黑客只有初中毕业：1分钱充300话费 赚了6万被判5年

利用软件修改APP和服务器之间的通讯数据，这叫做抓包，这种技术在羊毛界被叫做FD。

如果电商或外卖公司存在漏洞，不对前端传回来的数据做有效性校验，就可能出现这样的问题：1分钱吃外卖、1分钱充话费、1分钱买彩票，1分钱买手机……

因此，羊毛界有时也管这类黑客叫做“1分党”。

2018年4月27日，北京市第三中级人民法院最终宣判：因为对亿美软通、北京易麦通两家公司的信息系统进行攻击，黑客王某获利6万余元，被判有期徒刑5年。

资料显示，亿美软通是上市公司银之杰的全资子公司，国内领先的移动商务平台技术和应用方案提供商，其客户中包括谷歌、百度、阿里巴巴等知名厂商。

1分钱充300元话费 黑客赚了8990元

2016年4月19日，黑客王某在收费群中发现一条线索：亿美软通公司的微信公众号“来抢”存在漏洞，在公号上充值话费，服务器不对传回的数据做有效性验证。（也就是上文所说的1分钱攻击）

（看着这个奖，觉得很别扭）

于是，王某根据线报提供的操作步骤，打开FD软件和微信公众号，输入要充值的手机号，再点击FD软件的拦截按钮，软件就会自己拦截充值信息。再在FD上把充值金额从300元修改成0.01元。

看起来很简单对吧，没错，这种操作几乎不需要任何黑客技能，只需要“花钱买线报”和“大胆不怕坐牢”就行。王某只有初中文化程度，他的攻击软件、攻击流程都来自线报群，当初为了进这个群，他花了年费1688元。

根据法院判决书，用这种抓包修改方式，王某共充手机话费30次，获利8990元。

当天晚上，王某还在聊天软件上跟人炫耀：“手慢了，我还给其他人充了不少，不然这一波2万元没问题”

4月20日，亿美软通公司发现问题，及时报警。

5月30日，王某在山东老家落网。

抓包攻击易麦通，黑客赚了6万元

被抓之后，王某还向警方坦白交代，利用抓包技术攻击北京易麦通旗下的“品质365”网站，兑换成4万余元的话费，iPad air、iPhone等电脑和手机设备，总计价值约6万元。

第一次攻击之后不久后，5月2日，王某利用“品质365”网站的漏洞，采用几乎同样的攻击方法，修改服务器和APP之间的通讯数据。

易麦通公司证人、技术人员王某表示，“有人利用我们的漏洞，反复在商城刷退款记录，然后用退款的钱换我们的话费和商品”

至于具体的攻击办法，王某表示：“如果他要充100元话费，就要在自己的账户里充入100元，再向我们商城申请充值100元；但他只在账户里充40元就向我们申请充值100元，我们的系统肯定会将这个申请退回。退回的时候服务器会发出一条退回命令，他用黑客软件截获这条命令，然后将退回的金额修改为400元，服务器接受这条命令后，就会把400元退到他的账户中”（从王某的描述看，这就是服务器没有对数据有效性进行校验）

让人哭笑不得的是，易卖通公司没有及时发现黑客的攻击，朝阳警方联系该公司、向其核实王某的交代是否属实，公司自查之后才发现漏洞存在。

抓包攻击已泛滥 受害者有巨头有小公司

前不久黑奇士公号曾报道，某外卖巨头也因此类攻击损失30多万，抓包攻击已经成为羊毛党经常使用的攻击手段之一。

一旦电商、外卖、金融等公司出现此类漏洞，则羊毛党们除了自己撸羊毛之外，还可能通过赚客网站、QQ群等方式进行广泛扩散，从而给公司造成巨大损失。

文章出处：黑骑士