cahier lukhnos, a blog

平常自認為對網路安全性已經很重視的我，結果還是碰上了這種事。

簡單說，因為一位很久沒聯絡的要好朋友，突然進信來，邀請我上一個叫 SMS.ac 的網站註冊，號稱可以用 MSN 發免費簡訊（之類之類的）。我原先沒有理會，後來因為又再收到了一次邀請信，就想說，點進去看看有什麼好了。

這網站會跟你要你的 MSN 帳號跟密碼，說是要先取得你的 MSN 聯絡人資訊。

其實到這邊，大家都應該已經知道情況不對了。首先，SMS.ac 不知是哪裡的公司。再來，隨便跟你要密碼，不是很奇怪嗎？

但因為我那位朋友是澳洲人，然後我當時也沒多去想，「以為」 .ac 是澳洲。反正一連串的愚蠢決定，加上那種所謂的「機場強迫推銷效應」（金光黨的老手法：在混亂的公眾場所塞一個東西到你手上叫你買），我竟然還把給出了我的 Hotmail 帳號。

結果一 “sign up” 就發現不對。我平常在用的某個 IM client 程式立刻被踢出。只有一種情況下你登入好好的 MSN 會被踢出：有另一個 IM client 登入了！我這才發現，不對，網路上那麼多 IM 的程式庫，任何人只要寫個程式，取得你的帳號密碼，就可以取得你 MSN 裡的通訊名單。然後…

然後就是連鎖廣告信地獄了。

由於我的 Hotmail 帳號平常並不做其他用途，我甚至不用該信箱收信，密碼也是獨立的（這些都是我自以為固若金湯的「安全習慣」），因此算是有某種損害控制線存在。但是我的朋友們已經開始收到我的 Hotmail 「邀請函」，我的 Hotmail 信箱裡也滿滿是其他朋友的「還在等你回覆邀請」。也就是說，我的一個愚蠢決定，造成了更多人可能跳進這個陷阱中。

小故事，大啟示。MS 自家的 MSN 程式都會開視窗提醒你「不要隨便給別人帳號密碼」。如果平常是愛寄轉寄信的朋友給我這樣的東西，我可能就直接刪掉了。只因為這個邀請人「正好」是我很久沒聯絡的朋友、「正好」住在一個網域名跟 .ac 很像的地方（後來朋友們一查，.ac 是復活島，有名的法外特區）、「正好」這朋友的信又是寄到一個我信量很少、只有少數老朋友知道、很少有 spam 的信箱。

然後我就中計了。然後我也開始寫這種「我是詐騙網站受害者」的貼文，呼籲大家千萬別上當。

有朋友說：「證明了社交工程駭客法是很有用的」。

的確。

附註：As a solace, Joi Ito has also been tricked on this: Joi Ito’s blog entry on SMS.ac. 看來主要的問題還是在，他收到了一封 “whose judgement I trust” 的信件。不管怎麼說，我也跟他一樣，得向那些信箱裡塞滿「我」寄來的「邀請函」的朋友，說聲抱歉。

lukhnos :: Mar.09.2005 :: :: 4 Comments »