从这几天各方面透露的情形看,大致是这么回事:2006年,xj建了一个
老友客栈[1],在新语丝读书论坛拉客:“老友客栈和xys笔名双通”,
“xys的所有没ＢＡＮ的ＩＤ在俺那嘎瘩都可以直接登陆了”。这话什
么意思呢?是不是说他将新语丝论坛的ID都移过去了?还是他从新语
丝内部拿到了全部ID和密码表,双方互通有无,畅通无阻?

都不是。

如果那段时间你去老友客栈,你得先填你在新语丝论坛的笔名,再填你
在新语丝论坛的密码,只一会儿功夫,果真就芝麻开门,昂首挺胸,长趋
直入。你不知道的是,这一眨眼间,究竟发生了些什么。

就在老友客栈得到你在新语丝的笔名和密码后,马上以你的名义,在新
语丝论坛张贴。如果新语丝论坛回应“正常”,他就放你进入老友客栈,
否则拒之门外;同时记下该笔名和密码(可能hash过),这样你下次再去,
他就不用又暗地里用你的名义到新语丝试贴了。

只是这中间有个小毛病,如此费劲冒名试贴,真贴上去,别人不就察觉到
其中不对劲之处?蛛丝蚂迹太明显。“感谢ALIASTWO提供帮助”[2],细心
的aliastwo发现,发贴标题过长时,是贴不上的,这种情况下,新语丝论
坛程序的回应在密码正确时是“标题过长”,密码不对时则是“密码不对”。
于是长标题加查回应,既不会留下张贴马脚,又验证了笔名密码是否正确,
Brilliant!

这种巧妙的手段,和所谓phishing[3]很类似:“In the field of computer
security, phishing is the criminally fraudulent process of
attempting to acquire sensitive information such as usernames,
passwords and credit card details by masquerading as a trustworthy
entity in an electronic communication. ”。当然手段可能类似,目的
可以不同,老友客栈的行为简单粗暴地定成phishing并不恰当。只是我们
从这一事件里可以学到点东西,日后真遇到phishing时,便不会上当受骗。
Phishing之所以能得逞,还是利用了人们容易轻信,尤其是诱惑当前[4]。
用老话说,姜太公钓鱼—愿者上钩。

1. http://www.xys.org/forum/db/1/67/56.html
2. http://www.xys.org/forum/db/4/216/166.html
3. http://en.wikipedia.org/wiki/Phishing
4. http://news.creaders.net/headline/newsViewer.php?nid=386149&id=890504&aid=13