騙子、強盜、幫凶:價值50,000美元的帳號如何遭到勒索
閱讀時間約 5 分鐘
一早起來就看到一個悲傷的故事。讀完之後,發現(果不其然)跟我最討厭的網域註冊商GoDaddy有關,而且內容曲折離奇、卻又點出了一些之前我沒有想到過的事情,所以就來分享一下。
How I Lost My $50,000 Twitter Username
A story of how PayPal and GoDaddy allowed the attack and caused me to lose my $50,000 Twitter username.medium.com
故事的開頭是這樣的:上面這篇文章的作者在Twitter上擁有一個極短的使用者名稱「@N」。在任何社群網站上,這麼短的名字都代表著非常早期的用戶、以及來自快手的運氣。
照這位作者的說法,「@N」的價值高達50,000美元,因此也成為歹徒覬覦的目標,於是他與歹徒開始了這場身心俱疲的鬥法過程。
從故事看來,歹徒相當內行、而且應該是慣犯。首先,歹徒透過各種(應該是公開的)資訊,找到了苦主「@N」名下的幾個帳號:
- PayPal帳號
- GoDaddy帳號
- Facebook帳號
- 當然還有Twitter帳號
並且利用這些資訊,先取得苦主名下網域的控制權,然後藉以向他勒索「@N」這個帳號。以下就是簡化版的故事:
第一段攻擊:PayPal
首先,歹徒以假身分打電話到PayPal,假裝忘記密碼,並且通過了身分認證,取得了苦主的部份信用卡資訊。
「打電話」是這個步驟的關鍵之一。透過電話可以避過一些線上認證,甚至可以「用一些技巧」向客服人員問出信用卡的最後四碼。
第二段攻擊:GoDaddy
歹徒從PayPal取得帳號資訊之後,再假扮苦主跟網域服務商GoDaddy聯繫,要求重設密碼。
因為歹徒手上已經有來自PayPal的部份個資,再加上一點運氣(猜到GoDaddy客服要求的資料,也就是信用卡號碼最後四位數的前面兩位),所以也通過了GoDaddy的驗證,成功進入帳號。
(好笑的是,歹徒後來還在email中建議苦主不要用GoDaddy,因為別家比較安全。)
第三段攻擊:孤立苦主
歹徒在進入苦主的GoDaddy帳號之後,迅速更改了苦主用於email的DNS記錄,讓苦主在發現帳號被盜之後,無法與PayPal、GoDaddy等服務商用原本的email帳號直接聯繫、也無法透過email驗證自己的身分。
當苦主試圖聯繫GoDaddy,要求回復自己的帳號控制權,GoDaddy還會去問歹徒「是否允許此人更改帳號設定」,而沒有查證「此人是否正是原主」。
由於多數社群網站都以email作為驗證身分的主要資訊,所以只要收得到信,多半可以透過它來「找回密碼」;所以,歹徒在過程中還「順便」盜了苦主的Facebook帳號。
第四段攻擊:勒索
在前面幾個步驟成功之後,歹徒直接聯繫上苦主,直接挑明要的是那個價值50,000美元的Twitter帳號,交換的「人質」就是先前用來布局的PayPal和GoDaddy帳號。
最後,苦主因為無法獲得來自PayPal和GoDaddy的支持,被迫放棄了「@N」,向歹徒換回前面被盜的幾個帳號。
關鍵一:email控制權
在這個故事中,除了歹徒的詐騙技巧和運氣、以及GoDaddy經過歹徒認證的鬆散防衛之外,最大的關鍵(也是我從前沒想到過的)就是取得對苦主email控制的手法。
而這個手法的要件,是苦主使用了自有網域的email(像是「abc@mydomain.com」),而不是Gmail之類的常見網址。也因為如此,只要歹徒掌握了苦主的GoDaddy帳號、以及其下的網域DNS,就有辦法:
- 暫時斷絕苦主用這個帳號的對外email通訊
- 以email作為驗證工具,冒充苦主的身分到處重設密碼
- 讓苦主因為收不到信,所以無法證明自己的身分
上述這幾個問題,理論上如果用「abc@gmail.com」就不會發生,因為歹徒要取得Gmail網域的控制權太困難(雖然並非絕不可能就是)。
關鍵二:服務商管理
在苦主的文章中,提到了和歹徒的交手過程、以及部分往來email的內容;其中多次提到PayPal和GoDaddy的客服處理方式、以及潛在的管理問題。
說實在話,如果是這年頭比較活躍的網路使用者,大概都免不了要跟線上支付(PayPal之類)以及網域服務商(GoDaddy之類)打交道,所以也都會有文中的潛在風險。
但我們可以做的是:
- 改變支付服務設定:PayPal很難避免,但可以要求它不得透過電話告知信用卡部分號碼、或是不要在帳號中儲存信用卡號碼。
- 慎選網域服務商:依照歹徒的建議,不要用Godaddy.com(我也這麼建議);用NameCheap或eNom(這一點我不敢特別建議,但我自己是用前者)。
苦主的建議
根據這一輪經驗,苦主提供的最大建議就是:
- 註冊社群網站時,不要使用自訂網址的email。
- 在使用重要的線上服務、或是手上有值錢的網址和帳號時,對於服務商的安全性更要特別小心。
結語
當然說「特別小心」還是很籠統、特定服務商是否安全當然見仁見智、而且不使用自訂網址email能不能杜絕問題也很難說。
不過總而言之,這個故事告訴我們,內行的歹徒往往會從意想不到的角度下手,請大家從這個故事中學到一些教訓和啟發,別讓自己吃虧了。
最後容我講一句,我強烈不建議使用GoDaddy。
為什麼會看到廣告
784會員
258內容數
生涯橫跨科技、出版、行銷顧問業;曾創立過多家數位媒體,並擔任雜誌總編輯與社長。專注商管、網路、科技、語言、軍事等領域;曾任教大學中文系,並擔任電動車系統公司行銷長。目前為企業與新創公司媒體策略、產品行銷、語言應用顧問,提供品牌再造與中英文文案教學等服務。
留言0
查看全部
你可能也想看
Google News 追蹤
被惡整的事項:
一直打電話叫我寫開車小說片段、打電話問各種大陸新聞和轉變有錢的方法、盜各種帳號、在任何FB上留言處酸你、一直打電話說各種話嚇人,「我有你的個資可以辦信用卡」、「我複製你的手機」、「我知道你所有行蹤....」
打電話到公司(因為是替公司做宣傳)或是用104帳號知道自己在哪裡工作或是面試
他們先盜我不太認識的人的帳號,然後傳一些東西給我點,就盜走我帳號,再建立一些它已知我過去高中、大學的同學同名和相同照片的帳號,再跟我聊天,一直找機會跟我說一些非常悲慘的事情,然後看我會不會借錢給他們....
使用信用卡多年,難免會有被盜刷的經驗,就和夜路走多了,難免會請遇到鬼的思路相似(笑)。
第一次被盜刷
談起多年前(約是2019年),也有一次被盜刷的經歷。
那張是元大鑽金卡,第一時間先是收到刷卡email通知,一筆30元消費,深知自己沒有這筆消費可能,便馬上去電通知客服。
客服反應,這是一筆
當被騙去作人頭帳戶時,必須不斷舉證自己的清白,並尋求律師幫忙,以及積極參與訴訟過程並提供證據。此外,被害人在偵查中建議出庭,以增加被告被起訴的機率。針對人頭帳戶的追回款項策略,應當報案凍結人頭帳戶,讓詐騙集團不得逞。
今天有個自稱“麥可鄧就愛可轉債”的傢伙跑來加我好友,基於我的私人帳號鄧哥是是知道的前提之下,我就按了同意,結果就出現了下列的訊息,靠x,竟然是詐騙。
基於好奇跟為了要找出差異,我點進了詳細資訊,發現了幾件事。
第一:詐騙真的很會,近期的貼文,他們都照貼了,甚至連留言都近似。
寫下這種很危言聳聽的標題,是現在台灣詐騙太囂張了
其實我寫這篇用意是為了不要再有無辜的民眾又被詐騙集團利用
以下這些故事新聞上都能查到相關類似劇情
通常出借銀行帳戶的人都是因為經濟條件不好 為了賺錢傻傻被騙
相信那些詐騙集團說的,因為詐騙太多,所以才想用高價去收購帳戶
因為風險高,所以很多
這是我被詐騙的故事,因為釣魚網站詐騙,讓我付出了不少精神損失,希望我的故事能提醒大家提高警覺和不要輕易相信簡訊的附網址。也說明瞭我如何處理這個問題,以及成功追回了被詐騙的錢。
回想起怎麼會落入騙局?「貪婪」固然是首要因素,其次是缺乏「判斷的知識和智慧」,再來就是「缺乏智慧的仁慈」。這三樣我全都犯了。 騙子利用無知、利用人性的貪婪、利用人們的愛心,騙取財物。
銀行帳戶被詐騙集團用來收取被害人的錢,於是被害人去提告,銀行帳戶變成警示帳戶,也變成了人頭帳戶。
網路上常常看到有人提問
當人頭帳戶有那麼嚴重嗎? 被當成人頭帳戶有人知道要怎麼處理嗎?
碰到這種事情 只能苦勸當事人 勿急! 勿慌! 勿害怕!
配合調查,釐清事情 冷靜應對
涉嫌人頭帳
被惡整的事項:
一直打電話叫我寫開車小說片段、打電話問各種大陸新聞和轉變有錢的方法、盜各種帳號、在任何FB上留言處酸你、一直打電話說各種話嚇人,「我有你的個資可以辦信用卡」、「我複製你的手機」、「我知道你所有行蹤....」
打電話到公司(因為是替公司做宣傳)或是用104帳號知道自己在哪裡工作或是面試
他們先盜我不太認識的人的帳號,然後傳一些東西給我點,就盜走我帳號,再建立一些它已知我過去高中、大學的同學同名和相同照片的帳號,再跟我聊天,一直找機會跟我說一些非常悲慘的事情,然後看我會不會借錢給他們....
使用信用卡多年,難免會有被盜刷的經驗,就和夜路走多了,難免會請遇到鬼的思路相似(笑)。
第一次被盜刷
談起多年前(約是2019年),也有一次被盜刷的經歷。
那張是元大鑽金卡,第一時間先是收到刷卡email通知,一筆30元消費,深知自己沒有這筆消費可能,便馬上去電通知客服。
客服反應,這是一筆
當被騙去作人頭帳戶時,必須不斷舉證自己的清白,並尋求律師幫忙,以及積極參與訴訟過程並提供證據。此外,被害人在偵查中建議出庭,以增加被告被起訴的機率。針對人頭帳戶的追回款項策略,應當報案凍結人頭帳戶,讓詐騙集團不得逞。
今天有個自稱“麥可鄧就愛可轉債”的傢伙跑來加我好友,基於我的私人帳號鄧哥是是知道的前提之下,我就按了同意,結果就出現了下列的訊息,靠x,竟然是詐騙。
基於好奇跟為了要找出差異,我點進了詳細資訊,發現了幾件事。
第一:詐騙真的很會,近期的貼文,他們都照貼了,甚至連留言都近似。
寫下這種很危言聳聽的標題,是現在台灣詐騙太囂張了
其實我寫這篇用意是為了不要再有無辜的民眾又被詐騙集團利用
以下這些故事新聞上都能查到相關類似劇情
通常出借銀行帳戶的人都是因為經濟條件不好 為了賺錢傻傻被騙
相信那些詐騙集團說的,因為詐騙太多,所以才想用高價去收購帳戶
因為風險高,所以很多
這是我被詐騙的故事,因為釣魚網站詐騙,讓我付出了不少精神損失,希望我的故事能提醒大家提高警覺和不要輕易相信簡訊的附網址。也說明瞭我如何處理這個問題,以及成功追回了被詐騙的錢。
回想起怎麼會落入騙局?「貪婪」固然是首要因素,其次是缺乏「判斷的知識和智慧」,再來就是「缺乏智慧的仁慈」。這三樣我全都犯了。 騙子利用無知、利用人性的貪婪、利用人們的愛心,騙取財物。
銀行帳戶被詐騙集團用來收取被害人的錢,於是被害人去提告,銀行帳戶變成警示帳戶,也變成了人頭帳戶。
網路上常常看到有人提問
當人頭帳戶有那麼嚴重嗎? 被當成人頭帳戶有人知道要怎麼處理嗎?
碰到這種事情 只能苦勸當事人 勿急! 勿慌! 勿害怕!
配合調查,釐清事情 冷靜應對
涉嫌人頭帳