查字典图书网
查字典图书网
这是一个日常攻击场景。假设你在美国的一个主要机场稍作停留之后准备启程时,把目光转向登机监视器寻找自己的入口时,发现每位旅客都在哀叹:“飞机又延误了。”这时,你已经成为众多“难民”的一员,将在机场的舒适安静环境中度过接下来的6个小时。 这时你的视线离开监视器,四处搜寻可用的电源插座,以挽救快要没电的笔记本电池。我经历过很多次这样的搜寻,每次都是慢慢地在整个区域到处查找,比如每排座位的后面或者是某根杆子的背面。你可能会注意到,寻找这种隐秘插座的人在路过时,似乎是在盯着你的脚下,却又做的不是太明显。我觉得这类似于穴居人在寻找火种。每个人都想拥有它,但只有少数人能够找到,而一旦你找到了,那么你会极具占有意识。事实上,在不止一个场合,当有人走近时,我都会哼一声,然后锤打胸口以示强势。 现在,假设你是找到插座的成功人士,然后打开笔记本,将电源插到插座上,并立即开始搜索无线接入点。现在,大多数机场、宾馆、咖啡馆甚至是公园都提供了无线接入设备。你只需打开笔记本电脑,点击无线接入图标,就会弹出一个或多个可供选择的接入点。当你浏览接入点列表时,看到了一个标题为“T-Mobile”的接入点。原来,这个机场使用的是这个接入设备,因此你毫不犹豫地选择了它。几秒钟之后,你打开了一个网页浏览器。此时显示的不是你的主页,而是T-Mobile的页面,它让你选择是使用已有的T-Mobile账号登录还是创建一个新的账号。 由于你并没有账号,所以点击创建了一个新的账号,这时会发现所需价格是9.99美元一天。虽然这个价格不是太恐怖,但你刚才注意到还有其他的无线接入点,所以你决定看看其中是否碰巧有免费的。你再次点击无线图标,然后看到列表中还有其他三个接入点。其中有两个是加了锁并且需要正确的密钥才能连接,但有一个标题为WiFly的是开放的。然后你选择了WiFly,这一次重定向到的是WiFly的登录页面,上面给出的价格仅为1.99美元。让你感到高兴的是,你刚刚节省了8美元,这时你拿出信用卡,填写在线表单,然后点击提交,瞧,你现在正在浏览互联网。 别的也没有什么事可做,所以你决定通过在线网页接口来检查你的电子邮件。输入网站的网址后敲回车。突然一个错误消息弹出,告诉你网站的安全证书有问题。只有在浏览需要加密访问的网站时才会用到安全证书。这时你才会意识到这个网站是使用加密会话的,因为网站链接是以https://开头的,而不是http://。 此外,你还会注意到浏览器的状态栏上有一个闭合的锁,这表示该页面也是加密的。但是,错误消息表明这个网站的安全证书不是由可信任的认证机构颁发的,另外你所访问的网站和证书不符。 现在你可以选择关闭这个页面或者继续浏览下去。稍做考虑,你想可能是自己访问错了,所以选择关闭该页面。然后你打开了一个新的浏览器窗口又试了一次,结果弹出了同样的错误。此时你可能意识到页面是正确无误的,但确实又有什么地方出了问题。你可能会想这也许和你在机场所用的服务提供商有关,所以选择继续浏览下去。页面出来了,而且看起来很正常,没有什么问题,所以你就登录进去并查看电子邮件。接着你又浏览了几个小时,中间除了又跳出来几次同样的错误消息之外,其他一切看起来都正常。 最后你的飞机来了,收拾好笔记本,把电源插座留给附近其他正在耐心等待的“穴居人”,然后到达了最终目的地。 几周过去,你回到了家里,然后去支付账单。当你打开信用卡账单时,大吃一惊,先前信用卡里面还有好几百美元,现在已经被刷爆了。想了一下,然后你去问你的妻子是否去疯狂购物了。让你感到放心的是,她确实没有去,但这些消费账单依旧还在。当然,你已经完全忘记了,在从机场返回的那一天,你选择了一个廉价的无线接入公司,并向其提供了信用卡信息。遗憾的是,原来这个便宜的无线接入公司的确是一个身份窃贼(identity thief)。