第二页
简单试验愚弄安全专家
两位安全专家曾在社交网站LinkedIn上进行了一项实验,来证明在网络上冒充他人是多么简单。这两名专家分别是来自FishNet Security的Shawn Moyer,和来自Idea Information Security的Nathan Hamiel,他们获得了一位朋友的许可,在LinkedIn上建立了一个伪装页面来欺骗专业人士。Moyer和Hamiel冒充的是某安全厂商现任首席安全官Marcus Ranum,此人曾为白宫网站架设了第一台电子邮件服务器。Moyer和Hamiel通过网络搜索获得了Ranum的简历和照片,并将其填写在个人资料中。然后,他们便伪装称Ranum与一些安全领域的专业人士联系,其中包括一些大公司的首席安全官和首席信息官以及安全杂志主编、国防安全专家等,希望能在社交网站上加这些人为好友。
虽然这些人都是网络安全方面的专家,也同样有不少人受到了欺骗,接受了其加好友的请求。更加糟糕的是,当这个假冒的“Ranum”成为安全专家们的好友后,就更加容易获得其它人的信任。Ranum表示,“我曾经以为安全专家们应该比普通人具有更好的警惕性,”但是,通过该实验证明并非如此,Moyer和Hamiel此前的猜测是正确的,如果掌握了好友的姓名、照片和一点正确的现实信息,犯罪分子可以轻松的打消社交网络用户的疑虑。Moyer表示,“如果我想混进IBM会发生什么?如果我想混进美国国防部又会发生什么?连这些安全专家们都这么容易上当,Ranum的其它朋友不上当的可能性又有多大?”
社交网站加强监管是双刃剑
社交网站想靠自身的力量解决这类问题,恐怕不是一件容易的事情。每一个主流社交网站的服务条款中都明确规定,禁止冒充其它用户身份。来自某律师事务所的Gene Landy表示,“网络世界与现实生活一样,都禁止假冒他人的做法。”在这两个世界中,冒名顶替者所承受惩罚的力度大小,都由相关行为所带来伤害大小来决定。举个例子来说,如果你冒充某个用户的前女友,并在Facebook上公布一些令人尴尬的照片,你可能构成民事侵权行为;但是,如果你伪装他人来窃取金钱或发布敏感信息,你的行为就有可能构成刑事犯罪,遭受更严厉的惩罚。
对于社交网站来说,落实监管规则的执行可能是一柄双刃剑,它们不希望因为一个过于严格的认证机制而吓跑自己的准用户。Facebook安全主管Max Kelly表示,Facebook已经采取了一些措施,例如限定用户无法使用Facebook的“黑名单”中的名字进行注册。另外,Facebook还对一些可疑的行为进行了限制,例如,不允许用户在短时间内发送几百条短信。同时,Facebook也致力于教育用户提高安全意识,Kelly表示,如果用户在通过Facebook与朋友进行交流时,能保持足够的警惕性,那么犯罪分子也就没有机会去达到自己的目的。他同时还补充说,他不排除Facebook以后可能采取更多的方式来验证用户的身份。
安全专家Moyer承认,对于社交网站LinkedIn来说,恐怕很难有办法完全阻止他所进行的实验。不过,包括Linkedln在内的社交网站应该采取更多的措施来认证用户。他建议,其中一个办法是,新用户的资料应该增加类似“创建日期”之类的时间戳,这样其它用户就可以知道该账户是何时创建的。这可以阻止犯罪分子每天创建大量的帐户。另外,社交网站还应该开发某种预警系统,让用户来帮助识别一些可疑的行为。
不过,最好的防护方法还是教育网络用户提高警惕性。Moyer表示,“当我收到一个好友请求是,我一般会问他,上一次我们共进晚餐时他穿一个什么样的T恤。”
要想识别对方的身份,一个简单的办法就是花点时间来查看对方的个人简历,看看对方的帐号激活了多长时间,看一下他的好友彼此之间的熟悉程度,同时也可以看一下此人所发布的信息和多媒体资料,以加强对他的了解。
当所有这些都无法判定其身份真假时,最好的办法就是,如果对方向你索取钱财和银行帐户信息,即便对方是你熟悉的人,也要加倍提防。(梧桐雨)
网友评论