wsstest
2019-01-08 13:43:52 +08:00
我从专业角度来解读一下,黑客所说的究竟可不可能。
“他声称在某网站安装了恶意程序,然后我访问网站的时候他通过浏览器开启了远程桌面,记录了我的密码,并且打开了我手机的摄像头录了视频”
1.“他声称在某网站安装了恶意程序”
这应该意味着他已经成功入侵了这个网站,并通过插入暗链或其他方式在页面中留下恶意代码,通常为恶意的 js。在受害者点击该页面后会自动加载这部分恶意代码,从而劫持用户的浏览器。当然这一切的前提是该黑客成功入侵网站并拿到 webshell 或服务器控制权限,这点是有可能的。
可能性:50%左右
2.“然后我访问网站的时候他通过浏览器开启了远程桌面,记录了我的密码”
黑客通过页面中的恶意代码通常能做很多事,如获取用户 session、迫使用户跳转到其他网站,但能否直接在受害者电脑上执行开启远程桌面的命令?这点我不是特别了解,从业多年也没了解过类似的事情,存疑。而记录密码基本是不可能的,黑客通常使用 mimikatz 工具来获取受害者服务器上的明文密码,但这必须在获取受害者服务器的权限的情况下才行。举个例子,黑客通过某网站漏洞入侵植入 webshell 控制服务器后,通过上传 mimikatz 获取服务器明文密码,然后以此密码为基础制作字典去破解局域网内其他服务器的口令。
可能性:<10%
3."并且打开了我手机的摄像头录了视频"
看到这里,我才发现楼主应该是使用手机去浏览的这个网页的- -,所以上面第二点当我没说- -!。假如是通过手机去浏览被黑客控制的网站的话,黑客要攻击你的手机也是很困难的。不要看网上经常有报道 XX 网站被植入 XXX,受害者 XXX,其实无外乎几种情况:1.攻击者伪造了钓鱼页面,受害者填写了用户名密码结果账号被盗; 2.攻击者在页面嵌入下载链接,诱使受害者下载文件(如提示受害者 XX 软件需要更新)。至于能否打开摄像头,我对移动端没有多少研究,但是在电脑上是可以通过恶意代码打开摄像头的。我不知道楼主的安全意识如何,安全意识充分的话,中招的可能性是很低的
可能性:20%左右
综上所述,黑客所说基本不太可能,而现在的欺诈者执行的策略是广撒网,目标群体是那些安全意识不足的人,通过欺骗、恐吓他们实现自己不可告人的目的,而这招对有安全意识的我们是没什么用的。