騙子、強盜、幫凶：價值50,000美元的帳號如何遭到勒索

2018/05/27 更新2018/05/27 發佈閱讀 6 分鐘

一早起來就看到一個悲傷的故事。讀完之後，發現（果不其然）跟我最討厭的網域註冊商GoDaddy有關，而且內容曲折離奇、卻又點出了一些之前我沒有想到過的事情，所以就來分享一下。

How I Lost My $50,000 Twitter Username
A story of how PayPal and GoDaddy allowed the attack and caused me to lose my $50,000 Twitter username.medium.com

故事的開頭是這樣的：上面這篇文章的作者在Twitter上擁有一個極短的使用者名稱「@N」。在任何社群網站上，這麼短的名字都代表著非常早期的用戶、以及來自快手的運氣。

照這位作者的說法，「@N」的價值高達50,000美元，因此也成為歹徒覬覦的目標，於是他與歹徒開始了這場身心俱疲的鬥法過程。

從故事看來，歹徒相當內行、而且應該是慣犯。首先，歹徒透過各種（應該是公開的）資訊，找到了苦主「@N」名下的幾個帳號：

PayPal帳號
GoDaddy帳號
Facebook帳號
當然還有Twitter帳號

並且利用這些資訊，先取得苦主名下網域的控制權，然後藉以向他勒索「@N」這個帳號。以下就是簡化版的故事：

第一段攻擊：PayPal

首先，歹徒以假身分打電話到PayPal，假裝忘記密碼，並且通過了身分認證，取得了苦主的部份信用卡資訊。

「打電話」是這個步驟的關鍵之一。透過電話可以避過一些線上認證，甚至可以「用一些技巧」向客服人員問出信用卡的最後四碼。

第二段攻擊：GoDaddy

歹徒從PayPal取得帳號資訊之後，再假扮苦主跟網域服務商GoDaddy聯繫，要求重設密碼。

因為歹徒手上已經有來自PayPal的部份個資，再加上一點運氣（猜到GoDaddy客服要求的資料，也就是信用卡號碼最後四位數的前面兩位），所以也通過了GoDaddy的驗證，成功進入帳號。

（好笑的是，歹徒後來還在email中建議苦主不要用GoDaddy，因為別家比較安全。）

第三段攻擊：孤立苦主

歹徒在進入苦主的GoDaddy帳號之後，迅速更改了苦主用於email的DNS記錄，讓苦主在發現帳號被盜之後，無法與PayPal、GoDaddy等服務商用原本的email帳號直接聯繫、也無法透過email驗證自己的身分。

當苦主試圖聯繫GoDaddy，要求回復自己的帳號控制權，GoDaddy還會去問歹徒「是否允許此人更改帳號設定」，而沒有查證「此人是否正是原主」。

由於多數社群網站都以email作為驗證身分的主要資訊，所以只要收得到信，多半可以透過它來「找回密碼」；所以，歹徒在過程中還「順便」盜了苦主的Facebook帳號。

第四段攻擊：勒索

在前面幾個步驟成功之後，歹徒直接聯繫上苦主，直接挑明要的是那個價值50,000美元的Twitter帳號，交換的「人質」就是先前用來布局的PayPal和GoDaddy帳號。

最後，苦主因為無法獲得來自PayPal和GoDaddy的支持，被迫放棄了「@N」，向歹徒換回前面被盜的幾個帳號。

關鍵一：email控制權

在這個故事中，除了歹徒的詐騙技巧和運氣、以及GoDaddy經過歹徒認證的鬆散防衛之外，最大的關鍵（也是我從前沒想到過的）就是取得對苦主email控制的手法。

而這個手法的要件，是苦主使用了自有網域的email（像是「[email protected]」），而不是Gmail之類的常見網址。也因為如此，只要歹徒掌握了苦主的GoDaddy帳號、以及其下的網域DNS，就有辦法：

暫時斷絕苦主用這個帳號的對外email通訊
以email作為驗證工具，冒充苦主的身分到處重設密碼
讓苦主因為收不到信，所以無法證明自己的身分

上述這幾個問題，理論上如果用「[email protected]」就不會發生，因為歹徒要取得Gmail網域的控制權太困難（雖然並非絕不可能就是）。

關鍵二：服務商管理

在苦主的文章中，提到了和歹徒的交手過程、以及部分往來email的內容；其中多次提到PayPal和GoDaddy的客服處理方式、以及潛在的管理問題。

說實在話，如果是這年頭比較活躍的網路使用者，大概都免不了要跟線上支付（PayPal之類）以及網域服務商（GoDaddy之類）打交道，所以也都會有文中的潛在風險。

但我們可以做的是：

改變支付服務設定：PayPal很難避免，但可以要求它不得透過電話告知信用卡部分號碼、或是不要在帳號中儲存信用卡號碼。
慎選網域服務商：依照歹徒的建議，不要用Godaddy.com（我也這麼建議）；用NameCheap或eNom（這一點我不敢特別建議，但我自己是用前者）。

苦主的建議

根據這一輪經驗，苦主提供的最大建議就是：

註冊社群網站時，不要使用自訂網址的email。
在使用重要的線上服務、或是手上有值錢的網址和帳號時，對於服務商的安全性更要特別小心。

結語

當然說「特別小心」還是很籠統、特定服務商是否安全當然見仁見智、而且不使用自訂網址email能不能杜絕問題也很難說。

不過總而言之，這個故事告訴我們，內行的歹徒往往會從意想不到的角度下手，請大家從這個故事中學到一些教訓和啟發，別讓自己吃虧了。

最後容我講一句，我強烈不建議使用GoDaddy。

留言

留言分享你的想法！

傅瑞德的沙龍

785會員

258內容數

生涯橫跨科技、出版、行銷顧問業；曾創立過多家數位媒體，並擔任雜誌總編輯與社長。專注商管、網路、科技、語言、軍事等領域；曾任教大學中文系，並擔任電動車系統公司行銷長。目前為企業與新創公司媒體策略、產品行銷、語言應用顧問，提供品牌再造與中英文文案教學等服務。

傅瑞德的沙龍的其他內容

2021/11/23

這邊暫停更新囉。

為簡化個人作品發表平台管理的作業，之後《F大叔的硬派行銷塾》的方格子分站（也就是這裡）將暫停更新，新文章會發表在主站 http://hardcopy.cafe 上。如果您是這邊尚未期滿的付費讀者，請寫信到 [email protected] 跟我聯繫，我會同樣提供付費會員資格給您。如果您想透過email收到最

2021/11/23

這邊暫停更新囉。

2021/10/21

「擠牙膏」式的產品發表真的存在嗎？

不能說完全沒有，但背後的運作和理由跟你想像的可能不一樣。