说说xxshengqi,谈谈社工病毒

2014年8月4日 写评论

今天的图文二条会简单介绍了xxshengqi病毒的机制以及如何防范,百度手机卫士已经可以成功拦截了, 安装一下就不必担心中招了。

 

xxshengqi不是一个优秀的社工病毒,这一点看完了整篇文章你就明白了, 但是对于一个大一学生来说,本意不坏,只是玩了点小聪明,可能也没预料到这个结果, 还是希望执法机构可以网开一面,给他一个重新做人的机会。 已经中招的朋友们也希望可以对年轻人宽容一点,毕竟真要计较起来,文章后半段会告诉你能中招也是因为人傻,都提示到那个程度了还能同意授权……

 

在介绍xxshengqi之前我想说两个成功的社工病毒的案例:

 

第一个是我亲自参与并构建的,就是十几年前的 查看谁拉黑了你的msn。

产品非常简单,就是一个网站,需要你“登陆” 进msn,其实就是用你的用户名和密码获得你的好友列表,再配合我们数据库里已有的好友的在线状态,进行匹配告诉你结果。 刚开始肯定不准,但是我们会以你的名义给你的好友发邮件,告诉他们有这个网站, 很多人都有需求想知道自己是否被一些常年离线的好友拉黑或者删除了,于是就有大量人员中招。

 

这个项目发起人是一名加州理工的学生,我是提供技术服务, 由于数据库太大,一方面要付出巨大的开支,另一方面要不断优化, 后来该数据库在10年前卖给了某社交网站, 那次成功的退出也让我第一次萌生了走社工这条路的念头。

 

 

第二个就是如何查看加密后的qq相册, 那个年代的办法是用主人模式去看, 但是主人模式需要一个密钥, 叫client_key, 主人自己可以通过点击自己程序上的粉钻按钮,把网页停止掉,然后寻找url里面client key的值,但是外人就不那么容易了。

 

最好的社工办法是我这样的: 首先标榜自己是个牛逼的黑客,然后向人介绍说我可以看加密的qq相册, 你想学吗? 一切皆有可能哦!

 

然后就有一些人屁颠屁颠过来求传授,我就说方法很简单,就是利用粉钻功能, 你们试试, 点开粉钻,看到一个client_key没有,把这个值告诉我……

 

待他们告诉我之后,我就会用主人模式登陆他们的相册,再把他们加密后的相册里的内容给他们看, 于是一个个都膜拜、五体投地。

 

那他们要学的话怎么办呢? 我就跟他们说, 复制我所做的一切,先标榜自己是个黑客,然后让人带着client_key过来拜师…… 对了,这些人拿到client_key之后,还不能直接就看到,需要用一个我的软件, 而我的软件是带后门的,于是等同于他们钓到的鱼,我也可以享用的。

 

 

以上两条是不是觉得很忽悠,很没品,很没有技术含量? 其实社工病毒都是这样的,包括这次的xxshengqi, 老实说如果不是因为这孩子太稚嫩,这本应该是个挺不错的病毒。

 

 

下面再说一下xxshengqi的机制。

 

首先整个病毒中毒只需要下载一个xxshengqi.apk文件, 下载之后打开的话会提示安装资源包,其实已经在前一个文件解压目录里了,直接点击安装就好了, 安装的过程会提示你 要使用你的短信和通讯录权限。 必须你确认了才能下一步。 (这一点来说,上当的用户是自己蠢,作者其实挺冤的)

 

获取了你的同意之后,就开始用你授权的功能进行短信群发,群发内容如下:

 

 

 

只要你所有亲朋好友任何一个点击并下载安装了, 那么他就成为另一个傀儡,重复上面的步骤,给他的亲朋好友群发。

 

 

很遗憾xxshengqi没有成为优秀的社工病毒, 一个成功的社工病毒有3个关键要点:

 

  1. 需要一个核心需求。
  2. 无论 1 是否满足,需要优秀的鱼饵,引发病毒式传播
  3. 隐藏自己,让大量感染者替你完成传播。

 

 

xxshengqi 以上三点都不满足,首先说核心需求,他应该去想一个吸引人的功能, 比如做个约炮软件,或者是做一个杀耗电耗量长连接进程的工具都可以啊。社交app, 当年的开心网、微博等等是通过邮件,而短信转化率高, xxshengqi最终没有非法利用用户隐私牟利,当初如果能有一个核心的玩法,不说洗白,至少可以规避最重要的指控。

 

其次,xxshengqi的鱼饵不好,鱼饵的构成很复杂,先是缺乏核心需求注定了这个软件转化率不高,只能杀小白。 再是文案做的很差, 别随便给个看起来很山寨的链接啊,短链接会不会? 文案不能写好点么? 说烂一点比如说:“我在使用xx神器,短信群发好帮手,快点击下载 <url>。” 说好一点就是: 你的朋友某某给你发了一条加密私信,请安装<url> 查看。”

 

 

第三点就是隐藏自己, xxshengqi作者为什么这么快被抓到? 因为邮箱手机都是自己的,每一个中招的用户都会把数据发送给作者的手机, 这也是致命的错误, 做了这样一个东西,首先要下潜啊, 在不用隐私牟利的情况下做点正能量出来洗白, 套个几千万用户,绑流氓软件也怕是要大发了。不过据说作者没指望这点,好像只是为了监控女友手机做的这么一个玩意……

 

以上三点告诉我们一个好的社工病毒是需要精心策划和准备的,这是一个走钢丝的活,如果你想在社工界有一番作为,就不能死抱着技术不放,更要把做技术时浮躁的心态给压下去。 我在社工方面最大的感悟,一个就是要消除自己的存在感,第二个就是出手次数很有限,不能得分就不要出手。

 

 

 

 

人生如戏 厉哥 出品

【微信号】mintshow

人生如戏,全靠演技。

发表评论

电子邮件地址不会被公开。 必填项已用*标注