上週 RSnake 訪談了一名年僅 18 歲的網釣客 lithium(化名),使大家得以瞭解他的背景、手法以及收入等狀況。lithium 目前仍為在學生,他宣稱自己從 14 歲開始從事這個"工作",至今已騙取超過 2000 萬筆個人識別資料,對他而言,社交網站是最好的下手目標,尤其是那些主力會員為十幾歲青少年的網站。
lithium 在下手時,首先會註冊數個與目標非常相似的網域,接著尋找可供放置釣魚網站的地方,通常為境外的匿名空間或遭入侵的網站,其次下載原始網頁進行修改,將表單資料 Post 到他網站上,搭配一隻簡單的 php 程式紀錄為文字檔。
這些資料的價值視情況而定,以他的經驗而言,約有一半的人網站密碼與 email 密碼相同,若 email 信箱中存在 paypal/egold/rapidshare/ebay 帳號資訊,則可再轉賣給其他詐騙者。lithium 一週僅工作 3~4 天,每天約可取得 30000 筆資料及 3~4000美金。
在詢問到所需的軟硬體部份,lithium 表示最常使用的程式為 MyChanger,針對社交網站而言,它能將訊息、公告、迴響及個人資料的修改完全自動化;而他也採用了 VPN、Dedicated servers、Proxy,此外所有傳輸資料都經過加密以躲避追查。
最後有點意外的,lithium 認為 IE7 及 Firefox 2 內建的反網釣機制,對他造成了很大的困擾,不過當然他並不會就此"退休","Lazy web developers are the reason I’m still around pishing"。
全站熱搜
留言列表
