大批用戶被MSN假好友欺騙 微軟發(fā)警告聲明
發(fā)布時(shí)間：2011-11-30 點(diǎn)擊次數(shù)：

記者昨天獲悉，最近一周以來(lái)有大批MSN用戶遭遇盜號(hào)，幾乎每天都有上百名受害者。其中有些是自己的賬號(hào)無(wú)法登錄，還有些用戶收到“MSN好友”突然發(fā)來(lái)借錢(qián)消息，為其掏錢(qián)后才發(fā)現(xiàn)上當(dāng)受騙。

專家透露，上述新型詐騙屬于黑客“先刷庫(kù)、后洗號(hào)”，通過(guò)攻擊多家網(wǎng)站數(shù)據(jù)庫(kù)竊取用戶隱私，手段十分狡猾，背后則隱藏著一條龐大的灰色產(chǎn)業(yè)鏈。此外，國(guó)內(nèi)360和瑞星兩大安全機(jī)構(gòu)也先后發(fā)布了兩份“最易猜密碼”名單，建議所有用戶進(jìn)行自查防止中招。

MSN“好友”借錢(qián)后迅速跑路

MSN用戶王小姐反映，由于錯(cuò)信了“好友”的求助信息，莫名其妙被騙去1000元。

上周五臨近下班時(shí)間，王小姐MSN上某好友稱網(wǎng)上有神州行充值卡優(yōu)惠活動(dòng)，比較劃算，自己淘寶賬戶沒(méi)有那么多余額了，請(qǐng)王小姐幫忙搶購(gòu)一些，第二天再通過(guò)網(wǎng)銀打款還給她。

由于兩人相識(shí)多年，王小姐絲毫沒(méi)有猶豫，當(dāng)場(chǎng)就拍了10張100元神州行充值卡，在和對(duì)方聊天確認(rèn)電話卡已經(jīng)充值成功后，王小姐按了“確認(rèn)”按鈕支付了1000元的費(fèi)用。

然而到了周六，王小姐等了整整一天也沒(méi)有見(jiàn)朋友還款。直到昨天，王小姐終于按捺不住，給好友打了電話，對(duì)方卻一頭霧水。這時(shí)王小姐才知道自己被騙，好友根本沒(méi)有讓她購(gòu)買(mǎi)充值卡。

劉先生也有同樣遭遇，好在他多留了個(gè)心眼才沒(méi)上當(dāng)?！爱?dāng)時(shí)一個(gè)大學(xué)同學(xué)在MSN上給我發(fā)了個(gè)震動(dòng)閃屏，讓我?guī)退鋬蓮埬ЙF世界點(diǎn)卡，還不時(shí)爆出粗話。但對(duì)方是個(gè)文靜的乖乖女，從沒(méi)聽(tīng)說(shuō)過(guò)她愛(ài)打網(wǎng)游。 ”劉先生告訴記者，他在線進(jìn)行質(zhì)問(wèn)時(shí)，對(duì)方立刻阻止了他的所有對(duì)話，將其拉入黑名單。

微軟中國(guó)發(fā)盜號(hào)警報(bào)聲明

目前，已有大批網(wǎng)友通過(guò)微博痛訴自己被詐騙的經(jīng)歷。記者昨天則從瑞星方面獲悉，單單一天就有110多個(gè)用戶向其求助，表示自己遇到類似騙局。

微軟中國(guó)負(fù)責(zé)人昨天向記者發(fā)送聲明稱，近期已注意到部分MSN用戶遭遇賬號(hào)密碼被盜的問(wèn)題，微軟非常關(guān)注并立即展開(kāi)了調(diào)查，并將于最終結(jié)果明確時(shí)告知公眾?！艾F(xiàn)在盜號(hào)者的花樣很多，比如向好友群發(fā)兼職、釣魚(yú)網(wǎng)站等垃圾病毒信息，或假冒MSN客服名義發(fā)送虛假中獎(jiǎng)信息以及偽裝成官方信息向MSN用戶發(fā)送恐嚇性郵件，如‘如果不回復(fù)您的賬號(hào)及密碼，您將無(wú)法訪問(wèn)Hotmail郵箱’等。 ”微軟負(fù)責(zé)人稱。

記者在微軟的一些監(jiān)控信息中看到，不少黑客都直接把手機(jī)詐騙中的招數(shù)照搬到了網(wǎng)上。比如“能幫我個(gè)忙嗎？我朋友叫我?guī)退齾R500塊錢(qián)，我這邊不方便，你幫我匯好嗎？她的卡號(hào)和姓名是***，匯好了直接給我留言，我的手機(jī)沒(méi)帶。晚點(diǎn)我再聯(lián)系你，拜托了！ ”對(duì)于此類信息，用戶切勿上當(dāng)。另有一些騙子則打起親情牌，在送上溫馨祝?；颉盀槟泓c(diǎn)了歌”以后附上一個(gè)釣魚(yú)鏈接，坐等用戶點(diǎn)擊。

微軟方面建議，用戶可登錄http://ac－count.live.com，點(diǎn)擊“安全信息”旁的“管理”按鈕，添加綁定手機(jī)號(hào)碼，增強(qiáng)MSN賬戶安全。

專家揭秘“刷庫(kù)”灰色產(chǎn)業(yè)鏈

究竟黑客是如何竊得用戶好友MSN密碼的？業(yè)內(nèi)一些安全專家透露，其背后分工明確，有一條灰色產(chǎn)業(yè)鏈。

“黑客入侵網(wǎng)站服務(wù)器、竊取用戶數(shù)據(jù)庫(kù)后，通常會(huì)利用其獲取的大量賬號(hào)密碼在網(wǎng)上支付等平臺(tái)上試探盜號(hào)，也就是俗稱的‘先刷庫(kù)、后洗號(hào)’。最近幾個(gè)月來(lái)，國(guó)內(nèi)已有多家社交網(wǎng)站、網(wǎng)絡(luò)論壇曝出用戶數(shù)據(jù)庫(kù)泄露事故，間接導(dǎo)致國(guó)內(nèi)知名支付平臺(tái)和微博網(wǎng)站相繼遭到大規(guī)模洗號(hào)攻擊?！?60安全專家石曉虹博士介紹，如今黑客調(diào)轉(zhuǎn)槍頭瞄準(zhǔn)MSN，就是為了利用MSN好友關(guān)系進(jìn)行詐騙。

石曉虹表示，假設(shè)一個(gè)安全性薄弱的論壇有10萬(wàn)注冊(cè)用戶，這些用戶的注冊(cè)郵箱和密碼全部被黑客從論壇服務(wù)器竊取，其中1萬(wàn)個(gè)注冊(cè)郵箱是Hotmail郵箱和live郵箱，黑客就會(huì)用這1萬(wàn)個(gè)郵箱和密碼試探登錄MSN。 “如果其中又有50%用戶為論壇和MSN設(shè)置了相同的密碼，就意味著黑客攻陷一個(gè)論壇可批量竊取5000個(gè)MSN賬號(hào)。 ”

瑞星安全專家王占濤則透露，如此大量的MSN賬戶被盜號(hào)，然后被黑客利用來(lái)進(jìn)行釣魚(yú)詐騙還是史上第一次，已上鉤的真實(shí)受害用戶至少在近百人。此前也曾有“中國(guó)緣”網(wǎng)站曾經(jīng)利用MSN進(jìn)行流氓推廣，被安全廠商和相關(guān)部門(mén)聯(lián)手遏制。

“視頻驗(yàn)證”或系黑客偽裝

“現(xiàn)在黑客都非常的狡猾，不少機(jī)警的網(wǎng)友就算通過(guò)攝像頭與對(duì)方視頻驗(yàn)證，親眼所見(jiàn)也未必是真。 ”王占濤說(shuō)，現(xiàn)在不少騙子事先錄制了用戶好友的視頻進(jìn)行播放，讓對(duì)方誤以為是其本人。專家表示，如果收到MSN好友發(fā)來(lái)的借錢(qián)、轉(zhuǎn)賬、買(mǎi)手機(jī)卡等消息時(shí)，一定要通過(guò)電話等渠道對(duì)其身份進(jìn)行核實(shí)，或者聊一些共同熟悉的人與事物，考察其是否露出破綻。

除了網(wǎng)站數(shù)據(jù)庫(kù)遭竊等不可控因素外，用戶本人也要謹(jǐn)防被釣魚(yú)而泄露密碼。 “比如黑客做個(gè)模仿微軟的網(wǎng)站，隨機(jī)給一些郵箱地址發(fā)送郵件，提示‘您的MSN密碼被盜，請(qǐng)重置您的密碼’，實(shí)際上郵件里的地址就是黑客建立的網(wǎng)址，當(dāng)用戶在這個(gè)網(wǎng)址進(jìn)行了修改密碼的操作時(shí)，密碼就會(huì)被黑客竊取。 ”

網(wǎng)民在下載各種MSN插件時(shí)也需格外小心。王占濤稱，比如某種流行的MSN插件網(wǎng)站被黑客竊取數(shù)據(jù)庫(kù)，黑客同樣可以利用竊取到的賬號(hào)和密碼進(jìn)行此種詐騙。

目前，360安全中心已發(fā)布警報(bào)稱，如有網(wǎng)友用MSN注冊(cè)郵箱注冊(cè)了其他網(wǎng)絡(luò)服務(wù)、并使用了相同密碼，請(qǐng)盡快更改MSN密碼，以免受其他網(wǎng)站數(shù)據(jù)泄露牽連而導(dǎo)致自己的MSN賬號(hào)成為黑客“洗號(hào)”對(duì)象。

中國(guó)版最弱密碼

簡(jiǎn)單數(shù)字組合 000000 111111 11111111 112233 123123 12332112345612345678 654321 666666 888888

順序字符組合 abcdef abcabc abc123 a1b2c3 aaa111

臨近字符組合 123qwe qwerty qweasd

特殊含義組合 admin password p@ssword passwd iloveyou 5201314

*本項(xiàng)統(tǒng)計(jì)基于國(guó)內(nèi)流行的密碼字典軟件破解列表*標(biāo)紅密碼同時(shí)也是國(guó)外網(wǎng)民常用的“弱密碼”

中國(guó)“最易猜密碼”名單公布

為了避免成為“刷庫(kù)”犧牲品，瑞星、360兩大安全機(jī)構(gòu)日前先后發(fā)布了中國(guó) “最易猜密碼”名單，提醒網(wǎng)民速速對(duì)號(hào)入座，如果“榜上有名”，則應(yīng)立即修改。

瑞星的研究結(jié)果顯示，中國(guó)用戶最常用的十大簡(jiǎn)單密碼是 ：abc123、123456、xiaoming、12345678、iloveyou、admin、qq123456、taobao、root、wang1234。除此以外，拿生日和手機(jī)號(hào)做密碼，用admin、root、administrator等系統(tǒng)默認(rèn)密碼，均等同于向黑客大喊“快來(lái)盜我吧”。

專家指出，在銀行卡密碼中使用簡(jiǎn)單密碼的危害尤其嚴(yán)重，很多人的錢(qián)包里同時(shí)帶有身份證和銀行卡，如果使用生日、郵編、123456這樣的數(shù)字當(dāng)密碼，很容易被偷到錢(qián)包的小偷猜出來(lái)。 “涉及金錢(qián)和隱私的賬號(hào)，應(yīng)使用復(fù)雜的密碼，要有字母、數(shù)字和符號(hào)混合。 ”

無(wú)獨(dú)有偶，360日前也總結(jié)出2011年度最易被盜取的25個(gè) “弱密碼”。其中，除password、abc123、iloveyou、qwerty等全球網(wǎng)民通用 “弱密碼”外，其余均為數(shù)字組合。而簡(jiǎn)單的數(shù)字組合，似乎更是中國(guó)網(wǎng)民最愛(ài)，占了榜單近半數(shù)。比如“666666”和“888888”這樣的吉利數(shù)，幾乎是所有中國(guó)黑客密碼字典中的必備項(xiàng)，而“5201314”(我愛(ài)你一生一世)顯然被國(guó)人寄予了濃厚的感情色彩，為中國(guó)網(wǎng)民特色“弱密碼”。

“建議網(wǎng)民千萬(wàn)不在電腦上用明文記載任何密碼。根據(jù)我們的研究，有的黑客是先在用戶電腦上植入木馬，然后瀏覽電腦上的所有TXT文件和Word文件，從中查找用戶的個(gè)人資料和密碼。 ”王占濤稱。