作者ldcs (一辈子的牙牙学语)
看板DIABLO
标题Re: [闲聊] 钱被盗光了...人还是不要太有自信
时间Tue Jun 5 11:01:02 2012
: "密码真他妈一个参考用的东西..."
: 有没有神手骇客/防骇乡民要来现身说法讲一下盗帐原理还有防范方法
密码真的只是一个参考用的东西。
1.木马
木马的意思是,你不小心开到了有"病毒"的档案,不管是网路上的小游戏,朋友给你的
好用工具软体,MSN广告破解程式,还是盗版软体破解档,都有可能含有木马。
木马的用意是,记录下你键盘按下的每一个按键,那麽,如果你打了一串Email,
接着打的那一串字,基本上就是你的密码了,很简单吧?
或是,你应该知道很多地方,你密码可以只打一次就勾纪录起来吧。
自动记录?是记在哪里?当然还是记在你的电脑里啊!
像很久之前,曾经出现过过"帮你找回忘记的Windows密码"(像拨号连线)之类的
很简单就可以知道,自动记录起来的密码,不安全,木马很简单就可以找出来拿走。
--处理方法就是不要用来路不明的档案,还有别忘了灌有用的防毒,而且千万不要
把防毒暂时关掉。
2.盗帐号网站,或hosts档被修改(DNS修改)
我明明是对着Yahoo网页打了我的帐号密码,为什麽我就被盗了?
因为你连到的根本不是Yahoo网站,如果只是盗帐号网站(寄个信叫你连过去改密码之类的)
,网址还会不同,像 www.yahooo.com , 只差了一个 o 就,然後你一登入,
就等同於把密码双手奉上,因为网站不是 yahoo 做的,只是长得一模一样。
就像双胞胎,两个人再像还是不同人一样。
而後者,不论是hosts档真的被修改了,或是你使用了一个不可靠的DNS供应商
你的浏览器其实"真的"想帮你连到Yahoo官方网站去,看起来一切都跟真的一样
但是 www.yahoo.com 这个英文字代号,没办法在DNS上面拿到一个正确的IP位置目标
所以你又被连到了骇客网站(看起来就像真的),自己把帐号密码打给他们还按了确定。
而且你可能从头到尾都没办法发现你已经连错网站了,完全没有徵兆。
--你看到连结就直接点下去吗?有没有多注意一下连结显示的网址是哪里?
不要再乱点连结了。也请用Chrome浏览器,它会很准确的警告你连错网站了,
或是告诉你这个网站很不安全。
3.恶意跳板,VPN,防火墙
虽然这麽做很没效率,但是还记得之前有听说过,老板可以监视你的MSN对话吗?
其实我们在逛网页的时候,所有送出去和传回来的资料,基本上都是没有加密的
意思是只要资料有经过的地方,想看的人只要有心,都可以看得见。
如果你像之前抢登亚服,挂了来路不明的跳板,VPN,那麽你所有要连线的东西,
就会先连到他们的电脑,再由他们帮你连线出去。
也就是如果VPN是骇客做的,那你所有的未加密资料,他都可以看得到,他想看什麽
就看什麽。
而讲得更严重一点,如果我今天开一间网咖,我有心,那所有从我网咖线路流出去的
资料,我也可以全部收集起来,不管是正妹的脸书帐密,还是宅男的银行帐号
,只要他们曾经在我网咖输入过,就到手。就是这样。
--所有透过别人上网的手段都是不安全的,你只能相信中华电信还没开始盗用你的
个人资料,因为他们也有办法,只是不敢做而已。
另外你有没有听过https?就是当你在连线的时候看见网址开头是 https://
"唯有在这个状态,你的网页资料才有实际上的加密"
所有平常用的 http:// 都是没加密的,差一个s差很多,而且不是你多打一个s就解决了
,因为也要对方支援使用https加密啊!
4.其实任何方式都可行
每次,你在打密码的时候,每次当你把密码从你脑袋拿出来的时候,你就泄密了。
不管是有人在你旁边偷看键盘(还是被录影机拍到)之类的蠢方法,
还是像flash有漏洞,导致所有网页上含有该广告的网站都被偷盗的聪明方法,
偷密码真的不是几篇文章可以讲完的,所谓的骇客就是想到更多没人用过的方法,
去操作你的电脑的人物,方法日新月异,有人发现了就有人被偷了。
所以密码真的只是参考用的,只是一个最基本的防护,你的论坛密码都不知道被偷了
几百次,只是那没有利用价值而已。
所以当你要线上转帐的时候会叫你"先把插在读卡机的卡片拔掉再插回去"
所以当你想要小额付款的时候会叫你"拿着手机,在网页上打上简讯验证码"
因为密码没用,你知,我知,那些银行网站也知道。
提醒你每半年换个密码吧(跪)就是因为他们也不知道你的密码已经被偷了没?
5.实体验证器
Blizzard的实体验证器,是非常非常有效的一个防护方式。
今天Blizzard也早就知道,密码只是参考用的
要出一套Blizzard扫毒兼保证安全之加密连线萤幕键盘登入程式,老实说有点蠢,
还很容易被破解,反而怪他们怎麽没做好。就像之前某些台湾游戏公司,每次开游戏就会
先跳出奇怪的专用扫毒软体,明明有,但用处真的很大吗?
而Blizzard公司足够大,所以他推出了实体验证器,以及手机版,他们有办法
把安全的登入方式,变成一个商品让你直接购买,直接使用。
要不要使用当然是看个人,但是这绝对不是找麻烦的东西,
它不会告诉你,我帮你挡掉了几次被盗,但是它有效,真的有效。
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 60.249.15.61
1F:推 k1728391:大王M 06/05 11:04
2F:推 dennis15:楼下还是会有人说,被盗是bz系统问题,为什麽要玩家用验 06/05 11:04
3F:推 diablo3:之前好像看到有网友说改hosts没有安全性问题 在看看被盗文 06/05 11:04
4F:→ dennis15:证器 06/05 11:05
5F:→ diablo3:颗颗XD 06/05 11:05
6F:推 ujane:快拜五楼 06/05 11:05
7F:推 scorpio0920:推这篇! 06/05 11:05
8F:推 sboy1111:楼下不信邪,说都是BZ的错 06/05 11:05
9F:推 chu630:都是BZ的错! 06/05 11:06
10F:→ trywish:版上改hosts的确没安全性问题,毕竟那些网址有问题有人发 06/05 11:06
hosts 指的是,什麽网址要去哪边找他
自己看着版友指示,把本来该连到亚洲更新的位置,修改到美国去更新
当然没有什麽安全性问题罗!
怕的是 hosts 被恶意的人/恶意的软体修改,把你要登入的
www.blizzard.com 导向到假的网站!那麽就很危险了!
11F:推 hoos891405:而且真的建议专门创一个信箱 自己发明一个新密码 06/05 11:06
12F:推 ericinttu: 不发D3就没有人会被盗。 06/05 11:06
13F:→ trywish:现就会提出质疑,不改hosts就像上次那样..我玩美版给我韩 06/05 11:06
14F:推 EVA96:被盗一定是BZ的错 我电脑超安全 为什麽要花250买验证器 06/05 11:06
15F:→ EVA96:而且我也不想换智慧型手机@@ 06/05 11:07
16F:→ trywish:服更新,害大家搞好久@@ 06/05 11:07
17F:→ shoxx:验证器有专门的公司在研发及生产 非BZ专用 06/05 11:07
18F:推 iampala:推这篇的说法!!! 06/05 11:07
19F:推 sheagia:听不进去的还是听不进去 06/05 11:07
20F:→ hoos891405:很多人都是一个帐号名称 各种信箱及论坛密码都一样 06/05 11:07
21F:推 book2381:没被盗过 = = 06/05 11:07
22F:推 Devil9:@EVA 板上有人分享java版喔... 06/05 11:08
23F:推 diablo3:当然 如果正确的修改是甚麽问题啦,只怕有人胡涂,做事做 06/05 11:08
24F:→ diablo3:一半 06/05 11:08
25F:推 chu630:如果连250买安心都不肯...那真的是自找的 06/05 11:08
26F:推 littlecut:你改host的时候 有看到localhost 127.0.0.1以外的 06/05 11:08
27F:→ dennis15:不是不盗,只是时候未到 06/05 11:09
28F:→ littlecut:真的要注意xd 06/05 11:09
29F:推 scorpio0920:@Devil9:EVA96是反串啦,你误会他了。 06/05 11:09
※ 编辑: ldcs 来自: 60.249.15.61 (06/05 11:12)
30F:→ diablo3:话说,D3的登入密码连大小写都不分了,安全性实在很质疑 06/05 11:10
31F:推 xin25846: 原来如此 我用跟信箱不同的密码 应该没事~~ 06/05 11:10
32F:推 dennis15:因为密码只是参考,真正的key是验证码 06/05 11:10
33F:→ dennis15:如果验证器都能被破的话,密码再难都没意义了 06/05 11:12
34F:→ EVA96:很多没用验证器的人都说应该没事 然後过两天就.... 06/05 11:12
35F:→ Skylegend:@EVA9 还有电脑版喔 06/05 11:13
36F:→ dennis15:可以的话我想把密码设一个字元就好XD 06/05 11:13
37F:→ trywish:会到被不知情被串改HOST的情况..大多是中木马,如果等级高 06/05 11:13
38F:推 Ylance:EVA96你反串太失败了已经有两个人没看出来..= = 06/05 11:13
39F:推 yuims57:我觉得d3要内建验证器 跟当年黑橘内建神盾一样 06/05 11:14
40F:→ trywish:的木马其实什麽锁都没用,最基础还是不乱开档案装防毒 06/05 11:14
41F:推 xin25846: 就没事 XD 06/05 11:14
42F:推 a1237759:一堆人有病,帐号被盗不怪小偷怪受害者.. 06/05 11:14
43F:推 EVA96:反串就是要像啊!!!! 06/05 11:14
44F:推 naturer:感谢分享 06/05 11:14
45F:推 usoko:傻孩子 内建就等於给骇客多一个管道去破解 06/05 11:14
46F:嘘 YukiPhoenix:→ diablo3:话说,D3的登入密码连大小写都不分了 06/05 11:14
47F:推 cyp001:如果验证器可以保障绝对不被盗 我是真的想买一个 06/05 11:15
48F:→ YukiPhoenix:YOOOOO!! 这真是太酷了 还真的没区分大小写 06/05 11:15
49F:→ EVA96:受害者自己不做安全措施又上来哭哭 不怪他怪谁? 06/05 11:15
50F:推 lpb:推~ 06/05 11:15
51F:→ YukiPhoenix:有用验证器不代表BZ可以把密码系统随便弄弄就好 06/05 11:15
52F:→ usoko:这让我想到冲击效应里的波斯人 门坏了却叫锁匠来换锁 06/05 11:16
53F:推 IAmLaguna:密码系统对於线上游戏盗客早就跟没有一样了吧 06/05 11:16
54F:→ usoko:锁匠叫他换门他不要 结果被偷了之後还去找锁匠报复.... 06/05 11:17
55F:推 dennis15:就跟出门结果只把门关起来确没上锁一样... 06/05 11:17
56F:推 swallowcc:没有绝对保证不被盗这种事吧,只能让机率减到最低而已 06/05 11:17
57F:推 sniper2824:我是不知道有防范措施不做结果上来哭哭的道理是甚麽 06/05 11:18
58F:→ dennis15:当然是盗帐号的人的错,但是玩家连自身帐号安全都不重视 06/05 11:18
59F:→ sboy1111:密码系统在这时代早就不是怎样弄的问题了 06/05 11:18
60F:→ trywish:这边还一个问题..目前听起来BZ的帐密系统大概是你家喇叭锁 06/05 11:19
61F:推 emip:提醒你半年换一次密码你还嫌他罗嗦咧.. 06/05 11:19
62F:→ sboy1111:单纯只有帐密早就不可行了,大多都会配其他东西 06/05 11:19
63F:→ trywish:这种等级,在帐密方面绝对可以加强,验证器类似请个顾门的 06/05 11:20
64F:→ trywish:所以帐密系统还是可以再加强,至少换个好一点的吧=.= 06/05 11:20
65F:→ sboy1111:你家用喇叭锁,警卫给你另一个锁还不去用 06/05 11:20
66F:推 Kurisu:一堆人有病,警卫给你锁不用,门开着让人家偷再来怪警卫 06/05 11:21
67F:推 dennis15:不是bz的帐号是喇叭锁,基本上所有网路上的帐密都是 06/05 11:21
68F:→ moocya:我看是一堆人中木马…你钥匙早就被偷了,还不请人帮忙看? 06/05 11:22
69F:→ dennis15:只是小偷当然挑值钱的偷好脱手的偷 06/05 11:22
70F:推 prestige1:乱点网页应该没事吧.. 06/05 11:22
71F:→ femy229:我听起来所有网路游戏论坛信箱的帐密都是喇叭锁耶 06/05 11:23
72F:→ femy229:干嘛针对BZ咧~~ 06/05 11:23
73F:→ prestige1:现在WIN要执行程式前都会问... 06/05 11:23
74F:推 iampala:密码有时候不一定是BZ流出去的, 你个人就会流出了好吗.. 06/05 11:23
75F:推 a1237759:设帐号密码的话,密码才是警卫给你的锁 06/05 11:23
76F:→ trywish:不至於啦,不然网拍评价好的早就整天都被盗帐号拿去用了 06/05 11:23
77F:推 Ylance:说真的 密码没分大小写 乍看很粗糙 但对骇客好像有分也没差 06/05 11:24
78F:→ a1237759:验证器是锁匠请你花钱装一个RFID感应器 06/05 11:24
79F:→ dennis15:至少bz还有警卫免费给你申请.. 06/05 11:24
80F:推 ccl007:你还没提到还有那种下载奇奇怪怪的外挂导致被盗帐号的 06/05 11:24
81F:→ trywish:所以其他家倒是不用太担心帐密安全,至於BZ目前看来是有 06/05 11:24
82F:→ trywish:可能对帐密不够严谨,所以比起密码保护."帐号"保护更重要 06/05 11:25
83F:推 a1237759:现在是bz给你一个坏掉的喇叭锁,然後让你选要不要装RFID 06/05 11:28
84F:推 Flyingvoice:密码是警卫给的锁没错,问题今天钥匙会在马路上到处流 06/05 11:28
85F:→ Flyingvoice:通啊 06/05 11:28
86F:→ a1237759:他为什麽给你一个坏掉的喇叭锁问题很大吧 06/05 11:28
87F:推 YukiPhoenix:BZ给的喇叭锁是厕所那种10元硬币就能开的好吗 06/05 11:28
88F:推 EVA96:哪家的密码不是喇叭锁的? 06/05 11:29
89F:推 ccl007:密码比较像单纯的住家公寓 06/05 11:29
90F:→ trywish:对比两个游戏,其实WOW的帐密系统比D3好非常多,强迫换密 06/05 11:30
91F:推 a1237759:就没听说WOW有这麽迫切需要验证器 06/05 11:30
92F:→ trywish:当然英文+数字还有大小写区分这些都算种强化,至於传输加 06/05 11:30
93F:→ trywish:密这类就不是普通人会去管的 06/05 11:30
94F:→ ccl007:WOW也经常有人被盗 几乎都可以回复 06/05 11:31
95F:→ sboy1111:WOW现阶段也没那麽迫切的需要盗 06/05 11:31
96F:→ a1237759:WOW的盗帐号问题有现在这麽严重? 06/05 11:31
97F:推 Flyingvoice:因为WOW你盗装能干嘛?那绑定了耶 06/05 11:31
98F:→ dennis15:果然费尽唇舌还是会有人单纯的认为都是BZ的问题 06/05 11:31
99F:→ trywish:对了,你密码字元提升到11码,就会和普通人惯用密码分开 06/05 11:31
100F:→ ccl007:我就有认识被盗 但是他绝对不敢讲是因为有请代练的用过XD 06/05 11:32
101F:→ trywish:也没单纯都认为是BZ呀,中木马的话不管你用啥东西都没用 06/05 11:32
102F:推 YukiPhoenix:果然费尽唇舌还是会有人单纯的认为BZ都没问题 06/05 11:32
103F:→ YukiPhoenix:没区分大小写的密码系统 恩 06/05 11:32
104F:→ a1237759:费尽唇舌都会有人单纯只怪罪受害者,这不是更奇怪? 06/05 11:33
105F:→ YukiPhoenix:建议BZ以後出游戏直接绑定验证器 最省事 06/05 11:33
106F:→ ccl007:BZ如果完全不提供通讯锁还有验证器 错绝对就是他们 06/05 11:33
107F:→ ccl007:家里被偷应该要先怪小偷 卖门锁的都有提供免费监视器给你了 06/05 11:36
108F:→ ccl007:自己不用 还要怪卖门锁的不是更奇怪? 06/05 11:37
109F:→ YukiPhoenix:门锁给你一个10元硬币就能开的锁(大小写没区分)呢? 06/05 11:37
110F:→ trywish:举例不好,今天门锁能用好一点你自然会想用好一点,谁会希 06/05 11:38
111F:→ trywish:望花一笔钱买到的是垦丁浴室那种门锁0.0a 06/05 11:38
112F:推 a1237759:说过了,现在锁匠是先给你有问题的锁在先 06/05 11:38
113F:推 CN091118:PUSH 06/05 11:38
我觉得不管是BZ的保安有没有做好,骇客偷人很过分,还是自己去用烂软体
不是谁的责任还是谁的错,台湾有没有警察抓小偷
而是小偷就在外面,总是会有人家里被偷上新闻
但是我只是很爱我的脚色,不想要被偷,所以我选择了加装上验证器。
※ 编辑: ldcs 来自: 60.249.15.61 (06/05 11:43)
114F:→ a1237759:你家的大门10元就能开,然後装监视器防盗? 06/05 11:39
115F:→ ccl007:每家门锁都大同小异 有的变殭屍电脑了 你要用什麽密码? 06/05 11:39
116F:推 Kurisu:不要在扭曲了,没人怪普通受害者,是怪"只会怪BZ的受害者" 06/05 11:39
117F:→ YukiPhoenix:电脑有木马的殭屍电脑不用讨论 那种状况是小偷爬窗户 06/05 11:40
118F:→ emip:有些人想法比较精简 反正我玩BZ的游戏被盗 那BZ就可以骂 06/05 11:40
119F:→ Kurisu:Zzz 监视器跟通讯锁的差异很大吧 06/05 11:40
120F:→ emip:你给他解法是没意义的 他只是想要骂而已 06/05 11:40
121F:→ emip:纯靠北 06/05 11:41
122F:→ ccl007:是呀 毕竟放你木马盗帐号的也根本不知道是谁 06/05 11:42
123F:推 Kurisu:玩的人多 -> 被盗的人多 -> 干 被盗帐号阿扁不用负责吗? 06/05 11:42
124F:→ trywish:基本上变殭屍是什麽锁都没用..所以最基本还是网页不乱点 06/05 11:42
125F:→ trywish:定期扫毒+装小防火墙,最好游戏和上网电脑分开(含网段) 06/05 11:43
126F:推 Flyingvoice:啊如果有人憨憨FB跟D3帐密都一样,FB帐密泄漏了对方 06/05 11:43
127F:→ dennis15:今天只是因为D3热门好脱手,所以状况看起来比较多 06/05 11:44
128F:→ Flyingvoice:对方拿去试D3,那问题是BZ还是FB还是使用者? 06/05 11:44
129F:→ Flyingvoice:动动脑细胞啊 06/05 11:44
130F:→ emip:然後被盗的人纯靠北也就罢了 看人家被盗跟着敲边鼓的更瞎 06/05 11:44
131F:→ dennis15:实际状况是其实你家锁早就坏了,只是之前里面没钱 06/05 11:44
132F:推 Kurisu:你不懂 现在要怪BZ比较潮 06/05 11:45
133F:→ trywish:那例子也很烂XD..今天就算你知道朋友的帐密你也不敢随便去 06/05 11:45
134F:→ trywish:盗,除非你有双跳板,但是陌生人要怎知道FB帐密这就有问题 06/05 11:45
135F:推 killord:被抢绝对不是你的错 但是如果你是前有把口袋里面十万块现 06/05 11:45
136F:→ trywish:像以前可以用网友的生日去查对方基本资料,不过现在连小学 06/05 11:46
137F:→ killord:金拿出来秀的话 就算钱抢回来 你也会後悔秀钱这档子事 06/05 11:46
138F:→ trywish:生都不会用生日当基本资料了,如果会用的..那中木马也正常 06/05 11:47
139F:→ killord:版上被盗帐号的文章 最大共通点就是"不信邪" 被盗了才後悔 06/05 11:48
140F:→ killord:事前不多做一点安全防护 事後就算骂来骂去你心底还是会对 06/05 11:48
141F:→ killord:没做安全防护这件事後悔的... 06/05 11:48
142F:推 windofsprite:推最後一行 06/05 11:49
143F:推 Flyingvoice:光很多帐密共通这点就够盗光你东西了 06/05 11:49
144F:→ trywish:那是推论..实际上不合理,另外防止方法也有,光弄成WOW那 06/05 11:51
145F:→ trywish:样安全性整个提高很多,明明是同一家出品的一一a 06/05 11:51
146F:推 dudeok:3这个我差点重 好显G信箱有防盗机制 以後不敢用代理IP了! 06/05 11:51
147F:→ quen6788:已收录 06/05 12:00
148F:→ killord:其实D3官网也有防盗宣传...不知道有多人会去看... 06/05 12:01
149F:推 HornyDragon:推这篇 06/05 12:15
150F:推 CrazyR:我想问用通讯锁或验证在D3 那SC2也会锁起来吗? 06/05 12:40
151F:→ CrazyR:我弟在玩SC2 我玩D3 他用我的帐号玩 06/05 12:40
会喔
只要放上验证器,D3 WOW SC2 都会一起锁起来
不过如果是手机验证器,可以设定成两个手机使用同一组产生码
如果两个人都有智慧型手机就没有问题了。
※ 编辑: ldcs 来自: 60.249.15.61 (06/05 12:46)
152F:推 hollynight:上次有个乡民举例很不错:为啥买机车还要加买大锁? 明明 06/05 13:02
153F:→ hollynight:偷车是犯法的 为啥政府没好好维护治安 06/05 13:02
154F:推 CrazyR:锁起来= =那我弟就不能玩了 06/05 13:06
155F:推 rei410553:干勒 我买游戏被盗 怪我没上通讯锁 不用怪公司吗 我X 06/05 13:15
156F:推 Kurisu:如果你的帐密早就被人知道了,那你怪公司有意义吗? 06/05 13:30
157F:推 a87992772:如果伺服器没有被盗的情况传出...那...公司也没责任啦 06/05 13:32
158F:→ a87992772:最近在观望观望吧 为了安全还是加组验证器吧 06/05 13:33
159F:推 CrazyR:难道我的车被偷了 要怪toyota mazda吗 我O~ 06/05 13:40
160F:推 YukiPhoenix:如果你的车用10元硬币就可以开 那该怪车厂 06/05 14:02
161F:→ YukiPhoenix:如果是你自己钥匙丢路上被偷 怪自己 06/05 14:02
162F:推 maverickming:好文 铁齿的人就保佑自己不要遇到 遇到不要哭哭 06/05 14:47
163F:推 benson01:你明知你的车用10元硬币就可以开,原厂又有提供更好的锁 06/05 19:02
164F:→ benson01:为何不换? 06/05 19:02
165F:推 moncia:我会在不安全的场所打密码时用copy & paste,防按键纪录器 06/05 19:49
166F:→ moncia:防session的就要用防火墙,以前有用个软体叫ZoneAlarm 06/05 19:51
167F:→ moncia:(免费的) 安装之後所有要上网的程式都会弹视窗且经过你同意 06/05 19:52
168F:→ moncia:像木马要把资料传回去就有机会被你挡下.. 06/05 19:52