在本周早些时候,一个曾经在海军陆战队服役的网络工程师布莱恩·犀利(以下用犀利哥代称) 给了我两段电话录音,这两段录音是这哥们录的。内容是不知情的受害者打给旧金山FBI办公室和设在华盛顿特区的特勤局的。


 


有趣的是,不论是打电话的人还是FBI或者特勤局的工作人员都没有意识到犀利哥顺带偷偷的进行了录音。犀利哥只需要使用麦当劳的wifi接入点,就可以把Google Map中登记的FBI办公电话轻松劫持为自己的号码。

犀利哥在昨天对外披露了他的手法,如何在任何一个有互联网接入的地方,利用Google地图来伪造地点信息,例如地点、办公电话等。而实际上Google这个国际搜索巨头至少已经知道这个问题四年了,但到现在为止,他们对待这个问题的态度仍然是放之任之。



打电话的人先从Google地图上查找FBI和特勤局的相关信息,很显然他们并不知道Google地图上登记的信息例如办公电话等已经被劫持,继而拨通了Google地图上登记的电话。

如果你仔细观察上面的截图,电话区号都是425开头的,而这个号码是属于华盛顿州(不是华盛顿特区哟)西雅图附近地区的。犀利哥利用Google地图的漏洞,轻松的把FBI和特勤局的电话变成了他自己开的号码。每当犀利哥收到电话,这些电话都会被无缝地转到真正的FBI和特勤局号码。

 “谁又能想到Google地图的数据会有问题呢?所有人都相信Google,但显然Google也有很多东西是无节操无保障的。我甚至能伪造并劫持每一通白宫的电话,每个参议员、每个国会议员、每个市长、州长,甚至共和党和民主党的总统候选人。任何一个办公室的电话,无节操便无难度。”这是犀利哥的原话。

 犀利哥之所以特意使用425的区号,是因为他就住在西雅图附近。小编在这里顺便提一句,美国ATT可以轻松办理不记名的PrePaid电话卡,也有叫这种卡为Pay As You Go的,不想用了,直接扔掉。不管是什么类型的电话,是绝对没有长途和漫游这种说法的,因此很少有人会在意电话号码的区号是哪里的。

昨天下午,犀利哥走进了他在西雅图的家附近的一个特勤局办公室,还没等他离开办公室,手机上就收到了一条提示:一个从华盛顿特区附近的警官打给特勤局的电话,并且刚刚被他录了下来。

 录音之后他立刻被按倒在地了,探员对他宣读了米兰达条款,然后被丢进了问询室。不过犀利哥几个小时以后就被释放了。相关的Email显示因为曝光这个安全漏洞,负责此案的探员把犀利哥称为“英雄”。



在Google地图上搜索犀利哥伪造的地点信息,例如FBI等,搜索结果在Google地图上一直是官方第一犀利哥第二。直到特勤局问起了这件事他们才把信息删掉。上面的截图是小编在周三早上截下来的。至于为什么犀利哥挑了旧金山的FBI办公室,完全是因为尼古拉斯凯奇在“勇闯夺命”的中扮演的角色为旧金山FBI工作。

[ 第一段录音 ]

San Francisco FBI.

Yes ma’am, I just need to ask a question about a email I receive.

这哥们有一个关于电子邮件的问题。。。

转到另外一个工作人员。

You have reached Federal Bureau of Investigation public access line. This call may be monitored or recorded.

FBI, how can I help you?

Yes ma’am, uh, I call you to inform you that someone sent me a email that claim to be … He said I won a million dollar lottery joint from my email, and that… that need to … I mean, real, they all looks real. But they want me to pay 299 dollars …

That is a scam, you can report that email on our website if you go to fbi.gov…

好吧,就是一个老头收到一封诈骗邮件。可以听出这老头是移民,语法问题比比皆是。

 [ 第二通电话 ]

这通电话是一个老太太来问Inspector General通信地址的。转接后第二个接电话的探员说, 我们特勤局没有Inspector General,然后这老太太很不客气地挂了电话。也不知这老太太从哪看到有这么一个东西,小编搜了一下,美国卫生及公共服务部倒是有这么一个Office of Inspector General,但是和特勤局也差的太远了吧,特勤局快成中国的110了。



我们先把犀利哥的事情一搁,据一位名叫蛋·奥斯丁的安全顾问称,在Google地图上发布虚假信息已经成为黑色产业链的一环,他们把本地服务公司(办证、投下水、开锁等)的电话转到自己的呼叫中心,然后派出只收现金的服务人员。一些本地的服务公司甚至被挤出这个市场。蛋表示“Google在AdWords上赚的钱海了去了,所以他们根本不拿小公司的投诉当一回事”。Google在地图上一共咋了4000亿美元,收益甚高,但是用这个庞然大物来埋葬竞争对手也甚为简单。



按照犀利哥的方法,小编只需要不断的变化ip并注册Gmail就可以避免Google的机器人审查。小编也尝试着伪造了一个FBI的办公信息,猜猜哪个是小编的?这不是入侵,这只是恶作剧,呵呵

//silic.wiki