保护你的通讯信息

在大量关于咨询的文献中，我们都听说过“沟通”一词，但是其中所讨论的，大都是在信息从一个人传递到另一个人的过程中，心理学上的问题（我也如此）。这的确是个值得一说再说的话题。但是在人与人之间传递信息的过程中，还有一个物理上的问题。上周，我接到了数次警告，说是我的电子通讯信息已经被偷窥或者篡改了。你应该认真地看一看你的电子信息是否发生了什么事，而现在是时候了。

案例1. AOL安全攻击

下文源自于我通讯簿中的一段记录：

昨晚真是糟透了。我的用户名不能用了。骇客盗取了它，而且AOL中没有一个人——没有一个人啊——能够帮助我。骇客登录后就修改了我的密码、我的安全问题以及我的业务联系表。是的，他改了联系表后就不会再和表上的人有业务上的往来了。为什么要这么做？因为他喜欢我的用户名：XXXXXX。他想得到它。他乐于为它买单。而且他也乐于陷我于麻烦之中。

于是我启用了备用的用户名——我曾经用过它上线，是因为不希望被e-mail之类东西的所打扰。当时我收到了一封电子邮件。它来自于AOL，告诉我说我的主用户名的密码已经被修改了。我没有改它。除了我也没有人拥有这个密码。没有人。

那时我曾立即尝试访问我的主用户名。不幸的事情出现了。我向AOL求助，在他们能够派人来之前，我只是不断地收到记有正在尝试“解决我的问题”的记录。不…向一个人的请愿没有效果。不过我发现人多力量大。于是我尽我所能地告诉每个人。

没有一个人来与我沟通。为什么呢？因为我不再是自己账户的所有者了。我从1996年开始就拥有这个账户，而他们却听不进这些。他们说既然我不是当前的账户所有者，自然就不能和我交谈。他们声称丝毫没有关于我的记录。那些家伙只耐着性子和我说了不到一个小时，最终他们还是没有改变态度，就因为我已不是记录的所有者。

你根本无法想象我有多沮丧。也许你能理解。我用这个账号维护着*所有的*咨询业务。它的丢失，对我来说是无法弥补的损失，简直糟透了。我咆哮了。我使出浑身解数，证明我拥有那个账号——完全没有用。他们根本不理睬我！

他们提示我可以到犯罪局（the Fraud department）试试看，那里早上九点开门。 但是我等不及。我不能坐以待毙。

我仍旧用着我的备用账号，一直等到盗取我账号的人登录。于是我在IM（即时通讯软件）上给他发了条消息。我先用脏话骂他，然后向他发问——为什么要这样做？你是怎么做的？

他嘲笑我，发给我一个“LOL（Laugh Out Laugh）”，告诉我说，“吃一堑长一智”吧。

他竟然还知道我是个咨询师。于是我问他是如何知道的。

故事的梗概是这样的：我把个人信息放到了AOL简历上，觉得这样在有人浏览它时，会是一种提升我服务知名度的很酷的方式。然而适得其反。这样做竟把我的名字暴露给他了。他在google上找到了我，并且得知了我曾经就读的大学。瞧！这样他就知道我的安全问题的答案了。

他甚至不需要我的密码就能登录。他通过安全问题，配合“密码重置”选项，彻底迂回绕过了它。再重申一遍：他根本不需要的我的密码。

他说他收集账号只是为了寻求刺激，以此来取笑我。

这一切都发生在IM上。

然后，我请求他，哀求他。我告诉他，他已经严重地破坏了我的事业。我的账号就是我的血液，账号的丢失给我的伤害是他所无法想象的。

终于，骇客做了AOL拒绝去做的事。他将账号还给了我，还给了我新的密码（我马上就换了个新的）和新的安全问题答案。这位骇客突然变得絮絮叨叨起来，他提供给我一些关于他的住址等信息线索。这些我并非全部相信。他当初把我的密码从XXXXXX设置为小写的xxxxxx，后来他给了我一个修改密码的程序。我谢绝了，并告诉他，这个小写的“x”对于我来说永远是个警示：保持警惕。

至于他为什么要这么做我不得而知。但是他就是做了。他说他是个良心尚存的骇客。这点我相信。但我仍然怨恨他所做的事。不过经历了昨夜一晚的焦虑，我学到了不少。现在，我为安全问题设置了一个更加保险的答案，也换了全新的密码，并且不在AOL上放简历了。我相信还是会有人破解我的账号，但是我也会采取措施，保护自己。

Jerry(即杰拉瑞德.温伯格，本文的作者。译注)，你能不能好好把我的经历写一写，放到你的blog上，以警示其他的咨询师。

AOL在我需要帮助时没有伸出援手。这天早晨，我给犯罪局(the Fraud department) 打电话，猛烈地抨击了AOL的所作所为。他们在乎么？不。

他们强迫我设置一个安全问题。我从来没想过。我愚蠢地相信，这个问题只有在提供了密码之后才会生效。我错了。

多多检查你的安全性。不要再重蹈我昨晚的覆辙。

箴言：

1.不要指望AOL会提供安全援助。
2.不要指望任何ISP会来提供安全援助。这是你自己的责任。
3.对于密码，不可马马虎虎。

案例2. 不要被欺骗，不要的“钓鱼”(Pfish)

我在Amazon的站点上发表短篇的评论文章，为此能得到一些报酬。昨天有人试图攻击我的Amazon账户。如果他们成功了，就会直接把我的收入转入他们的银行户头中去。更糟的是，还可能发生他们以我的名义发布虚假的作品的情况，这将有损我的声誉。

昨天，我收到一封电子邮件，它看上去就仿佛真的来自于Amazon。信中要求我更新账户的信息。但是，注意到之前的忠告，我并没有点击连接，而是通过Amazon的网站，直接给他们写了封信（Amazon的url也是我亲手键入的）。我收到了如下的信息和忠告，这对于所有要求“更新你的账户”之类的信息都有效：

来自Amazon的问候：

您收到的电子邮件不是来自Amazon的。我们会针对此事展开调查。感谢您向我们通报了此事。

出于保护您的目的，我们建议绝对不要回复这类可疑的电子邮件，也不要把个人信息包含在其中。应该做这种假设：任何请求个人财政信息的电子邮件(或者这些电子邮件链接到的站点)都是不可信的。

如果您从未点击那封欺诈性电子邮件的链接，您在Amazon上的账户会一切正常——您什么也不用做。如果您不幸点击了链接，但是尚未输入任何个人信息(比如您的用户名和密码)，phisher也无法得到您的Amazon账户信息。

但是，请明确一点，如果您一旦回复了欺骗的电子邮件，而且还在伪造的web站点上输入了Amazon.com的登录名和密码(或者其他任何个人信息)，phisher将会收集到您的个人信息，这时您应该采取相应的措施了。我们建议您立即更新Amazon.com的密码，同时，如果输入了财政信息，您还应该联系银行和信用卡的提供商。

如果您再次遇到打着Amazon.com旗号的欺诈性行为，请不要犹豫，联系我们。

感谢您的来信。

什么是“钓鱼”(PHISHING)？

Phishing电子邮件的横行已经有几年了。“phishing”这个专有名词源于使用日渐频繁的“fish”一词：引诱并打探(fish)用户的个人或财政信息。对于phishing来说，造假者通常会设置一个伪造的web页面，它看上去和真的非常相似，但背后却由phisher控制与拥有。

可以到www.amazon.com/phish阅读更多的保护自己不被phishing的方法。

什么是SPOOFING？

在这里Spoofing是指一个伪造的web页面或者电子邮件，它们看上去给人以“可信的”感觉，但实际上拥有与控制它们的却另有其人。它们故意愚弄一些人，使上当者误以为自己链接到的是一个可信的站点，或者他们是从一个可信源收到的电子邮件。

箴言：
不要随意信任。这些家伙不是你期望与之打交道的人。

案例3 他们的动作比你快

在互联网上，欺骗者是数以千记的，欺诈行为是按24*7工作的。所以些微的疏忽都会让你损失惨重。正如Amazon警告所说，在你注意到被pfished或者spoofed的时刻，他们已经获得了你的“安全”信息，并且拿去卖给了很多地方。

My SHAPE论坛只能通过订阅邮件彼此交流，而且受密码保护。但是就在前几天，我们额外发布了一个“干净的”电子邮件用于特殊用途，可是却错误地将它置于保护域之外。在不到24小时的时间内，这个地址就开始收到垃圾邮件了。

想象一下这样做会发生什么——如果你暴露了你的客户的电子邮件地址或者安全站点，或者（天啊，千万不要）他们的密码。

箴言：
一个错误会在一分钟内会让你的业务蒙受损失。

案例4. 窥视你的blog：他们并不是在玩耍的脚本小子

前几天，我们开始不断地在Don Gray的blog上看到了一些奇怪的、污秽的内容。Don向AYE Conference的主管们询问此事。我们的互联网领袖Dave Smith给出了如下回复：

我仔细地查看了你的blog。你已经被“黑”了。浏览http://www.donaldegray.com/tiki-view_blog.php?blogId=2，观察源代码。事实上有一块JavaScript代码，它会添加一个片段，从而会将链接渲染为对现代浏览器不可见（有些人能够看到它是因为她使用的是Lynx这样的旧浏览器）。Google将会看到链接，并且把你的站点从Google索引中移除。我将会写个程序来修复这个问题。

我建议你去和TikiWiki的人沟通一下，看看有什么安全更新。我记得在几个月前有一个问题曾经导致一个人，据我所知也被“黑”了。也许你们遇到的是相同的问题。你也应该检查一下blog上其他的部分，看看遭破坏的范围有多大。

Don回复道：我很纳闷，这样做对某些人有什么好处？主要的好处会是把我的站点从Google索引中移除吗？还是脚本小子图一时之快？

Dave回答到：这并不是脚本小子干的。基本上，这是小规模的有组织的犯罪。通过使用自动化攻击工具，可以对他们的用户隐藏一些链接，他们提升了其站点的各种服务的的“等级”。使用自动化工具是很便宜的；只要在咖啡厅中摆一台笔记本电脑，通过wifi接入网络，然后就放任它执行攻击。如果被警察追捕，还可以混入大街的人流中。更加老练的骗子会在巨大的网络上租用机时，这相对于在家里使用Windows机器是一种折中。这是个巨大的隐患。令人悲哀的是，这就是为什么如果不过滤或者不限制blog的回复系统，没有哪个blog能够承受住长时间的开放。我没有在我的blog上激活回复功能，但每天仍然能够在服务器日志上看到，有自动攻击企图的迹象。

我自己的每个blog上每天都会收到大量的垃圾消息，其中就包括这个（指http://secretsofconsulting.blogspot.com/ 译注）。我的blog都阻塞了垃圾消息，但是我的一些同事仍然没有限制他们blog的回复功能。Blog上的每件事都能反映你这个人。只有你允许出现的内容才能真正反映你。当然，你也可以亡羊补牢，在垃圾信息发布到blog后再将它删除，但是这就太晚了。你希望你的客户去读你的blog，不是吗？他们中的一些人会在你删除那些垃圾消息时读到它们，所以还是在垃圾消息登录前就阻止它们。

箴言：
blog或这个人网站上的每件事都反映了你这个人。要保证它能真实地反映你。

箴言之箴言：
关于被篡改的和被掉包的通讯信息，我还可以无休止地举例子。但是我无法赶上每天出现的新花招。你必须超级谨慎，还要三头六臂，但是我知道，很多咨询师都做不到这一点。

昨天我与一位咨询师交谈，她把密码设置为“password”几个字母。我问她为什么这么做，她说，“是的，我知道还有更好的。但是这并没什么大不了的。”嗯，好吧，也许这就是所谓的沟通的心理学吧。


原文链接：http://secretsofconsulting.blogspot.com/2007/01/protecting-your-client-communications.html