本报记者 张咏
“刚才是你在MSN上跟我联系么?让我去联通官网帮你买10张100元的充值卡?”昨天中午,白领张小姐接到了好几个朋友的询问电话。她的MSN好友不约而同地收到了张小姐在线发送的要求帮买千元充值卡的信息。
张小姐随后登录MSN时发现,自己用了10多年的密码无论如何也登录不进去。“账号密码被盗了!”她心里一惊。尝试用网站提供的密码重置功能找回密码,她发现自己注册账号时登记的邮箱和密码保护问题已全部被篡改,“这回账号是真丢了”。
帮好友投票导致账号被盗
在新浪微博上搜索“MSN被盗”,就有包括微博名人洪晃在内的近百名网友吐槽账号被盗,MSN朋友们接到了诈骗信息。苏州公安、阳澄湖派出所、江苏武进南夏墅派出所等认证微博也发布警方提示称,“近期MSN账号被盗事件有所抬头,提醒用户,在设置密码时最好使用大小写、数字、字符等,提高安全级别”。在百度(微博)输入“MSN被盗”,从8月31日以来,更是不断有网友发帖求助。
繁景文化公司负责人姚先生,不久前MSN账号也被盗了。姚先生记得,他师弟几次三番通过MSN给他留言,希望为自己参加儿童歌唱比赛的小侄儿投上一票。经不住请求,姚先生点开了师弟发来的“2012儿童歌曲大赛投票网址www.liveslogin.com”的网站链接,不想中招,第二天MSN就无法登录。
“师弟后来告诉我,他的账号被盗了,那是盗号者发的钓鱼链接。”姚先生说,后来盗号者也以自己的名义向好友发送了同样的网站链接。“我恰好有个上小学的侄子,朋友们都信以为真,全帮我投票去,结果都被盗号了!”说起这事儿,他很气愤。
自由职业者杨女士则是由于应已被盗号的好友请求,打开了对方发送的照片分享链接,链接弹出类似hotmail邮箱登录的页面,要求输入MSN账号和密码。按提示输入后,杨女士没看到好友的照片,反而泄露了自己的账号密码,导致账号被盗。
找回老账号先注册新账号
记者昨天就此事致电微软中国有限公司,对方给了一个800开头的微软客户服务与技术支持中心电话。接电话的工作人员称,由于没有专门针对MSN用户的客户支持,目前被盗号的用户只能通过微软网站论坛发帖写明缘由,工程师会在24小时内回帖帮助解决问题。
“24小时?遇到戒心不强的好友,骗子早就得逞了!”张小姐对于客服人员的处理方式感到不满,“上次我怀疑微博账号被盗,客服热线通过电话核对相关信息,几分钟就帮我解决了问题。同样是账号被盗,为什么服务差距这么大?”
张小姐说,这次盗号者不是给MSN好友群发信息,而是一个个地和好友假装随便聊两句,然后才让他们帮忙买电话卡,伪装得很好。“如果拖24小时,真担心朋友们受骗。”
点开微软客服给的论坛地址,记者发现,如果发帖反馈问题,需要使用MSN账号登录,因此被盗号者,还要重新注册一个账号才能等待找回老账号,过程既漫长又繁琐。
“我注册了新账号反映问题后,工程师给我发来一份账户信息和电子邮件信息表格,但是账户信息里,我的密码保护问题被篡改了,所以我回答不上来,我又不用hotmail邮箱,电子邮件信息的所有问题我都答不上来。”张小姐说,自己对于能否找回账号十分忐忑,因为看到有很多网友说,由于信息填写不完整,微软多次拒绝了找回账号的请求。
用户指责微软中国不作为
“MSN的保护太弱了,从没提醒我安全问题,对于网址链接也是没有任何防范措施,轻易就可以打开。”用户姚先生说,自己在使用QQ、淘宝旺旺等网络聊天工具时,隔段时间就会提示盗号风险,不定期地要求自己或者绑定手机号,或者修改、升级密码以提高账户安全性。如果对方发送了网址链接,飞信、旺旺等聊天工具还会先行过滤,对可疑网站用问号或文字进行提示,有的需要用户进行确认才可以打开。
早在去年年底,MSN账号被盗、网友遭遇网银诈骗的事件就大规模发生过。2011年11月,大批量的用户表示自己的账号无法登录,很多人收到垃圾广告和木马链接,相当一部分人的MSN好友、MSN备注名丢失。
微软中国当时只是发布了一份声明称“微软非常关注并立即展开了调查,并将于最终结果明确时告知公众”。然而,十个多月过去了,调查结果并未公布,MSN账号安全问题依旧严重,这引起了很多中国用户的抱怨。
“为什么MSN屡被盗号?微软中国是否该为用户个人信息安全做些什么?不然以后谁还敢用?”一位MSN用户质疑。记者连日致电微软中国媒体联络负责人电话,一直处于无人接听状态。
中国社科院信息化研究中心秘书长姜奇平认为,由于中国并非微软MSN的主要市场,微软不会在中国用户身上花费很大精力。“国外盗号诈骗的情况并不多见,微软很难专为中国用户付出很大努力去升级其产品设计,国内网站针对这个问题反应则要快得多。”姜奇平指出,如果微软MSN的安全措施升级一直跟不上,直接后果就是被盗账号遭遇诈骗,用户产生厌恶情绪并放弃使用,最终将导致MSN的用户流失。
360互联网攻防实验室研究员、高级分析师安扬认为,如果MSN能设立批量登录账户错误报警机制,就不会出现如此大规模的诈骗事件。因为黑客不会人工一个个输入账户密码,肯定是通过软件批量导入的,“如果发现同一个IP地址,在短时间内批量登录一些账号,就应该立刻报警或锁定账户”。