首页 | 新闻 | 新品 | 文库 | 方案 | 视频 | 下载 | 商城 | 开发板 | 数据中心 | 座谈新版 | 培训 | 工具 | 博客 | 论坛 | 百科 | GEC | 活动 | 主题月 | 电子展
返回列表 回复 发帖

MSN频现盗号诈骗 MSN中国被指防护措施不力

MSN频现盗号诈骗 MSN中国被指防护措施不力

近日,多位MSN用户向本报反映其账号被盗,这些被盗账号不断地向好友们发送“几近完美”的诈骗信息。业内专家表示,MSN盗号诈骗已经开始产业化,办公室白领MSN账号频繁被盗的背后是诈骗的黑手。骗子们往往以“朋友”的名义让其帮忙充值,并屡屡得手。作为受骗者,吸取教训加强防范固然关键。但不少MSN用户认为,微软公司本身对MSN账号密码的保护性技术措施重视不够,才给骗子可乘之机。
  “好友”求助:
  帮忙买了36张100元电话卡
  前天下午1点45分,陈军(化名)正在办公桌前整理资料,准备下午2点会议上的发言。这时,MSN对话框突然弹出,是同事“王瑞”(化名)找他,“在吗?你有没有网银?”
  陈军一看是“王瑞”求助,平时关系也不一般,赶紧回答有网银。对方要他帮忙在通讯网站上购买6张100元的手机充值卡,“到时候,你把手机充值卡的卡号和密码告诉我就行”。“王瑞”在对话框里发过来一个网址链接,叫陈军点开,通过网银付款。
  陈军点开这个链接,按照“王瑞”教的办法,填写购买6张,又把自己的银行卡号和密码填了进去。在拿到6张充值卡的账号和密码后,他赶紧告诉“王瑞”。
  “再帮我买10张。”“王瑞”的对话框再度弹出。“她要买这么多卡干吗?”陈军觉得有些奇怪,想想可能老同事要送人,就不好再多问。于是,按照第一次的步骤,再次买了10张充值卡。
  下午4点30分,陈军的工作再次被打断,“王瑞”又通过MSN和他对话了,“你网银里面还有没有钱,还有的话,再帮我买28张同样的充值卡!”老实的陈军又通过链接进入了支付页面,不过他算了算,银行卡里的钱就够买20张了,问了问“王瑞”,对方说“可以”。
  支付成功拿到卡号和密码后,陈军马上告诉“王瑞”。到了傍晚6点18分,王瑞的对话框再度弹出,她告诉陈军,MSN的密码被盗了,她刚刚好不容易才重置,所以,请陈军和其他朋友注意,别相信以她名义要求转账汇款或者买充值卡的求助。
  陈军这时还蒙在鼓里,还在问:“电话费应该没被盗吧?我刚给你买了36张电话卡,卡号和密码都发给你了……”王瑞一听,马上打来电话。这时陈军才意识到,上当受骗了。他以每张98.5元的价格,买了36张100元面值的充值卡,一下损失了3546元。
  事后,陈军说,他和王瑞是多年的老同事,以前,王瑞使用电脑一旦出现故障或者问题,总找陈军帮忙。虽然电脑边上就是办公电话,但平时有什么事,基本都在MSN上交流,“王瑞给我的印象是平时网络知识就比较少,所以就顺手帮忙了。”
  落入陷阱:
  查看“好友”照片被盗走密码
  王瑞则回忆说,前天中午,一个朋友从MSN上发送了一个链接,并称是照片,而点击后,却无法显示。“你的MSN有问题,必须要重新登录。”朋友告诉她。王瑞退出MSN重新登录,没想到点击那个链接还是没有显示,她索性就继续挂着MSN,去忙别的事情了。
  下午2点多时,王瑞突然收到中午聊天那个朋友的短信,朋友说,自己的MSN被盗了,请她注意不要汇款转账,或买充值卡。这时她的MSN已经无法再登录了。“估计那个链接应该是木马,骗子在我退出重新登录输入密码时,拿到我的密码后就立即更改了。”
  王瑞一边利用MSN引导的页面找密码,一边用手机编了一条短信,凭记忆发送给MSN上的同事和一些朋友,但是她漏掉了陈军。
  “找密码的过程也比较繁琐,页面上没有客服电话,还要填写一些资料,还要进行密码申诉。”她说,等到把密码重置好再登录成功,提醒陈军为时已晚。
  王瑞至今还有些忐忑不安,“不知道这个骗子是不是也有那种木马的链接,当时骗过我的其他朋友了吗?假如这样,受骗的,应该不止陈军一个人……”
  充值诈骗:
  去年年底曾大批量上演
  早在去年年底,这一“充值诈骗”的戏码就在MSN上大批量上演。当时,MSN中国还为此事发布声明称,已经向美国总部汇报,并立即展开了调查。不过,从长期持续发生的骗局来看,MSN显然没有给出妥善的解决方案。“之前主要是防范QQ上诈骗,因为MSN上都是熟悉的朋友,警惕性相对较低。”同样遭遇诈骗的王小姐告诉记者。那天,临近下班时,王小姐MSN上某位好友称,网上有神州行充值卡优惠活动,比较划算,自己淘宝账户没有那么多余额,请王小姐帮忙抢购一些,第二天再通过网银打款还给她。由于两人相识多年,王小姐丝毫没有犹豫,当场就拍了10张100元神州行充值卡。然而到了周六,王小姐等了整整一天也没有见朋友还款。后来王小姐按捺不住,给好友打了电话,对方却一头雾水,这时她才知道自己被骗。
  无独有偶,今年4月16日晚7时,还在加班的王先生在MSN上收到来自同事张小姐的求助信息——“8张面额100的。因为有朋友在旅行社工作,需要送给客人。急用,拜托你了。”
  虽然对充值数额较大存有疑虑,但介于张小姐给出的理由也令人信服,于是王先生便购买了8张充值卡。正准备将序列号和密码发给张小姐时,他听闻办公室的另一头也有同事要帮张小姐买充值卡,之前的疑虑再次涌上心头。在致电张小姐本人之后,王先生才确信这是一个骗局。
  经过了解,王先生发现,有张小姐MSN的人几乎都收到了类似的求助信息。此外,还有一些人收到来自张小姐MSN的一些网络链接,且凡是打开链接的人,其MSN此后也出现了被盗号现象,并发出上述诈骗信息。
  【如何防范盗号】
  瑞星安全专家表示,这种盗号集团有一个很完备的产业链,有人负责盗取账号,有人负责通过“求助充值”等各种手段实施诈骗,也有人负责把诈骗得来的话费变现。“由于盗号人可能已经了解了账号用户的基本资料,所以在实施诈骗时,被骗人很难察觉出异样。 ”
  防“洗号”,用户重要账户密码单独设置
  360互联网攻防实验室研究员、高级分析师安扬表示:“MSN频频中招,很大程度上是因为不少用户对MSN账户密码不重视,往往与其他论坛账户密码相同,所以‘洗号’成功率很高。”安扬建议用户在设置支付宝、网银等这样比较重要的账号密码时,要单独设置,以防被批量“洗号”。“目前黑客盗取用户MSN、QQ账号一般通过三种途径。第一是黑客利用木马病毒,通过文件、图片或链接的形式发送给用户,用户一旦点击,电脑就会感染木马病毒。随后再打开MSN、QQ账户时,键盘输入密码的过程就会被木马病毒记录下来。”金山网络安全专家李铁军说,第二种就是利用仿冒的钓鱼网站骗取一定量的账号密码,“这个情况绝大多数出现在MSN用户中。黑客制作一个模仿MSN的网站,随机给一些邮箱地址发送邮件,提示‘您的MSN密码被盗,请重置您的密码’,实际上邮件里的地址就是黑客建立的网址,当用户在这个网址进行了修改密码的操作,密码就会被黑客窃取。”
  近年来,大型论坛、网站数据库成了黑客攻击的重点目标。“黑客入侵网站服务器、窃取用户数据库后,通常会利用其获取的大量账号密码在网上支付等平台上试探盗号,也就是俗称的‘先刷库、后洗号’。”李铁军举例说,假设一个安全性薄弱的论坛有10万注册用户,这些用户的注册邮箱和密码全部被黑客从论坛服务器窃取,其中1万个注册邮箱是Hotmail邮箱和Live邮箱,黑客就会用这1万个邮箱和密码试探登录MSN。“如果其中又有50%用户为论坛和MSN设置了相同的密码,就意味着黑客攻陷一个论坛可批量窃取5000个MSN账号。”
  MSN应设立批量登录账户错误报警机制
  安扬同时指出,如果MSN能设立批量登录账户错误报警机制就不会出现如此大规模的诈骗事件。“因为黑客不会人工一个个输入账户密码,肯定是通过软件批量导入的,网站如果发现同一个IP地址在短时间内批量登录一些账号,且密码多次输入有误的话,就应该立刻报警或锁定账户。”
  金山网络安全专家李铁军则表示,相比较而言,腾讯QQ在安全性能本土化上做得比较好。“登录时会显示IP地址,如果账户出现异常会有对话框提醒,聊天中出现金额、转账等也会有提醒,这是比较好的预防措施。”
  MSN(中国):十分愤怒又很无奈
  对于MSN频频出现的账号被盗诈骗事件,有业内人士认为,从现状看,MSN的成长特别是安全防护措施不够全面,甚至变化不大,出现“瓶颈”。
  质疑一:安全防护不够
  回应:盗号防不胜防
  昨晚9点30分,记者与MSN(中国)公司公关方面取得联系,公司方面表示:“MSN(中国)公司会及时将一些安全性存在的问题,及客户反映的安全性第一时间反馈给其全球的Messenger技术团队,再由技术团队持续性优化和强化,MSN(中国)公司还本土化开发了Messenger加强版,其中运用更好的技术安全手段,加强用户账号的保护。然而,作为即时通讯工具,由于其特性,一直被不法分子通过各种手段、渠道盗取的现象也是当前互联网行业的通病之一,给用户带来很多困扰,MSN(中国)对此也感到十分愤怒。”
  据介绍,造成用户账号被盗取的原因可能有很多,目前市面上各类盗取用户账号的软件十分猖獗,利用这些软件,盗号者可盗取用户的账号密码等信息;此外,盗号者也可能通过钓鱼网站、钓鱼邮件等形式骗取用户的个人信息。
  质疑二:为啥没客服电话
  回应:有多种网络渠道
  对于用户抱怨找回密码没有客服电话提供,MSN(中国)方面对此回应说,MSN(中国)为用户提供多种客户服务和账号取回渠道,如开通账号取回“便捷通 道 ”(http://help.windowslive.cn/account-anti-phishing/),在新浪微博平台上开通“MSN客服助手”,以及MSN客服中心等,以帮助用户与MSN客服人员取得联系,都可以快速实现个人账号的冻结、挂失及找回,这几种方式能够更好的保护用户个人信息。
返回列表