业务咨询:022-87788090、133-0219-1573
发布时间:2011-11-30 浏览次数:
记者昨天获悉,最近一周以来有大批MSN用户遭遇盗号,几乎每天都有上百名受害者。其中有些是自己的账号无法登录,还有些用户收到“MSN好友”突然发来借钱消息,为其掏钱后才发现上当受骗。
专家透露,上述新型诈骗属于黑客“先刷库、后洗号”,通过攻击多家网站数据库窃取用户隐私,手段十分狡猾,背后则隐藏着一条庞大的灰色产业链。此外,国内360和瑞星两大安全机构也先后发布了两份“最易猜密码”名单,建议所有用户进行自查防止中招。
MSN“好友”借钱后迅速跑路
MSN用户王小姐反映,由于错信了“好友”的求助信息,莫名其妙被骗去1000元。
上周五临近下班时间,王小姐MSN上某好友称网上有神州行充值卡优惠活动,比较划算,自己淘宝账户没有那么多余额了,请王小姐帮忙抢购一些,第二天再通过网银打款还给她。
由于两人相识多年,王小姐丝毫没有犹豫,当场就拍了10张100元神州行充值卡,在和对方聊天确认电话卡已经充值成功后,王小姐按了“确认”按钮支付了1000元的费用。
然而到了周六,王小姐等了整整一天也没有见朋友还款。直到昨天,王小姐终于按捺不住,给好友打了电话,对方却一头雾水。这时王小姐才知道自己被骗,好友根本没有让她购买充值卡。
刘先生也有同样遭遇,好在他多留了个心眼才没上当。“当时一个大学同学在MSN上给我发了个震动闪屏,让我帮他充两张魔兽世界点卡,还不时爆出粗话。但对方是个文静的乖乖女,从没听说过她爱打网游。 ”刘先生告诉记者,他在线进行质问时,对方立刻阻止了他的所有对话,将其拉入黑名单。
微软中国发盗号警报声明
目前,已有大批网友通过微博痛诉自己被诈骗的经历。记者昨天则从瑞星方面获悉,单单一天就有110多个用户向其求助,表示自己遇到类似骗局。
微软中国负责人昨天向记者发送声明称,近期已注意到部分MSN用户遭遇账号密码被盗的问题,微软非常关注并立即展开了调查,并将于最终结果明确时告知公众。“现在盗号者的花样很多,比如向好友群发兼职、钓鱼网站等垃圾病毒信息,或假冒MSN客服名义发送虚假中奖信息以及伪装成官方信息向MSN用户发送恐吓性邮件,如‘如果不回复您的账号及密码,您将无法访问Hotmail邮箱’等。 ”微软负责人称。
记者在微软的一些监控信息中看到,不少黑客都直接把手机诈骗中的招数照搬到了网上。比如“能帮我个忙吗?我朋友叫我帮她汇500块钱,我这边不方便,你帮我汇好吗?她的卡号和姓名是***,汇好了直接给我留言,我的手机没带。晚点我再联系你,拜托了! ”对于此类信息,用户切勿上当。另有一些骗子则打起亲情牌,在送上温馨祝福或“为你点了歌”以后附上一个钓鱼链接,坐等用户点击。
微软方面建议,用户可登录http://ac-count.live.com,点击“安全信息”旁的“管理”按钮,添加绑定手机号码,增强MSN账户安全。
专家揭秘“刷库”灰色产业链
究竟黑客是如何窃得用户好友MSN密码的?业内一些安全专家透露,其背后分工明确,有一条灰色产业链。
“黑客入侵网站服务器、窃取用户数据库后,通常会利用其获取的大量账号密码在网上支付等平台上试探盗号,也就是俗称的‘先刷库、后洗号’。最近几个月来,国内已有多家社交网站、网络论坛曝出用户数据库泄露事故,间接导致国内知名支付平台和微博网站相继遭到大规模洗号攻击。”360安全专家石晓虹博士介绍,如今黑客调转枪头瞄准MSN,就是为了利用MSN好友关系进行诈骗。
石晓虹表示,假设一个安全性薄弱的论坛有10万注册用户,这些用户的注册邮箱和密码全部被黑客从论坛服务器窃取,其中1万个注册邮箱是Hotmail邮箱和live邮箱,黑客就会用这1万个邮箱和密码试探登录MSN。 “如果其中又有50%用户为论坛和MSN设置了相同的密码,就意味着黑客攻陷一个论坛可批量窃取5000个MSN账号。 ”
瑞星安全专家王占涛则透露,如此大量的MSN账户被盗号,然后被黑客利用来进行钓鱼诈骗还是史上第一次,已上钩的真实受害用户至少在近百人。此前也曾有“中国缘”网站曾经利用MSN进行流氓推广,被安全厂商和相关部门联手遏制。
“视频验证”或系黑客伪装
“现在黑客都非常的狡猾,不少机警的网友就算通过摄像头与对方视频验证,亲眼所见也未必是真。 ”王占涛说,现在不少骗子事先录制了用户好友的视频进行播放,让对方误以为是其本人。专家表示,如果收到MSN好友发来的借钱、转账、买手机卡等消息时,一定要通过电话等渠道对其身份进行核实,或者聊一些共同熟悉的人与事物,考察其是否露出破绽。
除了网站数据库遭窃等不可控因素外,用户本人也要谨防被钓鱼而泄露密码。 “比如黑客做个模仿微软的网站,随机给一些邮箱地址发送邮件,提示‘您的MSN密码被盗,请重置您的密码’,实际上邮件里的地址就是黑客建立的网址,当用户在这个网址进行了修改密码的操作时,密码就会被黑客窃取。 ”
网民在下载各种MSN插件时也需格外小心。王占涛称,比如某种流行的MSN插件网站被黑客窃取数据库,黑客同样可以利用窃取到的账号和密码进行此种诈骗。
目前,360安全中心已发布警报称,如有网友用MSN注册邮箱注册了其他网络服务、并使用了相同密码,请尽快更改MSN密码,以免受其他网站数据泄露牵连而导致自己的MSN账号成为黑客“洗号”对象。
中国版最弱密码
简单数字组合 000000 111111 11111111 112233 123123 12332112345612345678 654321 666666 888888
顺序字符组合 abcdef abcabc abc123 a1b2c3 aaa111
临近字符组合 123qwe qwerty qweasd
特殊含义组合 admin password p@ssword passwd iloveyou 5201314
*本项统计基于国内流行的密码字典软件破解列表*标红密码同时也是国外网民常用的“弱密码”
中国“最易猜密码”名单公布
为了避免成为“刷库”牺牲品,瑞星、360两大安全机构日前先后发布了中国 “最易猜密码”名单,提醒网民速速对号入座,如果“榜上有名”,则应立即修改。
瑞星的研究结果显示,中国用户最常用的十大简单密码是 :abc123、123456、xiaoming、12345678、iloveyou、admin、qq123456、taobao、root、wang1234。除此以外,拿生日和手机号做密码,用admin、root、administrator等系统默认密码,均等同于向黑客大喊“快来盗我吧”。
专家指出,在银行卡密码中使用简单密码的危害尤其严重,很多人的钱包里同时带有身份证和银行卡,如果使用生日、邮编、123456这样的数字当密码,很容易被偷到钱包的小偷猜出来。 “涉及金钱和隐私的账号,应使用复杂的密码,要有字母、数字和符号混合。 ”
无独有偶,360日前也总结出2011年度最易被盗取的25个 “弱密码”。其中,除password、abc123、iloveyou、qwerty等全球网民通用 “弱密码”外,其余均为数字组合。而简单的数字组合,似乎更是中国网民最爱,占了榜单近半数。比如“666666”和“888888”这样的吉利数,几乎是所有中国黑客密码字典中的必备项,而“5201314”(我爱你一生一世)显然被国人寄予了浓厚的感情色彩,为中国网民特色“弱密码”。
“建议网民千万不在电脑上用明文记载任何密码。根据我们的研究,有的黑客是先在用户电脑上植入木马,然后浏览电脑上的所有TXT文件和Word文件,从中查找用户的个人资料和密码。 ”王占涛称。