今天我在twitter上說(shuō)我的QQ一年都用不了幾次，不如賣掉。 @cosbeta 說(shuō)他做生意比較需要短點(diǎn)的QQ號(hào)，因?yàn)樵趖witter上有了不少了解，我就干脆送給他了。晚上回來(lái)給了他相關(guān)信息。這時(shí)候發(fā)生了好玩的事情，竟然有人為了得到這個(gè)QQ號(hào)，想通過(guò)"社會(huì)工程學(xué)"的方法釣魚。我雖然不會(huì)上當(dāng)，但是覺(jué)得具有一定欺騙性，所以分享出來(lái)，提醒大家注意。

郵件很短，截圖在此

1. 圖中這個(gè)郵箱注冊(cè)的不錯(cuò)。有一定欺騙性。在此也提醒大家，這不是 @cosbeta 的郵箱。要識(shí)別是不是常用郵箱，有一個(gè)快捷的方法，就是用google搜索一下，看看以前的活動(dòng)記錄。如果沒(méi)有活動(dòng)記錄，一般是剛剛注冊(cè)的。

以往的活動(dòng)記錄，在互聯(lián)網(wǎng)上相當(dāng)于信用卡賬單，這也是我一直勸大家不要太注意所謂隱私的原因之一。你需要給自己留下信用記錄，以便別人查對(duì)。知道 @cosbeta 真正的郵箱的朋友也可以搜索一下，看看有多少結(jié)果。

google一下看活動(dòng)記錄，這個(gè)辦法甚至可以應(yīng)對(duì)精心搭建的帶有反向解析域名相似的郵件服務(wù)器（可稱為官方釣魚）。是簡(jiǎn)單而有效的辦法。

當(dāng)然也有推友提到自己因?yàn)榉乐估]件，保護(hù)的很好，以致于沒(méi)有任何搜索結(jié)果，這種情況是比較特殊的，可以通過(guò)其他方法驗(yàn)證，我下面也會(huì)提到。

2 注意前面的cosbeta cosbeta，他確實(shí)設(shè)置了用戶名，但正常人是不會(huì)這樣寫名字的?？隙ㄊ切彰男问?，就算用昵稱，也很少有人重復(fù)兩遍。碰上這種情況，至少應(yīng)該注意提高警惕了。這不正常。

3 注意判斷對(duì)方書寫習(xí)慣。這封郵件在這方面也略顯粗糙。比如 @cosbeta 雖然在成都，但說(shuō)話利索，很少在后面加"咯"這樣的語(yǔ)氣詞。他的標(biāo)點(diǎn)都是全角，一般不出現(xiàn)半角。這是由輸入法的習(xí)慣和鍵盤布局決定的，也是類似指紋的標(biāo)記，如果不換機(jī)器或輸入法，通常不會(huì)有太大變化。

4 還有一些其他細(xì)節(jié)線索可以判斷一個(gè)郵件是否是釣魚。這方面大家可慢慢思考，不多說(shuō)。而我們需要做到的原則是，不要在不能確認(rèn)身份的情況下說(shuō)重要的東西。

確認(rèn)身份的方法包括但不限于：和對(duì)方談一些細(xì)節(jié)問(wèn)題，比如談?wù)凘cosbeta的具體業(yè)務(wù)，看看對(duì)方是否知道。我今天和@cosbeta第一次直接聊天的時(shí)候，也聊了不少話。這些對(duì)話都可以從細(xì)節(jié)中確認(rèn)對(duì)方身份。

當(dāng)然，如果能打個(gè)電話問(wèn)一下，可能會(huì)更容易點(diǎn)。對(duì)方的聲音和說(shuō)話習(xí)慣，是更難偽造的。在電話中多說(shuō)幾句，還可以注意到對(duì)方所處環(huán)境，是否局促，是否緊張，是否反應(yīng)速度慢，這些跡象都代表了有異常發(fā)生，要特別注意。

最好的方法還是雙方都使用OTR簽名，這是判斷身份和保護(hù)信息安全的重要手段，雖然麻煩，但非常有效。當(dāng)然送個(gè)QQ號(hào)這種小事就不用麻煩 @cosbeta 專門裝個(gè)OTR了，我通過(guò)對(duì)話已經(jīng)能確認(rèn)他的身份了。具體做法很多，可以以此為基礎(chǔ)，推導(dǎo)出來(lái)更多的辦法。

一個(gè)基本的原則是，要至少通過(guò)兩個(gè)渠道來(lái)確認(rèn)。比如 在twitter上dm一下，然后在gtalk上說(shuō)一下，在網(wǎng)上說(shuō)一下，電話說(shuō)一下。讓不同渠道說(shuō)的內(nèi)容相關(guān)，這樣就可以確認(rèn)出兩邊是否是一個(gè)人。這個(gè)思路可以舉一反三。

總結(jié)一下必須具備的意識(shí)： 1 理解重要信息可能被泄露，必須具有安全意識(shí) 2 保證安全是繁瑣的，但很重要。所以請(qǐng)用多種渠道確認(rèn)對(duì)方身份，這是最基本的一步。 這兩點(diǎn)非常基本，但是如果可以深刻理解，確實(shí)可以解決很多問(wèn)題。

技巧說(shuō)完了，我總結(jié)一下教訓(xùn)： twitter上壞人還是存在的，一個(gè)QQ號(hào)都值得這樣做。其他的信息想必也有各種人，出于不同的目的而感興趣。所以，用不明來(lái)源的第三方上推的推友，請(qǐng)記得改密碼，沒(méi)準(zhǔn)你的密碼早被存下了。我非常非常非常相信，有人曾經(jīng)用某個(gè)第三方或是某個(gè)api收集了大量twitter帳號(hào)的密碼和信息，在某些時(shí)候會(huì)使用的。

安全意識(shí)必須常常記在心中，在關(guān)鍵問(wèn)題上謹(jǐn)慎對(duì)待。注意，郵箱地址是可以偽造的，gmail難一些，但仍然有可能偽造。所以千萬(wàn)注意分寸，什么東西會(huì)讓你丟錢，什么東西會(huì)讓你送命?？紤]好后果，做事就會(huì)謹(jǐn)慎。

有一些不讓人反感的確認(rèn)信息小辦法，可以分享。比如我要給別人匯款，對(duì)方短信過(guò)來(lái)一個(gè)帳號(hào)，怎么確認(rèn)呢？禮貌起見(jiàn)，可以跟對(duì)方說(shuō)：麻煩您能把具體金額再給我確認(rèn)一下嗎？對(duì)方如果能發(fā)出來(lái)細(xì)目，一般就差不多。第一次聯(lián)系的人可以當(dāng)作寒暄說(shuō)一些往事，等等。

一般來(lái)說(shuō)，安全是非常難達(dá)到的目標(biāo)，我們可以默認(rèn)自己的行為是不安全的，然后通過(guò)一系列的手段來(lái)降低不安全的概率，最終達(dá)到一個(gè)比較好的平衡。本文列出的是一些簡(jiǎn)單，易于實(shí)施的辦法。深刻理解這些原則，未必可以保證絕對(duì)安全，但至少可以應(yīng)付大部分麻煩。

【編輯推薦】

1. 分析Twitter的被黑噩夢(mèng)看大型網(wǎng)站如何增強(qiáng)安全性
2. Twitter遭自稱伊朗黑客攻擊首頁(yè)被篡改