在大量关于咨询的文献中,我们都听说过“沟通”一词,但是其中所讨论的,大都是在信息从一个人传递到另一个人的过程中,心理学上的问题(我也如此)。这的确是个值得一说再说的话题。但是在人与人之间传递信息的过程中,还有一个物理上的问题。上周,我接到了数次警告,说是我的电子通讯信息已经被偷窥或者篡改了。你应该认真地看一看你的电子信息是否发生了什么事,而现在是时候了。
案例1. AOL安全攻击
下文源自于我通讯簿中的一段记录:
昨晚真是糟透了。我的用户名不能用了。骇客盗取了它,而且AOL中没有一个人——没有一个人啊——能够帮助我。骇客登录后就修改了我的密码、我的安全问题以及我的业务联系表。是的,他改了联系表后就不会再和表上的人有业务上的往来了。为什么要这么做?因为他喜欢我的用户名:XXXXXX。他想得到它。他乐于为它买单。而且他也乐于陷我于麻烦之中。
于是我启用了备用的用户名——我曾经用过它上线,是因为不希望被e-mail之类东西的所打扰。当时我收到了一封电子邮件。它来自于AOL,告诉我说我的主用户名的密码已经被修改了。我没有改它。除了我也没有人拥有这个密码。没有人。
那时我曾立即尝试访问我的主用户名。不幸的事情出现了。我向AOL求助,在他们能够派人来之前,我只是不断地收到记有正在尝试“解决我的问题”的记录。不…向一个人的请愿没有效果。不过我发现人多力量大。于是我尽我所能地告诉每个人。
没有一个人来与我沟通。为什么呢?因为我不再是自己账户的所有者了。我从1996年开始就拥有这个账户,而他们却听不进这些。他们说既然我不是当前的账户所有者,自然就不能和我交谈。他们声称丝毫没有关于我的记录。那些家伙只耐着性子和我说了不到一个小时,最终他们还是没有改变态度,就因为我已不是记录的所有者。
你根本无法想象我有多沮丧。也许你能理解。我用这个账号维护着*所有的*咨询业务。它的丢失,对我来说是无法弥补的损失,简直糟透了。我咆哮了。我使出浑身解数,证明我拥有那个账号——完全没有用。他们根本不理睬我!
他们提示我可以到诈骗犯罪局(the Fraud department)试试看,那里早上九点开门。 但是我等不及。我不能坐以待毙。
我仍旧用着我的备用账号,一直等到盗取我账号的人登录。于是我在IM(即时通讯软件)上给他发了条消息。我先用脏话骂他,然后向他发问——为什么要这样做?你是怎么做的?
他嘲笑我,发给我一个“LOL(Laugh Out Laugh)”,告诉我说,“吃一堑长一智”吧。
他竟然还知道我是个咨询师。于是我问他是如何知道的。
故事的梗概是这样的:我把个人信息放到了AOL简历上,觉得这样在有人浏览它时,会是一种提升我服务知名度的很酷的方式。然而适得其反。这样做竟把我的名字暴露给他了。他在google上找到了我,并且得知了我曾经就读的大学。瞧!这样他就知道我的安全问题的答案了。
他甚至不需要我的密码就能登录。他通过安全问题,配合“密码重置”选项,彻底迂回绕过了它。再重申一遍:他根本不需要的我的密码。
他说他收集账号只是为了寻求刺激,以此来取笑我。
这一切都发生在IM上。
然后,我请求他,哀求他。我告诉他,他已经严重地破坏了我的事业。我的账号就是我的血液,账号的丢失给我的伤害是他所无法想象的。
终于,骇客做了AOL拒绝去做的事。他将账号还给了我,还给了我新的密码(我马上就换了个新的)和新的安全问题答案。这位骇客突然变得絮絮叨叨起来,他提供给我一些关于他的住址等信息线索。这些我并非全部相信。他当初把我的密码从XXXXXX设置为小写的xxxxxx,后来他给了我一个修改密码的程序。我谢绝了,并告诉他,这个小写的“x”对于我来说永远是个警示:保持警惕。
至于他为什么要这么做我不得而知。但是他就是做了。他说他是个良心尚存的骇客。这点我相信。但我仍然怨恨他所做的事。不过经历了昨夜一晚的焦虑,我学到了不少。现在,我为安全问题设置了一个更加保险的答案,也换了全新的密码,并且不在AOL上放简历了。我相信还是会有人破解我的账号,但是我也会采取措施,保护自己。
Jerry(即杰拉瑞德.温伯格,本文的作者。译注),你能不能好好把我的经历写一写,放到你的blog上,以警示其他的咨询师。
AOL在我需要帮助时没有伸出援手。这天早晨,我给诈骗犯罪局(the Fraud department) 打电话,猛烈地抨击了AOL的所作所为。他们在乎么?不。
他们强迫我设置一个安全问题。我从来没想过。我愚蠢地相信,这个问题只有在提供了密码之后才会生效。我错了。
多多检查你的安全性。不要再重蹈我昨晚的覆辙。
箴言:
1.不要指望AOL会提供安全援助。
2.不要指望任何ISP会来提供安全援助。这是你自己的责任。
3.对于密码,不可马马虎虎。
案例2. 不要被欺骗,不要的“钓鱼”(Pfish)
我在Amazon的站点上发表短篇的评论文章,为此能得到一些报酬。昨天有人试图攻击我的Amazon账户。如果他们成功了,就会直接把我的收入转入他们的银行户头中去。更糟的是,还可能发生他们以我的名义发布虚假的作品的情况,这将有损我的声誉。
昨天,我收到一封电子邮件,它看上去就仿佛真的来自于Amazon。信中要求我更新账户的信息。但是,注意到之前的忠告,我并没有点击连接,而是通过Amazon的网站,直接给他们写了封信(Amazon的url也是我亲手键入的)。我收到了如下的信息和忠告,这对于所有要求“更新你的账户”之类的信息都有效:
来自Amazon的问候:
您收到的电子邮件不是来自Amazon的。我们会针对此事展开调查。感谢您向我们通报了此事。
出于保护您的目的,我们建议绝对不要回复这类可疑的电子邮件,也不要把个人信息包含在其中。应该做这种假设:任何请求个人财政信息的电子邮件(或者这些电子邮件链接到的站点)都是不可信的。
如果您从未点击那封欺诈性电子邮件的链接,您在Amazon上的账户会一切正常——您什么也不用做。如果您不幸点击了链接,但是尚未输入任何个人信息(比如您的用户名和密码),phisher也无法得到您的Amazon账户信息。
但是,请明确一点,如果您一旦回复了欺骗的电子邮件,而且还在伪造的web站点上输入了Amazon.com的登录名和密码(或者其他任何个人信息),phisher将会收集到您的个人信息,这时您应该采取相应的措施了。我们建议您立即更新Amazon.com的密码,同时,如果输入了财政信息,您还应该联系银行和信用卡的提供商。
如果您再次遇到打着Amazon.com旗号的欺诈性行为,请不要犹豫,联系我们。
感谢您的来信。
什么是“钓鱼”(PHISHING)?
Phishing电子邮件的横行已经有几年了。“phishing”这个专有名词源于使用日渐频繁的“fish”一词:引诱并打探(fish)用户的个人或财政信息。对于phishing来说,造假者通常会设置一个伪造的web页面,它看上去和真的非常相似,但背后却由phisher控制与拥有。
可以到www.amazon.com/phish阅读更多的保护自己不被phishing的方法。
什么是SPOOFING?
在这里Spoofing是指一个伪造的web页面或者电子邮件,它们看上去给人以“可信的”感觉,但实际上拥有与控制它们的却另有其人。它们故意愚弄一些人,使上当者误以为自己链接到的是一个可信的站点,或者他们是从一个可信源收到的电子邮件。
箴言:
不要随意信任。这些家伙不是你期望与之打交道的人。
案例3 他们的动作比你快
在互联网上,欺骗者是数以千记的,欺诈行为是按24*7工作的。所以些微的疏忽都会让你损失惨重。正如Amazon警告所说,在你注意到被pfished或者spoofed的时刻,他们已经获得了你的“安全”信息,并且拿去卖给了很多地方。
My SHAPE论坛只能通过订阅邮件彼此交流,而且受密码保护。但是就在前几天,我们额外发布了一个“干净的”电子邮件用于特殊用途,可是却错误地将它置于保护域之外。在不到24小时的时间内,这个地址就开始收到垃圾邮件了。
想象一下这样做会发生什么——如果你暴露了你的客户的电子邮件地址或者安全站点,或者(天啊,千万不要)他们的密码。
箴言:
一个错误会在一分钟内会让你的业务蒙受损失。
案例4. 窥视你的blog:他们并不是在玩耍的脚本小子
前几天,我们开始不断地在Don Gray的blog上看到了一些奇怪的、污秽的内容。Don向AYE Conference的主管们询问此事。我们的互联网领袖Dave Smith给出了如下回复:
我仔细地查看了你的blog。你已经被“黑”了。浏览http://www.donaldegray.com/tiki-view_blog.php?blogId=2,观察源代码。事实上有一块JavaScript代码,它会添加一个片段,从而会将链接渲染为对现代浏览器不可见(有些人能够看到它是因为她使用的是Lynx这样的旧浏览器)。Google将会看到链接,并且把你的站点从Google索引中移除。我将会写个程序来修复这个问题。
我建议你去和TikiWiki的人沟通一下,看看有什么安全更新。我记得在几个月前有一个问题曾经导致一个人,据我所知也被“黑”了。也许你们遇到的是相同的问题。你也应该检查一下blog上其他的部分,看看遭破坏的范围有多大。
Don回复道:我很纳闷,这样做对某些人有什么好处?主要的好处会是把我的站点从Google索引中移除吗?还是脚本小子图一时之快?
Dave回答到:这并不是脚本小子干的。基本上,这是小规模的有组织的犯罪。通过使用自动化攻击工具,可以对他们的用户隐藏一些链接,他们提升了其站点的各种服务的的“等级”。使用自动化工具是很便宜的;只要在咖啡厅中摆一台笔记本电脑,通过wifi接入网络,然后就放任它执行攻击。如果被警察追捕,还可以混入大街的人流中。更加老练的骗子会在巨大的网络上租用机时,这相对于在家里使用Windows机器是一种折中。这是个巨大的隐患。令人悲哀的是,这就是为什么如果不过滤或者不限制blog的回复系统,没有哪个blog能够承受住长时间的开放。我没有在我的blog上激活回复功能,但每天仍然能够在服务器日志上看到,有自动攻击企图的迹象。
我自己的每个blog上每天都会收到大量的垃圾消息,其中就包括这个(指http://secretsofconsulting.blogspot.com/ 译注)。我的blog都阻塞了垃圾消息,但是我的一些同事仍然没有限制他们blog的回复功能。Blog上的每件事都能反映你这个人。只有你允许出现的内容才能真正反映你。当然,你也可以亡羊补牢,在垃圾信息发布到blog后再将它删除,但是这就太晚了。你希望你的客户去读你的blog,不是吗?他们中的一些人会在你删除那些垃圾消息时读到它们,所以还是在垃圾消息登录前就阻止它们。
箴言:
blog或这个人网站上的每件事都反映了你这个人。要保证它能真实地反映你。
箴言之箴言:
关于被篡改的和被掉包的通讯信息,我还可以无休止地举例子。但是我无法赶上每天出现的新花招。你必须超级谨慎,还要三头六臂,但是我知道,很多咨询师都做不到这一点。
昨天我与一位咨询师交谈,她把密码设置为“password”几个字母。我问她为什么这么做,她说,“是的,我知道还有更好的。但是这并没什么大不了的。”嗯,好吧,也许这就是所谓的沟通的心理学吧。
原文链接:http://secretsofconsulting.blogspot.com/2007/01/protecting-your-client-communications.html 发表于 @ 2007年04月10日 08:08:00|评论(loading...)|编辑