特洛伊木马传说应该属于人类历史上最悠久的事件之一。真实的故事发生在几千年前,不过到了21世纪,已经流行到了连三岁小孩都知道这一典故的程度。希腊人建造了一匹巨型木马,并在内部埋伏了相当于现代美国海军海豹突击队一样的青铜时代精锐。而特洛伊人则受到了迷惑,将其作为获得胜利的标志运到城内。入夜后,隐藏的精兵现身,特洛伊就这样沦陷了。
为什么该故事会流传这么多年?原因就在于它描述了人类行为的核心原则之一:世界上从来不缺乏骗子和小偷之流,为了防止自身被诚实的人们发现,他们会竭尽全力隐藏起来。
现实世界中,人们什么时间都有可能遭遇抢劫。当走在大街上的时间,行人可能遭遇抢劫;在任何大城市的地铁中,乘客都遇到作案的小偷;这样的问题在全球任何地方都不会出现例外。如果这些不幸事件发生在自己身上,没有人会告诉受害者这是由于自身存在缺陷而导致的。
然而,在遇到人们被21世纪网络木马所欺骗的情况后,却会传出这样的言论:只有懒惰和愚蠢的人才会上这种当。这类人明显缺乏常识,只有在通过智商测试后,才能容许他们继续使用计算机。
如果我们按照这种思路进行推演的话,就会发现很多事前没有想到的问题。现代计算机属于非常复杂的设备,因而即便是看上去非常简单的在线商业行为,也涉及到很多步骤,需要依据信任程度进行大量决策。这让我想起了今天在线购买并下载一款软件新套装的事情。
并让我意识到,在实际日常环境中恶意软件的活动情况是多么猖獗,与正常操作的之间联系是如何密切。
拥有丰富经验的坏蛋们进行过全面的准备工作,将假冒产品的外观伪装成看上去完全合法的预定目标。这也是他们将成品称为木马的原因。
在本文中,我将向大家展示今天选购合法软件的整个过程,并指出需要依靠自身技术经验作出决定的所有部分。
我了解到基于社会化媒体进行销售的方式。
事情经过是这样的,我点击了一条在推特上找到的ow.ly快捷链接。它来自一位我不仅认识还挺信任的朋友。(我已经忘记链接的具体来源是电子邮件还是页面上的广告了。)详细内容是提醒我奥多比正在进行单日促销,现在只要花半价也就是149美元,就可以获得PhotoshopLightroom3的全功能版本。
正式链接极为冗长,内容也非常复杂,全部加起来已经超过了一百个字符。下图中给出的,就是我在Chrome浏览器地址栏中可以看到的所有内容:
因此,为了确认这是否属于合适的选择,我利用搜索引擎进行了几次价格比较操作。在浏览了所有广告后,我发现交易是不可撤销的。在大多数情况下,广告链接都被成百上千的文字内容所掩盖。而点击这些链接就会出现很多重定向操作,脚本运行速度快得让我看不清楚自己到底身处何处。
我发现,如果要对这些网络地址进行分析的话,用户者至少应该具备中级以上的技术能力。而没有接受过专门培训的普通用户根本不可能做到这一点。并且,这仅仅只是开始。从下面的冗长列表中,大家就可以看到需要作出的决定数量之多。
更新:在文章后面的回复中,就为什么网络地址难以辨认的原因,tdogg219给出了一个非常典型的例子:
从埃德给出的图片来看:
尽管最初的“store1”部分给用户带来的印象并不好,但却属于合法的内容。如果链接变成了:
仅仅调整了一个字符,地址就变成伪造的了。我们怎么能指望祖母和母亲级别的普通用户能够认识到变化这么微妙的问题.......这就是为什么社会化工程模式非常有效,属于文章关注重点的原因所在。我们应该做的是将责任归咎于犯罪分子,并寻找更全面的解决方案,而不是假设所有受骗的人都是笨蛋。这仅仅是我的一点拙见。
我相信该回复的真正价值远远不止一点拙见的程度。非常感谢——埃德
在登录页面上,我还发现了产品标志以及包装展示,以及非常方便的订购表格。
对于任何骗局来说,这一部分的伪造工作都简单到令人难以置信。很多销售假冒或者变种软件的网站,都会选择直接复制原始供应商的页面。从格式到内容以及图片,所有相关细节一应俱全。大家看看我最近发布的冒充谷歌Chrome、火狐和奥多比Flash播放器的木马网页,就会发现说服力有多大了。
在利用搜索广告和网络服务进行了价格比较后,我发现了几家合法网站和一些模棱两可的骗子页面。由于合法网站的结构非常简陋,所以,找出其中差别不是那么简单的事情。
订单页面被加密。
然而,唯一显示该网站进行了加密的标志,在InternetExplorer9中,是地址栏中https前面显示出的一把小小灰色挂锁图标,而在谷歌Chrome浏览器中它则呈现出淡绿色。
尽管对普通用户进行证书审核培训属于可行选择,但让他们真正理解什么属于正确的情况,却是非常困难的。没有技术能力的普通用户很容易被承诺安全的标识和锁形图标所迷惑。
为了获得自己购买的产品,我不得不点击链接进行下载。
这让我看上去就象在访问一家假冒站点。
当准备下载文件时,谷歌Chrome却发出这种类型的文件可能会对计算机造成损害的提示。
我的上帝啊。为什么会出现这种情况?我完全可以肯定,刚刚购买的软件就是来自奥多比。但谷歌却让我提高警惕。
在今天早些时间,我在下载一个非常巧妙地伪装成为奥多比最新版本Flash播放器的木马时,浏览器又发出了同样的提示。
为什么来自奥多比服务器的正常下载会被误报?它与恶意软件有什么不同之处?对于普通用户来说,这同样属于不可能依据上述信息作出正确决定的情况。
在安装软件时需要点击确认一系列同意书和许可协议。
对于普通用户来说,如果已经到达这一步,就意味着下载部分的工作已经完成。下面要做的就是点击安装按钮了,完成所有的工作。如果用户相信下载的软件存在价值并且是合法的,就应该确认正常的同意对话框来进行安装。这属于标准程序,所有类型的计算机都不例外。
对于Windows来说,安装时会出现的主要问题,可能就是可执行程序没有数字签名。这种情况下,该软件在很大程度上就有可能属于恶意软件。就象这样:
而下面显示的则是相反的情况,一个包含了数字签名的合法安装程序。两者之间的区别在于底部盾牌图标的颜色将有所不同。但对于普通用户来说,这种所谓的解释就象天书一样难于理解。
实际上,第一种情况其实只能说明开发商没有通过验证。而第二种情况中,所谓该类型文件可以对计算机带来“潜在威胁”,对于没有接受过专业培训并且定时进行学习的普通用户来说,是无法认识到这之间的区别所在。
确实,经常访问至顶网之类科技网站并且懂得维修计算机的用户可以通过细微的痕迹来识别出假冒站点,但对于普通用户来说,这样的要求显然是过高了。
换句话说,这是一项合理的假设:在绝大部分时间里,普通骗子都可以利用社会化工程模式来欺骗绝大多数普通人,享受着花天酒地的虚假幸福人生。
因此,什么解决方案可以用于防范这种情况?
对于软件和制造商来说,应该要做的是提供更多不易伪造的信息,这样才能为普通用户作出正确选择提供更有效的帮助。
这并不是一个白日梦。事实上,浏览器制造商和一些安全软件开发人员已经开发出了很多种不错的功能,来帮助普通用户在信任方面做出更可靠的决策。
【编辑推荐】