大批用戶被MSN假好友欺騙 微軟發(fā)警告聲明
發(fā)布時(shí)間：2011-11-30 點(diǎn)擊次數(shù)：

記者昨天獲悉，最近一周以來有大批MSN用戶遭遇盜號，幾乎每天都有上百名受害者。其中有些是自己的賬號無法登錄，還有些用戶收到“MSN好友”突然發(fā)來借錢消息，為其掏錢后才發(fā)現(xiàn)上當(dāng)受騙。

專家透露，上述新型詐騙屬于黑客“先刷庫、后洗號”，通過攻擊多家網(wǎng)站數(shù)據(jù)庫竊取用戶隱私，手段十分狡猾，背后則隱藏著一條龐大的灰色產(chǎn)業(yè)鏈。此外，國內(nèi)360和瑞星兩大安全機(jī)構(gòu)也先后發(fā)布了兩份“最易猜密碼”名單，建議所有用戶進(jìn)行自查防止中招。

MSN“好友”借錢后迅速跑路

MSN用戶王小姐反映，由于錯(cuò)信了“好友”的求助信息，莫名其妙被騙去1000元。

上周五臨近下班時(shí)間，王小姐MSN上某好友稱網(wǎng)上有神州行充值卡優(yōu)惠活動，比較劃算，自己淘寶賬戶沒有那么多余額了，請王小姐幫忙搶購一些，第二天再通過網(wǎng)銀打款還給她。

由于兩人相識多年，王小姐絲毫沒有猶豫，當(dāng)場就拍了10張100元神州行充值卡，在和對方聊天確認(rèn)電話卡已經(jīng)充值成功后，王小姐按了“確認(rèn)”按鈕支付了1000元的費(fèi)用。

然而到了周六，王小姐等了整整一天也沒有見朋友還款。直到昨天，王小姐終于按捺不住，給好友打了電話，對方卻一頭霧水。這時(shí)王小姐才知道自己被騙，好友根本沒有讓她購買充值卡。

劉先生也有同樣遭遇，好在他多留了個(gè)心眼才沒上當(dāng)?！爱?dāng)時(shí)一個(gè)大學(xué)同學(xué)在MSN上給我發(fā)了個(gè)震動閃屏，讓我?guī)退鋬蓮埬ЙF世界點(diǎn)卡，還不時(shí)爆出粗話。但對方是個(gè)文靜的乖乖女，從沒聽說過她愛打網(wǎng)游。 ”劉先生告訴記者，他在線進(jìn)行質(zhì)問時(shí)，對方立刻阻止了他的所有對話，將其拉入黑名單。

微軟中國發(fā)盜號警報(bào)聲明

目前，已有大批網(wǎng)友通過微博痛訴自己被詐騙的經(jīng)歷。記者昨天則從瑞星方面獲悉，單單一天就有110多個(gè)用戶向其求助，表示自己遇到類似騙局。

微軟中國負(fù)責(zé)人昨天向記者發(fā)送聲明稱，近期已注意到部分MSN用戶遭遇賬號密碼被盜的問題，微軟非常關(guān)注并立即展開了調(diào)查，并將于最終結(jié)果明確時(shí)告知公眾?！艾F(xiàn)在盜號者的花樣很多，比如向好友群發(fā)兼職、釣魚網(wǎng)站等垃圾病毒信息，或假冒MSN客服名義發(fā)送虛假中獎信息以及偽裝成官方信息向MSN用戶發(fā)送恐嚇性郵件，如‘如果不回復(fù)您的賬號及密碼，您將無法訪問Hotmail郵箱’等。 ”微軟負(fù)責(zé)人稱。

記者在微軟的一些監(jiān)控信息中看到，不少黑客都直接把手機(jī)詐騙中的招數(shù)照搬到了網(wǎng)上。比如“能幫我個(gè)忙嗎？我朋友叫我?guī)退齾R500塊錢，我這邊不方便，你幫我匯好嗎？她的卡號和姓名是***，匯好了直接給我留言，我的手機(jī)沒帶。晚點(diǎn)我再聯(lián)系你，拜托了！ ”對于此類信息，用戶切勿上當(dāng)。另有一些騙子則打起親情牌，在送上溫馨祝?；颉盀槟泓c(diǎn)了歌”以后附上一個(gè)釣魚鏈接，坐等用戶點(diǎn)擊。

微軟方面建議，用戶可登錄http://ac－count.live.com，點(diǎn)擊“安全信息”旁的“管理”按鈕，添加綁定手機(jī)號碼，增強(qiáng)MSN賬戶安全。

專家揭秘“刷庫”灰色產(chǎn)業(yè)鏈

究竟黑客是如何竊得用戶好友MSN密碼的？業(yè)內(nèi)一些安全專家透露，其背后分工明確，有一條灰色產(chǎn)業(yè)鏈。

“黑客入侵網(wǎng)站服務(wù)器、竊取用戶數(shù)據(jù)庫后，通常會利用其獲取的大量賬號密碼在網(wǎng)上支付等平臺上試探盜號，也就是俗稱的‘先刷庫、后洗號’。最近幾個(gè)月來，國內(nèi)已有多家社交網(wǎng)站、網(wǎng)絡(luò)論壇曝出用戶數(shù)據(jù)庫泄露事故，間接導(dǎo)致國內(nèi)知名支付平臺和微博網(wǎng)站相繼遭到大規(guī)模洗號攻擊?！?60安全專家石曉虹博士介紹，如今黑客調(diào)轉(zhuǎn)槍頭瞄準(zhǔn)MSN，就是為了利用MSN好友關(guān)系進(jìn)行詐騙。

石曉虹表示，假設(shè)一個(gè)安全性薄弱的論壇有10萬注冊用戶，這些用戶的注冊郵箱和密碼全部被黑客從論壇服務(wù)器竊取，其中1萬個(gè)注冊郵箱是Hotmail郵箱和live郵箱，黑客就會用這1萬個(gè)郵箱和密碼試探登錄MSN。 “如果其中又有50%用戶為論壇和MSN設(shè)置了相同的密碼，就意味著黑客攻陷一個(gè)論壇可批量竊取5000個(gè)MSN賬號。 ”

瑞星安全專家王占濤則透露，如此大量的MSN賬戶被盜號，然后被黑客利用來進(jìn)行釣魚詐騙還是史上第一次，已上鉤的真實(shí)受害用戶至少在近百人。此前也曾有“中國緣”網(wǎng)站曾經(jīng)利用MSN進(jìn)行流氓推廣，被安全廠商和相關(guān)部門聯(lián)手遏制。

“視頻驗(yàn)證”或系黑客偽裝

“現(xiàn)在黑客都非常的狡猾，不少機(jī)警的網(wǎng)友就算通過攝像頭與對方視頻驗(yàn)證，親眼所見也未必是真。 ”王占濤說，現(xiàn)在不少騙子事先錄制了用戶好友的視頻進(jìn)行播放，讓對方誤以為是其本人。專家表示，如果收到MSN好友發(fā)來的借錢、轉(zhuǎn)賬、買手機(jī)卡等消息時(shí)，一定要通過電話等渠道對其身份進(jìn)行核實(shí)，或者聊一些共同熟悉的人與事物，考察其是否露出破綻。

除了網(wǎng)站數(shù)據(jù)庫遭竊等不可控因素外，用戶本人也要謹(jǐn)防被釣魚而泄露密碼。 “比如黑客做個(gè)模仿微軟的網(wǎng)站，隨機(jī)給一些郵箱地址發(fā)送郵件，提示‘您的MSN密碼被盜，請重置您的密碼’，實(shí)際上郵件里的地址就是黑客建立的網(wǎng)址，當(dāng)用戶在這個(gè)網(wǎng)址進(jìn)行了修改密碼的操作時(shí)，密碼就會被黑客竊取。 ”

網(wǎng)民在下載各種MSN插件時(shí)也需格外小心。王占濤稱，比如某種流行的MSN插件網(wǎng)站被黑客竊取數(shù)據(jù)庫，黑客同樣可以利用竊取到的賬號和密碼進(jìn)行此種詐騙。

目前，360安全中心已發(fā)布警報(bào)稱，如有網(wǎng)友用MSN注冊郵箱注冊了其他網(wǎng)絡(luò)服務(wù)、并使用了相同密碼，請盡快更改MSN密碼，以免受其他網(wǎng)站數(shù)據(jù)泄露牽連而導(dǎo)致自己的MSN賬號成為黑客“洗號”對象。

中國版最弱密碼

簡單數(shù)字組合 000000 111111 11111111 112233 123123 12332112345612345678 654321 666666 888888

順序字符組合 abcdef abcabc abc123 a1b2c3 aaa111

臨近字符組合 123qwe qwerty qweasd

特殊含義組合 admin password p@ssword passwd iloveyou 5201314

*本項(xiàng)統(tǒng)計(jì)基于國內(nèi)流行的密碼字典軟件破解列表*標(biāo)紅密碼同時(shí)也是國外網(wǎng)民常用的“弱密碼”

中國“最易猜密碼”名單公布

為了避免成為“刷庫”犧牲品，瑞星、360兩大安全機(jī)構(gòu)日前先后發(fā)布了中國 “最易猜密碼”名單，提醒網(wǎng)民速速對號入座，如果“榜上有名”，則應(yīng)立即修改。

瑞星的研究結(jié)果顯示，中國用戶最常用的十大簡單密碼是 ：abc123、123456、xiaoming、12345678、iloveyou、admin、qq123456、taobao、root、wang1234。除此以外，拿生日和手機(jī)號做密碼，用admin、root、administrator等系統(tǒng)默認(rèn)密碼，均等同于向黑客大喊“快來盜我吧”。

專家指出，在銀行卡密碼中使用簡單密碼的危害尤其嚴(yán)重，很多人的錢包里同時(shí)帶有身份證和銀行卡，如果使用生日、郵編、123456這樣的數(shù)字當(dāng)密碼，很容易被偷到錢包的小偷猜出來。 “涉及金錢和隱私的賬號，應(yīng)使用復(fù)雜的密碼，要有字母、數(shù)字和符號混合。 ”

無獨(dú)有偶，360日前也總結(jié)出2011年度最易被盜取的25個(gè) “弱密碼”。其中，除password、abc123、iloveyou、qwerty等全球網(wǎng)民通用 “弱密碼”外，其余均為數(shù)字組合。而簡單的數(shù)字組合，似乎更是中國網(wǎng)民最愛，占了榜單近半數(shù)。比如“666666”和“888888”這樣的吉利數(shù)，幾乎是所有中國黑客密碼字典中的必備項(xiàng)，而“5201314”(我愛你一生一世)顯然被國人寄予了濃厚的感情色彩，為中國網(wǎng)民特色“弱密碼”。

“建議網(wǎng)民千萬不在電腦上用明文記載任何密碼。根據(jù)我們的研究，有的黑客是先在用戶電腦上植入木馬，然后瀏覽電腦上的所有TXT文件和Word文件，從中查找用戶的個(gè)人資料和密碼。 ”王占濤稱。