憑著女孩給的一串數字，黑客窺探出了人性

身邊人都在網上幹什麼了？對於某些特別的人，我們更是會格外的好奇。

如果說「窺探」也可以是「優雅」的，那定然是「黑客」所為。

那個再平凡不過的周末，暖陽把人們都變成了慵懶的貓。

世間的寧靜，總是隨突發事件的產生而終結。

接起吵鬧的手機，熟悉的聲音「我想知道一個男孩天天在幹嘛，幫我介紹個這方面的黑客吧，一會我就過來，你一定要幫我。」

此人姓王，名字裡帶個可字，我就一直叫她「小珂」。

小珂是個文靜的姑娘，能把話說到這份上，定是遇上了什麼事。

我以一頓海底撈為祭品，召喚出了黑客老師傅。

小珂一見面就細聲細語的講起，「我把我的VPN（訪問國外網路需要的工具）給了一個男生用，幫我監控他的網路吧，我想知道他都在幹什麼？」

猝不及防的的我連忙問：「你怎麼知道掛VPN上網的數據可以被監控？這個人是誰？你為什麼要監視他？」

「還不是你，上次我用VPN上Instagram的時候，你跟我說的。。。這個人是我高中的朋友，好久沒見了，我想知道他平常都在幹什麼。」小珂前言不搭後語的解釋。

她想知道這個男生平時都在做什麼，原因我心裡是大致明白的。

高中時，小珂對他心有好感，無奈後來出國念書，所以就並沒有機會去發展什麼。

這次是大珂在朋友圈裡得知男生找人借VPN打遊戲，因為有些遊戲在中國是沒有伺服器的，所以要翻牆連國外的網路。

好久沒聯繫，不知如何開口的小珂藉此機會，把自己的VPN給了他，以此建立聯繫。

VPN看起來就是一串數字，但是作用可不小。

VPN簡單說就是一個虛擬的IP，如果要訪問國外的伺服器，如facebook、google都是要掛VPN才能訪問的。網上免費的VPN普遍都不穩定也慢，而付費的會好很多。

VPN扮演的是一個中間人的角色，用VPN上網，你的數據要先經過VPN，再發送到你想訪問的伺服器，接收數據的時候也是要先經過VPN，才會到你的電腦，所以VPN可以理解成一個傳話筒。

特意囑咐小珂不要再使用這個VPN了，以免兩個人的數據混淆增加噪音。

才說個話的功夫，老師傅就熟練地搭好了監測工具。

果然，目標正在掛著VPN上網，從我們截獲的數據來看，他玩的是FIFA17（足球遊戲），所以連的是亞洲伺服器，看來這是個足球迷。

過了不到一個小時，數據的開始產生變化。

雜亂的數據里，我們看到了微博的地址，很幸運微博用的HTTP的傳輸協議。

現在主流的傳輸協議分http和https，http的數據是沒加密過的，劫持之後可以直接用工具讀。

https多了個S，這個S就是SSL加密協議，加密過的數據是無法直接讀取的，看不到數據的內容。

因為微博採用的是http的協議，所以域名旁顯示出「不安全」三個字。

從微博里的內容看，是皇馬的鐵杆球迷，全都是有關C羅和皇馬的內容。

喜歡的女明星是趙麗穎、iu那一掛的，這點小珂倒是滿符合的。

很可惜，沒有明文的賬號密碼。

雖然只能得到cookie，不知道賬號和密碼，但是配合黑客工具也能登陸。

微博可以多端登錄，就算我們不等他下線直接登錄，也不會被發現。

最後的消息都是幾個月前的了，內容也都是畢業的事。

用同樣的方法，監控到他在逛了遊俠網、熊貓TV、直播吧等網站。

此後的兩天，我和老師傅依然在監視數據的動態，把收集到的信息交給小珂。

這個男生的特徵畫像越來越清晰，喜歡的運動是足球、喜歡皇馬、玩足球遊戲、偶爾無聊會去直播平台聽聽歌、喜歡的女生是清純可愛型的...

在此期間，男生的人人網賬號也被我們拿到。

對於經過加密的https的數據，無法知道內容，但是老師傅通過分析IP地址，也能知道他訪問了什麼網站。

比如淘寶、京東、網易，就連找小黃片的XXXhub也被老師傅發現了。

http的網站碰上流量劫持，信息真不安全...

知曉了男孩的個人興趣和行為特徵，小珂永遠不怕無話可說，兩人拉近關係的進展事半功倍。

由於騰訊的信息安全做的十分到位，想通過監控流量來獲取賬號密碼很困難，所以QQ號一直沒能掌握到。

轉機總是在不經意間產生，就在男孩登錄某個小說網站的時候，數據包裡面出現了明文的賬號和密碼。

從經驗來看，大多數人都是一個密碼走天下，這個密碼很可能就是QQ的密碼。

一直等到三更半夜，確定男孩已經睡了之後，我們嘗試用這個密碼去登錄他的QQ。

很幸運，QQ用的也是同一個密碼。可隨即映入眼帘的一幕幕，讓我大跌眼鏡。

這個叫「差不多就好」的分組裡，從頭像看，應該都是女孩。仔細一看，都是些名字奇奇怪怪的人。

原來這些名字都是備註的名稱，小珂的備註是「海龜備胎」，其他的都是「備胎」、「胸大無腦」、「飯票」這樣的字眼。

因為這個QQ開了消息漫遊而且是會員，我們可以查到她和這些所謂「備胎、飯票」的聊天記錄。

裡面全是他正在勾搭的女孩，飯票其實就是可以去開房的炮友，備胎就是還在曖昧的姑娘，至於那些充滿荷爾蒙的備註，估計都是源於各種幻想。

三觀被刷了三遍的我，甚至想把這兩張截圖發給了他所有的好友，讓他明天自己爆炸吧。

現在會用VPN上網的人越來越多，而對對這方面的安全絲毫沒有概念。

搭建VPN的成本可不低，網上那些免費的VPN基本都是有貓膩的。

這些VPN很可能被監控，信息沒有安全可言。所有的數據都是人家手裡過，就算是加密的數據也不代表絕對的安全，只是破解成本的問題。

對於特定的目標，對方可以結合更多的網路攻擊手段來獲取支付信息，HTTPS的網站也可能會被替換成http，再比如ARP攻擊、CA證書偽造等、向用戶發送掛馬的誘導網站。最後達到獲取賬戶密碼，盜走錢財的目的。

往期精彩：

上了個「假」黃網，誤入了7億黑產的大門 - 知乎專欄

百度、高德，出來管管，黑產用你的地圖搞追蹤呢 - 知乎專欄

信息泄露，那些央視沒報的「內鬼" - 知乎專欄
推薦閱讀：