一次被钓鱼的实践和心得
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。
http://blog.devep.net/virushuo/2010/04/01/post_73.html
今天我在twitter上说我的QQ一年都用不了几次,不如卖掉。 @cosbeta 说他做生意比较需要短点的QQ号,因为在twitter上有了不少了解,我就干脆送给他了。晚上回来给了他相关信息。这时候发生了好玩的事情,竟然有人为了得到这个QQ号,想通过"社会工程学"的方法钓鱼。我虽然不会上当,但是觉得具有一定欺骗性,所以分享出来,提醒大家注意。
邮件很短,截图在此
1. 图中这个邮箱注册的不错。有一定欺骗性。在此也提醒大家,这不是 @cosbeta 的邮箱。要识别是不是常用邮箱,有一个快捷的方法,就是用google搜索一下,看看以前的活动记录。如果没有活动记录,一般是刚刚注册的。
以往的活动记录,在互联网上相当于信用卡账单,这也是我一直劝大家不要太注意所谓隐私的原因之一。你需要给自己留下信用记录,以便别人查对。知道 @cosbeta 真正的邮箱的朋友也可以搜索一下,看看有多少结果。
google一下看活动记录,这个办法甚至可以应对精心搭建的带有反向解析域名相似的邮件服务器(可称为官方钓鱼)。是简单而有效的办法。
当然也有推友提到自己因为防止垃圾邮件,保护的很好,以致于没有任何搜索结果,这种情况是比较特殊的,可以通过其他方法验证,我下面也会提到。
2 注意前面的cosbeta cosbeta,他确实设置了用户名,但正常人是不会这样写名字的。肯定是姓名的形式,就算用昵称,也很少有人重复两遍。碰上这种情况,至少应该注意提高警惕了。这不正常。
3 注意判断对方书写习惯。这封邮件在这方面也略显粗糙。比如 @cosbeta 虽然在成都,但说话利索,很少在后面加"咯"这样的语气词。他的标点都是全角,一般不出现半角。这是由输入法的习惯和键盘布局决定的,也是类似指纹的标记,如果不换机器或输入法,通常不会有太大变化。
4 还有一些其他细节线索可以判断一个邮件是否是钓鱼。这方面大家可慢慢思考,不多说。而我们需要做到的原则是,不要在不能确认身份的情况下说重要的东西。
确认身份的方法包括但不限于:和对方谈一些细节问题,比如谈谈@cosbeta的具体业务,看看对方是否知道。我今天和@cosbeta第一次直接聊天的时候,也聊了不少话。这些对话都可以从细节中确认对方身份。
当然,如果能打个电话问一下,可能会更容易点。对方的声音和说话习惯,是更难伪造的。在电话中多说几句,还可以注意到对方所处环境,是否局促,是否紧张,是否反应速度慢,这些迹象都代表了有异常发生,要特别注意。
最好的方法还是双方都使用OTR签名,这是判断身份和保护信息安全的重要手段,虽然麻烦,但非常有效。当然送个QQ号这种小事就不用麻烦 @cosbeta 专门装个OTR了,我通过对话已经能确认他的身份了。具体做法很多,可以以此为基础,推导出来更多的办法。
一个基本的原则是,要至少通过两个渠道来确认。比如 在twitter上dm一下,然后在gtalk上说一下,在网上说一下,电话说一下。让不同渠道说的内容相关,这样就可以确认出两边是否是一个人。这个思路可以举一反三。
总结一下必须具备的意识: 1 理解重要信息可能被泄露,必须具有安全意识 2 保证安全是繁琐的,但很重要。所以请用多种渠道确认对方身份,这是最基本的一步。 这两点非常基本,但是如果可以深刻理解,确实可以解决很多问题。
技巧说完了,我总结一下教训: twitter上坏人还是存在的,一个QQ号都值得这样做。其他的信息想必也有各种人,出于不同的目的而感兴趣。所以,用不明来源的第三方上推的推友,请记得改密码,没准你的密码早被存下了。我非常非常非常相信,有人曾经用某个第三方或是某个api收集了大量twitter帐号的密码和信息,在某些时候会使用的。
安全意识必须常常记在心中,在关键问题上谨慎对待。注意,邮箱地址是可以伪造的,gmail难一些,但仍然有可能伪造。所以千万注意分寸,什么东西会让你丢钱,什么东西会让你送命。考虑好后果,做事就会谨慎。
有一些不让人反感的确认信息小办法,可以分享。比如我要给别人汇款,对方短信过来一个帐号,怎么确认呢?礼貌起见,可以跟对方说:麻烦您能把具体金额再给我确认一下吗?对方如果能发出来细目,一般就差不多。第一次联系的人可以当作寒暄说一些往事,等等。
一般来说,安全是非常难达到的目标,我们可以默认自己的行为是不安全的,然后通过一系列的手段来降低不安全的概率,最终达到一个比较好的平衡。本文列出的是一些简单,易于实施的办法。深刻理解这些原则,未必可以保证绝对安全,但至少可以应付大部分麻烦。
Comments
作为案例分析的话,这个确实是个不错的案例。假如换成安全意识不是很强烈的人,我觉得这个成功的概率还是蛮大的。不过我觉得应该是熟人设计的,陌生人应该没有如此的好奇心和动力去得到一个qq号码,网上的公共场合还是不要谈论事情的细节,这个值得警示。。
Posted by: 冷焰 | April 1, 2010 2:31 AM
霍老师不应该这样指责兽兽~~~
我觉得他可能有保存密码,但应该不至于主动提交有司。
Posted by: dning1 | April 1, 2010 10:48 AM
顶,网络安全一定要注意,一旦让对方获取密码,对方顺藤摸瓜那是相当容易的事情
Posted by: cosbeta | April 1, 2010 11:04 AM
@dning1 拜托你说清楚,我指责谁了?本文有指责任何一个明确的人吗?再说,保存了就有被交出的可能。这和人品根本没关系。你有钱,就有可能被抢劫,这个道理简单吗?
Posted by: virushuo | April 1, 2010 11:18 AM
看到这里有冷汗鸟!
对于我来说,QQ这种不常用的东西被盗用了,也许不会在乎,但是很有可能会给QQ里的朋友造成麻烦。
看来一定要注意安全,安全第一,安全第一。
大侠不愧是逻辑帝!
Posted by: The7in | April 1, 2010 4:40 PM
现在,从code.google.com下载下来自己搭建的dabr、rabr、twitese等第三方工具,安全么?
Posted by: 零零发 | April 1, 2010 5:05 PM
自己架设滴三方客户端,不放心就自己把源代码拿出来看看就知道了喵~
不过这个例子的确很经典滴说~其实,都是一些细节,找到了就是破绽,找不到就过节(限今天)。
另外,Gmail内建搜索和GT是非常好用滴工具。
Posted by: Kouga | April 2, 2010 12:18 AM
由于cracker对 @cosbeta 本人不够熟悉,不了解他的语言,用词方式,所以只能猜测着在邮件当中表现的很随意,很熟的遣词造句了.
主题是 "哈咯" 是很随意的Hello,不是什么什么"咯".火炬这里理解错了.不是说话利落与否的表现.
Posted by: Nick Cheng | April 2, 2010 6:36 PM
为了这个QQ号而出这样的手段,相信霍老师的号码,还有号码里的联系人还是很有价值的。
Posted by: 初生牛犊 | April 4, 2010 6:53 AM
恩,学习了一下,谢谢老师!
Posted by: 伸缩舞台 | April 8, 2010 10:15 AM
这种邮件真的是太可怕了。
Posted by: tsestrong | April 29, 2010 8:22 PM
尽管我的twitter做了一些保密工作,但是我有一个同学也在twitter上,她经常使用国内第三方搭建的api,这样,她的信息不安全就从单个的她扩大到与她交流的所有的人。沟通的安全是相互的。
Posted by: 火 | May 7, 2010 8:41 AM
QQ这种不常用的东西被盗用了,也许不会在乎,但是很有可能会给QQ里的朋友造成麻烦。
Posted by: replica watches | May 13, 2010 1:03 PM
哲理 仔细分析 思考
Posted by: 美鼻网 | May 21, 2010 6:28 PM
哲理 仔细分析 思考
Posted by: 美鼻网 | May 21, 2010 6:29 PM
哲理 仔细分析 思考
Posted by: 美鼻网 | May 21, 2010 6:30 PM
我觉得钓鱼就是在掉人生
Posted by: louboutin shoes | August 19, 2010 12:09 PM
welcome to our website http://www.pop-nfljerseys.com .We are a professional company, and engaged in the nfl sales, we sell us football jerseys,and our nfl shop also sell basketball jersey, baseball jerseys, soccer jerseys and so on, also our company belongs to authentic wholesale.
Posted by: nfl sales | August 21, 2010 10:46 PM
学到了,谢谢!
Posted by: ghd uk | August 25, 2010 12:44 PM