一早起來就看到一個悲傷的故事。讀完之後,發現(果不其然)跟我最討厭的網域註冊商GoDaddy有關,而且內容曲折離奇、卻又點出了一些之前我沒有想到過的事情,所以就來分享一下。
How I Lost My $50,000 Twitter Username
A story of how PayPal and GoDaddy allowed the attack and caused me to lose my $50,000 Twitter username.medium.com
故事的開頭是這樣的:上面這篇文章的作者在Twitter上擁有一個極短的使用者名稱「@N」。在任何社群網站上,這麼短的名字都代表著非常早期的用戶、以及來自快手的運氣。
照這位作者的說法,「@N」的價值高達50,000美元,因此也成為歹徒覬覦的目標,於是他與歹徒開始了這場身心俱疲的鬥法過程。
從故事看來,歹徒相當內行、而且應該是慣犯。首先,歹徒透過各種(應該是公開的)資訊,找到了苦主「@N」名下的幾個帳號:
- PayPal帳號
- GoDaddy帳號
- Facebook帳號
- 當然還有Twitter帳號
並且利用這些資訊,先取得苦主名下網域的控制權,然後藉以向他勒索「@N」這個帳號。以下就是簡化版的故事:
第一段攻擊:PayPal
首先,歹徒以假身分打電話到PayPal,假裝忘記密碼,並且通過了身分認證,取得了苦主的部份信用卡資訊。
「打電話」是這個步驟的關鍵之一。透過電話可以避過一些線上認證,甚至可以「用一些技巧」向客服人員問出信用卡的最後四碼。
第二段攻擊:GoDaddy
歹徒從PayPal取得帳號資訊之後,再假扮苦主跟網域服務商GoDaddy聯繫,要求重設密碼。
因為歹徒手上已經有來自PayPal的部份個資,再加上一點運氣(猜到GoDaddy客服要求的資料,也就是信用卡號碼最後四位數的前面兩位),所以也通過了GoDaddy的驗證,成功進入帳號。
(好笑的是,歹徒後來還在email中建議苦主不要用GoDaddy,因為別家比較安全。)
第三段攻擊:孤立苦主
歹徒在進入苦主的GoDaddy帳號之後,迅速更改了苦主用於email的DNS記錄,讓苦主在發現帳號被盜之後,無法與PayPal、GoDaddy等服務商用原本的email帳號直接聯繫、也無法透過email驗證自己的身分。
當苦主試圖聯繫GoDaddy,要求回復自己的帳號控制權,GoDaddy還會去問歹徒「是否允許此人更改帳號設定」,而沒有查證「此人是否正是原主」。
由於多數社群網站都以email作為驗證身分的主要資訊,所以只要收得到信,多半可以透過它來「找回密碼」;所以,歹徒在過程中還「順便」盜了苦主的Facebook帳號。
第四段攻擊:勒索
在前面幾個步驟成功之後,歹徒直接聯繫上苦主,直接挑明要的是那個價值50,000美元的Twitter帳號,交換的「人質」就是先前用來布局的PayPal和GoDaddy帳號。
最後,苦主因為無法獲得來自PayPal和GoDaddy的支持,被迫放棄了「@N」,向歹徒換回前面被盜的幾個帳號。
關鍵一:email控制權
在這個故事中,除了歹徒的詐騙技巧和運氣、以及GoDaddy經過歹徒認證的鬆散防衛之外,最大的關鍵(也是我從前沒想到過的)就是取得對苦主email控制的手法。
而這個手法的要件,是苦主使用了自有網域的email(像是「abc@mydomain.com」),而不是Gmail之類的常見網址。也因為如此,只要歹徒掌握了苦主的GoDaddy帳號、以及其下的網域DNS,就有辦法:
- 暫時斷絕苦主用這個帳號的對外email通訊
- 以email作為驗證工具,冒充苦主的身分到處重設密碼
- 讓苦主因為收不到信,所以無法證明自己的身分
上述這幾個問題,理論上如果用「abc@gmail.com」就不會發生,因為歹徒要取得Gmail網域的控制權太困難(雖然並非絕不可能就是)。
關鍵二:服務商管理
在苦主的文章中,提到了和歹徒的交手過程、以及部分往來email的內容;其中多次提到PayPal和GoDaddy的客服處理方式、以及潛在的管理問題。
說實在話,如果是這年頭比較活躍的網路使用者,大概都免不了要跟線上支付(PayPal之類)以及網域服務商(GoDaddy之類)打交道,所以也都會有文中的潛在風險。
但我們可以做的是:
- 改變支付服務設定:PayPal很難避免,但可以要求它不得透過電話告知信用卡部分號碼、或是不要在帳號中儲存信用卡號碼。
- 慎選網域服務商:依照歹徒的建議,不要用Godaddy.com(我也這麼建議);用NameCheap或eNom(這一點我不敢特別建議,但我自己是用前者)。
苦主的建議
根據這一輪經驗,苦主提供的最大建議就是:
- 註冊社群網站時,不要使用自訂網址的email。
- 在使用重要的線上服務、或是手上有值錢的網址和帳號時,對於服務商的安全性更要特別小心。
結語
當然說「特別小心」還是很籠統、特定服務商是否安全當然見仁見智、而且不使用自訂網址email能不能杜絕問題也很難說。
不過總而言之,這個故事告訴我們,內行的歹徒往往會從意想不到的角度下手,請大家從這個故事中學到一些教訓和啟發,別讓自己吃虧了。
最後容我講一句,我強烈不建議使用GoDaddy。