如果沒有廣大黑科技愛好者的參與,狗仔們無法在幾天之內扒出宋經紀人的身世、愛好、住址、開房記錄,用體無完膚來形容毫不為過。
比如——
很可怕有木有~實際上,黑客們認真捉起奸來,可以獲得諸多讓人意想不到的奇異信息。暫時拋開法律和道德因素,怎樣人肉一個人呢?或者從反面來說,如果你不小心愛上了明星的媳婦而成為了全民公敵,如何避免被人肉的悲慘遭遇呢?
一、iPhone
憋說話,掏出你的 iPhone。
打開:設置—隱私—定位服務—系統服務—常去地點
看到了沒,讓我猜猜,你去的次數最多的地方是你的家,而排名第二的,就是你的公司。如果覺得不夠詳細,點進去還有地圖。就是辣麼驚悚。
蘋果手機會默認開啟「常去地點」功能,完整記錄你的生活軌跡。
如果黑客搞到了你的 iCloud 帳號,用任意一臺 iPhone 登陸,都可以獲得你常用的位置信息。所以如果你成為了全民公敵,不要驚訝第二天就有人在你家樓下堵住你的去路。
二、簡單密碼
現實世界中的情況是,幾天之內宋喆的所有郵箱、人人網、京東帳號似乎都已經被攻破。黑客們是如何做到的呢?根據爆出的信息,小X醬簡單梳理了一下他被「社工」的步驟:
1、手機號、身份證信息被網友通過社工庫洩露。
2、網易郵箱密碼被破解,牽連出背後的密保郵箱和其他常用郵箱。
3、利用郵箱登陸的人人網、豆瓣帳號被搞定。
4、與郵箱密碼相同或相似的京東、大眾點評、外賣 App 被攻破。
5、某電商收貨地址暴露,導致藏身住址被扒出,被媒體圍堵。
追本溯源,這一切的一切都始自於郵箱被破解。正因為如此,才能在社工庫裡看到宋喆的郵箱密碼。
科普一下:現在幾乎所有網站的用戶信息都已經被「加鹽」,即所有的用戶名和密碼都是在加密狀態被存儲的。即使黑客黑進了網站伺服器,拿到了你的密碼信息,也不能讀出明文,而是需要通過密碼字典破譯。破譯的難度和密碼的複雜度成正比。也就是說,如果你的密碼足夠複雜,以目前計算機的算力,仍然難以被破解。
因此,看似精明的宋喆在網絡安全意識方面還不及一個普通人,他的密碼之簡單令人髮指。確切來說,他的常用密碼只是自己名字的拼音,或者在前後加上自己的生日。這才造成了短時間內一連串帳號被破解的悲慘遭遇。
三、微信朋友圈
你認識你的所有微信好友嗎?你一定會回答「不」。那麼,你又怎樣確定自己的朋友圈裡是不是潛伏著一個無間道呢?
如果你看到微信上有多年不見的老同學加你好友,看頭像還確實認識,你會通過驗證嗎?正常人十有八九會通過驗證。
然而事情的真相可能是:黑客通過你Facebook、人人網等社交網站上的公開信息和好友信息,拿到了你的老同學的照片和基本信息,然後躲在微信後面添加你為好友。
一旦通過,你的朋友圈便對黑客敞開了。想想看,你在朋友圈裡曬的每一張照片,每一個感想,都能成為黑客判斷你位置和性格的有力證據。
四、微博、人人網等社交工具
宋喆在事發後第一件事就是清空了自己的微博,看來他也意識到,自己在微博上發的信息,都會成為對自己不利的「呈堂證供」。然而,他沒有在第一時間清空自己的人人網。(恐怕現在99%的人都不會在第一時間意識到還有人人網這個神器的存在。)這導致了黑客搶先黑進了他的郵箱,更改了他人人網的密碼。很可能他已經無法登陸自己的人人網帳號。
帝吧的朋友們已經佔領了宋喆的人人網
想想你都在人人網上做過什麼吧?這個已經過氣的社交平臺,潛伏著你所有黑歷史。以宋喆為例,在人人網上,你可以公開查詢到他的生日、從小到大的學校信息、他喜歡養狗、他的偶像是陳冠希、他的性格放浪不羈等等。
再來說說微博,假設被人肉者沒有第一時間清空,所有人都可以公開查看他發布過的信息。因為發微博被人肉的事情,已經屢見不鮮:
王珞丹曾經因為發布了從窗口拍攝的圖片,被網友根據小區內景、窗口高度、光照情況,在幾小時內就定位到了她的小區、樓號和門牌號。
宋喆以自家鬥牛犬的名號開了微博「虎斑小DD的幸福生活」,網友據此照片定位到了他生活的小區:
五、小號
人在做壞事的時候,一般會使用小號。
宋喆在約姑娘的帖子裡,透露的並不是常用的網易郵箱,而是一個 Hotmail 郵箱。宋喆也明白這一點,所以在豆瓣約「群P」的時候,留下的並不是常用郵箱。但實際上,豆瓣把他的登陸郵箱和小號郵箱之間的關係聯繫了起來。
在註冊很多小號的時候,人們會選擇用一個獨立的郵箱,但是很多人往往不會新買一個電話號用來收驗證碼,即使有兩個手機號碼的人,也會選用生活或工作中的一個。這樣就會建立虛擬 ID 和真實身份之間的聯繫。
有的人會有小號 QQ,但是為了方便管理,往往會互加好友,甚至拉群。在這種情況下,一旦 QQ 密碼被攻破,很容易牽出你的小號 QQ。如果大小號使用相同的密碼,那就更容易被一鍋端啦~
實際上,根據內部人士的爆料,宋喆的常用郵箱和小號郵箱使用了相似的弱密碼,這就導致了黑客直接衝進了宋喆的小號郵箱,看到了他黑暗的一面。
不過,對於小號和身份的關聯,遠不止這麼簡單:
如果你使用同一臺設備登陸過大號微信和小號微信,那麼在微信的大數據層面,就會為這兩個號碼建立一定的關聯。
如果你匿名用百度搜索過一些關鍵詞,還是會有廣告彈出在你的設備上。這些都是在服務提供商的大數據中強制關聯的。
六、外賣,京東,淘寶
公眾對於宋喆的「圍剿」,最終讓網絡上的人肉變成現實中的人肉。媒體最終根據種種信息成功堵截到了宋喆,這其中立功的關鍵,很可能是電商。
小X醬相信,淘寶、微信這些巨頭企業對於用戶信息的保護級別是很高的,一般不會出現洩露。不過,如果密碼分級沒有做好,會導致撞庫的發生(黑客破解了其他平臺的密碼,從而用這些密碼嘗試登陸淘寶和微信)。
例如大眾點評、餓了麼、京東這些平臺,其安全級別可能會弱於 BAT 的平臺。
總之,電商信息的洩漏,會產生一個致命的影響,那就是你的收貨地址。這些收貨地址真實性是非常高的,而且極可能包括「被人肉者」和親友的全部常用地址。
從電商和外賣平臺洩露的信息,還不止這些。例如有黑客爆料,宋喆的京東購物記錄裡,有大量的狗糧,因此判斷他可能會在早晚出門遛狗。
七、Wi-Fi
你可能並不相信,只要你的手機一直打開 Wi-Fi,理論上黑客可以採用一種方法,追蹤你的空間移動軌跡。
小X醬先做個科普:所有的手機只要打開 Wi-Fi,都會實時對外廣播自己曾經連接過的 Wi-Fi 名稱,而只要在信號範圍內存在相同名稱的 Wi-Fi,手機都會自動嘗試連接。
首先在宋喆家門口,用隨意設備搜索 Wi-Fi 信號,信號最強的即是宋喆家中的 Wi-Fi,記錄下 Wi-Fi 名稱。
然後使用一種被稱為「大菠蘿」的 Wi-Fi 信號發射器,對外發送和宋喆家同名的Wi-Fi 信號。最後把「大菠蘿」放在宋喆有可能經過的地方,一旦有手機連接上 Wi-Fi 信號,「大菠蘿」就會向控制者回傳信號。
這樣的「大菠蘿」可以有許多個,布置在小區車庫門口、樓道門口,所有他可能會落腳的地點。這樣,就好像在城市中布滿了攝像頭,只要收到信號,就表明被追蹤者經過了此地。
如果是被追蹤者的家人朋友,可以通過連接設備的名稱判斷連接者的具體身份。
「大菠蘿」不僅可以提供虛假的 Wi-Fi 信號,還可以提供真的 Wi-Fi 功能。只不過,在這些「釣魚 Wi-Fi」上傳輸的明文信息,都可以被攻擊者一覽無餘。
由於這樣的攻擊方式是建立在 Wi-Fi 的奇葩協議之上的,所以沒有太好的防禦方法。
還有哪些奇葩方法?
遭遇人肉和社工的「全民公敵」有可能第一時間飛往國外。如何判斷一個人是否「出逃」了呢?
很多經常坐飛機的童鞋都用過航旅縱橫之類的APP,它可以完整呈現一個人所有的航班信息。在過去的版本中,只輸入身份證號,就可以查詢該身份證主人的航程。
在新版的航旅縱橫中,APP 對查詢者的身份校驗變得更加嚴格,需要用戶上傳自己的身份證照片。這種情況下,攻擊就稍微麻煩了。因為需要 PS一個身份證。
當然,審核人員是很難分辨一個身份證的真偽的。
另外,有閃付功能的銀行卡也有一個奇葩的特性。如果用 NFC 設備去讀取它,會得到最近十筆消費記錄。這種攻擊只需要用設備在對方身邊掃描一下就好,那些娛記圍堵到宋喆時,不應該僅僅採訪,還應該用這樣的設備掃描一下他。
如果僅僅為了找到宋喆,以上的技巧綽綽有餘。但是,人們更想要的是真相。而獲得真相的前提,是宋喆和馬蓉兩人產生裂痕,露出馬腳。
網絡上流傳的宋喆開房記錄,正是攻心的一種。客觀上來說,詳細到鐘點房的開房記錄,只有警方才能掌握。所以這份資料的來源永遠不會有答案,警方也不會出面澄清。這樣的結果是,永遠無法有人證明這份記錄的真偽。就算這個開房記錄是偽造的,在一定程度上也達到了加重二人相互猜忌的效果。
人肉的最高境界,是在人的精神世界安插一個定時炸彈。
從這一點上來說,宋喆的血淚史至少教會我們兩個道理——
看好自己的密碼,別動別人的老婆。