Re: [閒聊] 錢被盜光了...人還是不要太有自信

作者ldcs (一輩子的牙牙學語)

看板DIABLO

標題Re: [閒聊] 錢被盜光了...人還是不要太有自信

時間Tue Jun 5 11:01:02 2012

: "密碼真他媽一個參考用的東西..." : 有沒有神手駭客/防駭鄉民要來現身說法講一下盜帳原理還有防範方法密碼真的只是一個參考用的東西。 1.木馬木馬的意思是，你不小心開到了有"病毒"的檔案，不管是網路上的小遊戲，朋友給你的好用工具軟體，MSN廣告破解程式，還是盜版軟體破解檔，都有可能含有木馬。木馬的用意是，記錄下你鍵盤按下的每一個按鍵，那麼，如果你打了一串Email，接著打的那一串字，基本上就是你的密碼了，很簡單吧？或是，你應該知道很多地方，你密碼可以只打一次就勾紀錄起來吧。自動記錄？是記在哪裡？當然還是記在你的電腦裡啊！像很久之前，曾經出現過過"幫你找回忘記的Windows密碼"(像撥號連線)之類的很簡單就可以知道，自動記錄起來的密碼，不安全，木馬很簡單就可以找出來拿走。 --處理方法就是不要用來路不明的檔案，還有別忘了灌有用的防毒，而且千萬不要把防毒暫時關掉。 2.盜帳號網站，或hosts檔被修改(DNS修改) 我明明是對著Yahoo網頁打了我的帳號密碼，為什麼我就被盜了？因為你連到的根本不是Yahoo網站，如果只是盜帳號網站(寄個信叫你連過去改密碼之類的) ，網址還會不同，像 www.yahooo.com ，只差了一個 o 就，然後你一登入，就等同於把密碼雙手奉上，因為網站不是 yahoo 做的，只是長得一模一樣。就像雙胞胎，兩個人再像還是不同人一樣。而後者，不論是hosts檔真的被修改了，或是你使用了一個不可靠的DNS供應商你的瀏覽器其實"真的"想幫你連到Yahoo官方網站去，看起來一切都跟真的一樣但是 www.yahoo.com 這個英文字代號，沒辦法在DNS上面拿到一個正確的IP位置目標所以你又被連到了駭客網站(看起來就像真的)，自己把帳號密碼打給他們還按了確定。而且你可能從頭到尾都沒辦法發現你已經連錯網站了，完全沒有徵兆。 --你看到連結就直接點下去嗎？有沒有多注意一下連結顯示的網址是哪裡？不要再亂點連結了。也請用Chrome瀏覽器，它會很準確的警告你連錯網站了，或是告訴你這個網站很不安全。 3.惡意跳板，VPN，防火牆雖然這麼做很沒效率，但是還記得之前有聽說過，老闆可以監視你的MSN對話嗎？其實我們在逛網頁的時候，所有送出去和傳回來的資料，基本上都是沒有加密的意思是只要資料有經過的地方，想看的人只要有心，都可以看得見。如果你像之前搶登亞服，掛了來路不明的跳板，VPN，那麼你所有要連線的東西，就會先連到他們的電腦，再由他們幫你連線出去。也就是如果VPN是駭客做的，那你所有的未加密資料，他都可以看得到，他想看什麼就看什麼。而講得更嚴重一點，如果我今天開一間網咖，我有心，那所有從我網咖線路流出去的資料，我也可以全部收集起來，不管是正妹的臉書帳密，還是宅男的銀行帳號，只要他們曾經在我網咖輸入過，就到手。就是這樣。 --所有透過別人上網的手段都是不安全的，你只能相信中華電信還沒開始盜用你的個人資料，因為他們也有辦法，只是不敢做而已。另外你有沒有聽過https？就是當你在連線的時候看見網址開頭是 https:// "唯有在這個狀態，你的網頁資料才有實際上的加密" 所有平常用的 http:// 都是沒加密的，差一個s差很多，而且不是你多打一個s就解決了，因為也要對方支援使用https加密啊！ 4.其實任何方式都可行每次，你在打密碼的時候，每次當你把密碼從你腦袋拿出來的時候，你就洩密了。不管是有人在你旁邊偷看鍵盤(還是被錄影機拍到)之類的蠢方法，還是像flash有漏洞，導致所有網頁上含有該廣告的網站都被偷盜的聰明方法，偷密碼真的不是幾篇文章可以講完的，所謂的駭客就是想到更多沒人用過的方法，去操作你的電腦的人物，方法日新月異，有人發現了就有人被偷了。所以密碼真的只是參考用的，只是一個最基本的防護，你的論壇密碼都不知道被偷了幾百次，只是那沒有利用價值而已。所以當你要線上轉帳的時候會叫你"先把插在讀卡機的卡片拔掉再插回去" 所以當你想要小額付款的時候會叫你"拿著手機，在網頁上打上簡訊驗證碼" 因為密碼沒用，你知，我知，那些銀行網站也知道。提醒你每半年換個密碼吧(跪)就是因為他們也不知道你的密碼已經被偷了沒？ 5.實體驗證器 Blizzard的實體驗證器，是非常非常有效的一個防護方式。今天Blizzard也早就知道，密碼只是參考用的要出一套Blizzard掃毒兼保證安全之加密連線螢幕鍵盤登入程式，老實說有點蠢，還很容易被破解，反而怪他們怎麼沒做好。就像之前某些台灣遊戲公司，每次開遊戲就會先跳出奇怪的專用掃毒軟體，明明有，但用處真的很大嗎？而Blizzard公司足夠大，所以他推出了實體驗證器，以及手機版，他們有辦法把安全的登入方式，變成一個商品讓你直接購買，直接使用。要不要使用當然是看個人，但是這絕對不是找麻煩的東西，它不會告訴你，我幫你擋掉了幾次被盜，但是它有效，真的有效。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 60.249.15.61

推 k1728391:大王M 06/05 11:04

推 dennis15:樓下還是會有人說，被盜是bz系統問題，為什麼要玩家用驗 06/05 11:04

推 diablo3:之前好像看到有網友說改hosts沒有安全性問題在看看被盜文 06/05 11:04

→ dennis15:證器 06/05 11:05

→ diablo3:顆顆XD 06/05 11:05

推 ujane:快拜五樓 06/05 11:05

推 scorpio0920:推這篇! 06/05 11:05

推 sboy1111:樓下不信邪，說都是BZ的錯 06/05 11:05

推 chu630:都是BZ的錯! 06/05 11:06

→ trywish:版上改hosts的確沒安全性問題，畢竟那些網址有問題有人發 06/05 11:06

hosts 指的是，什麼網址要去哪邊找他自己看著版友指示，把本來該連到亞洲更新的位置，修改到美國去更新當然沒有什麼安全性問題囉！怕的是 hosts 被惡意的人/惡意的軟體修改，把你要登入的 www.blizzard.com 導向到假的網站！那麼就很危險了！

推 hoos891405:而且真的建議專門創一個信箱自己發明一個新密碼 06/05 11:06

推 ericinttu: 不發D3就沒有人會被盜。 06/05 11:06

→ trywish:現就會提出質疑，不改hosts就像上次那樣..我玩美版給我韓 06/05 11:06

推 EVA96:被盜一定是BZ的錯我電腦超安全為什麼要花250買驗證器 06/05 11:06

→ EVA96:而且我也不想換智慧型手機@@ 06/05 11:07

→ trywish:服更新，害大家搞好久@@ 06/05 11:07

→ shoxx:驗證器有專門的公司在研發及生產非BZ專用 06/05 11:07

推 iampala:推這篇的說法!!! 06/05 11:07

推 sheagia:聽不進去的還是聽不進去 06/05 11:07

→ hoos891405:很多人都是一個帳號名稱各種信箱及論壇密碼都一樣 06/05 11:07

推 book2381:沒被盜過 = = 06/05 11:07

推 Devil9:@EVA 板上有人分享java版喔... 06/05 11:08

推 diablo3:當然如果正確的修改是甚麼問題啦，只怕有人胡塗，做事做 06/05 11:08

→ diablo3:一半 06/05 11:08

推 chu630:如果連250買安心都不肯...那真的是自找的 06/05 11:08

推 littlecut:你改host的時候有看到localhost 127.0.0.1以外的 06/05 11:08

→ dennis15:不是不盜，只是時候未到 06/05 11:09

→ littlecut:真的要注意xd 06/05 11:09

推 scorpio0920:@Devil9:EVA96是反串啦，你誤會他了。 06/05 11:09

※ 編輯: ldcs 來自: 60.249.15.61 (06/05 11:12)

→ diablo3:話說，D3的登入密碼連大小寫都不分了，安全性實在很質疑 06/05 11:10

推 xin25846: 原來如此我用跟信箱不同的密碼應該沒事~~ 06/05 11:10

推 dennis15:因為密碼只是參考，真正的key是驗證碼 06/05 11:10

→ dennis15:如果驗證器都能被破的話，密碼再難都沒意義了 06/05 11:12

→ EVA96:很多沒用驗證器的人都說應該沒事然後過兩天就.... 06/05 11:12

→ Skylegend:@EVA9 還有電腦版喔 06/05 11:13

→ dennis15:可以的話我想把密碼設一個字元就好XD 06/05 11:13

→ trywish:會到被不知情被串改HOST的情況..大多是中木馬，如果等級高 06/05 11:13

推 Ylance:EVA96你反串太失敗了已經有兩個人沒看出來..= = 06/05 11:13

推 yuims57:我覺得d3要內建驗證器跟當年黑橘內建神盾一樣 06/05 11:14

→ trywish:的木馬其實什麼鎖都沒用，最基礎還是不亂開檔案裝防毒 06/05 11:14

推 xin25846: 就沒事 XD 06/05 11:14

推 a1237759:一堆人有病，帳號被盜不怪小偷怪受害者.. 06/05 11:14

推 EVA96:反串就是要像啊!!!! 06/05 11:14

推 naturer:感謝分享 06/05 11:14

推 usoko:傻孩子內建就等於給駭客多一個管道去破解 06/05 11:14

噓 YukiPhoenix:→ diablo3:話說，D3的登入密碼連大小寫都不分了 06/05 11:14

推 cyp001:如果驗証器可以保障絕對不被盜我是真的想買一個 06/05 11:15

→ YukiPhoenix:YOOOOO!! 這真是太酷了還真的沒區分大小寫 06/05 11:15

→ EVA96:受害者自己不做安全措施又上來哭哭不怪他怪誰？ 06/05 11:15

推 lpb:推～ 06/05 11:15

→ YukiPhoenix:有用驗證器不代表BZ可以把密碼系統隨便弄弄就好 06/05 11:15

→ usoko:這讓我想到衝擊效應裡的波斯人門壞了卻叫鎖匠來換鎖 06/05 11:16

推 IAmLaguna:密碼系統對於線上遊戲盜客早就跟沒有一樣了吧 06/05 11:16

→ usoko:鎖匠叫他換門他不要結果被偷了之後還去找鎖匠報復.... 06/05 11:17

推 dennis15:就跟出門結果只把門關起來確沒上鎖一樣... 06/05 11:17

推 swallowcc:沒有絕對保證不被盜這種事吧,只能讓機率減到最低而已 06/05 11:17

推 sniper2824:我是不知道有防範措施不做結果上來哭哭的道理是甚麼 06/05 11:18

→ dennis15:當然是盜帳號的人的錯，但是玩家連自身帳號安全都不重視 06/05 11:18

→ sboy1111:密碼系統在這時代早就不是怎樣弄的問題了 06/05 11:18

→ trywish:這邊還一個問題..目前聽起來BZ的帳密系統大概是你家喇叭鎖 06/05 11:19

推 emip:提醒你半年換一次密碼你還嫌他囉嗦咧.. 06/05 11:19

→ sboy1111:單純只有帳密早就不可行了,大多都會配其他東西 06/05 11:19

→ trywish:這種等級，在帳密方面絕對可以加強，驗證器類似請個顧門的 06/05 11:20

→ trywish:所以帳密系統還是可以再加強，至少換個好一點的吧=.= 06/05 11:20

→ sboy1111:你家用喇叭鎖,警衛給你另一個鎖還不去用 06/05 11:20

推 Kurisu:一堆人有病,警衛給你鎖不用,門開著讓人家偷再來怪警衛 06/05 11:21

推 dennis15:不是bz的帳號是喇叭鎖，基本上所有網路上的帳密都是 06/05 11:21

→ moocya:我看是一堆人中木馬…你鑰匙早就被偷了，還不請人幫忙看？ 06/05 11:22

→ dennis15:只是小偷當然挑值錢的偷好脫手的偷 06/05 11:22

推 prestige1:亂點網頁應該沒事吧.. 06/05 11:22

→ femy229:我聽起來所有網路遊戲論壇信箱的帳密都是喇叭鎖耶 06/05 11:23

→ femy229:幹嘛針對BZ咧~~ 06/05 11:23

→ prestige1:現在WIN要執行程式前都會問... 06/05 11:23

推 iampala:密碼有時候不一定是BZ流出去的, 你個人就會流出了好嗎.. 06/05 11:23

推 a1237759:設帳號密碼的話，密碼才是警衛給你的鎖 06/05 11:23

→ trywish:不至於啦，不然網拍評價好的早就整天都被盜帳號拿去用了 06/05 11:23

推 Ylance:說真的密碼沒分大小寫乍看很粗糙但對駭客好像有分也沒差 06/05 11:24

→ a1237759:驗證器是鎖匠請你花錢裝一個RFID感應器 06/05 11:24

→ dennis15:至少bz還有警衛免費給你申請.. 06/05 11:24

推 ccl007:你還沒提到還有那種下載奇奇怪怪的外掛導致被盜帳號的 06/05 11:24

→ trywish:所以其他家倒是不用太擔心帳密安全，至於BZ目前看來是有 06/05 11:24

→ trywish:可能對帳密不夠嚴謹，所以比起密碼保護."帳號"保護更重要 06/05 11:25

推 a1237759:現在是bz給你一個壞掉的喇叭鎖，然後讓你選要不要裝RFID 06/05 11:28

推 Flyingvoice:密碼是警衛給的鎖沒錯，問題今天鑰匙會在馬路上到處流 06/05 11:28

→ Flyingvoice:通啊 06/05 11:28

→ a1237759:他為什麼給你一個壞掉的喇叭鎖問題很大吧 06/05 11:28

推 YukiPhoenix:BZ給的喇叭鎖是廁所那種10元硬幣就能開的好嗎 06/05 11:28

推 EVA96:哪家的密碼不是喇叭鎖的？ 06/05 11:29

推 ccl007:密碼比較像單純的住家公寓 06/05 11:29

→ trywish:對比兩個遊戲，其實WOW的帳密系統比D3好非常多，強迫換密 06/05 11:30

推 a1237759:就沒聽說WOW有這麼迫切需要驗證器 06/05 11:30

→ trywish:當然英文+數字還有大小寫區分這些都算種強化，至於傳輸加 06/05 11:30

→ trywish:密這類就不是普通人會去管的 06/05 11:30

→ ccl007:WOW也經常有人被盜幾乎都可以回復 06/05 11:31

→ sboy1111:WOW現階段也沒那麼迫切的需要盜 06/05 11:31

→ a1237759:WOW的盜帳號問題有現在這麼嚴重？ 06/05 11:31

推 Flyingvoice:因為WOW你盜裝能幹嘛?那綁定了耶 06/05 11:31

→ dennis15:果然費盡唇舌還是會有人單純的認為都是BZ的問題 06/05 11:31

→ trywish:對了，你密碼字元提升到11碼，就會和普通人慣用密碼分開 06/05 11:31

→ ccl007:我就有認識被盜但是他絕對不敢講是因為有請代練的用過XD 06/05 11:32

→ trywish:也沒單純都認為是BZ呀，中木馬的話不管你用啥東西都沒用 06/05 11:32

推 YukiPhoenix:果然費盡唇舌還是會有人單純的認為BZ都沒問題 06/05 11:32

→ YukiPhoenix:沒區分大小寫的密碼系統恩 06/05 11:32

→ a1237759:費盡唇舌都會有人單純只怪罪受害者，這不是更奇怪？ 06/05 11:33

→ YukiPhoenix:建議BZ以後出遊戲直接綁定驗證器最省事 06/05 11:33

→ ccl007:BZ如果完全不提供通訊鎖還有驗證器錯絕對就是他們 06/05 11:33

→ ccl007:家裡被偷應該要先怪小偷賣門鎖的都有提供免費監視器給你了 06/05 11:36

→ ccl007:自己不用還要怪賣門鎖的不是更奇怪? 06/05 11:37

→ YukiPhoenix:門鎖給你一個10元硬幣就能開的鎖(大小寫沒區分)呢? 06/05 11:37

→ trywish:舉例不好，今天門鎖能用好一點你自然會想用好一點，誰會希 06/05 11:38

→ trywish:望花一筆錢買到的是墾丁浴室那種門鎖0.0a 06/05 11:38

推 a1237759:說過了，現在鎖匠是先給你有問題的鎖在先 06/05 11:38

推 CN091118:PUSH 06/05 11:38

我覺得不管是BZ的保安有沒有做好，駭客偷人很過分，還是自己去用爛軟體不是誰的責任還是誰的錯，台灣有沒有警察抓小偷而是小偷就在外面，總是會有人家裡被偷上新聞但是我只是很愛我的腳色，不想要被偷，所以我選擇了加裝上驗證器。 ※ 編輯: ldcs 來自: 60.249.15.61 (06/05 11:43)

→ a1237759:你家的大門10元就能開，然後裝監視器防盜？ 06/05 11:39

→ ccl007:每家門鎖都大同小異有的變殭屍電腦了你要用什麼密碼? 06/05 11:39

推 Kurisu:不要在扭曲了,沒人怪普通受害者,是怪"只會怪BZ的受害者" 06/05 11:39

→ YukiPhoenix:電腦有木馬的殭屍電腦不用討論那種狀況是小偷爬窗戶 06/05 11:40

→ emip:有些人想法比較精簡反正我玩BZ的遊戲被盜那BZ就可以罵 06/05 11:40

→ Kurisu:Zzz 監視器跟通訊鎖的差異很大吧 06/05 11:40

→ emip:你給他解法是沒意義的他只是想要罵而已 06/05 11:40

→ emip:純靠北 06/05 11:41

→ ccl007:是呀畢竟放你木馬盜帳號的也根本不知道是誰 06/05 11:42

推 Kurisu:玩的人多 -> 被盜的人多 -> 幹被盜帳號阿扁不用負責嗎? 06/05 11:42

→ trywish:基本上變殭屍是什麼鎖都沒用..所以最基本還是網頁不亂點 06/05 11:42

→ trywish:定期掃毒+裝小防火牆，最好遊戲和上網電腦分開(含網段) 06/05 11:43

推 Flyingvoice:啊如果有人憨憨FB跟D3帳密都一樣，FB帳密洩漏了對方 06/05 11:43

→ dennis15:今天只是因為D3熱門好脫手，所以狀況看起來比較多 06/05 11:44

→ Flyingvoice:對方拿去試D3，那問題是BZ還是FB還是使用者? 06/05 11:44

→ Flyingvoice:動動腦細胞啊 06/05 11:44

→ emip:然後被盜的人純靠北也就罷了看人家被盜跟著敲邊鼓的更瞎 06/05 11:44

→ dennis15:實際狀況是其實你家鎖早就壞了，只是之前裡面沒錢 06/05 11:44

推 Kurisu:你不懂現在要怪BZ比較潮 06/05 11:45

→ trywish:那例子也很爛XD..今天就算你知道朋友的帳密你也不敢隨便去 06/05 11:45

→ trywish:盜，除非你有雙跳板，但是陌生人要怎知道FB帳密這就有問題 06/05 11:45

推 killord:被搶絕對不是你的錯但是如果你是前有把口袋裡面十萬塊現 06/05 11:45

→ trywish:像以前可以用網友的生日去查對方基本資料，不過現在連小學 06/05 11:46

→ killord:金拿出來秀的話就算錢搶回來你也會後悔秀錢這檔子事 06/05 11:46

→ trywish:生都不會用生日當基本資料了，如果會用的..那中木馬也正常 06/05 11:47

→ killord:版上被盜帳號的文章最大共通點就是"不信邪" 被盜了才後悔 06/05 11:48

→ killord:事前不多做一點安全防護事後就算罵來罵去你心底還是會對 06/05 11:48

→ killord:沒做安全防護這件事後悔的... 06/05 11:48

推 windofsprite:推最後一行 06/05 11:49

推 Flyingvoice:光很多帳密共通這點就夠盜光你東西了 06/05 11:49

→ trywish:那是推論..實際上不合理，另外防止方法也有，光弄成WOW那 06/05 11:51

→ trywish:樣安全性整個提高很多，明明是同一家出品的一一a 06/05 11:51

推 dudeok:3這個我差點重好顯G信箱有防盜機制以後不敢用代理IP了! 06/05 11:51