吉姆·斯蒂克利(Jim Stickley)是一名至今“逍遥法外的窃贼”。20年来,他攻入了超过1000家银行,但从未因此被逮捕。正因为他,我们银行帐号才变得更安全。斯蒂克利的真实身份是“渗透测试员”——一颗打入银行安全网络的测试弹。

http://www.youxia.org/wp-content/uploads/2013/04/67c17180dede2d0ad8a34ed94cabe436.jpg

他的生活和电影《大盗》里面的情景差不多。这是一部1992年的经典黑客电影,由罗伯特·雷德福(Robert Redford)主演。银行、政府、企业聘请斯蒂克利来测试他们的安保网络。

斯蒂克利描述自己的工作说,他会假装成为一名工人,令银行员工认为他是可以信任的,并护送他进入银行的办公区和保密区。一旦打入银行内部,他就会偷偷安装键盘记录器和无线网卡,以窃取信用卡号码、ATM卡号、银行帐户、社保号码以及其他个人资料。他最喜欢把自己打扮成一名消防员。

他说:“我已经在网上购买了消防员徽章。我现在拥有每个州的消防员徽章,尽管没有人会认真看一眼这些徽章。”

此外,他会在一些制服商店购买正宗的消防员制服。为了让装束更加完美无瑕,他甚至在腰带上别了一个消防员专用的无线对讲机,并且让一名“同伙”在银行外面拿着另一部对讲机作为接应。同伙会通过无线电向他传送喋喋不休的谈话,让一切显得十分逼真。

然后,他就可以在银行里自由进出,并安装键盘记录器。键盘记录器是一个小小的闪存设备,能记录下每一次击键行为。

他说:“我们也会尝试攻入电脑网络。比如,我们会在银行办公区域的开放网络端口插上一个无线设备,然后我们就可以坐在停车场的汽车里发起攻击。”

除了消防员装束,他也会使用其它制服。他说,灭虫工人也是一个很好的身份。

银行很安全?安保测试员攻入千家银行从未失手

吉姆·斯蒂克利打扮成灭虫工人的样子

他的所作作为并不会触犯法律。在盗窃任何一家银行之前,他会事先获得必要的法律权限。但是,银行里的工作人员和警察并不清楚他的工作内容,因此可能会作出反应。理论上,他们应该发现他的“可疑行为”并制止他。

可怕的是,他们从来没有这样做。

斯蒂克利已经从事这项工作20年了,但从来没有失手过。有一次,他险些被发现,清洁人员察觉了他的可疑行为,并叫来了警察。他出示了假的员工徽章,并试图让他们放他进来。

斯蒂克利指出:“人们一直以为,黑客只会通过技术手段攻入银行,但事实并非如此。犯罪分子会挑容易的下手。”换句话说,他们将会装扮成消防员的样子,然后大摇大摆地走进银行。

多年来,他让银行变得更加安全。对于普通银行客户,他提出了这样的建议:

使用网上银行没有问题,这和你在自动柜员机和银行柜台的操作一样安全(或不安全的)。但是,你用来登陆网上银行的电脑不应该让你的孩子使用。他们会胡乱下载和安装任何东西。从互联网上安装应用程序容易让你的电脑中毒。(稿源:腾讯科技)

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。