你愿意为一个陌生人入侵和控制中国网站,月薪高达10万美元吗?
一名神秘人士确实提出了这个令人心动、古怪且明显可疑的工作提议。这个人使用了一系列看起来像是假账户的账号,头像展示着性感女性照片,最近几周以来,滑入了X上几位网络安全专家和研究人员的私信中。
“我们正在招募网络壳子工程师和团队,负责侵入全球范围的中国网站,月薪高达10万美元。如果您感兴趣,可以先加入我们的频道,”一条消息中写道,附带了一个到Telegram频道的链接。
出于某种原因,我也从一个名为“看看我的主页”的X账号收到了这条消息,该账号的用户名为@JerelLayce88010,看起来像是随机生成的。
当我点击链接后,我能够看到频道的管理员,一个自称为“杰克”的人,头像为海盗,AI生成的。
“你精通渗透技术吗?”杰克问我。
我并不擅长,但我要求杰克告诉我更多关于他们的目标。
“获取中国注册域名的网络壳子。没有特定目标。只要域名在中国注册,就是我们的目标范围,”杰克提到了网络壳子,黑客可以用来控制被入侵的网站服务器的程序或脚本。“你需要了解中国的CMS” — 指内容管理系统,运行网站后端的软件 — “找到漏洞,并能批量获得网络壳子。我们需要的数量没有上限。数量越多越好。这是一项长期工作。我们可以建立长期合作关系。”
是的,但关键是为什么?
“我需要的是中国的流量,”杰克说,或许对我的问题有些失去耐心。
好的,但用于什么?
此时,杰克确实厌倦了我的问题,并给我了一个任务:给我获取三个中国注册域名上的网络壳子,以证明你具备这些技能。慷慨地,杰克为我每个入侵域名提供了100美元的报酬。
遗憾的是,我仍然没有这样的技能,也没有违法的意愿。相反,我继续问问题,包括杰克为谁工作。“印度政府,”杰克回答,尽管在随后的聊天中,杰克否认了这一点,他们责怪自己使用了自动翻译,因为中文是他们的母语。
我和一些收到杰克奇怪工作提议的研究人员交谈,他们也感到困惑。没有人说他们收到恶意链接,例如,或暴露某种盗取信息或骗局活动的可疑问题。
“我猜这更像是恶作剧者而不是一种严重的威胁行为者,”一位名为s1r1us的安全研究人员说,他收到了杰克在X上的一个马甲账号发来的私信。“如果他们想要雇佣顶尖人才,这绝对不是方法。”
著名的网络安全专家The Grugq告诉TechCrunch,他从未见过像这样的招聘活动。“我看到[人们]问一些愚蠢的问题,为各种与网络安全相关的事情而发垃圾邮件,”他说。“但从这个家伙那里得到的持续、广泛、奇怪的话——从来没有。”
根据The Grugq的说法,也许目的是感染中国境内的人员使用恶意软件,因为使用中国域名发动DDoS攻击或垃圾邮件并不合理,这无法证明高额报酬的合理性。
“我真的无法想到他们在干什么,”The Grugq总结道。“毫无意义。”
显然,其他人也无法,祝你一路顺风,杰克,无论你接下来要进行什么冒险。
