小心網路上的詐騙集團

早上聽同事說，不少人收到某同事MSN了一個URL，懷疑是病毒...

過去曾經解剖過一隻木馬，當時第一次見識到不必做什麼傻事(假設沒定期Windows Update不算傻事的話)，一開網頁就中鏢的驚人殺傷力。不過，讓木馬/病毒可以長驅直入的關鍵在於Windows未及時修補安全漏洞。我有點納悶，公司環境有強制Windows更新部署、也統一裝了防毒軟體定期更新病毒碼，莫非這回又遇上什麼強勁的敵手，讓MIS建立的防線瞬間瓦解?

想到這裡，身體裡的駭客血液開始沸騰。 盤問細問了被控散播病毒的苦主同事，她才供出說出受害過程:

她的MSN收到一個連結，點選後進入一個網頁，詢問她MSN的帳號、密碼，她就好傻好天真地乖乖填好資料按送出，然後...

聽到這裡，原本興奮跳下床的駭客又爬回去睡回籠覺了。原來不是什麼高階技術、創新技巧，純粹是詐騙集團的手法。

現在大家都知道接到電話、收到問卷時，不會輕易透露姓名、身份證字號、地址、電話或銀行資料，但同樣的意識還沒有充分映對到網路世界裡。MSN的帳號、密碼似乎無涉自己的身家財產，給了沒什麼關係。但細想之下，這些隱密資訊一旦落入歹徒手中，後果還挺可怕的:

• 歹徒可以"100%假冒"你，用MSN跟你的眾親友連絡，一一送上木馬病毒，害你被罵到臭頭，榮登"白目毒王"的寶座...
• 如果你的MSN帳號、密碼跟電子郵件相同，歹徒可以泡杯茶，打開你信箱，欣賞二奶寄給你的陳冠希式麻辣合照，再由網拍通知函找到你的連絡電話，打電話詢問你介不介意他貼在Blog上...
• 如果你的信箱中有某些網站的會員通知信，歹徒可以試著用"忘記密碼"功能寄信到你的信箱，取得或重置你的會員密碼，觸腳就又能向外延伸! (幸好目前網路銀行重要的權益變更都需要到櫃檯辦理，盜用風險有限，但未來透過線上可以處理的業務愈多，風險也會相對升高)

在璉璉的Blog上看到類似的報導(有圖)，時間相近，加上請同事指認，確定就是同一個。

其實，不只惡意網站，有些合法的網站也打著自動幫你寄邀請函給MSN好友的藉口，會向你索取MSN帳號密碼。前些時候，收到前同事寄來的一封信:

我先很謹慎地問了前同事，言承旭跟馬桶小開難道不會介意嗎? 這封邀請函是否是她主動發出或是在不知情狀況下發的? 她回答說是經過她同意發送的，我才放心地連上hi5網站。

依指示新建帳號、填資料，但沒幾下就發現網站跟我索取MSN帳號/密碼以便自動取得我的MSN連絡人清單代寄邀請函。雖然有附上聲明，保證不會儲存我的密碼移作他用，但我還是拒絕把保險箱鑰匙借個第一次見面的陌生人代取文件。即使他衣冠楚楚，客氣又斯文... 你怎麼知道他是不是披著羊皮的狼? 會不會走到半路文件就被偷被搶?

這年頭，小心為上。