« 五毛的末日 | Main | 写在ipad即将到来的时候 »

一次被钓鱼的实践和心得

作者:virushuo 发表于 2010-04-01 00:04 最后更新于 2010-04-01 00:04
版权声明:按照by-nc-sa的cc协议可转载,拒绝采用“独家” 授权媒介(含网站和平面媒体)转载、引用、链接,除非获得本人许可。转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。


今天我在twitter上说我的QQ一年都用不了几次,不如卖掉。 @cosbeta 说他做生意比较需要短点的QQ号,因为在twitter上有了不少了解,我就干脆送给他了。晚上回来给了他相关信息。这时候发生了好玩的事情,竟然有人为了得到这个QQ号,想通过"社会工程学"的方法钓鱼。我虽然不会上当,但是觉得具有一定欺骗性,所以分享出来,提醒大家注意。

邮件很短,截图在此

1. 图中这个邮箱注册的不错。有一定欺骗性。在此也提醒大家,这不是 @cosbeta 的邮箱。要识别是不是常用邮箱,有一个快捷的方法,就是用google搜索一下,看看以前的活动记录。如果没有活动记录,一般是刚刚注册的。

以往的活动记录,在互联网上相当于信用卡账单,这也是我一直劝大家不要太注意所谓隐私的原因之一。你需要给自己留下信用记录,以便别人查对。知道 @cosbeta 真正的邮箱的朋友也可以搜索一下,看看有多少结果。

google一下看活动记录,这个办法甚至可以应对精心搭建的带有反向解析域名相似的邮件服务器(可称为官方钓鱼)。是简单而有效的办法。

当然也有推友提到自己因为防止垃圾邮件,保护的很好,以致于没有任何搜索结果,这种情况是比较特殊的,可以通过其他方法验证,我下面也会提到。

2 注意前面的cosbeta cosbeta,他确实设置了用户名,但正常人是不会这样写名字的。肯定是姓名的形式,就算用昵称,也很少有人重复两遍。碰上这种情况,至少应该注意提高警惕了。这不正常。

3 注意判断对方书写习惯。这封邮件在这方面也略显粗糙。比如 @cosbeta 虽然在成都,但说话利索,很少在后面加"咯"这样的语气词。他的标点都是全角,一般不出现半角。这是由输入法的习惯和键盘布局决定的,也是类似指纹的标记,如果不换机器或输入法,通常不会有太大变化。

4 还有一些其他细节线索可以判断一个邮件是否是钓鱼。这方面大家可慢慢思考,不多说。而我们需要做到的原则是,不要在不能确认身份的情况下说重要的东西。

确认身份的方法包括但不限于:和对方谈一些细节问题,比如谈谈@cosbeta的具体业务,看看对方是否知道。我今天和@cosbeta第一次直接聊天的时候,也聊了不少话。这些对话都可以从细节中确认对方身份。

当然,如果能打个电话问一下,可能会更容易点。对方的声音和说话习惯,是更难伪造的。在电话中多说几句,还可以注意到对方所处环境,是否局促,是否紧张,是否反应速度慢,这些迹象都代表了有异常发生,要特别注意。

最好的方法还是双方都使用OTR签名,这是判断身份和保护信息安全的重要手段,虽然麻烦,但非常有效。当然送个QQ号这种小事就不用麻烦 @cosbeta 专门装个OTR了,我通过对话已经能确认他的身份了。具体做法很多,可以以此为基础,推导出来更多的办法。

一个基本的原则是,要至少通过两个渠道来确认。比如 在twitter上dm一下,然后在gtalk上说一下,在网上说一下,电话说一下。让不同渠道说的内容相关,这样就可以确认出两边是否是一个人。这个思路可以举一反三。


总结一下必须具备的意识: 1 理解重要信息可能被泄露,必须具有安全意识 2 保证安全是繁琐的,但很重要。所以请用多种渠道确认对方身份,这是最基本的一步。 这两点非常基本,但是如果可以深刻理解,确实可以解决很多问题。


技巧说完了,我总结一下教训: twitter上坏人还是存在的,一个QQ号都值得这样做。其他的信息想必也有各种人,出于不同的目的而感兴趣。所以,用不明来源的第三方上推的推友,请记得改密码,没准你的密码早被存下了。我非常非常非常相信,有人曾经用某个第三方或是某个api收集了大量twitter帐号的密码和信息,在某些时候会使用的。

安全意识必须常常记在心中,在关键问题上谨慎对待。注意,邮箱地址是可以伪造的,gmail难一些,但仍然有可能伪造。所以千万注意分寸,什么东西会让你丢钱,什么东西会让你送命。考虑好后果,做事就会谨慎。


有一些不让人反感的确认信息小办法,可以分享。比如我要给别人汇款,对方短信过来一个帐号,怎么确认呢?礼貌起见,可以跟对方说:麻烦您能把具体金额再给我确认一下吗?对方如果能发出来细目,一般就差不多。第一次联系的人可以当作寒暄说一些往事,等等。

一般来说,安全是非常难达到的目标,我们可以默认自己的行为是不安全的,然后通过一系列的手段来降低不安全的概率,最终达到一个比较好的平衡。本文列出的是一些简单,易于实施的办法。深刻理解这些原则,未必可以保证绝对安全,但至少可以应付大部分麻烦。

相关文章:
blog comments powered by Disqus
CC License. Some rights reserved.
署名·非商业用途·保持一致
本站之所有未作特别说明的内容均使用 创作共用协议.
POWERED_BY_MT_3.2