我是敲门贼：早期互联网盗窃轶事（一）

本文均采取材于真人真事，以第一人称的方式叙述，素材来源于一位网友的自述。具体细节有些对不上的属于本文作者脑补，读者大大不必过于苛刻。

1999年，我在人大东门的一家网吧上网，彼时我的计算机知识仅限于浏览网页，可以说是纯小白。我这个人喜欢乱翻，我就很好奇文件夹里一层层都是什么东西，翻开后看到的大部分都是学生上网时留下的各种摘抄、作业之类的文档。

但有个OICQ文件夹引起了我的注意，我发现这个文件夹里有个文本文档，里面保存的都是之前登录过的OICQ号码和登录密码。这是我第一次看到别人的密码，大部分都是类似12345678这样的简单密码，可以说大部分人毫无安全意识，面对设定密码的时候都是一头雾水，又急于注册完成，所以都会选好记又好输出的密码。而这个时候的网络注册也几乎不进行复杂的校验，能注册就行，生怕搞复杂了阻挡了用户。

但我没动这些OICQ号码，因为毫无价值，我也没细看它们是几位数字，这个时候还没有数字越短越值钱的概念，大部人能够注册到的是7位或者8位号码。后来很多人有个误区，认为早期的OICQ号码随便就能注册到5位和6位，其实是不存在的，6位也是很少见的，普通人能碰到的最短的起手号码也至少是7位，而且大家更关心号码是否是吉利数字，反而很少有人在意位数长短。

本地保存OICQ号码和密码应该是非常短暂的时光，后来OICQ改名为QQ后就不在本地保存，但仍然会明文记录用户输入，于是早期的键盘记录木马就出现了，它们会潜伏在计算机里，当用户输出后，它就会记录并发送邮件给盗号者的邮箱。这个就是早期的“信封”，如果盗号者打算牟利，那么就会把信封里有价值的QQ号和密码筛选出来，然后放在网上售卖。有的人懒的筛选，就直接卖“一手信封”，就是没筛选过的，中间商买到后，进行筛选后，把剩下的继续出售，就是“二手信封”，甚至还有三手四手信封。QQ的盗号产业链持续时间非常的长，我记忆里应该一直到2008年才差不多完全消失。

大多数人没有自己的电脑，所以关于普通人与网络的联系，就是QQ号和电子邮件。人们上网做的第一件事就是注册一个QQ号，有的人甚至以为如果没有QQ号就不能上网，会把QQ号称呼为“网号”。

2001年后我在新浪论坛当某个分论坛的斑竹（版主），这个时候新浪论坛的版主还有钱拿，每个月一百块到几百块钱不等，是给网友们管理论坛的时间补贴。

我和一个网友在论坛上因为鸡毛蒜皮的事吵架，然后我气不过，想“狠狠教训他一下”，我灵机一动，想到版主的权限是可以看到对方的邮件地址的，我可以试试把他的邮箱给偷了？

于是我在后台（新浪论坛版主有个页面样式特殊的后台页面）找到这个网友的邮件地址。

一看果然是新浪邮箱。那个时候50%的邮箱是263.net后缀，40%是新浪邮件，剩下10%是各种奇奇怪怪后缀的，比如21cn、eyou之类的。当时163还没普及，163要到02年后才开始大量普及。

有个新浪的邮件地址就好办了，这时候的安全校验几乎是零，比如你的邮件名是abc123456，你把密码设置为邮件同名字符，系统也不会提示这是有问题的。或者如果你的你的邮件名是是abc19800101，那你的密码设置为19800101，也是可以合法注册的。或者直接就是一个纯数字弱密码。

但也要少数人的用户名和密码是不一致的，怎么办呢？

只要到“找回密码”的页面，它会提示一个注册者在注册的时候设定的问题，回答正确就会显示你设定的密码。而当时的人们是很懒的，有的人会把问题设定为“1”，答案选择“2”。或者问题是“12345678”，答案就是“87654321”，总之人们会无意识的设置为两者关联甚至对称的结构。用户设置的时候，只关心将来自己是否能够看到问题就能联想到答案，他不会考虑别人看到了也会联想到答案。

大多数人根本意识不到“别人”会来“敲门”。

于是我很简单的把网友的信箱给偷了，然后我用他的身份登录了新浪，干了一件特别幼稚和愚蠢的事：我用他的ID发了个向我道歉的帖子。发完之后我心里爽了一分钟，才意识到这是个极蠢的做法，这不等于告诉他，是我偷了他的ID吗？

幸好我是版主，于是我手忙脚乱的删掉了那个帖子，也幸好是深更半夜，没人注意到。

但从此后，我就隐隐的找到了一个“敲门”的办法，也就开启了我的“敲门贼生涯。

2002年，我迷上了第九城市代理的奇迹MU游戏，这个游戏玩的人非常多，里面的游戏道具也非常值钱。当时要买点卡充值游戏，30元的点卡会送你一颗用来升级装备的“祝福宝石”，也就意味这这个道具的官方定价是30元，并且这个道具是可以玩家之间互相交易的。

而玩家很喜欢在论坛上发帖互相交流，于是就有专门的奇迹MU论坛，上面全是这个游戏的玩家。那么问题就来了，大多数人注册的论坛ID，是否就是他们的游戏ID呢？

现在我们看到大部分App和网站，都做了用户昵称和登录id的隔离，而当年，大家都喜欢把登录id和用户昵称统一，因为好记，很多网站甚至没有专门的昵称设置，你注册叫什么，里面就显示什么。

于是我就得到了大量的可以尝试的机会。我直接拿一些看起来就象登录id的去九城的网站上试，因为游戏的登录id和密码就是九城网站的登录id和密码，你能登录九城，就能登录游戏。

于是我很顺利的直接通过登录id，登录了几个游戏。但这里有个“技术问题”，同一个id，同一时间内，只允许一个登录，后面的会把前面的“踢”下线。如果你是玩家，你突然被踢下线，你的反应是重新登录（虽然你可能不知道别人登了你的号，以为是断线了）。所以就发生了我登录之后很快就被游戏账号原主人踢下线的情况。

这时候我就需要先去改掉他的密码，避免他再把我踢下线。

于是我的工作就变多了，我要先去拿论坛上的id去尝试登录九城网站，如果能直接登录，我还需要用同样的id和密码尝试登录他的邮件地址，然后在九城网站上和邮件网站上修改掉密码。在这个操作过程中，玩家基本是毫无察觉的。等我把密码都改完之后，我用新密码登录游戏后，他短时间内无法踢掉我了，因为他需要折腾一番，才能找回自己的密码，或者根本找不回来（因为我会把他的密码找回的答案也改掉）。

很简单吧，这就是“敲门”，敲门的难度取决于玩家自己的设置复杂度，其他的信息都是完全暴露的。

论坛上活跃的玩家，大多数都是游戏里的佼佼者，所以他们才会上来炫耀和分享自己在游戏里的成功。所以大部分这样的玩家身家颇丰。

一开始，我只是打算偷掉别的玩家的装备过来，让我在游戏里过得更轻松，事实上我也确实做到了，我每进一个玩家的账号，都会把里面的游戏道具拿光，先在游戏里交易给我的小号，然后卖掉我不需要的，再把有用的给自己的角色穿上。

这段时间，受害者都是和我同一个服务器的，比如我是5区2服的，那么我基本上只会专门找5区2服的玩家来偷。论坛上的玩家一般都会自报家门，会告诉别人自己是哪个服务器的，这样筛选起来也很简单。

但后面我玩游戏有些厌倦了，这是“作弊”带来的懈怠感。假设你辛辛苦苦在游戏里玩一天，也不过能够得到1个宝石，而一次盗号，就能带来成百上千的回报，你为什么还要在游戏里拼老命？多累呀？

于是我慢慢不再玩游戏了，而是无差别的开始盗窃所有进入我视线的“大号”。我白天工作，晚上在单位的电脑上熬夜奋斗，不眠不休，每天都在和新浪邮箱的“找回密码”功能战斗。

之后新浪的“找回密码”升级了，首先用户的答案不得为空，答案的字符不能少于8位。于是大部分人都会写“11111111”或者“00000000”确保它不是空的，但也有少数人的答案令人出乎意外，有些我猜不出的，我会苦苦冥思，猜测对方设置时的想法。

比如问题是：“我的初中是北京几中？”，这种我就需要一个个试了，把北京的每一个中学的名字去碰一次。

当进入邮箱后，我会翻看所有的邮件，并且记录可能有用的信息，那时我还没意识到这就是社工信息的收集。

下面的图片是我记录的当时的一些信息，现在过去了二十多年了，估计当事人看到的时候，也会啼笑皆非吧。

新浪在这时候还没设置“超出次数”的安全设置。所以可以无限尝试。事实上当时几乎所有的网站都没有限制，很少有网站会设置超过多少次错误就禁止的功能。

到了最后，我已经陷入了魔怔，最终是否能够获得游戏装备不再重要，重要的是这个“猜谜”过程，而成功的猜解能够使我获得极大的快感，仿佛“攻占了一个人的心房”，仿佛“潜入了一个人的意识”。

有的时候，猜测出一个相当难的问题，我能够感觉到我的意识与当时设定该答案的那个人心灵相通，这是一种奇妙的体验，仿佛在那个时空里，我和他浑然一体。

我一次次的穿破谜题的屏障，并且记录下哪些我当时还无法破解的用户名和问题，准备以后慢慢的去猜测。

我本身很沉迷“开锁”这件事，源于我中学时的一次经历。有一次我在别的学校门口等同学，因为很无聊，我就拿家里的钥匙去捅路边的邮政信箱，直接开当然打不开，于是我把钥匙退了几厘米，用钥匙的钥齿另一部分去尝试，结果意外的是直接给打开了，里面的信笺都掉了出来。这给了我一种“世界上所有的锁都存在缺陷”的领悟。

之后我也无聊的用钥匙去尝试打开不同的锁，有几次还真的成功了。所以积累了我的“开锁”情结。

不分昼夜的盗号，我积累在小号上的游戏道具越来越多，也越来越高级，当我看到游戏里有人在打广告出售游戏装备的时候，我才意识到这些是可以变成现金的！

那时候没有网络交易，也没有后来的5173平台，就只能在游戏里刷屏来发布，而且只能同城真人见面交易。通常双方会选一个网吧来当场完成游戏里的交易，一手交钱，一手交货。

第一次交易的时候我紧张极了，我甚至还带上一个很能打架的朋友，因为我怕对方“打劫”。但事实上整个过程非常简单轻松，我们约在魏公村北理工旁边的网吧见面和交易，我卖掉了第一套游戏里的装备，一套+7等级的青铜翡翠装备。跟着我去的朋友惊呆了，他不可思议的说：“游戏里的这玩意还能卖成钱？”

之后我就越来越熟练和胆大了，我不再囤积游戏装备，而是尽快出手变成钱。我的回头客也越来越多，有个玩家在北京电视台工作，我去了三次，在他西三环办公室的电脑上完成交易，他买了好几千块钱的装备，但我从来不知道他是具体做什么的。

大概一年的时候，我在奇迹MU里赚到了对当时的我来说相当可观的数字，远比我的薪水高。

有的的时候，也有意外，有一次我打开我的囤积小号，发现里面居然少了一套高级装备（一套+9追12的龙王套装），是的，就少了这一套。我思索了半天，判断这是游戏官方的GM（game master）利用权限追踪和拿走了，因为我听闻过九城的GM私下卖装备的传闻，所以我放弃了“贼喊捉贼”的想法。

再之后，奇迹MU升级了仓库系统，玩家能够给仓库上锁，设置一个4位密码。可见当时的盗号情况是多么猖獗了，绝对不是我一个人在干。

未完待续。