欺骗的艺术-第14章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


之后仍然要确定它是否安全，是否可以打开，这真是一件令人悲哀的事。
　　主题变奏
　　在这个互联网时代，有一种骗局可以诱使你进入一个你并不想去的站点，这经常发生，并且有很多种方法。这个典型例子基于一个发生在互联网上的真实故事。
　　圣诞快乐
　　埃德加（Edgar）是一个已退休的保险销售商，一天他收到一封来自贝宝（PayPal，提供方便快捷的在线支付公司）的邮件。这种服务对于一个在某地或是某个国家从不熟悉的商家购物时，尤其方便。贝宝会直接把从买家的信息卡中把钱转到卖家的账户。埃德加是一个古董瓶的收藏者，通过在线拍卖公司eBay做过许多网上交易。他经常使用贝宝，有时一个星期就用数次。于是，埃德加对这封2001年圣诞节期间，像是来自贝宝公司的邮件很感兴趣，这封邮件是一封升级他的贝宝账户的奖励邮件。信中写道：
　　节日问候！贝宝高级用户：
　　新年将至，贝宝将往您的账户上划入5美元，你只需在2002年1月1日前，到贝宝安全站点确认这5美元是做为升级你的账户信息所用即可。新年新气象，升级您的账户，以延续您在贝宝的记录，同时方便我们以优质的服务继续为您提供有价值的客户服务。立即升级账户并马上接收5美元，请点击：http：//www。　Paypa1　…secure。　com/cgi　bin　谢谢您使用贝宝和对我们的支持！圣诞快乐，新年愉快！
　　贝宝
　　电子商务网站
　　你也许知道，人们不大愿意在网上购物，即便是亚马逊、eBay，或象老海军（Old　Navy）、塔吉特（Target）、耐克这样的这样名牌公司和网站。从某方面来看，他们的戒心无可非议。如果你的浏览器使用现在的128位加密标准，那么你从计算机上发往任意一个安全站点的信息都是经过加密的。这些数据经过大量的努力理论上可以被解密，但更可能的是在正常的时间内无法解密，除非是国家安全部（但谁也没听说过，国家安全部对盗窃美国公民的信息卡号以及谁定购了色情录像或情趣内衣感兴趣）。
　　这些加密信息实际上可以被任何有时间有才智的人所破解。但是，许多电子商务公司把他们的客户信息未经加密的存储在数据库中，在这种情况下，再去耗费巨大的精力去破解一个信用卡号会是多么的愚蠢。更糟糕的是，有许多使用特定SQL数据库软件的电子商务公司都会犯这样的错误：他们从未改变过数据库系统管理员的默认口令。他们安装数据库时，系统口令默认是空口令，于是它就一直空着。所以，这个数据库里面的内容，对于互联网上任何尝试连接这个数据库服务器的人都是唾手可得的。
　　这些站点始终都处在被攻击并且信息会被窃取的危险下，而无需复杂的手段。另一方面，那些不愿在网上购物的人担心他们的信用卡信息被盗。但他们却不在意去真实的商店购物，吃午饭、晚饭，甚至去偏僻街道的小酒馆等一样可以用信用卡付费的地方，即便这些地方总是有人偷取信用卡的收据，有时收据还会从垃圾箱中被人找出。还有一些道德败坏的店员服务生会偷偷记下你的名字和卡号，或使用很容易就在网上买到的盗卡装置，来存储在它上面刷过的信用卡数据，以备日后使用。
　　在线购物有些冒险，但也可能和在真实的商店购物一样安全。当你在网上使用信用卡时，信用卡公司为你提供相同的保护。如果发生欺诈性收费，你的账户只会损失头一笔交易的50美元。因此我认为，对网上购物的恐惧只是另一种错误的担心。
　　埃德加没有注意到邮件中的几个不对劲的地方，如抬头的分号，混乱的用词（我们以优质的服务继续为您提供有价值的客户服务）。他点击了链接，输入姓名、地址、电话号码和信用卡等信息，然后静静地等待5美元的到来。但他等来的只会是一堆他从未购买过的商品账单。
　　过程分析
　　埃德加被互联网上司空见惯的骗局所欺骗，这种骗局有多种形式，其中一种（详见第九章）有着与真正网站一样的界面，看起来真实可信。不同之处在于冒充的页面不会到达用户真正想访问的系统，而是会把他的用户名和口令发给黑客。埃德加被骗了，对方注册了一个域名为paypal…shubao2。com的网站，看上去如同贝宝的一个安全页面。当他在这个页面输入个人信息时，黑客们便得逞了。
　　米特尼克信箱
　　当没有安全保证时，无论什么时候访问一个需要输入个人信息的网站时，一定要确认当前链接是可信和加密的。更需注意的是，不要顺其自然地点击对话框中的“yes”，尤其是有安全提示的对话框，比如无效、过期或废除的数字证书的提示。
　　变奏之变奏
　　究竟有多少多种方法可以骗取人们在假冒的网站输入他们的机密信息？我不认为大家对此有一个统一的答案，但无疑是越来越多。
　　不明链接
　　一种常见的手法：发送一封具有诱惑力的邮件，提供一个链接。它并不会带你到想去的站点，它只是看起来像那个的站点的链接。另一个已经在互联网上应用的例子是，用paypa1模仿paypal。
　　乍一看来，像是贝宝的域名。即便受害人注意到这一点，他也可能会以为只是一个文本上的小错误，把1当成l了。而谁又会立刻注意到那是一个数字1而不是小写的L呢？就这样，有很多的人失去了信用卡上的钱，而这个诈骗手段得以继续。假冒网站做的跟真得一样，当人们访问时，便轻率地输入他们的信用卡上的信息。建立这样一种行骗的机制，攻击者只需注册一个用来冒充的域名，发出电子邮件，然后等待那些傻鸟们上钩。
　　2002年，我收到一封标着来自Ebay@shubao2。com的邮件，很明显这是一个群发性质的邮件。见图8。1，（译者注：我的电子书中看不到这张图。）这样的链接应该注意。
…………………………………………………
　　亲爱的eBay用户，很明显您的eBay账户被第三方所影响并违犯了我们下面的用户协定条款：
　　4。招投标
　　用户如果通过固定价格或成为最高价竞买人，并经销售方同意，则有义务与销售方一起完成此项交易，否则此项交易会被本协定或法律终止。
　　您之所以收到此通知是因为您当前账户服务的中断引起了我们的注意，eBay方面需要立刻验证你的账户，请验证您的账户以免账户被封。点击此处验证你的账户――http：//error　ebay。shubao2。com　商标设计和标志为各自拥有者所有，eBay以及eBay图标为eBay有限公司的注册商标。
……………………………………………
　　点击这个链接的人会来到一个很像eBay网站的页面，设计精美，带有eBay的图标，令人可信。而且，如果点击页面上的“浏览”、“出售”等一些导航链接，可将访问者带到真正的eBay站点。页面的右下角也有一个安全的图标，为了防止精明的用户发现马脚，仿造者甚至使用HTML加密来掩盖用户信息的发送地。
　　这是一个极好的基于计算机进行社会工程学攻击的例子。然而，它也有着一些漏洞。内容上文笔较差，尤其是在最后一段的开头“您之所以收到此通知”，这即拗口也用词不当（实施这些骗局的人才不会雇用一个专业编辑人员来修饰这些内容）。此外，任何一个认真的人都会对eBay索取访问者的贝宝账户信息感到怀疑，eBay有什么理由能向用户索取用户在另外的公司中注册的私人信息呢。
　　而且如果对于互联网很熟悉的人来说，很可能会发现这个链接并不是eBay的域名，而是shubao2。com（一个提供免费主页的网站），这无疑是一封非法的邮件。然而，我打赌还是会有很多人在这样的页面上输入他们的个人信息，包括信息卡号。
　　注：为什么人们可以注册欺骗性和不合适的域名？现行的法律和互联网政策规定，任何人都可以注册任何未经使用的网站名称。有些公司进行维权以抵制那些冒充者，但结果并不理想。通用（美国著名汽车公司╯hubao2。com）对一个域名为shubao2。com的网站提出诉讼，通用败诉。
　　保持警觉
　　作为互联网的个人用户，我们所有的人都应该保持警觉，当键入个人信息，如口令、账户或PIN码等信息时，要对目前情况有清醒的认识。你的熟人当中，有多少人能保证他在浏览的页面是安全页面？你公司的员工又有多少人知道该如何做？
　　每个使用互联网的用户都应该认识那个经常出现在网页上的像一个小挂锁样的图标，当挂扣合上的时候，站点则是安全的。如果挂扣打开着，或是就没有挂锁图样，这个站点就不能被确认是可信的，在上面传送的任何信息都可能处于危险之中（信息未被加密）。
　　然而，一个危及计算机管理员权限的攻击者可能会更改操作系统代码，甚至为其打上补丁，以掩饰计算机已受到攻击的真相。比如，可以绕过浏览器中的程序对显示某站点的数字证书是否失效的检测。再比如，系统可能会被植入rootkit，安装一个或多个很难检测出来的系统级别的后门。
　　安全连接可以保证站点的真实性，并对传输的信息进行加密。因此，一个攻击者便无法利用他拦截的信息。可以信任一个已经使用加密连接的站点么？不，因为这个网站的站长并没有随时为网站打上必要的安全补丁，因此不能假定任何安全站点都可以对攻击免疫。
　　专业术语
　　后门：在用户不知道的情况下进入用房计算机的一个隐蔽入口。编程人员在开发软件时，也会用其来进入程序以解决问题。安全超文本传输协议（HTTP）或安全套接层协议（SSL）提供一个使用数字证书的自动机制，，不仅可以加密发送到远端站点的信息，还可以对其进行认证（保证所连接的站点是真实可信的）。然而，这种保护机制对于那些疏于检验地址栏中的网址是否为他们想访问站点的用户是无效的。
　　还有一个极容易被忽视的安全问题，弹出类似这样的消息框：“此站点非安全站点或安全证书已过期，您是否还要继续访问？”许多互联网用户并不清楚它的具体含义，于是他们直接点击“确定”或“是”来继续他们的访问，而没有意识到可能已处于危险之中。
　　警告：在没有使用安全协议的站点上，一定不要输入个人的敏感信息，如地址、电话、信息卡号或银行账号，或者是任何你不想泄露的私人信息。
　　托马斯o杰佛逊（译者注：Thomas　Jefferson　美国第三任总统，《独立宣言》的起草人）说过，保持自由需要“永远的警惕”。在一个视信息为流通货币的社会，要保护个人隐私和安全同样如此。
　　了解病毒
　　一个对病毒软件的特殊提示：不仅是对企业内网的用户，而且对每一个计算机用户都是必要的。不要只是把防病毒软件装在机器上，还要让其时刻运行（许多人不喜欢这样做，因为会降低计算机的性能）。
　　另外一个需要谨记的是：保持病毒库的更新。除非你的企业负责为每个员工更新软件和病毒库，否则自己一定要承担起下载最新病毒库的义务。我个人建议每个人都对防病毒软件的更新功能进行设置，以使软件可以每天自动更新病毒库。
　　专业术语
　　安全套接层协议：网景开发的用于互联网上客户与服务器端的安全认证协议。经常性的更新病毒库可以基本保证计算机的安全性，但这并不足以完全保证安全，还有一些病毒或蠕虫是防病毒软件公司未知的，因此相应的保护程序也就没有发布。
　　所有有着远程访问权限的用户，至少要在笔记本电脑或家用电脑上升级防病毒软件和防火墙。老练的攻击者会从整个系统中寻找到最弱点而发起攻击，因此需要时常提醒那些有着远程访问权限的用户，激活防病毒软件、升级他们的防火墙是共同的安全防范责任，因为你无法指望一个工作人员、主管人员、销售人员，或其他IT部门的人会时刻记得如果他们的计算机没有保护而发生的危险性。
　　除此之外，我还强烈推荐不常使用但的确重要的防特洛伊木马的软件。在写作这本书期间，已经有两个为人所熟知的防木马程序，The　Cleaner（www。shubao2。com）和Trojan　Defense　Sweep（www。shubao2。com。au）。
　　最后，对于那些没有在企业网关上做危险邮件扫描的公司来说，可能是最重要的安全提醒：由于我们习惯于忘记或忽略那些与完成工作不直接相关的事，因此需要反复地以不同的方式提醒员工，不要打开陌生邮件的附件。管理部门也要提醒员工激活防病毒和防木