還是網路安全問題

最近朋友的 MSN 帳號大概是被入侵了，總是會丟奇奇怪怪的訊息過來。

我遇到的情況是某個很久沒聯絡大學同學，突然丟了 MSN 訊息過來說：『聽說這個網友認識你耶！真的嗎？』之類的，並且隨文附上一個網址。而且同樣的訊息連丟兩次。

因為我實在很好奇，畢竟這個大學同學已經很久很久沒有聯絡，丟這樣的訊息也很莫名其妙，而這樣的網址看起來很可疑。所以我就 google 了一下，發現這是個帶有木馬病毒的網址，而且曾經有不少人因為點過這個網址而身受其害。

於是我就告訴那個同學最好趕快把電腦掃個毒，要不是電腦被入侵，否則是不會丟這樣的 MSN 訊息過來的。但是過了兩天之後，同樣的訊息又再次透過 MSN 丟到我這邊來。0rz

後來我請教了一下資訊科系畢業的同事，他的說法是，即使電腦已經清乾淨了，但是 MSN 帳號密碼早已被不法人士所知悉，也可能還會被再次利用，所以最好的方法就是換個密碼，或者重新換個帳號。

同事也提到最常看到的 MSN 釣魚手法，一種是傳送病毒或木馬檔案，另一種就是丟個網址騙人去點擊。大部分的目的都是要詐取受害者的帳號密碼，甚至是更嚴重的個人金融資料外洩的問題。當然還有一種資料外洩的方式是某些蠢蛋在公用電腦上面登入結果不小心留下自己的帳號密碼…。

另一方面，最近看到黑米上有人在討論 Flickr 帳號被釣魚的事情，連在網海打滾多年的部落客也遭殃。所以…我決定去設定好 yahoo 安全圖章，免得一時疏忽就被釣了。

所以不管是什麼的詐騙方式，自己上網的行為還是要謹慎小心，並且隨時要注意網路上的消息，更新自己腦袋中的資訊來應對吧。

ebay 帳號盜取後續事件

》續前文：值得紀念的第一次：被盜帳號

本來想早點寫出續集的，不過因為跟 ebay 的書信往來頗費時，一耽擱就是好多天。而且期間也看到、遇到不少苦主，顯示這次的事件並不單純。現在稍微綜合一下我之前在迴響，以及 PTT 上面發表過、或是看到的訊息。我想這件事情大概也該告一段落了，因為我已經向 ebay 申請終止我的帳號。

繼續閱讀 →

值得紀念的第一次：被盜帳號

我被盜帳號了…eBay 的帳號。囧rz

這事情說來頗複雜。

是傍晚的時候我的信箱一下子收到很多來自易趣（就是大陸的 eBay）的得標信。當然我並沒有跑去易趣上面購買、競標任何的物品。

大致瀏覽過得標信，發現上面有列出我的姓名以及個人資料，所以我確定這不是任何的假冒信件，而是真的從易趣記來的系統信件。所以我就趕緊要登入 eBay，尋求客服的幫助。然後我就發現我的帳號已經被更改密碼了。回頭還發現信箱裡面也有一封系統寄來的更改密碼確認信，因為是已經變成亂碼的簡體信件標體，所以第一時間沒有注意到。

所以我只好把密碼再自己改回來。並且寄信到易趣的信箱尋幫助。這還要等明天對方回覆了才知道結果如何。但是這樣一個事件已經快讓我抓狂了。

為甚麼是 eBay？我已經很久很久沒有使用、登入過 eBay 的帳號了。是不是我的電腦被人植入了什麼惡意程式？一想到這裡，我就趕緊掃毒，並且修改幾個重要網站以及遊戲的使用密碼，希望被盜用的範圍不要再擴大了。

再者，我想寫信跟那些被得標的賣家解釋。但是我發現，被「我」購買的全都是網路遊戲的代練服務。而且賣家們的帳號看似是機器人亂數產生無意義帳號，而他們的賣場上並沒有再販賣其他的物品，甚至帳號也是看似很乾淨的新帳號，沒有任何評價。

我甚至一度懷疑我的帳號是被盜用來衝評價的……。

更擔心的是，因為得標的東西都是網路遊戲代練服務。我就很害怕，盜用我 eBay 帳號的是否就是大陸那些惡質的代練駭客集團？我的魔獸帳號似乎岌岌可危啊！

雖然我很希望是 eBay 自己的資料庫出包…。但萬一出問題的是我的電腦怎麼辦？我的各種帳號資料、還有我的信用卡！因為我已經好幾個月都沒有使用過 eBay，現在突然被盜用，這讓我很害怕這幾個月來在我電腦上的資料是不是被竊取了？一想到這裡就讓我心煩意亂的…。

希望明天易趣的回信可以帶給我一點好消息。

就算是知名公司，資料外洩問題還是有可能存在…

這其實是前兩天的事情了，不過還是值得記錄下來。

Paypal 算是相當知名的線上交易平台了。用來進行刷卡交易非常方便。我有一個 Paypal 的帳號…當然是之前為了買小C(?)申請的啦… 大概用過兩三次 Paypal 來交易，而且都是幫小C買東西而已…

就前兩天吧，我的信箱收到一封 Paypal 寄來的信，說是有個 E-MAIL 已經登記到我的 Paypal 帳戶底下，要我認證一下。因為事關我信用卡的安全，我還是很努力地讀了一下內容。

可是這封信太可疑了…發件者的帳號是由一堆無意義的英數符號組成，信件內附的鏈結，也不是連到 Paypal 的網站（這個用滑鼠移動到鏈結文字上面的話，URL 就會顯示在瀏覽器的狀態列上了，不用冒險亂點鏈結）。所以很明顯的…這是一封騙取別人信用卡資料的危險信件…！

而這封信件竟然躲過了信件過濾器…。我所用的那個電子信箱，如果收到假冒的信件，是會警告瀏覽者：此郵件可能不是由其宣稱的寄件者所寄來。請當心下列的任何鏈結，避免提供給寄件者任何個人資訊。當下我就直接把這封信件回報為「詐騙信件」了（講到這裡應該有人知道我用哪家的信箱了吧！XD）。

好吧，詐騙信件躲過過濾器這不是什麼新鮮事，但是讓我煩惱的事，這些詐騙集團怎麼知道我登記在 Paypal 的信箱是這個…。這個資料是怎麼洩漏出去的…我實在猜不透。而且點開「垃圾郵件」匣之後，我才發現一堆恐怖的垃圾信、詐騙信在裡面，除了一大堆假冒 Paypal 的詐騙信件外，還有日文的色情廣告信…OTZ…不、不要把這種學生自拍或是人妻援交的垃圾廣告塞到我這邊啊！

連上 Paypal 的網站之後，我發現他們也有大大的宣傳一下帳戶安全的問題。尤其是詐騙信件。重點有四樣，其實我覺得這也是保護自己網路資料、帳戶的基本原則啦（簡略翻譯如下）：

• 安全登入：另開新視窗登入自己的帳戶，千萬不要直接點選信件內附的任何鏈結。
• 問候語：Paypal 正式發出的信件，會在信中直接顯示帳戶持有人的姓名。詐騙信件通常只會顯示“親愛的用戶”。
• E-mail附件：Paypal 的信件不會要求用戶下載附件或是任何軟體。（這點我覺得也是防毒的基本原則啦，不要隨便執行來路不明的程式，否則電腦有可能會被植入木馬。）
• 個人資料：如果要索取個人資料，Paypal 只會在信件當中提醒，並且要求用戶另行安全地登入之後再輸入個人資料。通常詐騙信件會索取的個人資料不外乎，姓名、密碼、銀行帳戶、信用卡號、身分證字號等。

除了信用卡資料的詐騙之外，現實當中也有很多更可怕的事情啦，翻開社會版新聞都會看得到…。昨天才看到一個新聞說，如果接到詐騙電話的話，就跟詐騙集團虛與委蛇，得到他們的帳戶號碼之後，就匯入一元到那個人頭帳戶當中，然後拿著轉帳的憑證去報案…打擊犯罪、協助警方凍結人頭帳戶云云。

可是這個辦法我覺得實在太天兵了…。第一，ATM 轉帳的手續費就要十幾塊錢…小錢也是會積少成多啊…。第二、為此要民眾去跟詐騙集團交涉、還要去報案得浪費多少時間精力？要是我一天接到五通詐騙電話，要是我每天都接到詐騙電話…。打擊犯罪固然重要，但是有沒有更有效率、更不擾民的方法呢？

該換防毒軟體了…

昨晚上，玩了一下 PANDA 的線上免費掃毒。不玩還好，玩了之後才發現我電腦裡面潛藏了不少危機！原來我裝的T牌掃毒軟體一點用都沒有…

心驚之餘，我去下載了 PANDA 的試用版來玩玩…玩過之後更囧了：

喔啊啊啊啊啊啊！！<囧>

我還以為我家 XP 君之清白有如富士山的千年積雪啊！原來已經被玷污(?)過了。

看過詳細的掃毒資料之後，發現全部都是些廣告軟體或者是間諜軟體，真正的病毒是沒有啦，但也頗讓人心痛…不知道被竊取過啥機密資料…

所以說，不管上網習慣有多小心…還是會中鏢的…