老狼被捕的消息在暗网传开,用了不到四十分钟。
叶诤在车里刷到那条帖子的时候,天还黑着。帖人用的匿名id,标题很短——黑蜘蛛平台关停,管理员被带走。正文就三行,底下跟帖已经翻了好几页。有人骂老狼是内鬼,有人说平台资金被抽干了是典型的跨平台黑吃黑,还有人趁乱在帖子里打广告接单。
叶诤把手机揣进口袋。周武开着车,路灯的光一道接一道从挡风玻璃上滑过去,车里头忽明忽暗的。
“黑蜘蛛倒了,上面的商户可没倒。”周武眼睛盯着路,“二十三个技术黑产,散的散躲的躲,迟早有人重新搭台子。”
“不用等他们搭。”叶诤靠在椅背上,眼睛半闭着,“他们会来找我。”
他说对了。老狼被抓之后不到两个小时,系统监控到黑蜘蛛的备用通讯频道里有人在张罗“灾后重建”。牵头的是个叫“深海”的id——之前平台上的头号商户,专做ai生成式钓鱼邮件攻击,金牌商户排第三,仅次于那个卖假药的。
深海在频道里了条加密消息。系统解密之后,叶诤看了两遍。
“黑蜘蛛没了,客户还在。换平台,换名字,生意照做。手里有项目的私我,技术栈保留,工具包升级。”
底下十几个商户的回复齐刷刷的,一水儿的“收到”。
叶诤盯着这条消息,脑子里忽然冒出个念头。
不是阻止他们。是反过来。
他在ar界面里调出一个废弃邮箱——上大学时候注册的,绑了几个不重要的账号,后来就闲置了。邮箱里塞满垃圾广告,最后一封正经邮件是五年前的。
他让系统把这个邮箱包装了一下。包装成一个在跨国律所做法务的中年人,姓周,英文名david,负责亚太区合规审查,经手跨境并购的法律文书,邮箱签名档挂着一串英文头衔,看着就像那种会收到银行合规通知的人。
然后他用“数据猎手”的身份重新登了暗网,给深海了条私信。
“有个项目,需要定制钓鱼邮件。目标是某律所的法务主管,邮箱我来给。邮件内容伪装成欧洲某银行的合规审查通知,附一份pdf。附件打开之后不需要植入木马,只需要在后台静默抓对方邮件服务器的返回数据——我要他邮箱里的客户通讯录。”
深海过了大概四十分钟才回。这个时长本身就说明他在犹豫——反复确认叶诤的身份和信誉。
“数据猎手?之前在夜枭市场那个?老狼提过你。项目能接,先打定金o个比特币,交付一周,给全流程截图。”
“太慢。”叶诤回,“三天,我加钱到o全款。但有个附加条件——我要你们团队的工具包样本。不是钓鱼邮件工具包,是你们生成邮件内容用的ai模型配置。”
深海那边卡住了。对话框上“正在输入”闪了将近两分钟。
“ai配置不外售。但你需要什么效果,我可以具体描述。”
“那就描述。”叶诤说,“详细描述。用的是什么模型,提示词怎么写,怎么绕开邮件服务商的垃圾过滤。”
这次深海回得很快。大概觉得这不算什么核心机密,描述一下又不少块肉。
“主力模型是gpt-的破解版本,绑了假开者账号,api走境外服务器。提示词分三层:第一层生成邮件正文,模仿银行口吻,用语调库调语气;第二层给收件人做画像分析,自动爬对方社交媒体上的公开信息,定制称呼和落款;第三层批量生成变体——同一个钓鱼内容拆成几百个版本,每封措辞、标点、换行位置都不一样,垃圾过滤器的模式识别直接被打散。”
叶诤听完,手指在膝盖上敲了两下。
千人千面。不是形容词,是真的——每一封钓鱼邮件都独一无二,措辞不同,段落结构不同,连标点习惯都被刻意错开。传统邮件安全网关靠的是模式匹配,但面对几百个完全不同的版本,匹配规则等于废纸。
“邮件头部的认证信息呢?”叶诤继续问,“dki签名、spf记录那些。”
“批量伪造。有自动化工具,一小时内生成两百多个看着合法的邮件头部认证。原理不复杂——找安全配置薄弱的企邮服务器,利用它们的信任域关系做跳板。出去的邮件看着像从正规公司服务器出来的,其实不是。”
叶诤把这段对话全部存了下来。
然后他做了深海绝对想不到的事。
他用“david·周”那个假身份,给深海提供的钓鱼测试地址了封邮件。那是深海团队用来测邮件送达率的虚拟邮箱,绑在一个不起眼的域名下面。叶诤写的邮件内容就一句话:
“你好,我是david。附件里的合规审查文件请查收。另外我不小心把工作邮箱和个人邮箱搞混了——这个地址才是我真正的个人邮箱,请以这个为准。”
附件是一份假文件,打开之后只有一个空白页。但文件里藏了个系统生成的蜜罐脚本——不是病毒,不是木马,是一个反向追踪信标。任何人下载、打开、或者仅仅是预览这份附件,信标都会自动激活,向深海团队的后台服务器一个看起来像“心跳包”的请求,而心跳包里夹着服务器的真实ip。
这章没有结束,请点击下一页继续阅读!
深海的人没有打开附件。
但他们把附件转给了另一个测试小组。那个小组里有个新人——大概是嫌麻烦,直接点了预览。