尼日利亚诈骗信
目前,在社交网络上流行着一种名为“尼日利亚诈骗信(Nigerian scams)”的欺诈方式。不久前,一位名为卡瑞娜-威尔斯(Karina Wells)的澳大利亚人收到了好友艾德里安(Adrian)从Facebook上发来的信息。艾德里安是威尔斯在现实生活中的朋友,但是威尔斯却表示他 被困在了尼日利亚,而且无法打电话,希望威尔斯能给他汇去500美元用来购买飞机票。这位“艾德里安”甚至利用Facebook的聊天服务向威尔斯求助。
不过威尔斯并没有汇款。她通知了有关方面,澳大利亚监管人员和Facebook也都对此事展开了调查。尽管具体的细节尚未得到证实,但是Facebook方面认为,是有人通过钓鱼网站骗取了艾德里安的Facebook登录信息,并冒充艾德里安向威尔斯索取帮助。
威尔斯虽然识破了这次骗局,但是有关方面和安全专家却警告说,随着社交网络等网络交流方式的不断普及,这类诈骗将会逐渐在网上泛滥开来。
放松警惕
根据美国联邦调查局(FBI)和美国国家白领犯罪中心(National White Collar Crime Center)的介绍,尽管电子邮件仍然是网络诈骗最主要的传播渠道,但是犯罪分子已经开始逐渐将注意力转向包括社交网络在内的网页诈骗。根据这两家机构 的数字,去年,全美由网络犯罪导致的财务损失高达2.39亿美元,同比上升21%。而在所有案例中,受害者通过网页被骗的比例高达32.7%,2005年 的这一比例仅为16.5%。相关官员表示,这种增长主要是因为社交网络的普及造成的。美国联邦调查局网络调查部的副主任肖恩-亨利(Shawn Henry)说:“由于不必担心受到身体上的伤害,因此人们在网络上通常都会放松警惕。”
对于精通电脑的用户而言,想要在网上冒充他人并不困难。最近发生的一起网络暴力案件就备受瞩 目。11月18日,洛杉矶联邦法院就罗莉-德鲁(Lori Drew)冒充他人并导致13岁的女孩梅根-梅尔(Megan Meier)上吊自杀一事开庭审理。德鲁和她的女儿及其雇员一起策划了折磨梅尔的阴谋。他们首先冒充一位名为乔希-埃文斯(Josh Evans)的男孩并在MySpace上与梅尔成为朋友,之后又将“埃文斯”与梅尔的聊天记录故意泄露出去,以便凌辱梅尔。而当“乔希”发送了最后一条信 息之后不久,梅尔便上吊自杀。最后一条信息的内容是“如果没有你,世界会变得更好”。目前,德鲁面临非法侵入他人计算机等4项指控。
戏弄安全专家
最近,两位安全专家在LinkedIn上进行了一项实验,以便向人们证明要冒充他人是多么简 单。FishNet Security的肖恩-莫耶(Shawn Moyer)和Idea Information Security的内森-海密尔(Nathan Hamiel)在获得了一位朋友的许可后,在LinkedIn上建立了一个仿冒的页面,并以此来欺骗专业人士。莫耶和海密尔冒充的是马库斯-兰努姆 (Marcus Ranum),此人现任安全厂商Tenable Network Security首席安全官,他曾为白宫网站(whitehouse.gov)架设了第一台电子邮件服务器。莫耶和海密尔从网上搜到了兰努姆的简历和照片 用来填充个人资料。之后,他们便冒充兰努姆与一些大公司的首席安全官和首席信息官以及安全杂志主编、国防工业专家和其他一些兰努姆有可能在现实生活中认识 的朋友取得联系,希望加他们为好友。
尽管这些人都是网络安全专家,但是他们中的大部分还是接受了请求。而且,一旦这个假冒的兰努 姆成功成为一些业界人士的好友,那么他在加其他人为好友时就更容易得手。兰努姆说:“我原以为安全专家会比普通人有着更强的防备心里。”但是,实验却证明 了莫耶和海密尔此前的猜测:只要好友的姓名、照片和很少一点有关现实生活的信息没有问题,社交网络的用户几乎不会对朋友的身份有什么怀疑。莫耶说:“如果 我想要混进IBM或是美国国防部呢?(连这些安全专家都这么容易上当,)那么兰努姆的其他朋友又会如何呢?”
棘手问题
对于社交网站而言,想要杜绝这类事件并非易事。每家大型社交网站的服务条款中都明确禁止用户 冒充他人。Ruberto, Israel & Weiner律师事务所的基因-兰迪(Gene Landy)说:“互联网与现实世界一样,同样禁止冒充他人。” 兰迪表示,无论是在哪里,冒名顶替者所受惩罚的大小都取决于他们所带来的危害。比如,如果你只是冒充某人的前女友而且发布了一些令人不快的照片,那么有可 能只需面临民事诉讼。但是,如果是为了窃取金钱和敏感信息,那么就很有可能会被认定为刑事犯罪。
对于社交网站而言,如何建立相应的监管机制是一个比较棘手的问题,因为他们不希望通过过于严 格的认证机制吓跑潜在用户。Facebook安全主管马克斯-凯利(Max Kelly)表示,Facebook已经列出了一长串黑名单,使得用户无法利用“唐老鸭”等常见的假名进行注册。Facebook还对一些可疑行为进行了 限制,例如,用户无法在短时间内发送几百条的信息。而且他们也开始着手提醒用户提高警惕。凯利说,“如果用户通过Facebook与人交流时,能够像在现 实生活中一样具有较高的警惕性,那么犯罪分子就无法冒充他人。”不过他也补充道,“我不排除Facebook今后会增加更多认证措施的可能。”
虽然安全专家莫耶承认,LinkedIn想要防止他所进行的实验是非常困难的,但是他也表 示,LinkedIn和其他网站应该加强对用户身份的验证。例如,他认为可以为用户的资料添加“创建日期”之类的标签,让别人知道这个账户是何时创建的。 由于不法分子每天都会创建大量的账户,因此这种方法可以起到一定的效果。另外,社交网站也应该开发一些预警系统,以帮助用户对他人的可疑行为进行标注,从 而起到一定的警示作用。
不过,最好的预防方法还是教育网民提高警惕。莫耶表示:“当有人要加我为好友时,我一般都会 先问问他,我俩上次一起吃饭时,他穿的是什么T恤。”还有一种更加简单的方法可以帮助用户鉴别他人的身份——登录此人的主页看一下他/她在该网站上的活跃 时间有多长,他的好友彼此之间的熟悉程度,同时也可以看一下此人所发布的信息和多媒体资料从而加强对此人的了解。如果这些都没有用,那么最好的办法就是当 对方向你索取钱财和银行信息时拒绝对方的要求。尤其是当自己认识的人发出这类请求时,更是要加倍提防。(完)