏈”的來龍去脈，晨報記者突破重重防線，走進黑客的世界。

　　賬號泄密事件頻發(fā)

　　去年底，600余萬個明文注冊的郵箱賬號和密碼在網(wǎng)上遭到披露。警方歷經(jīng)40多天的縝密偵查，輾轉(zhuǎn)10余個省市，最終破獲這起用戶數(shù)據(jù)泄露案，并成功帶破另外4起網(wǎng)絡(luò)泄密案件，共抓獲并以涉嫌非法獲取計算機數(shù)據(jù)罪刑事拘留曾某等5名“黑客”。曾某承認(rèn)于 2010年 4月利用CSDN(微博)網(wǎng)站漏洞，非法侵入服務(wù)器獲取用戶數(shù)據(jù)，此外，其還交代了曾經(jīng)入侵過某充值平臺及某股票系統(tǒng)。

　　同年的12月25日，天涯社區(qū)對外發(fā)布公告，同樣稱因黑客攻擊，網(wǎng)站用戶數(shù)據(jù)被盜。

　　今年5月底，知名電商“1號店”多名注冊用戶內(nèi)的支付寶(微博)余額被人盜用，又被懷疑為黑客所為。那么，黑客究竟通過什么方法來竊取用戶信息呢？

　　不少黑客預(yù)留“后門”

　　晨報記者輾轉(zhuǎn)找尋了多位業(yè)內(nèi)人士，他們的分析大抵一致：“如果網(wǎng)站遭遇泄密，又基本確定是黑客所為，那么以下兩種情況最有可能：一是他們(黑客)找到了網(wǎng)站服務(wù)器的漏洞，直接侵入；二是預(yù)謀獲取，他們(黑客)提前確定目標(biāo)，然后只要進入相關(guān)公司工作一段時間，在系統(tǒng)中預(yù)留個‘后門’，到時候就可以就把信息‘偷’走了。”在業(yè)內(nèi)，黑客的行為被稱為“搬信息”，“就像建筑工人搬磚頭一樣”。

　　誰是黑客？通過各種關(guān)系，記者列出了一長串黑客名單，或者說，一串網(wǎng)名和對應(yīng)的QQ、MSN及電話。不過，對于素不相識的記者，他們顯得慎之又慎。經(jīng)過多日聯(lián)系找尋，最終，黑客大郎(化名)坐在了記者面前。大郎承認(rèn)，確實有一些黑客游走在法律邊緣，以找尋漏洞，盜取信息牟利為生。

　　“白帽子”現(xiàn)身揭秘黑客世界

　　大郎短發(fā)，身材中等，肌肉結(jié)實，穿著干凈整潔的深色襯衫。他說話時不時低著頭，很靦腆——與想象中不分白天黑夜，廢寢忘食、赤膊堅守計算機前寫程序的黑客完全不同。

　　黑客的工作就是找漏洞

　　10余年前，大郎還在念書時，選擇了計算機專業(yè)。那時候，互聯(lián)網(wǎng)剛剛普及，網(wǎng)絡(luò)上，一些黑客你來我往“交戰(zhàn)”，互相修改對方的網(wǎng)站主頁的歷史，令大郎頗為神往。

　　2002年4月，他第一次獲取QQ密碼，同年6月，他第一次將一個主頁修改，插了圖片，插了音樂，這叫大郎頗為得意。他說，學(xué)習(xí)黑客技術(shù)之初，主要是去滿足虛榮心，屢次“攻城拔寨”，讓他得到不少贊賞，感覺很有“成就感”。

　　大郎今年30多歲，在一家網(wǎng)絡(luò)科技公司做信息安全工程師，他說，自己是黑客中的“白帽子”，“單純的信息安全愛好者，找漏洞，就是我的職業(yè)。”而找到漏洞，就要找尋所謂的“后門”，即作為“開門鑰匙”的用戶名和密碼。與“白帽子”相對，黑客還有一個群體，被稱為“黑帽子”。在“白帽子”們看來，他們的工作是“守”，維護信息安全不被泄漏，而“黑帽子”則是攻，游走在法律邊緣，以找尋漏洞，盜取信息牟利為生。

　　白天大多有正常工作

　　大郎說，黑客其實沒有什么神秘的，在生活中，他就是個普通人，每天的生活很規(guī)律。每天早上，大郎7點45分起床，然后洗漱吃早飯，出門上班，“路上再隨手刷刷微博，了解各種信息。”最近大郎在犯愁的是，能否拍到當(dāng)月的車牌照。當(dāng)然，他覺得自己的黑客技術(shù)起不到作用，一旦使用還違法：“算了，多準(zhǔn)備點錢。”

　　大郎所在圈子的黑客不少。據(jù)他所知，白天，他們是廚師，是法律工作者，甚至就是幫患者診斷開藥的醫(yī)生。晚上，他們只有一個身份：黑客，一起交流切磋。

　　每周周末固定時間，都會有另外一個黑客與大郎見面，他叫慕容莊(化名)，80后，曾與大郎是同事，現(xiàn)在另外一家公司做信息安全工程師。在成為黑客的道路上，大郎算是他的領(lǐng)路人。

　　慕容莊在國內(nèi)讀了計算機本科，又出國留學(xué)拿到了計算機方面的碩士學(xué)位。2008年回國后因為對黑客的好奇，也成了黑客。慕容莊有一個自己的信息安全團隊，“為了團隊的生存，不得不從各個方面爭取資金。”他表示，他們不靠黑客技術(shù)“搬”信息去賣，而是靠好的口才、踏實充分的網(wǎng)絡(luò)安全信息報告去說服管理層。

　　必修“社會工程學(xué)”

　　在外人看來，黑客手中的武器，是設(shè)計復(fù)雜高深的黑客程序。如今，在不少Q(mào)Q群和網(wǎng)站上，還有不少網(wǎng)民決心成為黑客中的高手、高高手，少則百元，多則數(shù)千元，不惜代價購買黑客程序。

　　不過，也許有一點他們忘記了——正如好的劍一定要配上精湛的武功才能成為眾人仰慕的俠客。黑客不但必須精通計算機知識，更重要的是，有其獨門的黑客秘籍。

　　問到大郎，他說，其實真正意義的黑客，任何獨門的秘籍都最終要回歸兩個字：細(xì)心。“查找漏洞是不是細(xì)心，找尋突破途徑是不是細(xì)心，很重要。”

　　大郎說，查找漏洞的過程，實際上就是掌握的各種知識要學(xué)會充分應(yīng)用，當(dāng)然，也包含一點運氣的因素。“針對目標(biāo)人物，搜尋他相關(guān)的姓名、全拼及縮寫，他的電話號碼、生日，地址，電子信箱賬號，甚至寵物的名字。盡可能的多，盡可能的全。”大郎說。這些單個的信息，被大郎組合起來，生成“字典”，經(jīng)過程序測試，組合出不同的密碼組合，“密碼和用戶名的設(shè)置，總是與人的生活密切相關(guān)的。”

　　這屬于一門稱之為“社會工程學(xué)”的學(xué)問，成為黑客的必修課，至今在黑客中仍然廣泛應(yīng)用著。

　　“搬”數(shù)據(jù)庫會多次轉(zhuǎn)手

　　在大郎的印象里，黑客技術(shù)成為謀取利益的工具，是在寬帶普及的時期。“一些掌握技術(shù)的黑客到網(wǎng)吧上網(wǎng)后，先是修改計費系統(tǒng)內(nèi)的余額，把10元押金額修改成20元。”后來，這樣的技術(shù)被用來掙錢，“膽大的黑客，索性把余額修改成100元，這樣不但白上了網(wǎng)，等到結(jié)賬時還‘掙’了錢，每天只要跑5家網(wǎng)吧，收入很可觀。”

　　漸漸地，類似的盈利方式，變成了現(xiàn)在所謂的“黑色地下產(chǎn)業(yè)鏈”。例如，當(dāng)時盜取QQ號碼的行為也一度盛行，“盜號—洗號”成為了一個固定的產(chǎn)業(yè)模式，分工明確。“以團隊為單位，無論從黑客工具的制造、攻擊實施的具體手法，如何洗號(變現(xiàn))都已經(jīng)形成了體系化的作業(yè)流程。”慕容莊透露，在一些高手云集的QQ群內(nèi)，經(jīng)常會有人發(fā)出“懸賞”：“要‘搬’一個數(shù)據(jù)庫，事成幾萬到幾十萬。”實際上，買方如果是A，那么這信息已經(jīng)經(jīng)B、C、D傳了幾手，而需要獲取信息的賣方也要經(jīng)過E、F甚至更多的轉(zhuǎn)接，最終有人接手完成。

　　這么做，是為了逃避法律的打擊。根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》，獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息十組以上，或者上述情況以外的身份認(rèn)證信息五百組以上的，應(yīng)當(dāng)認(rèn)定為刑法第二百八十五條第二款規(guī)定的“情節(jié)嚴(yán)重”，犯非法侵入計算機信息系統(tǒng)罪，將被處以處三年以下有期徒刑或者拘役。

　　[黑客忠告]

　　最大的漏洞是自己

　　“最大的漏洞，不是系統(tǒng)，不是程序，而是人。 ”這是慕容莊在采訪中反復(fù)提起的。去年底，CSDN泄密事件后，他特地下載了一組數(shù)據(jù)，發(fā)現(xiàn)了自己朋友的用戶信息。

　　慕容莊當(dāng)時勸朋友趕緊修改密碼，對方不在乎，“這不重要。 ”但慕容莊發(fā)現(xiàn)，朋友在CSDN注冊時，使用了一個163信箱，這就意味著信箱也要泄密了。

　　他再提醒對方修改信箱密碼，這時朋友說，這個信箱也不常用。

　　慕容莊用朋友CSDN的密碼試了試，竟然登錄了這個163信箱。他看過后嚇了一跳，朋友拿這個信箱注冊過支付寶，這意味著，只要有人登錄這個信箱，就可以通過修改密碼的方式，將慕容莊朋友的支付寶內(nèi)的余額轉(zhuǎn)移盜用。朋友這才意識到了問題的嚴(yán)重性，聽從慕容莊的勸告，修改了密碼。

　　慕容莊告訴記者，提高自己的安全防范意識，設(shè)置比較隱密的密碼，這才能有效防范黑客。

　　“特別要提醒的是，現(xiàn)在我們的手機都具備上網(wǎng)功能，一旦丟失，里面的通訊錄，聊天記錄，照片等，會成為破解的關(guān)鍵。 ”慕容莊說，假如黑客更為細(xì)心，還會搜集對方的上網(wǎng)記錄作為破解的素材。

　　[記者手記]

　　找尋就是一場較量

　　當(dāng)記者向黑客發(fā)出采訪請求時，不少人當(dāng)即表示拒絕，他們覺得 “顧慮大，有曝光的風(fēng)險”。

　　甚至，還有黑客打起了記者的主意。6月8日上午，一名黑客發(fā)了一個附件到記者的電子郵件信箱，實際上，這是一個盜號軟件，下載解壓縮后只要點擊執(zhí)行，QQ會自動下線，然后彈出一個類似的頁面窗口，要求你輸入QQ號和密碼，而記者只要輸入QQ號碼和對應(yīng)密碼，就會立即發(fā)送給對方。好在很多網(wǎng)站對這樣的伎倆再三提示防范，記者也熟知這種軟件的原理，沒上當(dāng)。

　　與大郎見面前，當(dāng)記者加了他的QQ號，對話框中，他立即蹦出一句話：“你果然是記者。 ”隨即，他準(zhǔn)確地報出了記者的姓名，常用電話和電子信箱，籍貫及畢業(yè)院校。更令記者吃驚的是，就連記者最近經(jīng)常聯(lián)系的幾名同事是誰，他也知道得一清二楚。

　　“我也知道你的QQ密碼。”記者在采訪前也有所準(zhǔn)備，對話框內(nèi)，打出了對方密碼。

　　“這個密碼我用過，不過前幾天改了，你怎么知道？ ”在記者看來，也許正是這個曾經(jīng)使用過的密碼被說出，才使得大郎決定和記者聊聊。