或许你曾听过穷人、首富与银行副行长的笑话。
穷青年对首富说:我想和您的女儿交往。
首富:滚。
穷青年:我是银行副行长。
首富:行呗。
穷青年对银行行长说:我想担任贵行副行长。
行长:滚。
穷青年:我是首富的女婿。
行长:来吧。
这是个极简中间人攻击的例子,其中穷青年就是中间人。中间人攻击(Man-in-the-middle attack,缩写:MITM),是个信息安全领域的专业术语:
中间人攻击在密码学和计算机安全领域中,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。
维基百科:中间人攻击
看一个稍微烧脑一点的例子,就是前些天爆火的吴某凡微博大瓜,原文可以在“平安北京朝阳”找到,链接:http://t.cn/A6f15hWx。与中间人攻击有关的,是刘某迢诈骗那段文字:
这里中间人操作的关键部分,网上有信息安全从业者画了个草图(我没找到作者信息,就直接借用了):
都某竹和吴某凡,他们之间的信任机制仅是“知道部分交往情况”和“我也和吴某凡交往过”——于是表面上是他们在聊,实际上已经有不怀好意的中间人介入。
吴某凡确认都某竹在敲诈勒索的同时,都某竹认为吴某凡正在为她设下圈套。这才有了大家喜闻乐见的惊天大瓜。而事实上,他们被骗了,他们根本就都只是在和骗子聊天。
瓜吃过了,咱不是明星,也不追星,是不是中间人攻击跟咱就没啥关系了呢?当然不是,我顺手在网上搜财务诈骗,就能找到几个例子。
案例 1:
杭州市公安局反欺诈中心接到西湖区某公司财务主管林女士报警电话,称上班时收到“老板”的 QQ 好友申请,随后被拉入公司高层 QQ 群。“老板”在群里告诉林女士有一笔保证金要打给一客户,林女士信以为真,将 30 万元打入“老板”指定账户,林女士操作完后打电话给公司老板,老板表示未有此事,林女士发现被骗。
案例 2:
财务张某,接到自称某科技公司财务电话,称有一笔 30 万元的汇款给公司,并确认了公司的账号。张某向公司老总余总核实了情况,余总答复说应该是管理费。而后张某添加了对方公司财务 QQ 号(昵称财务小李),当天被拉进 QQ 群,群里有“财务小李”和“余总”。次日“余总”突然 QQ 联系张某说要给某传媒有限公司一笔 200 万汇款,急需转账,之后张某将 200 万元分 6 次转账给“余总”提供的公司,之后经核实发现被骗。
推荐一本老书,米特尼克在 2002 年撰写的《欺骗的艺术》,英文名 The Art of Deception,书中的例子或许老旧,但是精髓不变。
这篇通俗娱乐地讲讲技术,试试是不是有人喜欢。
