警方抓捕瑞智华胜公司犯罪嫌疑人
然后,这些账号密码都会流向黑市,并被黑客们整理成为 " 邮箱号密码库 " 和 " 手机号密码库 "。
因为大部分平台都会要求用户绑定邮箱、手机号 …… 等长期使用的账号。所以黑客就可以将这些账号当做特征码,用 " 密码库 " 撞击账号,进而盗取微博账号。
2)黑客 " 改包 ",不用登陆就能操纵你的微博
除了撞库技术外,还存在另一种不用登陆就能操纵你微博的方式——改包。
他们是怎么操作的呢?
首先,我们需要明白一点,就是网络信息的传递并不是 " 手机——平台 " 这样的直线传递,而是需要经过很多中转环节的。
我们手机或者电脑上收到的每一条网络信息,都需要经过经过互联网络、运营商、局域网等多层环节。
很多黑客会利用这种信息传递模式,利用各种插件、公共 WiFi…… 等手段伪装成局域网的网关(可以简单理解成信息中转站)。
当你的信息经过黑客网关时,他们就可以截取下你发送、接受的数据包,也就是黑客们所说的抓包。被抓取的数据包里面,一般都会包含有你账号的 UID 码和 accessToken。
UID 码就是平台分给账号的特征码,就像我们的身份证号一样。
accessToken 是账号的访问令牌,只要获取到 accessToken 就能直接操纵你的账号。
获取这两个信息后,黑客们就可以通过更改数据包来操纵你的微博账号。
举个例子吧,假如你的微博在登陆时关注了 @小 A ,那么你就会向微博服务器发送一个你关注了 @小 A 的指令。
当黑客抓取到这个数据包后,只需要将 @小 A 对应的 UID 码更换成别人,然后再把指令发给微博服务器,就可以直接操控你的账号关注别人了。
例如在知乎上,就有一个资深程序员演示过,利用改包的方式让大批傀儡微博和自己互动。
图源:@Evil-say
除了大量盗取真人账号外,刷量灰产还会批量注册很多机械账号,目的就是为了承接各种涨粉、点赞、转发等流量造假生意。
02 博彩灰产,利用微博引流的巨型镰刀
大家应该都知道,现在的微博是一个以娱乐、明星内容为主的流量平台。很多学生党、饭圈女孩、电竞男孩 …… 都活跃在微博上。
这些十几二十岁的年轻用户往往社会经验不足,对骗局、套路辨别能力不强。所以,很多以年轻人为目标人群的灰产都盯上了微博,把它当做引流的流量池。
博彩灰产就是在微博上泛滥的一种。
当然,其中有一些是相对正规的官方博彩,譬如在之前电竞德玛西亚杯期间,微博就被投放了大量电竞博彩广告。(虽称不上灰产,但依旧是教唆人参与博彩)
图源见水印
除了官方博彩广告外,微博上还有一种更泛滥、更坑人的 " 黑博彩 "。
它们在一开始想的就不是什么正经生意,而是通过各种*套路,收割微博上的 " 年青韭菜 "。
1)乔装换面,以网赚名义引流
当然,即便是涉世未深的学生,也都知道博彩不是一个好东西,更不用说没有任何公信力的黑博彩了。
所以,黑博彩利用微博引流的第一步就是:乔装换面,以高报酬网赚的名义吸引用户。
譬如前两天,我在刷微博时发现了一个网赚广告,不但宣传说:
每天简单花个几分钟,就能赚到零花钱。
还贴出了足足 9 张网赚收入截图,每单都在十几元以上。粗略一算,貌似一天赚个 100 多块不成问题。