黑产江湖之Crypto大盗（上）

前言

人们平时上网，在各种购物网站、论坛、微博微信等各类社交App上注册了各种账号，注册这些账号会用到自己为数不多的邮件地址、手机号码以及密码；用这些账号发表的内容可能会暴露自己的照片等隐私信息，还有IP地址或者属地信息、自己或者家人的生日、地理位置等等。

这些信息可能会给你带来什么样的安全风险？

如果除了平时上网，你还想了解甚至涉足加密货币、区块链、DeFi、NFT、Web3、元宇宙等等领域，你应该知道需要学习一些基本的安全知识，比如漫雾的区块链黑暗森林自救手册等类似的资料。因为这之中确实有很多安全风险。

如果你觉得“安全风险”这几个字很抽象，本文的内容就是让你一窥黑产江湖的一个角落，见识一下具体的鲜活的攻击手法，让你在心惊肉跳之余，多少感受一些上网的安全风险所在，以及了解一些安全知识的必要性。

的确，本文涉及的还只是一个角落而已。那些State-Sponsored的黑客团体，那些手握0Day，操控者Botnet的匿名者，那些有能力挖操作系统/网络服务/智能合约漏洞的蝙蝠侠们，这里并没有涉及。高难度操作属于技巧非凡的捕猎者。但枭隼被击落、棕熊被射倒、巨鲸被捕获之后，在数字世界里，这些猎物大都不会由捕猎者独享，而是以拷贝的形式在散布于暗网的各个角落——其中可能包含了你在某个论坛上注册过的账户的用户名口令——永远不会消失。

一鲸落，万物生。网络黑暗森食物链的中层食物搜寻者，会围绕着这些猎物翻来覆去找寻找，榨取其中的价值。

开始之前，有必要简单提及一些本文涉及到的背景。

文中提到的Michael Turpin是加密货币的早期投资者，Crypto圈大佬，按国内的说法叫“万币侯”，他的加密资产价值应该有数十亿美元。

2017年，Michael Turpin的手机号码被黑，他的加密货币交易所的账号和Skype账号被攻入，一大笔加密货币被偷走。号码恢复之后，运营商AT&T承诺对他的手机号进行更高安全级别的“特别保护”。然后，2018年1月7日，他的手机号再次被黑。这次，他的coinbase账户里价值超过两千三百万美元的加密货币不翼而飞。Turpin将AT&T告上法庭，索赔两亿美元，最终获赔七千五百万美元，两个始作俑者，居住于曼哈顿的21岁的Nicholas Truglia和居住于波士顿的18岁的Joel Ortiz，被抓获，锒铛入狱。

2021年10月，Coinbase爆出漏洞，不需要双因素验证码（如短信验证码）的情况下就可以查询账号资产余额。多达6000个用户的资金被盗。

从交易所账户中偷走加密货币，只有短信验证码肯定是不够的，至少还需要获取账户的用户名和口令。在这之前，还需要付出各种努力和不菲的代价黑到手机号码和账户，还需要先锁定存有足够价值的加密货币的目标账户。所有这些信息和攻击步骤，黑产大盗是怎么得到和做到的？

2022年3月8号的暗网日记，一位自称Drew的人，通过变音，在主持人Jack的循循善诱下，讲述了Turpin被黑等类似案件背后，地下黑产江湖中以青少年为主的Crypto大盗们的操作手段。并非什么高超的技术手段，但高效而狂野的操作方式令人瞠目结舌。这一期节目叫做Dirty Coms。Coms是communities社区、社团的意思，简称为coms，是地下黑产的网络黑话，或说切口，就像一个个小江湖。

Drew的讲述从网络游戏相关交易，到OGUsers论坛上交易高价值社交网络账号（OG是Original Guru的简称，原创大佬的意思，应该起源于说唱音乐领域），各种社会工程学攻击，到他被人肉（Doxxing）并遭受线下“纸箱攻击”等很多内容。从盗取手机号码开始，Drew讲到了加密货币/NFT盗取。Drew思路有些跳脱，主持人Jack插入了一些说明。

为保持原汁原味，本文基本上原文翻译了涉及加密货币的这一段内容。如果想听原版讲述音频，感受一下变声后听起来什么样，去这里 https://darknetdiaries.com/episode/112/

---

正文

---

---

（......游戏皮肤交易，OGUsers上的Handle交易，各种Doxxing和线下攻击等内容......）

---

DREW>

我们可以讨论一下手机SIM卡号码切换。【国内称为“补卡攻击”的了解一下。原理一样，但由于国内外电信公司运营管理方式不同，这里的SIM卡号码切换与“补卡攻击”手法上有很大区别。】

---

Jack>

好吧，说到这里，听众可能知道SIM卡号码切换是什么，但如果不知道，我可以快速说一下。SIM卡号码切换是指，攻击者通过欺骗的手段，让电话公司把你的手机号码转移到他们的手机上。比如你买了一个新的手机之后，告诉电话公司说，希望你的号码换到新这个新手机上用【把SIM卡换过来当然就可以，但是你可以说SIM卡和旧手机一起丢了或者损坏了，所以才买了新手机。况且有些SIM卡并不总是实体卡】。

如今看起来，有人能直接搞走你的电话号码似乎不可能，但有一些方法可以做到。第一个方法听起来很明显。

---

DREW>

你在这些公司找到一个内部人员，通常是一个管理人员——我们称之为'manny'，让他把的登录账号给你，或者让他直接帮你切换指定手机号码到你的手机上。这些内部人员每次号码切换经常得到约10000美元的报酬。这就是最原始SIM卡号码切换攻击。

---

JACK>

好吧，这是做SIM卡号码切换的一种方式。显然，如果你是一家手机店的经理，你有能力这样做。如果你为这些孩子做这件事，你可以赚一些大钱，每个号码很容易超过1000美元。也许每个号码甚至是10000美元。但现在，这些孩子用一种新的方式做号码切换，一种野性的，甚至是狂野的方式。

---

DREW>

那么，这种方式，不是给电话公司打电话；实际上这种新的方式，就是去抢——把手机店经理手里那台有权限的平板电脑抢过来The remote tablet snathing，切口就是Remo。所以，你要去T-Mobile。T-Mobile是现在最容易下手的地方。你到T-Mobile店里，跑进去，从店长手中抢走平板电，然后跑掉。【据说在美国西海岸某些地方，这么明抢甚至不会有人追究，只要你跑掉】

---

JACK>

好吧，我明白了。如果你有店长的平板电脑，就是那台有权切换电话号码的设备。因此，通过明抢，你可以对某人进行SIM卡号码切换，这很容易理解。但是，等等，这并不容易。让我们后退一步。让我们回退一下。

首先，你需要知道SIM卡号码切换的目标——你想搞哪个号码。识别目标可能需要很长时间，有很多步骤，我想把它分解一下。

我们过去曾在节目中谈到过SIM卡号码切换，例如在名为 "The Pizza Problem and Tennessee"的一集中。里面两个故事，被作为攻击目标的人，仅仅是因为他们在Instagram和Twitter上有高价值的用户名。好吧，所以这是针对某人进行攻击一个缘由——以控制他们的用户名，并在OGUsers上卖出几千美元。

但我觉得现在这已经很老套了。现在有一个全新的犯罪浪潮正在兴起。

---

DREW>

我看到有人用SIM卡号码切换的方式搞网上银行登录账号，把账号里的钱汇出去或者转账。

---

JACK>

好吧，针对银行；虽然这种攻击在这个Com也常见，但要真正做到这一点真的很难。他们首先要搞到用户的网络银行有效登录账号。我们稍后会讨论他们如何知道密码。现在，我们假设他们已经搞到了一个银行账户的有效用户名和密码。所以，他们登录了这个账户。

---

DREW>

但他们没有办法提取资金，因为你必须收到一个OTP【One-Time PIN/Password/Passcode，最简单的形式是手机短信，作为双因素身份验证的一个因素】，才能提取资金。因此，他们就将此人进行SIM卡号码切换，以获得一次性密码。SIM卡号码切换攻击银行账户真的是一个疯狂的操作，因为银行账户里是有一堆钱，但要求你知道在现实世界里怎么洗钱，你必须找到一种方法，让人无法追踪到你。这显然是非常困难的。

---

JACK>

对，所以虽然有一些非常精明的人在这个领域玩，但更容易的目标是针对拥有加密货币的人。因为对于这种纯数字形式的加密货币，很容易搞走钱包或账户里所有的加密货币，然后把它发送到像Tornado Cash这样的匿名服务【本质上是运行在公链上的一个智能合约，没办法禁止，也极难追踪】中去兑现。由于现在这是个更容易的目标，这意味着现在有更多人开始在加密货币领域搞事。

好吧，那么，这些孩子瞄准拥有高价值加密货币钱包/账户的人是有道理的，但你如何找到拥有一个高价值的加密货币钱包/账户的人？

嗯，这需要一大堆的步骤。

---

DREW>

所以，这是一个巨大的市场，我不知道它有多地下，但它似乎很地下。

这些人使用我们所说的组合列表combo list，换句话说基本上是一个泄露的用户信息数据库，里面有密码和电子邮件等信息，其中的密码显然已经被解密，比如通过RainbowCrack或John the Ripper的工具进行了破解。他们通过比对——找到那些在不同网站上的账号信息中相同的部分，【比如用户名/邮件地址/手机号等】，然后再找出同一个用户在多个网站重复使用的密码。

JACK>

好吧，听众们听说过大型网站遭受数据泄露的情况，对吧，整个用户数据库被盗。如果你是这些网站的客户，你可能只是耸耸肩，也许会改一下你的密码然后继续使用，希望没有什么事发生在你身上，对吗？

这些泄漏出来的用户信息数据在这些圈子里就像是黄金。

首先，你可以去Raidforums.com或nulled.to或cracked.to这样的网站。这些网站发布了大量完整的泄漏数据【的种子】。你可能只要花几块钱就能搞到，然后你可以下载。我们说的是那些已经被攻破的大网站；他们的泄漏的数据就在那里，很容易获取，像Adobe用户数据，阿拉斯加选民数据，还有一个，是苹果公司的用户信息数据。还有成人交友网站，安卓用户论坛等等，这只是一小部分的例子。这些用户信息数据里面会包含各种信息，典型的，会有一个人的名字，他的用户名，他的电子邮件，也许还有电话号码和家庭住址，以及，他的密码。但密码通常是密文，这意味着你不能真正看到密码是什么。

但这正是可以破解密码哈希值的工具的作用。如果你只想破解一个哈希值，那是很难的，但是当你在Adobe数据库中有一亿条记录时，例如，你可能会发现一些哈希值不是很强。现在你有了人们的有效用户名和密码。现在，把这个用户名或电子邮件地址与各类泄露数据进行交叉对比。这个人是否重复使用密码？他在Adobe上的用户名和密码是否也适用于Netflix？很不幸，很多情况下是的。是的，很多人只记住一个密码，在他们拥有账户的所有网站上都使用这个密码。所以，现在只要破解一个用户信息数据文件，你就可能能进入某人的Netflix账户。这在那些地下社区开辟了一个全新的大规模市场。人们能以每个2.5美元的价格购买Netflix账户，因为这显然比每月支付18美元【现在是20美元】的高级订阅要便宜得多。

---

DREW>

好吧。那么我们可以从Netflix推测Walmart, 然后是Chipotle, Nordstrom, OnlyFans, Surfshark, NordVPN, Macy's Credit, Buffalo Wild Wings, Papa Johns等等。

---

JACK>

在一些网站你可以去购买这些网站的用户账户。你甚至可以买到一堆登录账号的整合包，比如说整包10美元。但是等等，你可能会想，为什么会有人想买一个Chipotle的登录账号呢？

这样的，你可能偶然看到过有人在Reddit的Chipotle板块上说他们账户里出现了的神秘卷饼订单的事。你可以在手机上下载一个Chipotle的应用程序，用它来订餐，但这个应用程序通常与你的信用卡相连，所以你可以用别人的Chipotle账户为你订一个卷饼，然后由他们付款。Papa Johns也是如此；如果你有别人账户的有效登录，就可以免费吃比萨。这让我们进入了比萨饼的世界，这个我已经密切关注了一段时间。

这种事是有点神秘。有这样的聊天室，你可以去下一个食物订单，比如三个大披萨，聊天室里有人会接过你的订单，只要你花很少钱，比如5美元。然后他们会用偷来的披萨账户登录，创建订单，然后把披萨发给你。他们花了2美元或3美元来购买这个账户；他们从中赚取5美元。你用5美元得到三个比萨饼，呃，账户持有人就是那个付钱的人。我告诉你，这里面水很深，我们没时间说太多。哦，买卖的这些有效登录账号信息，网络黑话，或说切口是log【Login Accounts】，所以有一大堆人在那里通过泄漏的用户信息数据库，试图找到可用登录到尽可能多的地方有效log，这样他们就可以出售这些log来赚钱。

---

DREW>

这样你可以以30美元的售卖苹果公司的log，因为人们可以使用买到的这些账号中信用卡来下订单购买苹果电脑并支付。他们对这些log收取50美元。你一天能有10个这样的订单，那就是500美元。

---

JACK>

现在真正流行的是Hilton Hornors酒店的log，因为这些log可以让你免费住上几晚高档酒店。

对，所以，你可以搞到两种类型的账户；FA和NFA。就是说，完全访问【Full Access】和非完全访问【Non-full access】。我们说的账户基本上都是NFA，非完全访问。一个完全访问账户是指拥有所有这些有效的登录信息，加上一个有效的电子邮件账户登录信息。因此，这意味着如果你能进入某人的Outlook或Gmail，那么你可以很容易地重置你想进入的任何这些其他账户的密码。这确实让你完全可以进入某人的数字生活。而且有一个小工具，一旦能进入某人的电子邮件账户，用这个小工具可以快速搜索账户中所有的邮件，看看这些电子邮件中是否有任何有价值的东西。

---

DREW>

这个工具叫Yahoo Arranger，可以做到这一点。它自动搜索Yahoo或其它你想看的网站里面的关键词，如果他们注册了。所以，如果你想知道他们是否注册了运通、美国银行或Chipotle，那么你只需使用Yahoo Arranger就可以看到。

---

JACK>

很疯狂，是吧？

但是，如果你没有FA账户，那也不难。你可以把打包的用户信息数据并转换成一个组合列表——只显示“用户名：密码”的格式化列表，你可以利用这个组合列表，让一个工具自动尝试登录大量的网站，以检查密码是否在任何地方有效。

---

DREW>

然后他们使用Sentry NBA、OpenBullet或SilverBullet等软件来自动检查所有这些组合列表。所以，不需要手工操作，它可能以5000个CPM的速度进行，这意味着它以每秒【也许应该是每分钟】5000次尝试的速度进行，非常快。那些人的log商店，我可以说，每天能卖出多到5000多份log。我自己可以看到——一个商店的销售数据，所以你可以知道每天卖出去多少。我见过有人每天卖出10000个以上的账户，每个账户3.5美元；35000美元。

---

JACK>

好吧，所以现在应该很清楚有人如何能得到一堆到各个网站的有效登录账号。行了，我只想说这些，因为这将有助于你理解我们如何找到有大量加密货币的人作为目标。

---

DREW>

我干这个营生的这些年里，见过的最受欢迎的数据库是Ledger数据库。Ledger是一家为比特币提供物理冷钱包存储的公司。那么，如果一个人买了Ledger的钱包，这说明什么呢？这意味着他们有比特币。所以，由此可见，这就是你的加密货币的完美目标。

---

JACK>

哦，非常有趣。Ledger是一个硬件加密货币钱包，在2020年，用户数据库被攻破。五个月后，该数据库被发布到Raidforums论坛。数据库里有电子邮件、姓名、物理地址和电话号码。里面没有密码或密钥。但只要稍加对照，就可以从Ledger泄露的用户数据中提取电子邮件地址，看看是否与另一个数据库中的任何电子邮件相匹配，并从那里看到该电子邮件地址是否有任何已知密码。然后你可以尝试将该电子邮件地址和密码输入Coinbase或Binance或Kraken或FTX或Gemini或任何加密货币交易所，看看它是否是一个有效的登录账号。这些都是人们保存其加密货币的加密货币交易所。

当然，如果你知道某人在加密货币交易所的用户名和密码，这意味着对他可能会有大麻烦。但这些交易所有一些安全检查，以挫败这些想干坏事的小孩。但至少，只是知道这个人是否在Coinbase注册，就有很大的价值。先别管他们的密码，先看这个电子邮件是否在这里注册过？

如果你输入某人的电子邮件地址和一个假的密码，它不会给你任何关于该电子邮件是否在那里注册的线索。但是，如果你试图用一个已经存在的电子邮件地址来注册一个新的账户，那么，Bingo，你成功了。Coinbase会提示你，说这个电子邮件已经在这里注册了。因此，这就是有人如何利用Ledger数据库转储，找出谁在Coinbase或Gemini或Kraken或Binance或其他地方有账户，然后与其他泄漏的用户信息数据库进行交叉引用，试图找出这些账户的密码是什么。

现在，如果小偷有一个有效的电子邮件和密码到你的加密货币账户，仍然有一个很大的障碍；2FA【双因素验证Two Factor Authentication】。所有的加密货币交易所都要求你启用双因素认证。他们敦促你用Google Authenticator谷歌认证器或Authy这样的东西，这是你手机上的一个应用程序，它有为每个账号显示一个一直在变化六位数字，你必须知道此时此刻的六位数字才能登录。最简单形式的2FA是手机短信。验证用户名口令之后再给你发一条短信，是一个六位或七位数字，输入这遗传数字才能成功登录。

因此，仅仅拥有一个用户名和密码还不足以进入某人的加密货币账户。你还需要那个2FA代码。

绝大多数Coinbase用户都使用基于手机短信的代码。

明白到我们现在说到哪儿了吗？

---

---

<待续>

接下来，Drew讲述了攻击过程的细节，包括获取电话号码，获取运行商信息，Remo，然后在十分钟内通过一个Telegram群，各色人等分工合作完成攻击的过程。最后是关于NFT和关于discord的那些事儿。

本期内容中提到的combo list/Ledger用户信息泄漏等，正好有个朋友做过分析，下一期也许会放出一些分析的实际数据供参考，也许还会把一个80亿条数据的Combo List提供出来供大家查询，看看自己有没有泄漏的账号密码。对，这个list里面的密码都是破解过的明文。

原文始发于微信公众号（网安志异）：黑产江湖之Crypto大盗（上）