我们也雇个黑客用用？

雇个黑客用用

从“脚本小子”到能搞定复杂工控系统的高端黑客团伙，均声称提供“间谍服务”。但黑客雇佣是怎样实现的?下面我们来看一起真实的案例。

2013年，美国湾区两名私家侦探开始着手调查一起涉及被挖角员工的普通案件。但这两位私人侦探使用的手法却有如好莱坞大片似的“精彩”。检察官称，他们为了侦查客户的对手，雇佣了两名黑客。

内森·莫泽和皮特·西拉古萨被互联网市场营销公司ViSalus委托调查一个竞争对手，也就是曾起诉ViSalus非法挖走其前雇员的一家公司。政府宣称，莫泽和西拉古萨(旧金山警察局从警29年的退休警察)招募了两名黑客入侵对头公司的电子邮件和Skype网络电话账号。起诉书中显示，两名黑客为隐藏踪迹，采用在Gmail邮箱帐号“krowten.a.lortnoc”和“control a network”的草稿箱中留言进行沟通。

联邦检察官并未指明被告是怎样找到这两名黑客的，但一个明显属于其中一名黑客——印度贾巴尔普尔邦的苏米特·古普塔的邮件地址，在去年也被用于在自由职业者留言板WorkingBase上找寻可以入侵安装了Windows系统和微软Office办公套件的计算机的软件。发帖人称愿出250～750美元求购代码，但要求代码必须“完全无法检测，运作良好”，并“期待找到物美价廉的竞标者”。

客户群跨度从希望压过竞争对手一头的公司高管到意图监视前任情人的分手情侣，什么样的人都有。

这起加州黑客案件揭开了发展迅猛的网络犯罪市场一角，自由黑客们，无论活跃在公共论坛还是隐身于黑市，随时随地满足每个人的特别需求，从想作弊的学生和嫉妒心爆棚的男友到律师事务所和公司高管们。

尽管很难证实美国最富盛名和最具影响力的商业杂志之一《Fast Company》调查过的6家在线交易平台上黑客帖子的合法性和真实性，有些站点自夸其拥有类易趣网的反馈机制，可以使用户为可靠的卖家提供证明并相互提醒防骗。从业余的青少年小黑客用现成间谍软件执行单一任务最高喊价300美元，到动辄要价数万美元跨国窃取知识产权的复杂工业间谍服务。

黑客市场威胁情况十分复杂。黑客组织可把情报卖给任何一个愿意出价的人。

举个例子，在上文中提到的黑客中介网站黑客工单上，黑客们能以与外包服务网站类似的方式竞标项目。寻求黑客任务外包的人可以免费发布任务，或者额外多付一点费用让自己的任务列表出现在显眼的位置。黑客通常花费3美元进行项目竞标，用户发送信息也是要收费的。网站提供第三方委托付款机制来保证服务提供者只有在黑客任务完成后才能拿到钱。

尽管黑客工单称其仅作为像是找回遗失密码之类“合乎道德和法律的用途”，但它每天大约新增12个任务列表，有些任务需要能够黑进私人网站、社交媒体账户和网游的人。

在3月份发布的一份报告中，欧洲刑警组织——欧盟的执法部门，预测在线社交网站和像密码货币这样的匿名现金转移机制将会继续刺激“犯罪即服务”的增长，并为像自由职业者一样工作的罪犯提供种种便利——在线社交网络可提供相对安全的环境进行简单匿名的沟通交流。

但这一环境也不总是安全的。上个月早些时候，一名安全侦探撕下了黑客工单创建人的面具，揭示其幕后主人就是查尔斯·藤德尔，一名居住在丹佛的安全专家。之后不久，斯坦福法学学者乔纳森·梅耶尔爬取了该网站的数据，曝光了该站数千名访客的身份及其发布的黑客任务内容。

梅耶尔只找到21件成功完成的任务，包括：“我想黑进我女朋友的脸书账号”，1月份完成，成交价90美元;“需要进入某gmail账号”，2月份完成，成交价350美元;“我要黑了一个数据库，因为我要用它进行网络泄密活动”，4月完成，成交价350美元。网站上的大量黑客任务都涉及入侵脸书(23%的任务书中明确提及)和谷歌(14%)，并且事由是商业纠纷、感情纠葛或者篡改学分，攻击目标包括加州大学、康涅狄格州立大学和纽约市立大学。

梅耶尔在其博客中写道：“尽管绝大多数黑客任务都是单纯而不合法的，有极少数交易确实耸人听闻，且大多数已完成任务看起来似乎是犯罪行为，这些任务项目依然清晰反应出普通互联网用户可能寻求的典型黑客需求。但尽管如此，黑客工单绝对代表不了高端定制黑客攻击市场。”

无论所用软件是什么，无论黑客有多么精通黑客技术，基本的入侵方法总是相似。通过诱骗目标打开电子邮件附件或点击恶意网站链接在目标主机上安装恶意软件。方法古老，但奏效。