騙子、強盜、幫凶:價值50,000美元的帳號如何遭到勒索
閱讀時間約 5 分鐘
一早起來就看到一個悲傷的故事。讀完之後,發現(果不其然)跟我最討厭的網域註冊商GoDaddy有關,而且內容曲折離奇、卻又點出了一些之前我沒有想到過的事情,所以就來分享一下。
How I Lost My $50,000 Twitter Username
A story of how PayPal and GoDaddy allowed the attack and caused me to lose my $50,000 Twitter username.medium.com
故事的開頭是這樣的:上面這篇文章的作者在Twitter上擁有一個極短的使用者名稱「@N」。在任何社群網站上,這麼短的名字都代表著非常早期的用戶、以及來自快手的運氣。
照這位作者的說法,「@N」的價值高達50,000美元,因此也成為歹徒覬覦的目標,於是他與歹徒開始了這場身心俱疲的鬥法過程。
從故事看來,歹徒相當內行、而且應該是慣犯。首先,歹徒透過各種(應該是公開的)資訊,找到了苦主「@N」名下的幾個帳號:
- PayPal帳號
- GoDaddy帳號
- Facebook帳號
- 當然還有Twitter帳號
並且利用這些資訊,先取得苦主名下網域的控制權,然後藉以向他勒索「@N」這個帳號。以下就是簡化版的故事:
第一段攻擊:PayPal
首先,歹徒以假身分打電話到PayPal,假裝忘記密碼,並且通過了身分認證,取得了苦主的部份信用卡資訊。
「打電話」是這個步驟的關鍵之一。透過電話可以避過一些線上認證,甚至可以「用一些技巧」向客服人員問出信用卡的最後四碼。
第二段攻擊:GoDaddy
歹徒從PayPal取得帳號資訊之後,再假扮苦主跟網域服務商GoDaddy聯繫,要求重設密碼。
因為歹徒手上已經有來自PayPal的部份個資,再加上一點運氣(猜到GoDaddy客服要求的資料,也就是信用卡號碼最後四位數的前面兩位),所以也通過了GoDaddy的驗證,成功進入帳號。
(好笑的是,歹徒後來還在email中建議苦主不要用GoDaddy,因為別家比較安全。)
第三段攻擊:孤立苦主
歹徒在進入苦主的GoDaddy帳號之後,迅速更改了苦主用於email的DNS記錄,讓苦主在發現帳號被盜之後,無法與PayPal、GoDaddy等服務商用原本的email帳號直接聯繫、也無法透過email驗證自己的身分。
當苦主試圖聯繫GoDaddy,要求回復自己的帳號控制權,GoDaddy還會去問歹徒「是否允許此人更改帳號設定」,而沒有查證「此人是否正是原主」。
由於多數社群網站都以email作為驗證身分的主要資訊,所以只要收得到信,多半可以透過它來「找回密碼」;所以,歹徒在過程中還「順便」盜了苦主的Facebook帳號。
第四段攻擊:勒索
在前面幾個步驟成功之後,歹徒直接聯繫上苦主,直接挑明要的是那個價值50,000美元的Twitter帳號,交換的「人質」就是先前用來布局的PayPal和GoDaddy帳號。
最後,苦主因為無法獲得來自PayPal和GoDaddy的支持,被迫放棄了「@N」,向歹徒換回前面被盜的幾個帳號。
關鍵一:email控制權
在這個故事中,除了歹徒的詐騙技巧和運氣、以及GoDaddy經過歹徒認證的鬆散防衛之外,最大的關鍵(也是我從前沒想到過的)就是取得對苦主email控制的手法。
而這個手法的要件,是苦主使用了自有網域的email(像是「[email protected]」),而不是Gmail之類的常見網址。也因為如此,只要歹徒掌握了苦主的GoDaddy帳號、以及其下的網域DNS,就有辦法:
- 暫時斷絕苦主用這個帳號的對外email通訊
- 以email作為驗證工具,冒充苦主的身分到處重設密碼
- 讓苦主因為收不到信,所以無法證明自己的身分
上述這幾個問題,理論上如果用「[email protected]」就不會發生,因為歹徒要取得Gmail網域的控制權太困難(雖然並非絕不可能就是)。
關鍵二:服務商管理
在苦主的文章中,提到了和歹徒的交手過程、以及部分往來email的內容;其中多次提到PayPal和GoDaddy的客服處理方式、以及潛在的管理問題。
說實在話,如果是這年頭比較活躍的網路使用者,大概都免不了要跟線上支付(PayPal之類)以及網域服務商(GoDaddy之類)打交道,所以也都會有文中的潛在風險。
但我們可以做的是:
- 改變支付服務設定:PayPal很難避免,但可以要求它不得透過電話告知信用卡部分號碼、或是不要在帳號中儲存信用卡號碼。
- 慎選網域服務商:依照歹徒的建議,不要用Godaddy.com(我也這麼建議);用NameCheap或eNom(這一點我不敢特別建議,但我自己是用前者)。
苦主的建議
根據這一輪經驗,苦主提供的最大建議就是:
- 註冊社群網站時,不要使用自訂網址的email。
- 在使用重要的線上服務、或是手上有值錢的網址和帳號時,對於服務商的安全性更要特別小心。
結語
當然說「特別小心」還是很籠統、特定服務商是否安全當然見仁見智、而且不使用自訂網址email能不能杜絕問題也很難說。
不過總而言之,這個故事告訴我們,內行的歹徒往往會從意想不到的角度下手,請大家從這個故事中學到一些教訓和啟發,別讓自己吃虧了。
最後容我講一句,我強烈不建議使用GoDaddy。
為什麼會看到廣告
782會員
258內容數
生涯橫跨科技、出版、行銷顧問業;曾創立過多家數位媒體,並擔任雜誌總編輯與社長。專注商管、網路、科技、語言、軍事等領域;曾任教大學中文系,並擔任電動車系統公司行銷長。目前為企業與新創公司媒體策略、產品行銷、語言應用顧問,提供品牌再造與中英文文案教學等服務。
留言0
查看全部
傅瑞德的沙龍 的其他內容
你可能也想看
【愛情騙子】|在巴黎的那場誤會
Mohammed,我承諾要去史特拉斯堡看你,要辭去台北的工作,可以跟你擠在大學城裡的公寓閣樓。我說,這樣很浪漫,就像瑪麗居禮在巴黎做研究時一樣,而她是我童年時的偶像,我一直幻想著自己為了追求夢想到喜愛的城市,願意拋下一切的物質需求。
2021-06-30
子強與你聊聊No.1 寫作計畫 2021年已經過了三個月,大家對於2021年,有什麼計畫呢?吾是詞話小故事的作者––子強。還沒有向喜愛方格子的「讀友」,說說吾的2021年的––寫作計畫喔!
2021-03-30
如何幫助孩子成功?|我的好書單|《養出內心強大的孩子》矽谷教養法全天下父母的共同希望- 願孩子過更好的人生
但為什麼我們費盡心思,現在孩子卻愈來愈不快樂?
我們這麼努力打拚,自己卻愈來愈不快樂?
怎麼做才能幫助孩子成功?答案就是:重要新發掘並教導存在於我們每個人心中的核心價值:TRICK
信任,尊重,獨立,合作,善良
2021-01-19
騙子不會只騙你一次,比利麥克法蘭 Billy McFarland現在,我們用盡一切方法讓每個人都滿意;明年我們更會擴大規模讓每個人都盡興。
羊毛出在誰身上?羊身上。這是一般人的邏輯,在騙子的邏輯裡,羊毛出在狗身上,豬買單!
2016年12月13日,網上出現大大的橘色方塊,網紅大力推送,點進去看,是在隔年的4月底要舉行「Fyre音樂節」,地點在巴哈
2020-09-21
《騙子律師》內容搶先看〉在真實與謊言交織的法庭上,艾迪發現自己已深陷這場血腥遊戲之中...跟上回我在電視上見到的霍威爾相比,他看起來更糟了。他的皮膚呈現灰敗色澤,雙眼周圍一圈深黑,眼神透著焦慮緊繃與赤裸裸的痛苦。就一個五十後半的人而言,他瘦得誇張,然而,你仍可透過那件白色絲綢襯衫見到原來那副更年輕、更線條分明的體格。闊肩寬胸、精實雙臂,黑髮——很可能是
2020-09-14
騙子遇見傻子真愛,有時候就是一個騙子遇見一個傻子。
愛情,不是尋找一個完美的人,而是學會用完美的眼光,欣賞一個不完美的人。
專情不是一輩子只喜歡一個人,是愛上一個人的時候一心一意。
幸福就是,找到了一個令傻子想拼命減肥的人,而那騙子卻總是拍拍傻子的頭說,多吃一點,別餓着了。
傻子拿了自己一生的幸福做賭注,跟着騙
2020-06-21
湯問影評|《媽媽的遙控器》: 當母親成為孩子的時光強盜 本集主要在諷刺父母對孩子的強烈控制欲,故事圍繞在母親陳淑麗與兒子紀培偉之間的衝突。畫面則大量運用隱喻和雜耍蒙太奇,像是水杯的人偶以及小偉在海中浮沉詮釋著小偉的心境,得知他是如何從初戀的滋味得到些許喘息的空間,再被剝奪而邁向崩潰。
2020-02-22