今天我在twitter上說我的QQ一年都用不了幾次，不如賣掉。 @cosbeta 說他做生意比較需要短點的QQ號，因為在twitter上有了不少了解，我就干脆送給他了。晚上回來給了他相關(guān)信息。這時候發(fā)生了好玩的事情，竟然有人為了得到這個QQ號，想通過"社會工程學(xué)"的方法釣魚。我雖然不會上當(dāng)，但是覺得具有一定欺騙性，所以分享出來，提醒大家注意。

郵件很短，截圖在此

1. 圖中這個郵箱注冊的不錯。有一定欺騙性。在此也提醒大家，這不是 @cosbeta 的郵箱。要識別是不是常用郵箱，有一個快捷的方法，就是用google搜索一下，看看以前的活動記錄。如果沒有活動記錄，一般是剛剛注冊的。

以往的活動記錄，在互聯(lián)網(wǎng)上相當(dāng)于信用卡賬單，這也是我一直勸大家不要太注意所謂隱私的原因之一。你需要給自己留下信用記錄，以便別人查對。知道 @cosbeta 真正的郵箱的朋友也可以搜索一下，看看有多少結(jié)果。

google一下看活動記錄，這個辦法甚至可以應(yīng)對精心搭建的帶有反向解析域名相似的郵件服務(wù)器（可稱為官方釣魚）。是簡單而有效的辦法。

當(dāng)然也有推友提到自己因為防止垃圾郵件，保護(hù)的很好，以致于沒有任何搜索結(jié)果，這種情況是比較特殊的，可以通過其他方法驗證，我下面也會提到。

2 注意前面的cosbeta cosbeta，他確實設(shè)置了用戶名，但正常人是不會這樣寫名字的。肯定是姓名的形式，就算用昵稱，也很少有人重復(fù)兩遍。碰上這種情況，至少應(yīng)該注意提高警惕了。這不正常。

3 注意判斷對方書寫習(xí)慣。這封郵件在這方面也略顯粗糙。比如 @cosbeta 雖然在成都，但說話利索，很少在后面加"咯"這樣的語氣詞。他的標(biāo)點都是全角，一般不出現(xiàn)半角。這是由輸入法的習(xí)慣和鍵盤布局決定的，也是類似指紋的標(biāo)記，如果不換機(jī)器或輸入法，通常不會有太大變化。

4 還有一些其他細(xì)節(jié)線索可以判斷一個郵件是否是釣魚。這方面大家可慢慢思考，不多說。而我們需要做到的原則是，不要在不能確認(rèn)身份的情況下說重要的東西。

確認(rèn)身份的方法包括但不限于：和對方談一些細(xì)節(jié)問題，比如談?wù)凘cosbeta的具體業(yè)務(wù)，看看對方是否知道。我今天和@cosbeta第一次直接聊天的時候，也聊了不少話。這些對話都可以從細(xì)節(jié)中確認(rèn)對方身份。

當(dāng)然，如果能打個電話問一下，可能會更容易點。對方的聲音和說話習(xí)慣，是更難偽造的。在電話中多說幾句，還可以注意到對方所處環(huán)境，是否局促，是否緊張，是否反應(yīng)速度慢，這些跡象都代表了有異常發(fā)生，要特別注意。

最好的方法還是雙方都使用OTR簽名，這是判斷身份和保護(hù)信息安全的重要手段，雖然麻煩，但非常有效。當(dāng)然送個QQ號這種小事就不用麻煩 @cosbeta 專門裝個OTR了，我通過對話已經(jīng)能確認(rèn)他的身份了。具體做法很多，可以以此為基礎(chǔ)，推導(dǎo)出來更多的辦法。

一個基本的原則是，要至少通過兩個渠道來確認(rèn)。比如 在twitter上dm一下，然后在gtalk上說一下，在網(wǎng)上說一下，電話說一下。讓不同渠道說的內(nèi)容相關(guān)，這樣就可以確認(rèn)出兩邊是否是一個人。這個思路可以舉一反三。

總結(jié)一下必須具備的意識： 1 理解重要信息可能被泄露，必須具有安全意識 2 保證安全是繁瑣的，但很重要。所以請用多種渠道確認(rèn)對方身份，這是最基本的一步。 這兩點非?；?，但是如果可以深刻理解，確實可以解決很多問題。

技巧說完了，我總結(jié)一下教訓(xùn)： twitter上壞人還是存在的，一個QQ號都值得這樣做。其他的信息想必也有各種人，出于不同的目的而感興趣。所以，用不明來源的第三方上推的推友，請記得改密碼，沒準(zhǔn)你的密碼早被存下了。我非常非常非常相信，有人曾經(jīng)用某個第三方或是某個api收集了大量twitter帳號的密碼和信息，在某些時候會使用的。

安全意識必須常常記在心中，在關(guān)鍵問題上謹(jǐn)慎對待。注意，郵箱地址是可以偽造的，gmail難一些，但仍然有可能偽造。所以千萬注意分寸，什么東西會讓你丟錢，什么東西會讓你送命。考慮好后果，做事就會謹(jǐn)慎。

有一些不讓人反感的確認(rèn)信息小辦法，可以分享。比如我要給別人匯款，對方短信過來一個帳號，怎么確認(rèn)呢？禮貌起見，可以跟對方說：麻煩您能把具體金額再給我確認(rèn)一下嗎？對方如果能發(fā)出來細(xì)目，一般就差不多。第一次聯(lián)系的人可以當(dāng)作寒暄說一些往事，等等。

一般來說，安全是非常難達(dá)到的目標(biāo)，我們可以默認(rèn)自己的行為是不安全的，然后通過一系列的手段來降低不安全的概率，最終達(dá)到一個比較好的平衡。本文列出的是一些簡單，易于實施的辦法。深刻理解這些原則，未必可以保證絕對安全，但至少可以應(yīng)付大部分麻煩。

【編輯推薦】

1. 分析Twitter的被黑噩夢看大型網(wǎng)站如何增強(qiáng)安全性
2. Twitter遭自稱伊朗黑客攻擊首頁被篡改