运营踏坑之4：贼惦记

搞语音运营的，如果说有谁没被盗打过，那估计新入行不久。

但你要去问，估计没几个人会承认，毕竟被被偷了，不是件太光彩的事。

要么是技术水平不行，要么就是管理不行。

这个就跟买奢侈品一样，一个编织袋风格的包包，几十块的成本卖你几万，买了后，你肯定会说它确实好。

掩盖自己的错误，跟展示自己的眼光及品味，看起来表现不同，本质是一样的。

可是，做运营，被盗打，被发现是件很好的事儿，更多的时候，是不被发现。

我们的客户，使用我们的呼叫中心系统进行运营时，就碰上过这事儿。

大概是1年前，我们突然监控到，多个客户的系统上，出现来源不明的呼叫，而且采用各种呼叫方式去尝试。

当然，我们的系统，经受住了考验，大概经历了一天的冲击，没有突破最基本的安全验证，更别提后面的计费验证了。

这件事情，客户完全无感知；但对我们来说，是新鲜第一遭，以前只是侧面了解，这次是正面交锋。

印象中，是有3台服务器，分布在不同地区，基本在前后时间内被盗打的方式攻击；原来，有一种盗打，是全网扫描式，有漏洞的系统，必然中招。

前些年，asterisk兴起的时候，不少人拿这套开源系统，构建自己的通信系统。

因为开源嘛，免费，省钱啊；不过后面听说不少人被盗打，特别是国际长途。

因为自己的技术能力不够，或意识不到位，让黑色产业链无差别攻击钻空子的盗打，越发少见。

因为尝过苦头的人，就知道，免费并不便宜。

再说说管理上的盗打。

做语音运营，公司来来往往不少人，说不好哪天那个人就出去单干了，或跳槽了。

最怕的，对原公司心存不满的，然后又熟练掌握公司运营系统口令、漏洞的。

那就等着炸弹的爆发吧。

所以，见过这个行业，很多系统的核心密码，公司技术不知情，由老板亲自掌管；而很多老板记性又不好，所以，找厂家恢复密码，也是一大常事。

虽然我们技术会抱怨，但我个人非常欣赏那种，每次找我们做技术维护提供的口令都是不一样的客户！

这世上没有不透风的墙。

有人的地方，就有江湖。既然是江湖，有明规则，就一定有潜规则。

比如，系统的后门。

我以前跟我们的客户说，我们系统没有设计后门，但发现没有一个客户相信。

他们说，用你的系统，你知道我的数据，是必然的；别跟我扯犊子，不信。

好吧，身在江湖，江湖的规矩，不是你说不遵守，别人就相信的。

所以，产品中，厂家设计的后门，不管是技术机制，还是人员管理，如果厂家疏于管理…

时间越久，知道的人必然越多。

我说不发生盗打，你相信么？

还有一个盗打的情形，属于系统内的，客户间的，属于鱼和熊掌的范畴，就不写那么直白了，还是讲个银行业的例子。

读完这个例子，聪明的你，相信你一定懂的。

以前企业批量开工资卡银行为了方便，统一为简单好记的密码，比如，6个8，6个1这类的，然后告诉员工：

记得改密码啊；

记得改密码啊；

记得改密码啊；

重要的事情说3遍。

然后有人的工资还是被偷了。

这个是上世纪的例子。

还活在这个世纪的人，要记的密码真多，记不住，怎么办？

看看数字键盘，画个十字，正好覆盖了258079这几个数字，又不是规律的数字，嗯，密码就这个了。

所以，工资又被偷了（为什么这里有个“又”字？）。

估计你会问，小偷是怎么知道我的银行卡号的？

想通小偷是怎么想的，最后这种盗打，也就想通了。

有人问，将盗打在第一时间发现不就得了？

嘿嘿。

盗打也是有技术含量的。

通信领域，结算对账，一般都是有个差错容忍度，比如，1‰。

这个还是指有建立对账的情况下，不知这个体系，有多少人在裸奔。

聪明的盗打者，每个月只盗打你一点点，完全在你的容忍度范围内，估计运营者就难以察觉了。

一只羊能薅到的羊毛有限，那就多来几只吧。

分享的越多，收获的也越多。欢迎分享。