“网络钓鱼”的蝴蝶效应
来源:科技资讯网 更新时间:2007-10-17

 

  也许你在今年5月份开始流行“网络钓鱼”的时候就听说了这种攻击。在网络钓鱼攻击中,真正的信用卡数据被用来引诱消费者提供更多的秘密。但是,在这个消息在6月份公开之前,你知道这些诈骗活动很可能是CardSystems公司的安全突破事件在外部可以看到的第一个结果吗?

  类网络钓鱼

  近日,又不断有QQ用户莫名其妙地收到好友发来邀请加入“猫扑(www.mop.com)朋友圈”的信息。很是诧异,很多好友在网上三年也很少打声招呼,却忽然盛情地邀请加入他的朋友圈,其中必有蹊跷。

  对流程的进一步检查发现,猫扑利用网民忽视网络服务协议的缺口,瞒天过海,诱导用户输入5460校友录、QQ、Chinaren等网站的帐号及秘码,未经过目标网站和用户允许和知晓的情况下,利用诱导得到的大量用户的用户名和密码方式,盗走了大量用户及其关系用户的个人资料。MSN、网易邮箱等也正生着同样状况。猫扑以用户的身份套取并对外发送商业信息及用户私隐的现象引起了很多网友对隐私信息的极大担忧。毕竟这已经是猫扑继五月份之后第二轮采用类似手法涉嫌盗用用户私隐。

  从技术上层面分析,这种做法就是网络钓鱼换汤不换药的翻版,网站这类套取用户重要帐户和密码,容易引发涉及用户及用户关联者的个人隐私、账户等相关服务严重问题。近期曾有骗子网站冒充银行网站,套取用户银行帐号和密码,进而盗用用户资金。这类行为都属于很恶意的盗用行为,可以归结为网络暴力。

  变本加厉的商业内涵

  猫扑作为国内知名“有性格”的人气论坛,表象上看起来并不需要急剧扩张的趋势,平稳的人气应该没有必要用下三滥的手法窃取私人信息,然而商业行为必然有其背后的利益必然性。猫扑的恶劣行为只是一个表象,相对于外延,我们更应该注意到这种恶劣行为的商业内涵。

  为什么会是猫扑?其时猫扑早已被一家叫做“千橡”的公司合并。在猫扑的千橡公司介绍页面里很清楚地注明:千橡公司拥有并运作引领潮流的青少年社区门户DuDu网,2004年3月,公司通过股权置换完成了与猫扑网的合并。

  我们可以再用一个生动的例子来完成这种商业利益必然性的分析:有网站在兜售自己的广告弹出程序,并号称已经“控制”了中国的3000万台PC,从其可以暗中跟踪并反馈PC用户行为的表征看,它很有可能被归为“病毒”,这个软件就是猫扑的兄弟、千橡的Desktop Media(下文简称DM)。自称可以通过独有技术可以使广告信息直接延伸到用户操作终端,突破传统互联网广告的页面局限,根据不同的内容匹配相关广告。也就是说,DM可以直接监控用户的网络活动,并根据用户的个人喜好加载广告,这种有的放矢的宣传方式,无疑会更为有效直接。

  可是,DM是如何得到用户许可而进行用户个人资料收集的呢?从DM的官方网站我们清楚地知道,DM通过与其它软件捆绑的方式进入我们的台式机。调查发现,DM的捆绑软件中有一个很有名的叫做“DuDu下载加速器”的软件,它是由dudu.com推出的——dudu.com又是属于知名网站猫扑网。

  绕了一个大圈又回到了起点,在PC机上DuDu下载加速器是用来收集个人资料以定制广告,从而进一步挖掘隐私信息的商业潜能,推广DuDu只是诱饵,千橡真正的目的是为了骗取个人信息再包装、加工赚取背后的价值。同样道理,这就很容易理解猫扑疯狂地利用一切下流手段骗取个人隐私信息,因为这是与PC的DuDu下载加速器相对应,在布一个互联网的“局”,利用可怜的用户那不想为人所知的资料榨取背后的商业利润。

  猫扑和千橡的共同“领导人”陈一舟在2004年09月02日一场名为《中国互联网开创第四盈利模式》的报告中,曾提到DuDu加速器在猫扑推出半年不到现在已经有1000万的用户。 从离开ChinaRen.com到建立DuDu网,再到与猫扑网合并,到猫扑-DuDu网络社区矩阵形成,再到后来的“共享软件联盟”,这两年,陈一舟一路走来,所做的不过是在生产一件件华丽的外衣,猫扑与DM背后的用户资料价值才是其推广核心。

  在所谓的“第四类盈利模式”里,陈一舟和他的千橡或者会模糊地告诉用户,“这是一颗夹心糖”。而究竟这颗糖里包藏着怎样的夹心,他们往往一笔带过,或干脆只字不提。

  猫扑疯狂地从对手处攫取用人隐私只是在布一个大局,口袋的一端是猫扑,一端是DuDu,而可怜的用户就好像是被装进这个黄豆,只有被陈一舟用来榨油的份儿。

  蝴蝶效应的社会延展性

  私人信息“失窃”,根本原因在于获取者和倒卖者都有利可图。对于倒卖者而言,这样的生意是“小成本,高利润”;对于获取者而言,信息就意味着客源和利润。

  6月3日,《计算机世界》“中国CSO俱乐部大会”上,国家计算机病毒应急处理中心主任张建博士讲了一个例子:国内有人通过木马程序控制了6万台电脑,构成“刑事犯罪”,已经被捕,唐山公安局正在处理此事。

  这些网络暴力行为使人们产生不信任、恐惧网络,人们不愿意或放弃运用电子商务手段开展商务活动。可以说:“网络犯罪”是发展电子商务的重要障碍之一,特别是网络经济犯罪对电子商务的打击是巨大的。

  湖北东方舟律师事务所雷刚律师说,据民法规定,收集、储存、公布涉及自然人的隐私资料,应当征得本人许可。非法收集、转让、出售公民个人信息属于侵权行为,受害人遭遇经济损失的,可以申请赔偿,遭遇其他损失的,还可提请公安机关进行治安处罚。

  1997年的新刑法286条明确规定:“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。”

  猫扑的非常手段获取用户资料至少涉嫌“用存储数据的修改、增加、增加”这三项。

  目前,我国已经启动了《个人信息保护法》的立法程序,专家建议稿已经提交,可能会先以政府规章形式出台。个人的手机号码、家庭住址、医药档案、职业情况等将被列入保护的范围。

  在讨论网络暴力的成因中,我们汗颜地发现:整个网络时代的社会远远没有跟上现实的要求,也没有担负起本应承担的责任。对照当前的互联网现状,讨论网络暴力的成因,则可见社会系统在瞬息万变的网络时代对层出不穷的创新缺乏最起码承接力,而猫扑的网络暴力行为将这种承接力进一步削弱。

  从某种意义上说虚拟世界无国界、无时空,任何动作的影响都远远超过现实世界,约束与重视程度应该更甚。以后,在虚拟世界上将会有更多不断地创新,都将从形式上挑战现实世界,更从本质上挑战这个社会的创新承接力。

  其实,网络犯罪与法律缺失还只是社会系统对创新承接力不足的一个外延,从哲学上来说外延要取决于内因的内涵,就是一个社会系统大机器上所有的螺丝钉对创新的终合应对能力,也就是所谓的社会创新承接力。我们只要把握住网络社会的内涵与外延,以每一颗螺丝钉为圆心起步,从全民网络教育的角度想开去,就不难把握社会创新承接力了。###NextPage###

  社会化网络的歧途

  博客、RSS、维基百科、六度交友、播客,这些WEB2.0定义的社会化网络典型技术,无疑是网络创新发展的方向,但是这些WEB2.0的技术模式却都存在着一些本质的非商业特性,麻省理工的《技术观察》针对WEB2.0的技术特性分析,“博客、RSS、播客等符合WEB2.0定义的技术,都在强调分众传播的对等信息交互,也就是信息接受者同时也是这些信息的创造者,若干的博客汇集成新的信息输出者。每个人在挤奶的时候还要喝奶,这其中自身的商业循环,绝不可能以浅薄的收费服务或者广告来衡量”。

  从这个角度来分析,猫扑的模式带有些第二代社会化网络的苗头,不幸的是,猫扑踏上了一条不归路,而且刚刚露出一个小头的社会化网络就让猫扑的暴力行为打上了歧途。

  全中国700万的Hotmail邮箱注册用户,有将近一半的人每天都在遭交友邀请的轰炸。WEB2.0风潮中流行的交友网络,因为低廉的技术门槛正在中国蜂拥,在与这些SNS推崇者交谈中,“流氓不过周鸿”成为了这些SNS网站对互联网道德底线的把握。

  一直以来,国内社会化网络尤其是其中几个较有影响力的在其发展历程中所处尴尬境地。社会化网络甚至于欲改编成社会化网络的论坛都涂上了过多的艰苦奋斗和惨淡的悲情创业先驱色彩,主要原因来自于难以获取盈利的压力。同时,又以极其羡慕和嫉妒的目光注视着国外著名的论坛,它们凭着注册费用就获得了不菲的收入,甚至支撑了整个公司的运营。

  无可否认,在国外已经有很多的组织建立的论坛和邮件列表,相互讨论的重要论题就是如何宣传自己,如何能够获得更大的收益,在他们看来,获得收入是很正常的事情。国内的社会化网络开拓市场模式是值得探讨的。

  由于我国知识产业化、技术商业化以及资本市场都不成熟或有待于完善,甚至于有的还是空白,所以我们件需要探索一条合适的路来走,但是通过网络暴力手段是不是合理的呢?

  我们必须承认,由于国内用户已经习惯享用“免费的午餐”,无疑给以后的市场发展带来了巨大的阻力,但是这么做得有个前提,那就是必须是光明正大的,可以在阳光下操作的,不加人工干预的,用户隐私可以得到保护的,否则便是欺骗和偷窃。因为猫扑的行为会将刚刚露出个小头、立场还不坚定的SNS打上歧途。