在演示如何“搶銀行”前，Jayson E.Street是非常輕松的，正甩著兩條小腿坐在演講臺(tái)上隨音樂(lè)在搖擺。

Jayson E.Street是黑客盛會(huì)DEFCON 組織的全球協(xié)調(diào)人，在SyScan 360對(duì)他的介紹（想必也是他自己寫(xiě)的）中，寫(xiě)道“他是一個(gè)披薩愛(ài)好者，曾經(jīng)把披薩從北京帶到巴西分享，他不希望人們對(duì)他的認(rèn)識(shí)僅僅如此，如果注意的話會(huì)發(fā)現(xiàn)他在2006年被《時(shí)代周刊》評(píng)選為年度人物”，對(duì)，雷鋒網(wǎng)編輯也曾獲得這個(gè)獎(jiǎng)項(xiàng)，知道這個(gè)老梗的人你可以笑了。

不過(guò)，告訴你如何搶銀行不是一個(gè)笑話，Jayson 今天要出奇制勝，成功奪得你的注意力。

知己知彼，百戰(zhàn)不殆。Jayson 也懂得這個(gè)套路，為了防范和偵測(cè)這些攻擊，他先要演示攻擊者如何看待“你”的網(wǎng)站和員工，利用他們來(lái)攻擊“你”。這個(gè)小伙可是在美國(guó)銀行從事防御工作15年，在6年多時(shí)間內(nèi)在多個(gè)項(xiàng)目中扮演攻擊者，是居家旅游搶銀行必備。

而且，Jayson 的“搶銀行”還是被付費(fèi)的——很多銀行的 CEO 付費(fèi)找他測(cè)試銀行系統(tǒng)是否安全，是否會(huì)被入侵。

攻擊電信公司

在聊聊 Jayson 是如何搶銀行前，先來(lái)看看他是如何攻擊電信公司，因?yàn)閮蓚�(gè)方法路數(shù)一致，僅略有差異。Jayson說(shuō)，

我曾被電信公司雇傭，CEO 希望我進(jìn)行釣魚(yú)攻擊，要求是只能利用一個(gè)介入點(diǎn)，任何人點(diǎn)擊任何鏈接都受到攻擊。

Jayson 采取的策略是鎖定這家公司的一個(gè)人，于是他先登錄電信公司的網(wǎng)站，找到電信公司 CEO 的介紹頁(yè)面，根據(jù)頁(yè)面上 CEO 的照片，找到了他的推特，然后順藤摸瓜發(fā)現(xiàn)了其他相關(guān)工作人員帳號(hào)。

[該 CEO 的展示頁(yè)面]

[該 CEO 的社交網(wǎng)站頁(yè)面]

知道了這些后，他可以假裝成任何人來(lái)和電信公司的員工進(jìn)行聯(lián)系。

在社交網(wǎng)站上，Jayson 找到很多資料和可能的目標(biāo)。他發(fā)現(xiàn)，這個(gè) CEO 中有一個(gè)聯(lián)系人參加了 Mobile 360的會(huì)議，他找到了會(huì)議網(wǎng)站，找到了同一會(huì)議的其中一名參會(huì)者（演講者）的詳細(xì)信息，以他的名義進(jìn)行釣魚(yú)郵件。

這封釣魚(yú)郵件是一封商務(wù)合作郵件。

這封郵件的狡猾之處在于，提到的是從移動(dòng)設(shè)備發(fā)送，Jayson 說(shuō)，人們心理會(huì)有預(yù)期：移動(dòng)設(shè)備打開(kāi)的網(wǎng)頁(yè)（即實(shí)際上是釣魚(yú)網(wǎng)站）看上去會(huì)和實(shí)際官網(wǎng)不一樣，于是會(huì)放心打開(kāi)，就算比對(duì)也不會(huì)懷疑。

放心地打開(kāi)后，出現(xiàn)這個(gè)頁(yè)面，就說(shuō)明釣魚(yú)成功了。

到這一步，我只花了三十分鐘。

Jayson 帶著小驕傲說(shuō)，并沒(méi)有任何復(fù)雜的技術(shù)，但卻完成了這次攻擊。

一次未完成的銀行搶劫

看上去是社會(huì)工程學(xué)的方法，事實(shí)上，在針對(duì)銀行開(kāi)展襲擊，即搶銀行時(shí)，又是另一個(gè)不同的小故事。

比較憂傷的是，Jayson 稱，這個(gè)故事所有的信息搜集，在乘飛機(jī)的過(guò)程中就完成了，對(duì)，你不要嫉妒，人家乘飛機(jī)時(shí)可以上網(wǎng)。

曾經(jīng)有一個(gè)銀行想讓我去介紹如何進(jìn)行對(duì)銀行的攻擊，讓我設(shè)計(jì)一個(gè)攻擊路線圖。我找到了某地最大的一家銀行官網(wǎng)，登錄攻擊目標(biāo)網(wǎng)站時(shí)，普通人首先看到的是：嗯，這個(gè)藍(lán)色頁(yè)面的網(wǎng)站很好看嘛。

不過(guò)，攻擊者才不看這些，攻擊者關(guān)注的是 IP 地址，找到美國(guó)主機(jī)的位置，包括是否有第三方主機(jī)服務(wù)公司來(lái)托管網(wǎng)站，還有其他信息，如網(wǎng)絡(luò)、FTR、ASN，如果所有這一切都在第三方托管中，只要找到第三方托管服務(wù)器的漏洞， 不僅是這個(gè)網(wǎng)站，托管在上面的網(wǎng)站就可以一網(wǎng)打盡。

通過(guò)搜集信息，Jayson 在社交網(wǎng)站上找到這家銀行的工作人員，可以詳細(xì)看到各種信息，在哪里讀書(shū)，手機(jī)號(hào)碼、家庭地址，大家都看得到，大部分人愿意在社交網(wǎng)站上分享他們的信息，而“受害者”并不知道黑客在“調(diào)查”她。

Jayson 強(qiáng)調(diào)，重要的一點(diǎn)是，在美國(guó)搶劫銀行前可能會(huì)先劫持銀行的工作人員，拿到她的權(quán)限再來(lái)?yè)屻y行，所以獲得這些有權(quán)限的銀行工作人員特別危險(xiǎn)，尤其在社交網(wǎng)站上把家庭地理位置和房屋照片都曬出來(lái)的這種。

他們還會(huì)被綁架，甚至作為人質(zhì)，直到第二天早上這個(gè)銀行上班之后，挾持他們打開(kāi)保險(xiǎn)柜，這是美國(guó)搶劫銀行會(huì)出現(xiàn)的事。

我先從她的朋友下手，尤其是她的社交網(wǎng)站上新加的盆友。

他找到了目標(biāo)對(duì)象——銀行工作人員最近添加的參加銀行開(kāi)展的打保齡球活動(dòng)的朋友，然后從朋友的角度發(fā)了一封釣魚(yú)郵件給這個(gè)銀行工作人員。

為什么這么做，Jayson 解釋：

因?yàn)樾录拥呐笥褱贤ㄟ�不多，還不熟悉，甚至之間還會(huì)提一些問(wèn)題，她們還有一些共同點(diǎn)，比如，給孩子打保齡球的公益活動(dòng)，仿制被攻擊者朋友的公司郵箱地址，就可以發(fā)郵件了。

這封郵件的內(nèi)容是什么，為什么被攻擊者會(huì)心甘情愿地點(diǎn)擊？

來(lái)看一下郵件內(nèi)容：

在這里，最近當(dāng)選美國(guó)總統(tǒng)的川普要躺槍了。在輕松友好的交流氛圍中，Jayson 對(duì)雷鋒網(wǎng)表示，他不支持川普，因?yàn)檫@個(gè)“更糟糕”。

于是，他在釣魚(yú)郵件中，其實(shí)是邀請(qǐng)被攻擊者參加抗議活動(dòng)——政治是我們都關(guān)心的事！所以，十有八九要中招！

不過(guò)，Jayson 多次強(qiáng)調(diào)，這次演示的攻擊并沒(méi)有真實(shí)發(fā)生，因?yàn)猷]件他沒(méi)有發(fā)送出去。只是為了給大家展示：看，我能這么做，而且這么簡(jiǎn)單！

摸清攻擊者的老底

還有一個(gè)重要問(wèn)題是，攻擊者為什么能這么迅速地收集信息？Jayson 把攻擊者的老底摸清了。

我在這里給大家展示從攻擊者角度怎么看，我不想給你們傳播不好的東西，讓你們恐懼，我們希望給大家普及這些只是之后，你們提高防范意識(shí)。

Jayson 先給大家打了預(yù)防針，意思是：不是教你去當(dāng)攻擊者！看看就好，預(yù)防第一。

先上技術(shù)網(wǎng)站找攻擊工具，然后找一下攻擊目標(biāo)，比如，攝像頭，防火墻薄弱的地方。而對(duì)于銀行業(yè)，則可以在暗網(wǎng)等找到銀行被販賣的數(shù)據(jù)。

所以，下面雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))展示一下 Jayson “推薦”的攻擊者必看信息。

1.攻擊者常用工具

2.在哪里找被泄密的數(shù)據(jù)

3.找到網(wǎng)站架構(gòu)的薄弱地帶

知己知彼，反攻

知道攻擊者將會(huì)如何開(kāi)展行動(dòng)后，Jayson 對(duì)企業(yè)和個(gè)人進(jìn)行安全防護(hù)有以下重點(diǎn)建議。

1.至少每周要監(jiān)測(cè)能搜到的“銀行”的信息。

2.建議網(wǎng)站進(jìn)行潛艇式構(gòu)建——這個(gè)地方有問(wèn)題，別的地方可以被保護(hù)，一個(gè)地方被攻擊，其他地方還能工作，所以需要分段網(wǎng)絡(luò)架構(gòu)！

3.在網(wǎng)站上的溝通可以進(jìn)行切割，不是所有人都需要有外部溝通的權(quán)限，有些溝通只要在局域網(wǎng)溝通。

4.利用各種工具檢視現(xiàn)有網(wǎng)站受到攻擊的可能。

5.關(guān)于網(wǎng)站上“你是誰(shuí)”的代碼名稱是聯(lián)系信息，把這個(gè)名字設(shè)置成非真實(shí)姓名，但貼上真實(shí)電話分機(jī)號(hào)，聯(lián)系電話、郵箱分別設(shè)置不同名稱。

6.為1X1單像素照片添加提醒鏈接，一般人不會(huì)點(diǎn)開(kāi)這種圖片看，只有攻擊者才會(huì)利用這種圖片來(lái)尋找突破口。

7.還應(yīng)為用戶代理字符串設(shè)置提醒。

8.如果可以，控制可以看到你的網(wǎng)站國(guó)家和地區(qū)，比如，一個(gè)地方性銀行需要全世界的人來(lái)點(diǎn)擊嗎？預(yù)防攻擊。

9.在你的職位列表上添加觸發(fā)器/錯(cuò)誤線索，違規(guī)操作立馬就能知道。

10.不使用公司設(shè)備進(jìn)行危險(xiǎn)社交操作，如掃二維碼。

11.對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)。

最后，需要再次聲明的是， Jayson 演示的對(duì)企業(yè)、銀行開(kāi)展的攻擊都是企業(yè)授權(quán)，讀者盆友不要非法嘗試，伸手必被捉。“搶劫者” Jayson 還告訴雷鋒網(wǎng)，做了這么多看似有破壞性的事情，事實(shí)上他一直在遵循自己“守衛(wèi)者”的準(zhǔn)則，他還有什么故事？敬請(qǐng)期待雷鋒網(wǎng)對(duì) Jayson 的人物專訪。