Enews185 莫淪為《奈及利亞詐騙》的肉雞
出自KMU e-News
高雄醫學大學e快報 第185期 資訊處
莫淪為《奈及利亞詐騙》的肉雞—保護好自己的電腦並妥善保管自己的電子郵件帳號密碼
資訊處網路技術組 謝志昌組長
聽過《奈及利亞詐騙》這個名詞嗎?
讓我們先看一則2011年6月16日自由時報的新聞︰
新北市的謝太太說,夫妻結婚已卅八年,她先生是職業軍人,個性勤儉、生活單純,退伍已廿年,三年前在網路上接觸這個「南非世足抽獎活動」,深信詐騙集團的謊言「中大獎,人生將翻身」,三年內不斷透過電子郵件和傳真與騙徒聯絡,先生深信自己抽中大獎,陸續匯出上千萬元的手續費、稅金。據悉,騙徒設局的大獎達數億台幣。家人為了讓他醒悟這是一場騙局,可謂用心良苦,陸續求助警方的「一六五反詐騙專線」、可口可樂公司、匯款銀行等,這些單位都向謝先生說明「你遇上詐騙了」,但他仍深信不疑,甚至叫家人「不要管,我自己會處理」。
謝太太說,差點讓先生沒命的最後一根稻草,是騙徒近日寄來一張VISA卡,聲稱所有獎金都在這張卡的帳戶裡,要求他親自赴南非開卡,「馬上就可使人生翻轉」,她曾跪地哀求先生別相信,但先生仍執迷不悟,竟然偷偷跑去辦南非簽證,且告訴家人,「我只去南非四天,我會平安回來。」謝太太說,六月十三日晚上八點,她發現先生不見蹤影,心知不妙,趕緊跑去派出所報案,並向立委周OO陳情,透過立委請求外交部積極協助,外交部先在香港轉機點堵人,但未能聯絡上謝先生,接著再透過南非代表處官員,終於在約翰尼斯堡機場攔截到謝先生,而前去接機的奈及利亞男子也同時被捕,南非警方目前正擴大偵辦本案。
(新聞出處http://www.libertytimes.com.tw/2011/new/jun/16/today-t3.htm )
在這則新聞中的騙局就是所謂的《奈及利亞詐騙》,只是施展詐騙手法的騙徒可能來自世界各地,而不限於奈及利亞人。 十多年前在台灣報紙上常見的詐騙新聞中,騙徒通常被稱作《金光黨》,曾幾何時,金光黨這個名詞已不常見,在人手一支行動電話後,取而代之的改叫《詐騙集團》。隨著網際網路普及,又出現了《奈及利亞詐騙》(Nigerian Scam)─連騙徒的代稱都國際化了。若大家都這個名詞感興趣,可在維基百科或搜尋引擎找到更多的相關資料,其花樣百出的詐騙手法足令人歎為觀止!
在上面這則新聞中,騙徒透過網路和電子郵件向謝先生行騙,所以在資訊安全的工作中,提防社交工程攻擊(Social Engineering Attack - 利用社交的方式,如電話、電子郵件,取得攻擊發起人所需要的資訊)是很重要的一環,教育部和本校近來每年都會對校內進行防範惡意電子郵件社交工程攻擊的演練,以提高學校教職員的警覺性,避免開啟可疑的電子郵件和點擊可疑的連結。近一年來,大家可能會發現學校信箱收到騙取電子郵件帳號密碼的信件有增多的趨勢,例如︰
一、偽稱是系統管理員,因系統升級,需要使用者回覆帳號密碼確認
二、指稱使用者信箱容量已經快爆了,需連至某個網頁申請加大信箱
三、通知使用者若不回覆帳號密碼,則帳號將被停權……
不勝枚舉,但目的只有一個,就是騙到使用者的電子郵件的帳號和密碼。
而這些詐騙電子郵件帳號密碼的信和《奈及利亞詐騙》有什麼關聯呢?
從技術上來說,騙徒可以架設自己的電子郵件伺服器,然後向外發送大量的《奈及利亞詐騙》信,但是可能因為伺服器的IP位址固定,所以很容易被網管人員封鎖,或者遭警察追輯,所以為了躲避網路封鎖和警察追輯,騙徒們需要許多散布各地、能代發電子郵件的"肉雞" (遭植入木馬程式被駭客控制的電腦,或有帳號遭駭客盜用的主機),因此騙徒的"標準作業程序"變成︰
Step 1.騙取可被利用的"肉雞"(亦稱 "抓雞")
"抓雞"最簡單和最便宜的方法,就是進行惡意電子郵件社交工程攻擊,也就是寄一些令人好奇、或者偽稱管理者的郵件,讓收信人開啟信件、點擊連結(惡意網頁-可藉此對收信人的電腦植入木馬)或受騙回覆帳號密碼。
Step 2.利用抓到的"肉雞"發送大量詐騙信
對於系統管理者而言,因為"肉雞"散布全球各地,發出的信件大多沒有廣告信的特徵,難以用廣告信過濾器做有效阻擋,最多只能通知"肉雞"所屬網域的管理人員,但是否能獲得處理和回應,則無法保證。
Step 3.等待魚兒(相信《奈及利亞詐騙》信件內容的人)上鉤一萬封信中只要一個人上當就可獲取大量金錢。
所以要有效遏止《奈及利亞詐騙》的擴散,就是每個人保護好自己的電腦,和保管好自己的電子郵件帳號和密碼,千萬不要以為電腦被入侵,帳號被盜用的受害者只限於個人!在網際網路的世界是『一人受害,萬人遭殃』。 那我們該如何保護好自己的電腦?建議如下︰
1.1勿因好奇心開啟可疑信件和其附件,或點擊可疑的連結--此點最為重要!
1.2設定自動更新作業系統,如Windows,及應用程式(如網頁瀏覽器、文書處理軟體等),並啟用防火牆。
1.3安裝防毒軟體並設定自動更新病毒碼--但僅記防毒軟體不是萬靈丹!
那又該如何保管好自己的電子郵件帳號密碼?建議如下︰
2.1密碼長度至少6個字元以上,同時含有英文字母、數字及符號。
2.2收電子郵件時要用SSL加密連線,如Webmail 要用 https:// POP3/IMAP要用SSL POP3/IMAP。
2.3無論系統和系統管理員怎麼說,勿將自己的帳號和密碼回覆給他們。
2.4注意輸入帳號密碼的網頁是否有異樣,如無SSL (https),或網址並不是平常熟悉的網域名。
2.5以上無法自行處理或判斷時向資訊人員求助。
在台灣過去的戒嚴年代,有一句口號這麼說︰『保密防諜,人人有責。』在今天網路詐騙盛行的時期,我們似乎也需要一句因應的口號︰『資訊安全,人人有責。』
註︰本文所提《奈及利亞詐騙》,係依媒體報導所稱,並無歧視該國及其國民的意思。