一次被釣魚的實踐和心得
今天我在twitter上說我的QQ一年都用不了幾次,不如賣掉。 @cosbeta 說他做生意比較需要短點的QQ號,因為在twitter上有了不少了解,我就干脆送給他了。晚上回來給了他相關信息。這時候發生了好玩的事情,竟然有人為了得到這個QQ號,想通過"社會工程學"的方法釣魚。我雖然不會上當,但是覺得具有一定欺騙性,所以分享出來,提醒大家注意。
郵件很短,截圖在此
1. 圖中這個郵箱注冊的不錯。有一定欺騙性。在此也提醒大家,這不是 @cosbeta 的郵箱。要識別是不是常用郵箱,有一個快捷的方法,就是用google搜索一下,看看以前的活動記錄。如果沒有活動記錄,一般是剛剛注冊的。
以往的活動記錄,在互聯網上相當于信用卡賬單,這也是我一直勸大家不要太注意所謂隱私的原因之一。你需要給自己留下信用記錄,以便別人查對。知道 @cosbeta 真正的郵箱的朋友也可以搜索一下,看看有多少結果。
google一下看活動記錄,這個辦法甚至可以應對精心搭建的帶有反向解析域名相似的郵件服務器(可稱為官方釣魚)。是簡單而有效的辦法。
當然也有推友提到自己因為防止垃圾郵件,保護的很好,以致于沒有任何搜索結果,這種情況是比較特殊的,可以通過其他方法驗證,我下面也會提到。
2 注意前面的cosbeta cosbeta,他確實設置了用戶名,但正常人是不會這樣寫名字的。肯定是姓名的形式,就算用昵稱,也很少有人重復兩遍。碰上這種情況,至少應該注意提高警惕了。這不正常。
3 注意判斷對方書寫習慣。這封郵件在這方面也略顯粗糙。比如 @cosbeta 雖然在成都,但說話利索,很少在后面加"咯"這樣的語氣詞。他的標點都是全角,一般不出現半角。這是由輸入法的習慣和鍵盤布局決定的,也是類似指紋的標記,如果不換機器或輸入法,通常不會有太大變化。
4 還有一些其他細節線索可以判斷一個郵件是否是釣魚。這方面大家可慢慢思考,不多說。而我們需要做到的原則是,不要在不能確認身份的情況下說重要的東西。
確認身份的方法包括但不限于:和對方談一些細節問題,比如談談@cosbeta的具體業務,看看對方是否知道。我今天和@cosbeta第一次直接聊天的時候,也聊了不少話。這些對話都可以從細節中確認對方身份。
當然,如果能打個電話問一下,可能會更容易點。對方的聲音和說話習慣,是更難偽造的。在電話中多說幾句,還可以注意到對方所處環境,是否局促,是否緊張,是否反應速度慢,這些跡象都代表了有異常發生,要特別注意。
最好的方法還是雙方都使用OTR簽名,這是判斷身份和保護信息安全的重要手段,雖然麻煩,但非常有效。當然送個QQ號這種小事就不用麻煩 @cosbeta 專門裝個OTR了,我通過對話已經能確認他的身份了。具體做法很多,可以以此為基礎,推導出來更多的辦法。
一個基本的原則是,要至少通過兩個渠道來確認。比如 在twitter上dm一下,然后在gtalk上說一下,在網上說一下,電話說一下。讓不同渠道說的內容相關,這樣就可以確認出兩邊是否是一個人。這個思路可以舉一反三。
總結一下必須具備的意識: 1 理解重要信息可能被泄露,必須具有安全意識 2 保證安全是繁瑣的,但很重要。所以請用多種渠道確認對方身份,這是最基本的一步。 這兩點非常基本,但是如果可以深刻理解,確實可以解決很多問題。
技巧說完了,我總結一下教訓: twitter上壞人還是存在的,一個QQ號都值得這樣做。其他的信息想必也有各種人,出于不同的目的而感興趣。所以,用不明來源的第三方上推的推友,請記得改密碼,沒準你的密碼早被存下了。我非常非常非常相信,有人曾經用某個第三方或是某個api收集了大量twitter帳號的密碼和信息,在某些時候會使用的。
安全意識必須常常記在心中,在關鍵問題上謹慎對待。注意,郵箱地址是可以偽造的,gmail難一些,但仍然有可能偽造。所以千萬注意分寸,什么東西會讓你丟錢,什么東西會讓你送命。考慮好后果,做事就會謹慎。
有一些不讓人反感的確認信息小辦法,可以分享。比如我要給別人匯款,對方短信過來一個帳號,怎么確認呢?禮貌起見,可以跟對方說:麻煩您能把具體金額再給我確認一下嗎?對方如果能發出來細目,一般就差不多。第一次聯系的人可以當作寒暄說一些往事,等等。
一般來說,安全是非常難達到的目標,我們可以默認自己的行為是不安全的,然后通過一系列的手段來降低不安全的概率,最終達到一個比較好的平衡。本文列出的是一些簡單,易于實施的辦法。深刻理解這些原則,未必可以保證絕對安全,但至少可以應付大部分麻煩。
【編輯推薦】
