早上聽同事說,不少人收到某同事MSN了一個URL,懷疑是病毒...

過去曾經解剖過一隻木馬,當時第一次見識到不必做什麼傻事(假設沒定期Windows Update不算傻事的話),一開網頁就中鏢的驚人殺傷力。不過,讓木馬/病毒可以長驅直入的關鍵在於Windows未及時修補安全漏洞。我有點納悶,公司環境有強制Windows更新部署、也統一裝了防毒軟體定期更新病毒碼,莫非這回又遇上什麼強勁的敵手,讓MIS建立的防線瞬間瓦解?

想到這裡,身體裡的駭客血液開始沸騰。 盤問細問了被控散播病毒的苦主同事,她才供出說出受害過程:

她的MSN收到一個連結,點選後進入一個網頁,詢問她MSN的帳號、密碼,她就好傻好天真地乖乖填好資料按送出,然後...

聽到這裡,原本興奮跳下床的駭客又爬回去睡回籠覺了。原來不是什麼高階技術、創新技巧,純粹是詐騙集團的手法。

現在大家都知道接到電話、收到問卷時,不會輕易透露姓名、身份證字號、地址、電話或銀行資料,但同樣的意識還沒有充分映對到網路世界裡。MSN的帳號、密碼似乎無涉自己的身家財產,給了沒什麼關係。但細想之下,這些隱密資訊一旦落入歹徒手中,後果還挺可怕的:

  • 歹徒可以"100%假冒"你,用MSN跟你的眾親友連絡,一一送上木馬病毒,害你被罵到臭頭,榮登"白目毒王"的寶座...
  • 如果你的MSN帳號、密碼跟電子郵件相同,歹徒可以泡杯茶,打開你信箱,欣賞二奶寄給你的陳冠希式麻辣合照,再由網拍通知函找到你的連絡電話,打電話詢問你介不介意他貼在Blog上...
  • 如果你的信箱中有某些網站的會員通知信,歹徒可以試著用"忘記密碼"功能寄信到你的信箱,取得或重置你的會員密碼,觸腳就又能向外延伸! (幸好目前網路銀行重要的權益變更都需要到櫃檯辦理,盜用風險有限,但未來透過線上可以處理的業務愈多,風險也會相對升高)

在璉璉的Blog上看到類似的報導(有圖),時間相近,加上請同事指認,確定就是同一個。

其實,不只惡意網站,有些合法的網站也打著自動幫你寄邀請函給MSN好友的藉口,會向你索取MSN帳號密碼。前些時候,收到前同事寄來的一封信:

林志玲 希望成為您 hi5 上的好友!

我設定了 hi5 的個人檔案,並希望將您加入好友,讓我們一同分享相片與建立社交圈。但首先您必須加入 hi5!加入之後,您就可以建立自己的個人檔案、分享照片,並尋找好友。

感謝您, 志玲

我先很謹慎地問了前同事,言承旭跟馬桶小開難道不會介意嗎? 這封邀請函是否是她主動發出或是在不知情狀況下發的? 她回答說是經過她同意發送的,我才放心地連上hi5網站。

依指示新建帳號、填資料,但沒幾下就發現網站跟我索取MSN帳號/密碼以便自動取得我的MSN連絡人清單代寄邀請函。雖然有附上聲明,保證不會儲存我的密碼移作他用,但我還是拒絕把保險箱鑰匙借個第一次見面的陌生人代取文件。即使他衣冠楚楚,客氣又斯文... 你怎麼知道他是不是披著羊皮的狼? 會不會走到半路文件就被偷被搶?

這年頭,小心為上。


Comments

# by 風痕影

讓我想起朋友的案例...好像是某個社群服務 總之每隔一段時間就寄信說那位朋友邀請我使用那個服務 因為實在是太煩了,只好跑去註冊... 不過最後一步我沒做 (沒做也可以註冊成功) 最後一步就是:叫我輸入 Gmail 的帳號密碼 說會自動寄邀請函給每個聯絡人 0rz 這種事我怎麼做得出來 XD 話說我朋友完全沒想到那個填了以後竟然會不斷地寄邀請信 如果你朋友不理它,它還會重複寄給你的朋友...

Post a comment