我弟弟是商场的经理,也是个象棋高手,前阵子迷上了在网上下棋。一般来说,网游的规则很简单,刚注册时身份是平民,累积赢其他同等级的玩家三把就升一级,反之降级,他靠自身水平升到了知府后就再也升不上去了。看到他有些沮丧,我决定帮他升级,这个建议着实雷了他,因为我是个臭棋篓子,即使他让我车马炮,我也赢不了他。

虽然我不会下象棋,但对信息安全理论有点研究,觉得还可一试。我找了一个象棋大师单机版软件,把难度设成最高级,让他试试,结果是他输了,原来知府水平不及象棋大师软件的最高级水平,这就好办了。我用他的号登陆上去,向知府级别的玩家挑战,对方先来了一招“当头炮”,我同时打开象棋大师单机版游戏,设定好最高级难度,借用玩家的“当头炮”来开局,软件不到一秒钟就回了一招“把马跳”,我再把这招用在那个知府级玩家上。

我一边浏览着松鼠会网站,一边喝着茶,等玩家出招后,就把这招用在软件上,再把软件的回招用回到知府玩家身上,根本不用思考。一会玩家就顶不住了,发消息说“大哥,能悔步棋吗?”,我痛快地答应,然后点向软件的悔棋键……不出所料,那个知府玩家完败,他又发来了消息:“大哥,你棋太高,我服了,但你丫下棋咋不用思考啊?你不会是火星人吧?”升到巡抚了,我弟弟裂着大嘴乐啊:“哥,这招绝了,比开小号作弊快多了”。

我弟靠这招升到了宰相,但很多宰相级玩家真的能下赢软件,这招不好使了,而且网游规定,长时间不下棋也会降级,如何保住宰相头衔,我弟弟又纠结了,他试着问我“哥,你不会还有别的邪门招术吧?”。“还真有。”我让他同时向两个宰相级玩家挑战,把A玩家的招术用在B玩家身上,再把B玩家的回招用回到A玩家身上,结局只能是一输一赢或者两盘和棋,根本不可能有第三种可能,保级成功!

我弟弟对我算是彻底服了,受这结果的启发,他问了我一个问题:顾客在商场的A款台刷卡购买了一卷手纸,但我把他的刷卡信息偷偷转到B款台,为一台液晶彩电付帐,然后把网银送到到B款台的确认信息转移到A款台让顾客确认,顾客以为自己买的只是一卷手纸,但实际却付了彩电的账,这个设想成立吗?

“完全成立。”我告诉他,身份欺诈手法可以使用的场合很多,例如面试,你戴一个袖珍的无线收发耳机,把面试官的问题传到场外的枪手那里,他把正确答案再回传到你的耳机里,你只要复述一遍就妥了,而且还真的有恐怖分子靠这招蒙住了签证官。

这种身份欺诈的思路其实很简单,就是令被欺诈者以为跟他交流的是A,但其实是B。例如,那个无辜的网络棋手以为自己在跟我弟弟下棋,但其实跟他下棋的却是象棋大师软件,签证官真正交流的对象也不是面前的恐怖分子,而是场外的那个托。那如何做到这一点呢?欺诈者自可以采用不同的方法和技术,但万变不离其宗。

“这个世界太危险了,那咱以后还敢使用网银买东西吗?”我弟弟又纠结了。“你作为商场经理,敢不敢使用这招骗顾客的钱呢?”我问。“当然不敢,他肯定会发现,然后带着工商和记者来找我们,那我们就赔大发了。”作为商场经理,弟弟考虑的不是道德问题,而是赚赔问题。我们作为消费者,当然不必把信任建立在商人的道德水准上,只要相信他们不是那种会因小失大的傻瓜就行了。

再举一个身份欺诈的例子,对于通信工程师而言,破解汽车电子钥匙并不是一件很难的事,我就曾带学生做过这个小课题,但我有还算不错的收入,也有靠合法收入买的车,绝对不会傻到做个破解器去偷车。美国有个人丢车后状告了防盗电子锁的生产商,结果被判败诉,虽然从理论上讲,防盗电子锁可以做到像核按钮那么高的安全级别,但这个防盗器会比汽车本身贵得多。

再好的加密手段也不会自动提供认证的安全,再好的认证手段也不会保证信息的保密性,加密和认证并列成为信息安全的两个重要领域,身份欺诈就是认证领域研究的重要内容。认证技术是现代社会正常运行的重要保证,但任何技术都是有漏洞的,也都是有成本的,社会惩戒就是必不可少的辅助措施,欺诈者都不是傻子,他们甚至很聪明,惩戒措施明明白白地摆在那里,让这些聪明人感到玩欺诈对自己不利就行了。

转自http://songshuhui.net/archives/35810.html