Nov212016

防止SSH遭到密码爆破的一键脚本

作者: 主机迷 分类: Linux技术

功能
1.自助修改SSH端口
2.自定义最高封禁IP的时间(以小时为单位)
3.自定义SSH尝试连接次数
4.一键完成SSH防止暴力破解

安装

wget https://raw.githubusercontent.com/FunctionClub/Fail2ban/master/fail2ban.sh && bash fail2ban.sh 2>&1 | tee fail2ban.log

卸载

wget https://raw.githubusercontent.com/FunctionClub/Fail2ban/master/uninstall.sh && bash uninstall.sh

注意:修改SSH端口时先在iptables里把新端口打开,要是忘了,就等着看“No route to host”吧。

来源:http://www.gongyi.info/thread-1705-1-1.html

Nov102016

征信之乱:数据基本靠黑市的互联网征信公司,也能估值几十亿

作者: 主机迷 分类: 其他文章

金融的核心,就是风险定价。

可惜,中国的征信体系一直没有建立起来。不知风险几何,又如何定价?

2013年才刚刚踏入历史正轨的征信行业,在互联网金融的倒逼下,正在变成风口行业,也因此成为各方夺利的草莽江湖。

部分征信和数据公司,直接从黑市上购买数据,甚至雇佣黑客去盗取数据,一家如此起家的公司,估值已达几十亿;一些急于变现的公司,各地招聘代理,推销征信报告,年流水上亿;而专门做这种备案交易的“中间人”已出现,并公开叫卖征信公司的备案。

这个敏感而核心的行业,正在经历它的野蛮时代。

1、数据黑产

黑客KK最近接的一单生意,是盗取“企查查”的数据。企查查是一家企业工商信息查询平台,其核心数据服务器放在云端。如果直接入侵云端,对抗的是整个云端的安全系统,难度有点高。

KK擅长出奇招,“能走后门,绝不走正门”。

他收拾好电脑,藏到企查查的楼下,利用小工具强行破解公司的WiFi。进入内网后,所有人的电脑,就如KK的掌中之物。他很快找到了登陆云端服务器的用户名和密码,将200万的公司缓存数据库拖出来。

article-content-201611-09-58232f29d6e1c8.31345835.jpg
▲ KK拖出的部分数据库截图

KK将数据出手,挣了几万元。

“这就是我的日常,隔几天干一单,挣几万到几十万不等”,KK最近两年的业务量,开始猛涨,月收入上百万。

KK认为,这和最近火了的征信风控行业有关。尽管在1988年,国内第一家专业信用评级机构就已成立,但因为那时政府数据还未提倡公开,行业只得龟速发展。

直到2013年,《征信业管理条例》发布,可算给民间征信机构画出了跑道——对于企业征信,采取备案制;对于个人征信,采取牌照制。目前,已有138家企业征信机构备案通过,而另外8家个人征信机构,正望眼欲穿,等待牌照下发,发令枪响。

中国的征信行业,至此才正式走上历史正轨。

在某种程度上,因为互联网金融的发展,也在倒逼征信行业尽快上道——试想,每家互联网金融公司,都得从无到有的搭建一套风控系统,成本何其高?

事实上,这个领域的玩家,远不止8家个人征信、138家企业征信。易观高级分析师李子川称,很多所谓大数据公司,其实也在做征信公司的事,“征信和数据公司的界限并不清晰”。也就是说,这个赛道上,涌入了三股势力:征信公司、大数据公司,以及各个金融公司的风控部门。

对于他们来说,第一步,就是获取数据。“得数据者得天下”,数据似乎拥有点石成金的魔力。对数据的极度渴求,让黑市无限繁华。目前,数据产业链分为两个部分,第一部分是黑客,他们负责盗取数据,是前方的入侵者。而后端,还有一个数据商,他们作为中介,对接客户和黑客。

周晓青就是如此的一个中间商。两年前,一个客户找到周晓青,要求购买车管所的数据。出价30多万,买400万条。周晓青通过手下的黑客军团,很快搞到了数据。除了车牌号码、所有人等基本信息外,连发动机号、车辆识别号、保险到期时间都有。

article-content-201611-09-58232f2a0f3988.59392504.jpg
▲ 周晓青销售的车管所数据截图

此后,客户又多次光顾,合作购买工商、房产信息等。

“对方对我信任后,才透露自己是一家大数据公司”,周晓青称,当购买一些敏感数据时,“就让我从一家皮包公司走账”。周晓青断断续续和他们做生意,获利几十万。

他也开始关注这家数据公司的新闻,“有意思的是,这家以黑市数据起家的公司,目前已估值几十亿。”

这绝非个案。周晓青在两年时间内,接到大量的“订单”。大部分都是数据公司、征信公司,或者是某公司的风控部门。周晓青称,有几类数据最吃香:工商、身份信息、车辆、房产、电商交易、银行、运营商等。

这几乎是征信行业必备的底层数据。

一般有数据的政府部门和机构,下面都会有一两家代理商,可供需要数据的企业,申请接口。一旦有人通过接口调取过数据,就会在接口本地缓存下来。而这部分缓存数据,就是黑客重点进攻目标。目前黑市上交易的,大部分也是缓存数据库。

“第一,是因为代理商的安全意识不强,比较好盗取;第二,如果直接攻陷政府部门数据,有违法风险,没有必要”,周晓青称。

目前,专门靠盗取数据为生的黑客并不多,大概几千人。而另外一部分数据的外流,来自内鬼。

但数据的中间商却多达几万人,数据的每一次流转,价值上万到百万不等,周晓青简单计算过,“地下黑市,早已形成万亿级别市场”。

2、数据污染

地下黑市为何如此繁华?

如果按照正常途径获取数据,价格将极为高昂。比如,从车管所调取一个人的数据,价格是2到3元,而黑市只需要2毛;从银联调取数据,一个人是1到2元,黑市只需要1毛——价格差距10倍不止,也难怪大家趋之若鹜。

尽管从商业逻辑上,有某种必然性,但黑市泥潭深不可测。

“通常黑市数据真假难辨,大家都是掺杂卖”,周晓青甚至自己都干过这种事,他把一份只有100万的银行VIP客户的数据,填充了900万的假数据。

article-content-201611-09-58232f2a38b751.39704912.jpg
▲ 周晓青造假后的银行数据截图

银行将活期余额超过800万的用户,称为七星级用户;超过1000万的,称为八星级用户。“填充的,也是银行客户数据,只是级别很低,冒充高星级用户。但购买数据的公司,很难鉴别真伪”,周晓青称,一份黑市价值3万的数据,经过填充后,他卖了20万。

购买者一般事前会要求抽样检测,但数据一次销售,少则几万条,多则上亿,不可能完全鉴别真伪。
这个行业最大的隐患,其实来自“被污染的数据”。

周晓青除了接“盗数据”的活,也会接“放数据”的活。曾经一家保险公司,将一部分篡改后的数据放出,“故意将一些高净值用户,加入骗保的黑名单,将一些骗保的人,加入高净值用户名单,以搅乱市场上其他竞争对手的视线”。就像往数据流中不断注入污水,通过层层渗透,干净的数据也会被污染、发臭。

“我的任务,就是把这部分数据销售给其他保险公司,他们甚至愿意出比购买数据更高的价格推广污染数据”,商业战场上,人们似乎喜欢花更多的钱,去损人不利己。

黑市上交易的数据,完全没有进行过“脱敏”。

“你很难想象,根据现在的数据,我了解你的程度,可能超过你本人”,在黑产网络中,每一个人都被扒了底裤,毫无隐私可言。

就在两日前,《中华人民共和国网络安全法》通过,里面明确指出,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。这也意味着,地下黑产卖的各种数据,未经授权,没有资质,都不可碰。

3、征信模型

流窜在黑市中的数据流,鱼龙混杂、臭气熏天,在这个基础上建立的所谓的“大数据征信”或“风控模型”,又有几分可信度?基础不稳,何以建高楼?

除了数据不干净,数据的同质化,也是征信行业发展缓慢的掣肘。

目前,市面上有三个数据库比较有意思:一个是支付宝的芝麻信用分,来源于用户的淘宝交易记录和行为数据;一个是腾讯,来源社交数据;最后一个是前海征信,拥有平安集团的数据。

除此之外,大部分的征信机构手里的数据大体雷同。

“数据存在大量的噪音,需要进行数据清洗、挖掘,才可以使用”,易观高级分析师李子川称,数据并非点石成金,而是在一堆沙子中淘金。

“其实,现在大部分的征信公司,只是数据的集合地,并没有所谓模型”,某互联网金融公司负责人曾和很多征信公司合作,他觉得目前征信行业能提供的价值,极为有限。

互联网金融平台会给征信公司,提供一些借贷用户的信息,对方出一份《个人征信报告》。 报告中,除了一些正常信息外,还有几个维度,比如,是否是公司法人、诉讼信息、各大电商是否购物等。

“给我们就是一堆原始数据,并没有做任何衍生和关联性”,该负责人称,这对于风控起的作用有限。由于缺少征信模型,征信公司提供的服务只能算差强人意。但打磨一个好的征信模型,又极其艰难。

“模型的验证需要很长时间”,春晓资本高级投资经理张磊表示,“需要把它放到一个5到10年的产品周期中观察。”比如,房贷的周期是30年,车贷5年,没有跑完整个借贷周期,并不能判断这个模型的准确性。“验证只是第一步,还需要持续地对模型进行迭代优化。”

这是一个漫长过程,即使是周期比较短的消费金融,也需要重复验证、修正的阶段。

“这类服务节省了客户查询时间,有些进一步整理了各种数据的关联性,不能说没有意义”,李子川表示,“但是这只是初级阶段,目前征信机构普遍没有提供更复杂产品的能力。”

今年年初,央行征信中心对各个银行进行调研。反馈的意见之一便是,希望在征信报告外,能够提供更深度、增值的产品。

4、备案变现

张磊认为,目前民间征信面临三大问题:数据源不充分、处理技术不优秀、产品落地场景不清晰。

因为征信公司提供的价值有限,一些确实没有核心竞争力的公司,开始采取一些“有意思”的方式来变现。专做企业征信的绿盾征信,其模式就备受诟病。他们在全国招代理人,帮他们推销征信报告。绿盾征信员工小星透露,目前绿盾已在全国发展了800多位代理,分成方式是“二八”,代理商拿大头,可获得80%的佣金提成。

小星称,目前要成为他们的市级代理,需要给绿盾一次性缴费50万,县级代理,20万。而对县市级别代理人的唯一要求:在当地有点人脉。“企业资源、政府资源很重要,有企业资源,就可以直接销售,而政府资源,可以指定要这家的征信报告。这才值得合作”。

“一年就回本了”,小星表示,一般市级代理一年能卖出几十万的流水。如果按照800家代理,平均每个人缴纳30万代理费,绿盾征信已获利2亿元以上。而平均每个代理商销售20万的话,每年的流水也上亿元。

他们所谓的征信报告,主要是6个维度:工商、行业、金融借贷、媒体、企业运营、市场反馈。售价倒不贵,注册资本小于等于500万的,800元一次;大于500万的,1800元一次。

article-content-201611-09-58232f2a8d7773.31881620.jpg

“但这个报告只针对单次,比如某次的企业合作、政府招投标等,一家企业一年可能需要几十份。”

然而这样的报告,到底有多少价值?小星透露,征信报告的6个维度,其实都可以从网上查询到,无非是政府公开信息的汇总。

某征信行业的负责人称,绿盾征信倒是做了一个“不错”的生意,相当于用政府授予的“备案”资质套利。一家被被处罚多年的制药企业,一度成为绿盾征信示范企业,不仅颁发优秀企业榜样牌匾,还成为绿盾官网的“信用楷模”。

article-content-201611-09-58232f2aa104f7.06803866.jpg

这意味着,一些有“污点”的企业,将绿盾征信作为背书、洗白的途径。

《北京地区企业征信机构监管存在的问题及建议》也指出,个别征信机构夸大宣传,大量在异地发展代理业务,实质是“为了收取代理费,不惜损害相关主体权益”。实际上,政府部门也注意到这一趋势,今年初,央行要求各家征信机构如实上报自己线下代理情况,尤其是代理机构业务风险情况。

而另一种隐秘的变现方式是——卖备案资质。

目前,专门做这种备案交易的“中间人”已经出现,他们的服务范围包括,帮助企业申请备案,也能帮助购买已有备案资质的公司。报价是,北京地区征信牌照在100万以上,其他地区在80万左右。

手续费已到如此价位,备案的价格将何其高?目前,支付牌照市面的售价已高达6亿,征信备案和牌照,是否会重复第三方支付牌照的激情与疯狂?

今年,央行已放慢了企业征信备案的审批速度。这意味这,属于征信行业的野蛮时代,即将结束。

“它需要沉下心来,”李子川说,他并不希望这个行业走得太快。

作为金融中最核心的征信、风控行业,未来将成为行业的基础砖瓦,恐怕容不下一丝浮躁和怠慢。

转自虎嗅网https://www.huxiu.com/article/170231.html

Nov092016

爱码案件牵出700万黑卡 互联网黑产治理思路待改变

作者: 主机迷 分类: 其他文章

年初,YouTube上一名国外男子在旧SIM卡上成功炼金,该教程一时风靡被许多人观看。不久前,绍兴警方破获一起互联网黑灰产大案,被查获的验证码平台——爱码,竟然拥有700万手机黑户卡,该平台把大量的手机SIM卡扫号后,就可以虚拟成“真实”用户在平台上接验证码业务,而扫号后的卡则会被卖给回收电子垃圾的人,拿去提炼黄金。
1478568847202.jpg
经记者调查发现,从设备的生产者到SIM卡贩卖者再到卡商,验证码平台背后暗藏一条完整的灰色产业链。一些平台级卡商,手中往往握有高达几百万张手机SIM卡,可以提供9000多个网站项目的接收验证码服务。这些卡除了木马植入盗取、无身份证备案的黑卡外,还有一大部分是盗用真实身份证办理的真卡,警方从犯罪嫌疑人手里发现大量非法获取的身份证复印件及数以千G的公民个人信息数据。
普通用户也是帮凶,三大外卖平台被合作‘撸羊毛’
据中国之声《新闻纵横》报道,验证码平台一大收入来源,是钻外卖订餐平台及许多电商平台推出的优惠政策漏洞。以外卖来讲,饿了么、美团外卖、百度外卖都有“首单优惠”政策用以拉新。这些验证码平台手握数百万黑卡,贪小便宜的外卖用户在搜索、QQ群等途径获知联系方式。他们为用户提供手机号合作点外卖,以外卖平台首单优惠20块来算,用户用黑卡订餐,付给刷手10块外,自己还能省下10块,为了天天吃上“很便宜”的外卖,许多普通用户成了黑卡平台获利的帮凶。
由于网络上的便利,这种黑灰产业链发展非常迅猛,随便一个用户在网络上或者QQ群里搜索,就可以找到十几家提供类似服务的平台及成百上千个零散的卡商。类似的骗取优惠的事例,在所有推出首单优惠的平台上都可以重复,在不良用户和验证码平台双方得利下,外卖平台的损失无疑非常严重,以700万手机黑卡计算,仅此一项为三大外卖平台带来的损失就高达数千万。
虽然如今外卖商家们用动态验证码,甚至有的平台使用语音验证码来解决漏洞。但刷手们仍可以通过使用“养卡设备”,也就是圈内所说的“猫池”来规避网站的身份确认,即使语音验证码也可以分散给产业链末端的刷手人工操作来规避。令人惊心的是,他们中还有七成用这种手段来实施诈骗。随着,互联网公司靠烧钱补贴拉新营销手段的流行,该形式将极大浪费互联网创业公司的用以拉新的补贴资金。
以爱码案件来讲,警方抓获犯罪嫌疑人多达253名,打掉“爱码”平台等黑产平台有3个,打掉国内最大盗号软件,查获各类非法扫号工具软件共计19个系列326款,账密数据销售平台(QQ群)5个,涉及全国22个省、市的盗号团伙100余个。爱码验证码平台以700万黑卡,成为国内目前被查获的最大验证码平台。
手机卡实名制让个人信息盗用成灾,千亿互联网黑产成发展毒瘤
从2015年9月1日起,三大运营商分别推行了手机卡实名制,解决此前无备案手机卡带来的治理乱象。然而上有政策下有对策,手机卡实名制至今已完成九成备案,虽然客观抑制了互联网黑灰产业,但手机木马盗号、非法获取的身份证开卡依然让黑卡横行。在查处验证码平台案件时,警方从犯罪嫌疑人手里发现大量非法获取的身份证复印件及数以千G的公民个人信息数据。
据不完全统计,2015年互联网黑灰产业从业人员已超40万,比前年同比涨90%,规模据估过千亿元。这些黑卡的作用,不仅仅是骗取补贴这样简单。阿里巴巴集团安全部合成作战中心高级安全专家璃珞曾向媒体透露,为了刷单和占优惠而购买服务的人,只占很小一部分。“调用手机验证码的服务最终指向的都是大型电商平台,有15%-20%左右去“撸羊毛”(即享受优惠),而70%是用这些手机号生成的账号来欺诈。”
比如,许多通过手机植入木马盗取的手机号,如果犯罪分子再拥有了被盗号者的身份证等个人信息,就可以盗取许多网站的个人账号实施转移资金、盗取通讯录、电话欺诈等犯罪。在该产业链中,不仅有负责对受害者账户进行盗取的盗号团伙,还有专门为黑客提供账号密码数据销售的地下电商平台。而在平台之外,还有专门为盗号团伙制作盗号软件,并收买制作手机“黑卡”的专业工作室和通讯卡商。
这些拥有数以百万、千万记的黑卡平台,不仅在电商补贴上疯狂吸血。还有许多互联网公司为了融资雇佣其来造假数据,以及部分营销公司为完成客户指标刷量,还催生了网贷平台上20万“羊毛党”大军,甚至包括微信公众号阅读业务等违法内容。9月底微信封杀公众号刷量曾引起全网动荡,许多虚假10w+公众号浮出水面,让整个互联网蒙上一层信任危机阴影。
随着互联网实名制、手机实名制的推行,手机卡号在上网中的作用越来越大,而这些数量庞大的黑卡,正在成为经济发展中的毒瘤,并且衍生出许多黑色业务,如若放任下去,后果不堪设想。
治理思路落后是主因,借鉴“打假奖励”全民打击或是解决办法
互联网灰黑产业高达千亿触目惊心,上网实名制、手机卡实名制客观上起到抑制作用。然而互联网信息技术的快速发展,使得治理面临的挑战越来越多。黑卡之所以泛滥,除了该产业链十分完备外。互联网司法不完善,缺乏社会力量、互联网公司参与也是重要原因,如何治理黑卡乱象,要从根源上去解决,转变现行落后的治理思路十分迫切,从现有案例分析提升打击黑卡治理力度,可从三方面来入手。
首先,进一步完善互联网司法。从几年前开始,国家已经开始重视互联网司法的完善,多次颁发相关法律法规。然而,有关如何对黑卡定罪上仍旧有许多不足,以爱码案件来讲,给爱码平台定罪便存在困难,许多传统经济犯罪的法律法规遇到新兴的互联网犯罪有水土不服的现象。比如,为了应对传统诈骗2000元立案的规定,许多互联网诈骗团伙可以用机器来广撒网诈骗,金额定在几百元,用户被诈骗了也很难维权,违法成本过低使许多人铤而走险。
其次,与互联网企业合作,提高治理互联网灰黑产业技术和模式水平。如今年2月,绍兴市公安局与阿里巴巴集团安全部签订合作协议。5月,绍兴市发生一起通过聊天平台招嫖诈骗案,后通过阿里巴巴安全部查明了犯罪嫌疑人的真实身份及具体落脚地点,及时抓获4名犯罪嫌疑人,再通过对嫌疑人信息扩展查询,找到全国200余名受害人。如今,许多互联网灰黑产业靠网站、QQ群、微信群、支付宝等实现诈骗,只要互联网企业与官方合作,在数据分析、扩展研判、证据收集方面会有质的飞跃。
最后,鼓励社会力量介入。如现今的《消费者权益保护法》提高了消费者可以获得的补偿,催生了专门的职业打假人,有的从业者以此年收入达到30万,大大的提高了企业造假成本,间接的协助了消费者协会对市场秩序的维护。如用户和验证码平台合作的出发点,不过是为了吃上更便宜的外卖。如果设立一种机制,让用户发现互联网黑灰产业,举报、投诉经证实有奖励,将会带动全民的对互联网黑灰产业做斗争。随着互联网黑灰产业违法成本的增高,愈演愈烈的违法行为将会得到大大的遏制。

警方指出,在黑客绕过短信验证实现撞库后,个人信息和账户中的财产将无一幸免被盗走。爱码平台提供的服务项目大概有上万个,价格从0.1元到1元不等。去年10月破获的、半年之间涉案的、有历史记录的交易金额大概上千万元。据不完全统计,2015年互联网黑灰产业从业人员已超40万,比前年同比涨90%,规模据估过千亿元。
警方及互联网安全专家都认为,此类验证码平台的存在,不仅破坏了网络的验证码注册机制,同时也破坏了互联网实名制,对网络安全产生恶劣影响,但打击起来存在难度。
电信实名仍是关键
“今年以来,电信运营商在实名制方面做了很多工作,但是在对于二级服务商的管理上,还是存在问题。”璃珞指出。正像上述所描述的,验证码平台可以获得几百万个手机号资源便是其中最重要的问题所在,因为按照电信实名制的规定,每个用户所能申请的手机号码数量是有限的。
在实名制还未被特别强调之前,黑卡大量存在,一些网购平台甚至明目张胆地进行号码买卖。产业观察家洪仕斌指出,非实名登记现象泛滥,很大一部分原因在于电信运营商靠渠道养卡、盲目追求用户数量,以前是三大运营商,近两年则是虚拟运营商。
北京商报记者调查了解到,自2014年移动转售业务启动,部分虚拟运营商走线上渠道吸引用户效果不理想,为盲目追求用户数量,便利用线下渠道养卡,即兜售给卡贩子,由此滋生了非实名卡、黑卡等乱象。由于许多虚拟运营商是轻资产企业,缺乏销售渠道,依靠单纯的线上渠道很难发展规模用户,只好靠线下的卡商、卡贩来分销。
今年9月,工信部、银监会、公安部等六部委联合发布了《关于防范和打击电信网络诈骗犯罪的通告》,对实名制落实提出了明确时间表,同时对电信运营商开卡给予了数量限制。洪仕斌认为,六部委出台的关于防范和打击电信网络诈骗犯罪的通告,规定电信实名认证年底要达到100%,到时此类验证码平台的生存环境就会差一些。

转自
http://www.techweb.com.cn/viewpoint/2016-11-08/2428814.shtml
http://www.ithome.com/html/it/271013.htm

Nov092016

Parallels Desktop无法启动虚拟机

作者: 主机迷 分类: 软件工具

有一次强行关闭Mac上的Parallels Desktop进程,造成了windows虚拟机文件损坏,再次启动windows虚拟机时报错:

无法连接到硬盘1,操作硬盘1所要求地文件或设备不存在或被另一个进程所使用,或您没有权限访问它,虚拟机会继续运行,但该设备将会被断开

对应的英文是:

A file or device required for the operation of Hard Disk 1 does not exist or is used by another process, or you have no permission to access it. The virtual machine wil continue running, but the device will be disconnected

启动的控制台显示如下错误:

Client MAC ADDR: 00 1C 42 C7 4B 7B GUID: 9F2215EA-92A5-46BD-B92D-6710C8CA95D5
PXE-E53: No boot filename received
PXE-M0F: Exiting Intel PXE ROM.

No boot device is available, press Enter to continue.

除非是非常专业的人士,一般人找不到办法启动这个windows虚拟机,但可以把里面的数据恢复出来。
首先,进入Mac的Parallels文件目录,例如/Users/you/Documents/Parallels,假定损坏了的windows虚拟机文件名叫xp.pvm。
右击xp.pvm文件-->"显示包内容"-->选择.hdd文件--> 右击以Parallels Mounter方式打开,虚拟机的硬盘将会挂载至Mac的文件系统,之后就可以点击Finder左边的虚拟机盘符,将重要的数据拷贝出来。

如果虚拟机无法挂载文件,表明整个虚拟硬盘和其文件系统已受损坏,那么您可以根据以下恢复指南恢复 Windows:
1) 使用 Windows CD/DVD 恢复:
对于 Windows XP: http://kb.parallels.com/en/5138
对于 Windows Vista/7: http://kb.parallels.com/en/5223
2) 重新开始创建虚拟机并尝试把受损坏虚拟机的虚拟硬盘连接到新的虚拟机:
进入新虚拟机的 配置 > 硬盘 > 点击窗口左下角的 '+' 按钮然后添加 现有 hdd 文件。 把地址路径放入出现的对话窗口中。
此外您还可以使用第三方文件恢复应用程序,例如 TestDisk(免费)或 DMDE(免费试用)。

建议定期备份 .pvm 文件以防止数据丢失。

相关链接:

Nov052016

记者揭秘验证码黑灰产业 百万量级服务七成用以诈骗

作者: 主机迷 分类: 其他文章

据中国之声《新闻纵横》报道,为了吸引新用户,各种网络外卖订餐平台都会有“首单优惠”政策,也就是新注册用户的第一单订餐能享受一定额度的优惠。记者调查发现,在一些以“美团、饿了么刷单” 为关键词的qq群里,不少刷手针对外卖平台对新用户的首单优惠政策,利用工具,替订餐者刷单。比如,用户请刷手以新用户的身份订餐,能优惠20块钱,用户付给刷手10块,自己订餐便宜10块,看似双方都得了实惠。

  为了防止刷单的情况,不少外卖平台选择使用动态验证码来确定用户身份。道高一尺,刷手们魔高一丈。他们通过卡商和验证码接收平台,来完成刷单。这些网络上的刷手如何做到自己总是新用户?无限次接单,他们所谓的手机新号码哪里来?又如何接收大量验证码?

  如今,注册各种网站或者平台,都需要填写验证码,普通用户手中一般只有一两个手机号码,一些人希望无限使用首单优惠或者想在一些网站上注册多个账号,这该如何实现?记者在qq中,以“饿了么、美团、外卖”等为关键词搜索,可以找到几十个相关的群,随机加入几个,会发现里面主要是发各类外卖平台的优惠券或者代为订单的消息。同时,也有一些人在做“接验证码”、“收大小卡”、“养卡”的生意。什么叫养卡?记者拨通了一个专门出售“养卡设备”的商家电话,“养卡设备”圈内叫“猫池”。

  商家介绍,猫池就是跟手机一样,可以打电话、接收短信,卡往上一插,不用来回换卡。

  您可以把养卡设备,也就是“猫池”想象成一个能插多张手机卡的简易手机,可以理解为n卡n待。把大量的手机sim卡插入猫池——不管有没有实名或是否欠费,只要可以接收短信,就可以使用:一台电脑,连接几台“猫池”,每台猫池根据端口数量的不同,同时插入8张至64张的手机sim卡,就可以形成验证码接收平台,从而以新账号的姿态在各种平台上注册,成为所谓的新用户。

  针对不同运营商,猫池分联通、电信、移动的2G、3G、4G,深圳一家名为国爵电子有限公司的销售说:“我们有2G、3G、4G的,4G是信号要好,比如说打电话、接收短信、发短信,跑流量、改串码都可以的。”

  一些小型商家自己买猫池、收手机sim卡,在qq群里兜售刷接受验证码的服务。一个卡商对记者说:“饿了么1.5一单,1.5一个验证码,它有一个普通验证码加一个语音验证码,要是接普通验证码,所有的卡都可以做,这边能接语音码的就是170 的号,170的卡每张都是实名的。这边接到、听到这个语音验证码之后,把验证码打qq上,然后发过去。”

  这个卡商说他手里有40组机器、每组机器可以插64张sim卡,也就是说,可以提供2000多个手机号,用以注册各类网站和平台。记者通过他发来的两个170号段的手机号及验证码,在百度外卖、饿了么、大众点评,均注册成功。

  “请问是1709951****的电话号码是吗?帮您查看新用户红包还是未使用的状态。如果您现在有下单需求可以正常下单。”

  零散的卡商,只是验证码产业链中很小的一部分。平台级卡商,手中往往握有几百万张手机sim卡,可以提供9000多个网站项目的接收验证码服务。一个用过此类平台的用户说:“百度上搜的,十几家,随便挑了一家,叫Y码,注册之后先通过支付宝转账,是个人账户,收验证码一单2毛5,看看自己要注册什么网站,选好要做的项目后,手机号那栏会弹出一个新的手机号码,就用这个号码去注册,注册网站发验证码之后,Y码就会接收显示出来,应该就是那个猫池收到的,然后再显示给我们的吧,反正我用了几次,都注册成功的。”

  从猫池生产商、到sim卡卖方、到接受验证码的零散卡商或平台,一条刷码产业链就完整的形成了。阿里巴巴集团安全部合成作战中心从2014年开始针对此类服务做持续的追踪,一年间,服务翻了3倍,而这其中,70%购买服务的人,是用来诈骗的。高级安全专家璃珞说:“我们看过一个大的平台,2015年出售的这种服务比2014年整整翻了3倍,服务指的就是调用手机验证码的服务,翻了3倍,这其实是个保守估计,这些服务最终都去了哪里?最终去的都是大型的电商平台,或者婚恋交友平台,或者游戏平台,都去了大型的互联网站,最终的用处,有15%-20%左右,去干了“撸羊毛”(占优惠)。其中占最大的量的是,70%用这些手机号生成的账号用来欺诈,就是骗普通消费者。”

  工信部及网信办一直在推进互联网实名制,去年的《互联网用户账号名称管理规定》明确提出了互联网信息服务提供者应当按照“后台实名、前台自愿”的原则。在安全专家璃珞看来,此类平台的存在,正是对互联网实名制的破坏。她表示,整个验证码平台不是看到的前台,更重要的是后端有一个完整的产业链。使用它的人就是想破坏掉网络实名,没有办法真正定位到他是谁,另外他是一种犯罪成本的降低,如果线下买一张移动卡,要做一系列的东西,而且要充值之类的,但是在线上购买这个服务,价格最低的时候可以低到1毛钱。

  据了解,2015年8月,绍兴市公安局就协同阿里巴巴安全部及全国二十多省的公安机关,打了一场盗号专案,其中包括迄今为止查获的最大的手机黑卡平台——爱码,警方查获了700多万张的手机sim卡,而此刻,只要进行搜索,依然有十几个成规模的平台正常运作,存在巨大安全隐患的验证码黑卡平台为何打不掉?中国之声将继续关注。(周益帆)
来源:http://news.xinhuanet.com/fortune/2016-11/03/c_1119842531.htm


主机迷 is powered by Typecho