網路搬運工

  【声明】本文只是一个最基本的连锅端操作模型；在实际操作上，警察和间谍所做的很可能比这里能说明的部分更加深入和恐怖，这取决于他们的预算，也取决于他们的技术能力 —— 但是，鉴于全世界最高端的监控追踪技术一直在源源不断流入专制国家（在我们的 列表-4 “高堡奇人”  中看到具体案例汇总），于是，建议您始终高估、而不是低估，您自己国家政府的监视追逐能力。 尤其是，本文中完全没有使用任何高端追踪技术，就已经做到连锅端一个团队，每一个使用手机的人都应该了解这些。 首先，作为基本知识： 1、现在，几乎所有人都应该知道一个常识，即 任何重要的活动都不应该使用手机完成； 请注意，我们并没有说 “智能手机”，而是手机，这意味着包括一切移动设备，不管它有没有GPS和应用程序等功能 。当然，“智能手机” 是最危险的，不论是参与敏感聚会、与重要的人联络、还是保存重要信息等等需求，您都不应该使用智能手机。 如果您还不了解这一危险性，建议您仔细阅读以下内容： 《 警察如何利用抗议者的手机追踪每个人 》 《 手机应该有且只有一个用途：在敌对环境中保护自己（3） 》 《 你的手机如何背叛了民主？ 》 《 你的手机就是秘密监视设备 — Snowden访谈视频 》 《 智能手机本身就是不安全的东西 》 《 1200万部电话，一个数据集：利维坦眼中的世界 》 《 警察查手机的东西长什么样？ — — 从技术角度看移动设备取证 》 《 到底有没有无法被监听的电话？：变得难以被追踪的简单方法（8） 》 ……还有更多 2、一次性手机（或者叫刻录机电话/燃烧器电话）即 一次性使用的和侵入性较小的设备。 在大多数情况下都被建议为敏感活动使用 。但是， 您不仅需要知道， 错误的使用将使它的匿名功能失败 ；并且您还要知道，如下文中即将介绍的，即便您正确地使用了，刻录机电话依旧能成为连锅端的灾难。 3、我们经常说 创造力才是行动者最强大的武器 ，这点非常重要；这意味着 您不论通过哪种渠道获得行动技巧方面的学习，都不应该照搬和模仿 ；因为，您可以确信，全世界一切曾经被使用过的技巧都已经有了相应的反制措施，而您的对手整天都在研究您，他们会尽可能全面地想象您可以使用的任何技巧，以为打击您做好准备。 于是， 您的最大胜算取决于，您是否能想到您的对手想不到的事，是否能做到出乎他们的意料，让他们措手不及 。否则，对您的镇压将像应

  多因素认证智能手机应用程序（如谷歌认证器）生成的代码也不是可靠的，也会被同样的方法利用。 iyouport 40 min ago 2 这些机器人看起来令人信服，且可以毫不费力地帮助黑客入侵 Coinbase、亚马逊、PayPal 和银行账户。 我们在10月14日发布了这个消息： https://t.me/iyouport/8845 这通电话来自 PayPal 的防欺诈系统。根据电话中的自动语音，有人试图使用我的 PayPal 账户消费58.82美元。贝宝需要验证我的身份以阻止转账。 语音说：“为了保护您的账户，请输入我们现在发到您的移动设备的验证代码”。贝宝有时会给用户发一个代码，以保护他们的账户。在输入一串六位数字后，该声音说：“谢谢您，您的账户已经得到保护，这个请求已经被阻止了”。 “如果有任何付款被记入您的账户，请不要担心：我们将在24至48小时内退还。您的参考ID是1549926。您现在可以挂断了”，那个声音说。 但这个电话实际上是来自一个黑客。诈骗者使用了一种机器人，大大简化了黑客欺骗受害者的过程，让受害者交出各种服务的多因素认证码或一次性密码（OTP），让他们登录或授权现金转账。各种机器人以苹果支付、贝宝、亚马逊、Coinbase 和各种特定银行为目标。 以前愚弄受害者交出登录凭据或验证码，往往需要黑客直接与受害者对话，比如在电话中假装是受害者的银行，而如今被广泛使用的这些机器人则大大降低了绕过多因素认证的门槛。 主板要求一个叫 Kaneki 的人通过向主板记者的手机发送自动呼叫来演示这种攻击能力，他在网上销售这类机器人。在输入一个代码后，Kaneki 显示他的机器人收到了相同的代码。 “这个机器人对于没有社交工程技能的人来说是很好的”，另一个声称获得了这种机器人的网友 OTPGOD777 在网上聊天时告诉主板说，不是每个人都能 “在电话中自如地说服别人，你知道”。而机器人则可以轻易做到。 有了这些售价几百美元的机器人，任何人都可以开始绕过多因素身份认证，这是一项被很多公众认为是基本靠谱的安全措施。而这些机器人的存在且越来越受欢迎，引发了这样的问题：在线服务是否需要提供更多对抗网络钓鱼的认证形式来保护用户。 双因素认证并不总是靠谱的。如果您错过了《 如何使用社交工程来攻击 2FA？ 》 https://t.me/iyouport/8843 要侵入一个

  Google AdSense 根據我的舊搜索查詢強制投放上下文廣告的方式一直困擾著我。 從搜索到現在似乎已經過去了相當長的時間，cookies和瀏覽器緩存被清除了不止一次，但廣告仍然存在。 他們是怎麼一直跟踪我的？ 事實證明，有很多方法可以做到這一點。 https://ascarding.com/threads/browser-fingerprinting-how-to-track-users-on-network-part-1.1455/ 簡短介紹 用戶識別、跟踪或簡單的網絡跟踪涉及為訪問特定站點的每個瀏覽器計算和設置唯一標識符。 一般而言，最初它的目的不是某種普遍的邪惡，與其他一切一樣，它也有反面，也就是說，它旨在帶來好處。 例如，允許網站所有者區分普通用戶和機器人，或者提供存儲用戶偏好並在後續會話中應用它們的功能。 但與此同時，廣告業也很喜歡這個機會。 眾所周知，cookie 是最流行的識別用戶身份的方式之一。 自 90 年代中期以來，它們一直被積極用於廣告行業。 從那時起，發生了很多變化，技術已經遙遙領先，目前僅使用 cookie 跟踪用戶並不受限制。 事實上，有很多方法可以識別用戶。 最明顯的選項是設置一些標識符，例如 cookie。 下一個選項是使用有關用戶使用的 PC 的數據，這些數據可以從發送請求的 HTTP 標頭中獲取：地址、使用的操作系統類型、時間等。 最後，您可以通過用戶的行為和習慣（光標移動、網站的收藏部分等）來區分用戶。 顯式標識符 這種方法非常明顯。 所需要的只是在用戶端存儲一些長期存在的標識符，可以在後續訪問資源時請求該標識符。 現代瀏覽器提供了足夠多的方法來為用戶透明地做到這一點。 首先，這些都是很好的老餅乾。 然後還有一些插件的功能，它們在功能上類似於 cookie，例如本地共享對象、閃存或隔離存儲 Silverlight。 HTML5 還包括幾種客戶端存儲機制，包括localStorage、File 和IndexedDB API。 除了這些位置之外，唯一的令牌也可以存儲在本地機器上的緩存資源或緩存元數據中（Last-Modified，ETag）。 此外， 您可以使用從瀏覽器為 SSL 連接生成的 Origin Bound 證書中獲取的指紋、SDCH 詞典中包含的數據以及這些詞典中的元數據來識別用戶。 一句話，機會多多。 餅乾