2.2　害人之心不可有，防人之心不可無

對于網絡安全以及黑客技術這塊嶄新的領域，很多人往往感到不知所措、前進困難，這時就出現了一些不懷好意的人，利用各種各樣的手段“傷害”讀者，我們現在就來剖析一下這些常見的現象。

2.2.1　 “高明”的騙子

初學者不了解黑客的世界，卻又不斷嘗試接觸，這時，不懷好意的人就會乘虛而入，利用初學者對于黑客的不了解，自稱黑客高手，說出一些看似高深的名詞，騙取初學者的信任，并要求其繳納“學費”，這種行為與詐騙無異。但由于取證困難，騙子很難得到懲罰，這更加助長了他們的囂張氣焰。

在此，筆者將介紹一些識別騙子的方法，各位可以作為參考，或告訴身邊對黑客技術感興趣的初學者，提高警惕，謹防上當受騙。

1．所謂黑客

很多時候，騙子們會在各種社區、論壇或是社交網站上發布類似于“黑客收徒”的信息，往往伴隨著“技術列表”，如圖2-1所示。

這是一種典型的騙術，可能那些人對所列舉的技術僅僅是知道名字而已，有時打出的“特價收徒”則滿足了一些人貪圖小利的性格，使其上當受騙。除此之外，試想，如果這個人的技術真的如此高深，為什么還會為了幾十元錢而到處散布“收徒信息”，張口閉口就是“收錢”呢？真正的技術大牛應該是抓緊時間研究技術，提升自己。另外，筆者想糾正一個普遍存在的認識錯誤：“盜號”很簡單。試想，如果盜號真的如此簡單，那讓騰訊、阿里巴巴這些大公司的技術人員情何以堪？就算真的有人擁有這樣的技術，他也不會為了一些可笑的理由去盜取別的社交賬號的。

對于這種情況，不妨隨意想一種不存在的“技術名稱”，詢問對方是否掌握，如果對方想都沒想就肯定，那么謊言將不攻自破。如圖2-2所示，我隨意組合了SQL和XSS兩個名詞。

2．不要隨意運行不明程序

有一些騙術手段更加隱蔽，以發送“黑客軟件”為借口，給沒有防備的新手發送木馬軟件，竊取信息，甚至讓你的計算機在無聲無息中淪為“肉雞”（受黑客遠程控制的計算機）。（關于木馬，在第9章會有更多相關介紹。）

3．不要被看似“黑客”的東西蒙蔽

很多新手對黑客感興趣是因為“覺得很酷”，正因如此，騙子們往往會用一些很酷的東西來吸引別人。例如“匿名者”以及“V字仇殺隊”（圖2-2左側頭像），“匿名者”黑客團隊給人留下的印象就是“酷”和“神秘”，見圖2-3，也難怪很多騙子打著“匿名者”的幌子招搖撞騙了。

還是那句話，真正鉆研技術的人是不需要這些表面功夫的。用社交網絡上夸張的頭像等信息來彰顯自己“黑客”身份的人，大多數是騙子或“娛樂圈”人士。關于“娛樂圈”，下一小節會做說明。

4．以假亂真的騙術

一些曾經在網絡世界中招搖撞騙的人，或因巧合，或因其他原因，搜集了一些技術書籍的電子版本或一些效果明顯的軟件，在“學徒”繳納學費后，發送給他們，其實說不定他們自己都看不懂這些書的內容。

2.2.2　黑客也有娛樂圈

娛樂圈在我們的社會不可或缺，但在網絡安全的世界里，這個詞就頗有些諷刺意義了。“黑客娛樂圈”本身沒有一個準確的定義，一般認為：沒有鉆研技術的精神，整天考慮如何讓自己看起來像黑客，僅會使用一些小工具就沾沾自喜、停滯不前的人就是娛樂圈成員；也經常用來代指以“黑客”為噱頭炒作自己的人。

這樣的人往往在一些QQ群里出現，這些群一般都有成百上千的群成員，并且各個群之間的成員有著相當高的重合性——這些混跡于各種社交群的人總會添加不止一個娛樂群。如果讀者有一位同學，每天沉迷于談論“刷QQ鉆石”“網賺”這些東西，并樂此不疲地在自己的社交朋友圈發布“收徒信息”，那么沒錯了，他九成就屬于筆者所說的“娛樂圈”。他們沉浸在自己浮躁的世界里，并樂在其中。

這并不是個例，很多剛進入這個圈子或渴望進入這個圈子的新手都希望追求一些更“酷”的事物，而不是潛心鉆研技術。好奇之心人皆有之，筆者沒資格要求他們做什么，但希望他們，特別是徘徊在“娛樂圈”的朋友們能看清那些光鮮下的不實，戒驕戒躁，懸崖勒馬。

2.2.3　防范釣魚網站

釣魚網站的存在確實給詐騙活動提供了便利（例如，恭喜您獲得了價值×××元的××獎品一類），但在此筆者要說的重點是針對用戶賬號、密碼的釣魚頁面。

隨著Web技術越來越發達，制作釣魚頁面的技術也隨之提高，除去用來詐騙的釣魚頁面，還有一種釣魚頁面值得人們關注，即黑客攻擊釣魚頁面。這種類型的釣魚頁面一般以得到目標用戶密碼等隱私信息為目的，偽造目標用戶熟悉的Web環境并實施攻擊，在6.4節有一個基于XSS的釣魚示例，讀者可以提前看一下。

為了防范這種釣魚攻擊，最便捷可靠的方法就是留意瀏覽器URL信息。

注意：此處僅僅是指瀏覽器顯示的URL，而并不是點擊鏈接時的URL——因為URL可以跳轉，比如近期就有一個蠕蟲在各大社交網站、朋友圈傳播，中招的用戶都會以不同方式發送一個URL：http://paypassport.suning.com/ids/oauth20/authorize?client_id=suning_01&response_type=code&redirect_uri=http://×××.com&www.qq.com。

這個鏈接實則是跳轉到了×××.com，攻擊者又在最后加入了www.qq.com進行迷惑，受害者往往在無意中就成為了蠕蟲傳播的一個環節，這種方式也被用于隱藏XSS的攻擊。

那么，在受害者沒有意識地進入攻擊者的網站之后，下一步攻擊又是如何展開的呢？用戶的密碼信息又是如何神不知鬼不覺地泄露的呢？

攻擊者制作的登錄頁面看起來和真正的登錄頁面無異，但這個頁面的工作原理如下：

（1）受害者輸入賬號、密碼信息。

（2）提示密碼錯誤，后臺第一次記錄賬號、密碼。

（3）受害者再次輸入賬號、密碼。

（4）提示密碼正確，并跳轉到受害者真正想訪問的網站，同時后臺第二次記錄賬號、密碼。

（5）記錄兩次輸入的密碼，發送給攻擊者。

這樣一來，抱有“我第一次隨便輸入密碼就知道是不是真的”心態的防御方式徹底宣告失敗。

回到剛才的那句話：“最便捷可靠的方式就是留意瀏覽器上的URL信息”，偽裝得再精妙的釣魚頁面，URL也有著明顯的不同，在登錄時留意URL欄，無疑是一種簡便高效的防御方式。該方法不能防御6.4節提到的XSS覆蓋頁面攻擊，不過無須過于擔心，遇到這種攻擊的概率實在是可以忽略。

還有一點需要注意的是，有些釣魚攻擊者會用子域名來迷惑用戶的眼睛，例如：www.baidu.com.×××.com（假設×××.com為攻擊者的網站。）

這就需要我們睜大眼睛，對于要求輸入密碼的網站多留心，或是觀察瀏覽器提供的信息來發現這些釣魚頁面（一些瀏覽器會自動判斷該網站的真偽）。