`
ruilin215
  • 浏览: 1148016 次
  • 性别: Icon_minigender_2
  • 来自: 成都
文章分类
社区版块
存档分类
最新评论

保护你的通讯信息

阅读更多

在大量关于咨询的文献中,我们都听说过“沟通”一词,但是其中所讨论的,大都是在信息从一个人传递到另一个人的过程中,心理学上的问题(我也如此)。这的确是个值得一说再说的话题。但是在人与人之间传递信息的过程中,还有一个物理上的问题。上周,我接到了数次警告,说是我的电子通讯信息已经被偷窥或者篡改了。你应该认真地看一看你的电子信息是否发生了什么事,而现在是时候了。

案例1. AOL安全攻击

下文源自于我通讯簿中的一段记录:

昨晚真是糟透了。我的用户名不能用了。骇客盗取了它,而且AOL中没有一个人——没有一个人啊——能够帮助我。骇客登录后就修改了我的密码、我的安全问题以及我的业务联系表。是的,他改了联系表后就不会再和表上的人有业务上的往来了。为什么要这么做?因为他喜欢我的用户名:XXXXXX。他想得到它。他乐于为它买单。而且他也乐于陷我于麻烦之中。

于是我启用了备用的用户名——我曾经用过它上线,是因为不希望被e-mail之类东西的所打扰。当时我收到了一封电子邮件。它来自于AOL,告诉我说我的主用户名的密码已经被修改了。我没有改它。除了我也没有人拥有这个密码。没有人。

那时我曾立即尝试访问我的主用户名。不幸的事情出现了。我向AOL求助,在他们能够派人来之前,我只是不断地收到记有正在尝试“解决我的问题”的记录。不…向一个人的请愿没有效果。不过我发现人多力量大。于是我尽我所能地告诉每个人。

没有一个人来与我沟通。为什么呢?因为我不再是自己账户的所有者了。我从1996年开始就拥有这个账户,而他们却听不进这些。他们说既然我不是当前的账户所有者,自然就不能和我交谈。他们声称丝毫没有关于我的记录。那些家伙只耐着性子和我说了不到一个小时,最终他们还是没有改变态度,就因为我已不是记录的所有者。

你根本无法想象我有多沮丧。也许你能理解。我用这个账号维护着*
所有的*咨询业务。它的丢失,对我来说是无法弥补的损失,简直糟透了。我咆哮了。我使出浑身解数,证明我拥有那个账号——完全没有用。他们根本不理睬我!

他们提示我可以到犯罪局(the Fraud department)试试看,那里早上九点开门。 但是我等不及。我不能坐以待毙。

我仍旧用着我的备用账号,一直等到盗取我账号的人登录。于是我在IM(即时通讯软件)上给他发了条消息。我先用脏话骂他,然后向他发问——为什么要这样做?你是怎么做的?

他嘲笑我,发给我一个“LOL(Laugh Out Laugh)”,告诉我说,“吃一堑长一智”吧。

他竟然还知道我是个咨询师。于是我问他是如何知道的。

故事的梗概是这样的:我把个人信息放到了AOL简历上,觉得这样在有人浏览它时,会是一种提升我服务知名度的很酷的方式。然而适得其反。这样做竟把我的名字暴露给他了。他在google上找到了我,并且得知了我曾经就读的大学。瞧!这样他就知道我的安全问题的答案了。

他甚至不需要我的密码就能登录。他通过安全问题,配合“密码重置”选项,彻底迂回绕过了它。再重申一遍:
他根本不需要的我的密码

他说他收集账号只是为了寻求刺激,以此来取笑我。

这一切都发生在IM上。

然后,我请求他,哀求他。我告诉他,他已经严重地破坏了我的事业。我的账号就是我的血液,账号的丢失给我的伤害是他所无法想象的。

终于,骇客做了AOL拒绝去做的事。他将账号还给了我,还给了我新的密码(我马上就换了个新的)和新的安全问题答案。这位骇客突然变得絮絮叨叨起来,他提供给我一些关于他的住址等信息线索。这些我并非全部相信。他当初把我的密码从XXXXXX设置为小写的xxxxxx,后来他给了我一个修改密码的程序。我谢绝了,并告诉他,这个小写的“x”对于我来说永远是个警示:保持警惕。

至于他为什么要这么做我不得而知。但是他就是做了。他说他是个良心尚存的骇客。这点我相信。但我仍然怨恨他所做的事。不过经历了昨夜一晚的焦虑,我学到了不少。现在,我为安全问题设置了一个更加保险的答案,也换了全新的密码,并且
在AOL上放简历了。我相信还是会有人破解我的账号,但是我也会采取措施,保护自己。


Jerry(即杰拉瑞德.温伯格,本文的作者。译注),你能不能好好把我的经历写一写,放到你的blog上,以警示其他的咨询师。

AOL在我需要帮助时没有伸出援手。这天早晨,我给犯罪局(the Fraud department) 打电话,猛烈地抨击了AOL的所作所为。他们在乎么?不。

他们强迫我设置一个安全问题。我从来没想过。我愚蠢地相信,这个问题只有在提供了密码
之后才会生效。我错了。

多多检查你的安全性。不要再重蹈我昨晚的覆辙。


箴言:

1.不要指望AOL会提供安全援助。
2.
不要指望任何ISP会来提供安全援助。这是你自己的责任。
3.
对于密码,不可马马虎虎。

案例2. 不要被欺骗,不要的“钓鱼”(Pfish)

我在Amazon的站点上发表短篇的评论文章,为此能得到一些报酬。昨天有人试图攻击我的Amazon账户。如果他们成功了,就会直接把我的收入转入他们的银行户头中去。更糟的是,还可能发生他们以我的名义发布虚假的作品的情况,这将有损我的声誉。

昨天,我收到一封电子邮件,它看上去就仿佛真的来自于Amazon。信中要求我更新账户的信息。但是,注意到之前的忠告,我并没有点击连接,而是通过Amazon的网站,直接给他们写了封信(Amazonurl也是我亲手键入的)。我收到了如下的信息和忠告,这对于所有要求“更新你的账户”之类的信息都有效:

来自Amazon的问候:

您收到的电子邮件不是来自Amazon的。我们会针对此事展开调查。感谢您向我们通报了此事。

出于保护您的目的,我们建议绝对不要回复这类可疑的电子邮件,也不要把个人信息包含在其中。应该做这种假设:任何请求个人财政信息的电子邮件(或者这些电子邮件链接到的站点)都是不可信的。

如果您从未点击那封欺诈性电子邮件的链接,您在Amazon上的账户会一切正常——您什么也不用做。如果您不幸点击了链接,但是尚未输入任何个人信息(比如您的用户名和密码),phisher也无法得到您的Amazon账户信息。

但是,请明确一点,如果您一旦回复了欺骗的电子邮件,而且还在伪造的web站点上输入了Amazon.com的登录名和密码(或者其他任何个人信息),phisher将会收集到您的个人信息,这时您应该采取相应的措施了。我们建议您立即更新Amazon.com的密码,同时,如果输入了财政信息,您还应该联系银行和信用卡的提供商。

如果您再次遇到打着Amazon.com旗号的欺诈性行为,请不要犹豫,联系我们。

感谢您的来信。


什么是“钓鱼”(PHISHING)

Phishing
电子邮件的横行已经有几年了。“phishing”这个专有名词源于使用日渐频繁的“fish”一词:引诱并打探(fish)用户的个人或财政信息。对于phishing来说,造假者通常会设置一个伪造的web页面,它看上去和真的非常相似,但背后却由phisher控制与拥有。

可以到www.amazon.com/phish阅读更多的保护自己不被phishing的方法。

什么是SPOOFING

在这里Spoofing是指一个伪造的web页面或者电子邮件,它们看上去给人以“可信的”感觉,但实际上拥有与控制它们的却另有其人。它们故意愚弄一些人,使上当者误以为自己链接到的是一个可信的站点,或者他们是从一个可信源收到的电子邮件。

箴言
不要随意信任。这些家伙不是你期望与之打交道的人。

案例3 他们的动作比你快

在互联网上,欺骗者是数以千记的,欺诈行为是按24*7工作的。所以些微的疏忽都会让你损失惨重。正如Amazon警告所说,在你注意到被pfished或者spoofed的时刻,他们已经获得了你的“安全”信息,并且拿去卖给了很多地方。

My SHAPE
论坛只能通过订阅邮件彼此交流,而且受密码保护。但是就在前几天,我们额外发布了一个“干净的”电子邮件用于特殊用途,可是却错误地将它置于保护域之外。在不到24小时的时间内,这个地址就开始收到垃圾邮件了。

想象一下这样做会发生什么——如果你暴露了你的客户的电子邮件地址或者安全站点,或者(天啊,千万不要)他们的密码。

箴言
一个错误会在一分钟内会让你的业务蒙受损失。

案例4. 窥视你的blog:他们并不是在玩耍的脚本小子

前几天,我们开始不断地在Don Grayblog上看到了一些奇怪的、污秽的内容。DonAYE Conference的主管们询问此事。我们的互联网领袖Dave Smith给出了如下回复:

我仔细地查看了你的blog。你已经被“黑”了。浏览http://www.donaldegray.com/tiki-view_blog.php?blogId=2,观察源代码。事实上有一块JavaScript代码,它会添加一个片段,从而会将链接渲染为对现代浏览器不可见(有些人能够看到它是因为她使用的是Lynx这样的旧浏览器)。Google将会看到链接,并且把你的站点从Google索引中移除。我将会写个程序来修复这个问题。

我建议你去和TikiWiki的人沟通一下,看看有什么安全更新。我记得在几个月前有一个问题曾经导致一个人,据我所知也被“黑”了。也许你们遇到的是相同的问题。你也应该检查一下blog上其他的部分,看看遭破坏的范围有多大。

Don
回复道:我很纳闷,这样做对某些人有什么好处?主要的好处会是把我的站点从Google索引中移除吗?还是脚本小子图一时之快?

Dave
回答到:这并不是脚本小子干的。基本上,这是小规模的有组织的犯罪。通过使用自动化攻击工具,可以对他们的用户隐藏一些链接,他们提升了其站点的各种服务的的“等级”。使用自动化工具是很便宜的;只要在咖啡厅中摆一台笔记本电脑,通过wifi接入网络,然后就放任它执行攻击。如果被警察追捕,还可以混入大街的人流中。更加老练的骗子会在巨大的网络上租用机时,这相对于在家里使用Windows机器是一种折中。这是个巨大的隐患。令人悲哀的是,这就是为什么如果不过滤或者不限制blog的回复系统,没有哪个blog能够承受住长时间的开放。我没有在我的blog上激活回复功能,但每天仍然能够在服务器日志上看到,有自动攻击企图的迹象。

我自己的每个blog上每天都会收到大量的垃圾消息,其中就包括这个(指http://secretsofconsulting.blogspot.com/ 译注)。我的blog都阻塞了垃圾消息,但是我的一些同事仍然没有限制他们blog的回复功能。Blog上的每件事都能反映你这个人。只有你允许出现的内容才能真正反映你。当然,你也可以亡羊补牢,在垃圾信息发布到blog后再将它删除,但是这就太晚了。你希望你的客户去读你的blog,不是吗?他们中的一些人会在你删除那些垃圾消息时读到它们,所以还是在垃圾消息登录前就阻止它们。

箴言
blog
或这个人网站上的每件事都反映了你这个人。要保证它能真实地反映你。

箴言之箴言
关于被篡改的和被掉包的通讯信息,我还可以无休止地举例子。但是我无法赶上每天出现的新花招。你必须超级谨慎,还要三头六臂,但是我知道,很多咨询师都做不到这一点。

昨天我与一位咨询师交谈,她把密码设置为“password”几个字母。我问她为什么这么做,她说,“是的,我知道还有更好的。但是这并没什么大不了的。”嗯,好吧,也许这就是所谓的沟通的心理学吧。


原文链接:http://secretsofconsulting.blogspot.com/2007/01/protecting-your-client-communications.html
分享到:
评论

相关推荐

    S300 系列综合保护装置 通讯协议(Modbus)

    Modbus是一种应用于电子控制器的通信协议,它允许设备...总体来说,S300系列综合保护装置配合Modbus通讯协议,可以实现与远程监控系统的稳定连接和信息交换,满足工业自动化领域对综合保护、实时监控和数据分析的需求。

    BMS通讯协议V2.07

    BMS通讯协议V2.07定义了仪表查询信息,用于描述BMS设备的仪表信息,包括仪表类型、仪表状态、仪表参数等信息。 单体电压和模块温度信息 BMS通讯协议V2.07定义了单体电压和模块温度信息,用于描述BMS设备的电压和...

    我国关键信息基础设施保护建设白皮书(2021)(27页).pdf

    关键信息基础设施保护建设白皮书(2021) 一、关键信息基础设施概述 关键信息基础设施(Critical Information Infrastructure,简称 CII)是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等...

    蚂蚁BMS保护板.zip

    在使用蚂蚁BMS保护板的过程中,用户应密切关注官方发布的更新信息,以便及时获取最新的功能和性能优化。 总的来说,蚂蚁BMS保护板以其专业的电池管理能力,结合不断迭代的固件和便捷的更新工具,为电池系统提供了...

    电动机保护器厂家带大家了解智能电机综合保护器通讯软件的应用.doc

    电机保护器具备丰富的信息管理功能,能够记录电机的型号、运行模式、设定参数以及维护历史,这些信息对于故障分析和预防事故至关重要。在故障发生时,保护器能快速响应,保存故障类型、时间以及电机运行参数,便于...

    通讯簿(带有密码保护功能)

    总的来说,《通讯簿(带有密码保护功能)》结合了基础的通讯录功能与高级的安全措施,是个人信息管理的一个良好实践。它涉及了密码学、数据库管理、用户界面设计等多个IT领域的知识,对于开发者和用户而言都具有很高的...

    信息通信行业防范打击通讯信息诈骗白皮书(2018年)

    ### 信息通信行业防范打击通讯信息诈骗白皮书(2018年) #### 通讯信息诈骗概述 ##### 通讯信息诈骗的...通过以上措施,可以有效遏制通讯信息诈骗犯罪活动,保护公众的财产安全和个人信息安全,维护社会和谐稳定。

    MODBUSRTU通讯规约

    该规约在主机和从机之间传递通讯信息,信息帧格式包括:开头地址码、功能码、数据区、CRC校验码和结尾码。 MODBUSRTU通讯规约的通讯信息传输过程分为以下几个步骤:第一,主机发送通讯命令至从机,包括地址码、...

    WLD2003微机保护通讯规约.pdf

    《WLD2003微机保护通讯规约》是由珠海万力达电气股份有限公司编写的,主要用于规范微机保护设备与外部系统之间的通信协议。该规约详细定义了通讯接口、报文格式、报文类型以及报文交换的相关规则,以确保数据传输的...

    电信设备-发送呼救信息和相关地点信息的人身保护方法或应用程序及相关通讯终端.zip

    标题中的“电信设备-发送呼救信息和相关地点信息的人身保护方法或应用程序及相关通讯终端”揭示了这个压缩包文件的核心内容,它涉及到电信技术在紧急情况下的应用,特别是关于安全和人身保护的方法。这样的系统通常...

    电信设备-无主站分布式微机母线保护的通讯方法.zip

    这些通信方式确保了保护单元之间的数据交换,包括状态信息、告警信号、故障信息等。例如,通过光纤通信,可以实现高速、低延迟的数据传输,提高保护动作的及时性。 在无主站分布式系统中,每个保护单元需要具备自...

    继电保护信息化发展现状与思考

    在当前的应用中,继电保护系统已普遍集成了多种现代信息技术,比如使用高速的CPU、A/D(模拟/数字)转换器、以及各种通讯接口,确保数据能够在保护单元和调度中心之间快速传递。这些技术的应用极大地提升了继电保护...

    计算机通讯技术在电子信息工程中的应用 (4).pdf

    计算机通讯技术是现代电子信息工程的核心组成部分,它基于计算机网络技术,负责信息的采集、控制、处理及传输。这种技术在各个行业中广泛应用,极大地推动了社会信息化进程,为全球经济和技术进步奠定了坚实的基础。...

    电信设备-新型通讯保护装置.zip

    本资料主要探讨的是“新型通讯保护装置”,它在电信行业中扮演着至关重要的角色,确保了信息传输的高效、安全。新型通讯保护装置不仅提高了网络的抗干扰能力,还提升了系统的整体性能。 首先,我们要理解什么是通讯...

    电信设备-通讯信息保存装置.zip

    总结,通讯信息保存装置是电信设备中不可或缺的一部分,它在信息安全管理、合规性、数据保护及高效运营等方面发挥着关键作用。随着5G、物联网等新技术的普及,通讯信息保存装置的技术要求和应用场景将持续演进,以...

    电子政务-光电隔离通讯保护器.zip

    在现代社会信息化进程中,电子政务的建设与应用已成为政府现代化管理水平的重要标志...随着技术的不断发展,光电隔离通讯保护器的应用将会更加广泛,对于保障电子政务系统的正常运转和信息安全将发挥越来越重要的作用。

    浅析电子信息技术与移动通讯.pdf

    在移动通讯信息优化过程中要应用大量的工具和技术,在传统的信息优化过程中,因为不同工具只能对特定的问题,需要对数据进行简单的分析和一体化处理,以提高信息优化的效率和准确性。 2. 移动通信信息优化的挑战和...

    大数据下继电保护通讯系统故障定位方法研究.docx

    【继电保护通讯系统故障定位方法研究】 在大数据背景下,电力系统的自动化与信息化水平不断提升,传统的故障处理方式已无法满足需求。继电保护通讯系统在电网中的作用至关重要,它负责在电网故障时快速准确地定位...

    论通讯业消费者权益保护的策略朱恋.zip

    在当前信息化社会中,通讯业作为连接人与人、人与世界的桥梁,其服务质量与消费者权益保护至关重要。本文将从标题“论通讯业消费者权益保护的策略”出发,结合描述和标签,深入探讨如何在通讯行业中更好地维护消费者...

Global site tag (gtag.js) - Google Analytics