最新消息: 从暗网获取勒索软件，敲诈编辑的那些日子

科技观潮techsina 与浪同行

在大众印象中，黑客是邪恶的专家。然而事实上，有了勒索软件，不是专家也可以成为黑客。 出品 / 新浪科技 ID：techsina 编译 / 图尔 你或许多少听说过，互联网上遍地是黄金。当然，问题是，去哪里找到这些黄金。因为不是每个人都具备那种天赋成就自己的科技独角兽，也不是每个人都能混迹于斯坦福成为科技独角兽的早期员工，更不是谁都能死宅在家中训练成为世界级《堡垒之夜》玩家。软件工程工作有的确实报酬丰厚，但不是人人都有这样的机会。

但是如果你不介意触犯法律——或者说不介意触犯美国的法律——那么，你的选择范围就会扩大许多。你可以窃取信用卡卡号，或者直接批量购买这些卡号。你可以劫持银行账户，然后欺骗其他人向你转账汇款。你可以在约会网站上诈骗单身狗。不过，所有这些违法操作都需要或这或那的资源。比如：出售你盗刷信用卡所购得商品的渠道、一个愿意帮你套现诈骗所得资金的“骡子”、或者巧舌如簧并且也有耐心布设长期骗局。除此之外，你往往还得懂一些编程技巧。但是，假如以上条件你都不具备，那么你至少还有勒索软件。

恶意软件通常只是加密计算机或服务器上的数据，而勒索软件则允许攻击者以解密密钥为筹码，进行敲诈勒索。在美国，过去一年里，黑客袭击了巴尔的摩和新奥尔良的政府以及许多更小的市政府，让城市电子邮件服务器和数据库、警方事务报告系统，乃至911派遣中心系统瘫痪。医院尤其依赖时效性极强的重要数据流，因此这些地方也成为了极具诱惑力的攻击目标。同样易遭攻击的还有专门从事远程管理小型企业和城镇之IT基础设施的公司——攻击劫持这些公司意味着可以高效地对他们的所有客户发动黑客攻击。

随着黑客攻击的次数不断增加，受害者人数和赎金规模也相应地在上涨。美国联邦调查局（FBI）网络部门科长赫布·斯特普尔顿（Herb Stapleton）说：“一开始，勒索软件只是针对个人。渐渐地，一些没有有效互联网安全保护的小公司也成为了攻击目标。如今，大公司和市政府也难以幸免。”2019年，天气预报频道、法国媒体集团M6和运输服务公司Pitney Bowes Inc.均遭到过黑客攻击。去年夏天，佛罗里达州的两个小镇不得不支付110万美元以解锁数据。根据英国广播公司（BBC）的报道，欧洲取证公司Eurofins Scientific遭到黑客勒索，尽管公司并未证实此事。Travelex Ltd.也不愿透露是否向黑客支付数百万美元赎金，但截至本文撰写之际，该全球货币兑换商的网站仍未恢复，此事距离网站遭到攻击已有一个月。

在某种程度上，勒索软件的抬头乃在预料之中。勒索软件以其简单、可扩展且低风险的特征，成为干净利落的网络犯罪工具。人们认为，有些非常成功的勒索软件变体源于前苏联国家，因为在这些地方，精通技术的年轻人虽接受良好的教育却无法获得同等水平的工作。软件本身的性质再加上社会因素，从而造就了一个行业——科技的“反派”孪生兄弟。

如今，潜在的攻击者都不必自己创建勒索软件；他们可以购买一个。如果他们还不知道如何使用勒索软件，他们可以订阅服务，获得客户支持，简而言之就是客服会帮助他们发起攻击。软件即服务（SaaS）是一个庞大的全球行业，包括从Salesforce.com的客户关系管理软件，到Slack办公通讯平台，再到Dropbox云存储的一切。在同时充当论坛和黑市的暗网聊天室上搜索“勒索软件即服务”或者“RaaS”，你会看到大量反馈结果。在大众印象中，黑客是邪恶的专家。然而事实上，有了勒索软件，不是专家也可以成为黑客。“你可以是普罗大众，只要花钱买一款工具，”网络安全公司Flashpoint的情报主管克里斯托弗·埃里森（Christopher Elisan）说，“然后就可以开展勒索软件业务。”

你可以是一位受过良好文理教育的作家，但对iPhone或者互联网所知甚少，常常因为找不到共享硬盘而不得不求助办公室的技术支持人员。换句话说，这个人就是我。但真是这样吗？我在开始写这篇文章的时候并没有打算亲自尝试勒索软件。然而，几周后，我灵光一闪，想到假如像我一样的人可以成功进行数字打劫，那么这就可以成为黑客界的图灵测试，可以证明网络犯罪已经发展到一定程度：无法区分软件辅助的普通人与货真价实的技术人员。作为一名记者，这么些年来，我一直在报道别人，他们的所作所为，都是我力不能及的。这一次，我终于能够亲自下场。

步骤一：鱼叉式网络钓鱼