黑客大舉襲擊網上電郵用戶,Google的Gmail及微軟的 Hotmail等免費電郵同遭入侵。黑客利用假冒網站,騙取至少3萬個用戶密碼,並將之放上網任人瀏覽。Google已即時採取措施保障受影響客戶,微軟證實這是歷來其中一宗最大的"網路釣魚"(phishing)襲擊,專家呼籲使用 hotmail.com、msn.com及live.com結尾的用戶,盡快更改電郵密碼。
被公開帳戶多來自歐洲
Hotmail 是全球最大網上電郵服務供應商,估計全球有5億用戶。今次重大安全漏洞,首先由科技網志neowin.net報導,網志指黑客除盜取帳戶密碼,上週六更把盜取的資料張貼在pastebin.com網站上,該名單有10,028個電郵,看上去只是其中一部分,並以英文字母開首分類,被公開的電郵帳戶名字都以 A和B開頭,大多來自歐洲,微軟表示已封鎖有關Hotmail帳戶。
"網路釣魚"冒供應商襲用戶
昨晚表示,今次釣魚襲擊的規模可能更大,BBC記者看過pastebin刊登的另一張逾2萬個被盜用的用戶名單,詳列電郵地址和密碼,除了來自 Hotmail,也有Gmail、雅虎、AOL等電郵服務供應商,BBC證實當中許多如Gmail和Hotmail的電郵地址都是真的。
擁有逾140萬hotmail用戶的香港微軟指出,暫未能公布個別地區受影響帳戶的數目。香港電腦保安事故協調中心經理古煒德指出,"網路釣魚"包括冒認免費電郵供應商,以網站出現問題為由,要求用戶重新登入,以蒐集用戶姓名和密碼,"用戶重新登入後,黑客可直接把網站連接至真的電郵介面,整個過程用戶和微軟都毫不知情,所以根本追蹤不到究竟有多少人或什麼國家人受影響"。他相信,黑客已手持大量用戶的密碼,因此微軟封鎖帳戶已未必有效,建議所有用戶盡快更改密碼。
微軟表示,"週末獲悉有數千個 Hotmail用戶的資料可能因為釣魚襲擊被公開......我們已確認這並非微軟的內部資料外泄,已協助客戶重新取回他們的帳戶控制權。"Google發言人承認Gmail受到釣魚襲擊,已強迫受影響用戶重設密碼,但否認這是Gamil的保安漏洞所致。
電腦保安專家泰里奧(Carole Theriault)說:"仍未清楚事件的成因,是釣魚襲擊還是對微軟伺服器的攻擊......建議若網民有Hotmail、MSN或者Live的電郵地址,應更改密碼。"
"釣魚襲擊"愈見普遍嚴重
網路"釣魚襲擊"近年愈見普遍和嚴重,除了hotmail,熱門社交網站facebook和twitter近年也經常成為襲擊目標。
防認親戚性感照電郵陷阱
釣魚襲擊者通常透過"認親認戚"來騙取網民信任,例如是以你朋友或同事的名義,傳送一些聲稱含有性感圖片以至有你本人照片等難辨真偽的電郵給你。當你按下電郵的連結,通常會出現一些登入頁面,要求你輸入登入名稱和密碼,一旦輸入,你的資料就會落入黑客手中。
微軟倡每90日改電郵密碼
專家指出,這類釣魚襲擊幾乎是防不勝防,因它們逐漸變得精密。專家提醒用家,當開啟一些來歷不明的電郵和附件時應分外小心,並應該定期更新電腦的防毒軟體。現時網上約有四成人在其所有網上帳戶使用同一組密碼,亦有不少用戶使用和帳戶名稱相同的密碼,一旦被黑客入侵,往往會"火燒連環船",令所有帳戶都被盜。微軟已建議用戶,每90日就要更改電郵密碼。