象棋大师的身份欺诈

我弟弟是商场的经理，也是个象棋高手，前阵子迷上了在网上下棋。一般来说，网游的规则很简单，刚注册时身份是平民，累积赢其他同等级的玩家三把就升一级，反之降级，他靠自身水平升到了知府后就再也升不上去了。看到他有些沮丧，我决定帮他升级，这个建议着实雷了他，因为我是个臭棋篓子，即使他让我车马炮，我也赢不了他。

虽然我不会下象棋，但对信息安全理论有点研究，觉得还可一试。我找了一个象棋大师单机版软件，把难度设成最高级，让他试试，结果是他输了，原来知府水平不及象棋大师软件的最高级水平，这就好办了。我用他的号登陆上去，向知府级别的玩家挑战，对方先来了一招“当头炮”，我同时打开象棋大师单机版游戏，设定好最高级难度，借用玩家的“当头炮”来开局，软件不到一秒钟就回了一招“把马跳”，我再把这招用在那个知府级玩家上。

我一边浏览着松鼠会网站，一边喝着茶，等玩家出招后，就把这招用在软件上，再把软件的回招用回到知府玩家身上，根本不用思考。一会玩家就顶不住了，发消息说“大哥，能悔步棋吗？”，我痛快地答应，然后点向软件的悔棋键……不出所料，那个知府玩家完败，他又发来了消息：“大哥，你棋太高，我服了，但你丫下棋咋不用思考啊？你不会是火星人吧？”升到巡抚了，我弟弟裂着大嘴乐啊：“哥，这招绝了，比开小号作弊快多了”。

我弟靠这招升到了宰相，但很多宰相级玩家真的能下赢软件，这招不好使了，而且网游规定，长时间不下棋也会降级，如何保住宰相头衔，我弟弟又纠结了，他试着问我“哥，你不会还有别的邪门招术吧？”。“还真有。”我让他同时向两个宰相级玩家挑战，把A玩家的招术用在B玩家身上，再把B玩家的回招用回到A玩家身上，结局只能是一输一赢或者两盘和棋，根本不可能有第三种可能，保级成功！

我弟弟对我算是彻底服了，受这结果的启发，他问了我一个问题：顾客在商场的A款台刷卡购买了一卷手纸，但我把他的刷卡信息偷偷转到B款台，为一台液晶彩电付帐，然后把网银送到到B款台的确认信息转移到A款台让顾客确认，顾客以为自己买的只是一卷手纸，但实际却付了彩电的账，这个设想成立吗？

“完全成立。”我告诉他，身份欺诈手法可以使用的场合很多，例如面试，你戴一个袖珍的无线收发耳机，把面试官的问题传到场外的枪手那里，他把正确答案再回传到你的耳机里，你只要复述一遍就妥了，而且还真的有恐怖分子靠这招蒙住了签证官。

这种身份欺诈的思路其实很简单，就是令被欺诈者以为跟他交流的是A，但其实是B。例如，那个无辜的网络棋手以为自己在跟我弟弟下棋，但其实跟他下棋的却是象棋大师软件，签证官真正交流的对象也不是面前的恐怖分子，而是场外的那个托。那如何做到这一点呢？欺诈者自可以采用不同的方法和技术，但万变不离其宗。

“这个世界太危险了，那咱以后还敢使用网银买东西吗？”我弟弟又纠结了。“你作为商场经理，敢不敢使用这招骗顾客的钱呢？”我问。“当然不敢，他肯定会发现，然后带着工商和记者来找我们，那我们就赔大发了。”作为商场经理，弟弟考虑的不是道德问题，而是赚赔问题。我们作为消费者，当然不必把信任建立在商人的道德水准上，只要相信他们不是那种会因小失大的傻瓜就行了。

再举一个身份欺诈的例子，对于通信工程师而言，破解汽车电子钥匙并不是一件很难的事，我就曾带学生做过这个小课题，但我有还算不错的收入，也有靠合法收入买的车，绝对不会傻到做个破解器去偷车。美国有个人丢车后状告了防盗电子锁的生产商，结果被判败诉，虽然从理论上讲，防盗电子锁可以做到像核按钮那么高的安全级别，但这个防盗器会比汽车本身贵得多。

再好的加密手段也不会自动提供认证的安全，再好的认证手段也不会保证信息的保密性，加密和认证并列成为信息安全的两个重要领域，身份欺诈就是认证领域研究的重要内容。认证技术是现代社会正常运行的重要保证，但任何技术都是有漏洞的，也都是有成本的，社会惩戒就是必不可少的辅助措施，欺诈者都不是傻子，他们甚至很聪明，惩戒措施明明白白地摆在那里，让这些聪明人感到玩欺诈对自己不利就行了。

本文地址（转载请注明出处）： 复制
收藏、分享这篇文章：       更多...