防范 邮件钓鱼欺诈窃取密码

主题: 防范 邮件钓鱼欺诈窃取密码
日期: 2009年2月26日 上午11:26

你要学会看邮件源码来识别虚假邮件[9]。如果你用 thunderbird,它也有一定的帮助防范的能力。
信息隐私安全最脆弱的一点是可以用社会工程(social engineering)手段进行攻击,也就是说,只要突破你的社交网络中任何一个脆弱的人,就可以逐步获取关于你的信息。
所以,请通知所有和你有联系的朋友都警惕欺诈骗局,认真检查自己的密码是否被盗用,机器是否安全。

千万不要相信 google 会给你发任何邮件要你输入你的帐号和密码!
你的银行也不会这样做!

  1. 如果你采用 gmail webmail 最新版本的界面,在邮件列表的下方,可以看到一段文字:

    You are currently using xxx MB (xx%) of your xxxx MB.

    Last account activity: 6 minutes ago at this IP (xxx.xxx.xxx.xxx).  Details

    您目前使用了 xxxx MB 配額中的 xxx MB (xx%)。
    目前此帳戶正在此 IP 的另 1 個位置使用 (xxx.xxx.xxx.xxx)。   最近帳戶活動: 0 分鐘以前.  詳細資料

    点击 “Details” 或者 “详细资料”可以查看你的 email 邮箱登录来源地址信息,经常检查一下,看是否有其他可疑地址登录你的邮箱,防范邮箱密码泄露被入侵盗用。

  2. 谨慎设置邮箱密码更改的机密问题并牢记,记在脑子里而不要写在任何地方。实在觉得难以记住,可以用 keepass 软件来加密保存这类私密信息。当密码被他人篡改,或者邮箱被 google 锁定时,需要这个信息来解锁。

  3. 选取难以猜到的密码的一个简单方法,是选用一句名言或者对你容易记忆的广告词之类句子,然后选取每个字拼音的第一个字母来组成密码。容易记而 他人很难猜到。

  4. gmail webmail 界面查看信件的方法:
    a. 点击 Reply 右边的下拉菜单,点击 show original (显示源码):
    Unknownname

    b. 出现新窗口显示信件源码。信件的主体(body)和标头 (header) 之间有一个空行分隔。从最下面的标头开始检查,重点看 From:, Sender:,其中的 email 地址域名是否真实。Received: 头标从下到上记录了该邮件传递过程中所经历的转递服务器。

    c. 如果希望向其他人求助,帮助判断是否钓鱼欺诈邮件,选菜单:File 文件 > Save as 保存为 > Save as type: Text file 保存为文本文件 > Save 保存。将保存的 txt 文件压缩后作为 email 附件发送。

    d. 如果确认是钓鱼欺诈邮件,可以如 a. 中所示,选择 "Report phishing" 向 gmail 报告这是一个钓鱼欺诈邮件,让 gmail 以后增强对此类邮件的过滤能力,可以降低自己和别人以后受害的概率。

  5. 如果要在收信软件中看邮件源码:
    Thunderbird: 选中邮件或者打开阅读的时候,按 Ctrl+U 键。
    Outlook Express: 选中邮件或者打开阅读的时候,按 Ctrl+F3 键。
    Foxmail: 选中邮件或者打开阅读的时候,按 Ctrl+I 键。

    可以参考[3],但是其中 gmail webmail 的方法是错误的。

  6. 为防止万一 gmail 密码丢失,帐号被劫持或者禁用,需要经常备份 gmail 帐号里的通信录,email。gmail 通信录可以在设置选项中 Export 导出。email 可以通过 IMAP 方式拷倍到本机备份。当然如果为了安全,下载备份后可以用 7zip [8]加密压缩,或者保存在 Trucrypt [7]加密盘中。加密所用的密码可以用 KeePass [6]加密保存,防止遗忘。这样只需要记住一个重要的密码,而其他密码可以保存在 KeePass 密码箱里面,用这个主密码加密保护。

  7. 不要让浏览器或者 Outlook Express, Thunderbird 记住你的密码。这些被记住的密码很容易被他人获取。为了方便一定要记住的话,Firefox 和 Thunderbird 提供一个功能,用一个主密码加密保存所有记住的密码。但是该加密算法的安全性未查考。

  8. 用 Firefox 访问 gmail webmail。在 gmail webmail 设置选项中选择总是用 https 加密连接方式[4]。Firefox 中安装 NoScript 插件[5] 防范网站上的 XSS 脚本攻击。这是一种对 gmail webmail 具有很大威胁性的攻击手段,并且大量网站上也有此类恶意代码可以跟踪监视窃取用户信息,诱导安装恶意软件。安装 NoScript 以后,你看许多网页也会过滤到很多广告和干扰性的 flash, 漂浮窗口之类。

  9. 关于 gmail 的其他安全和隐私保护建议请参考[1][2],及本文后附文。

参考:

  1. 立里: gmail XSS 安全漏洞 密码被窃取问题 http://lihlii.spaces.live.com/blog/cns!9D3248C29A3C4C4C!6785.entry
  2. 立里: 邮件编码问题| 邮件组隐私保护建议 https://groups.google.com/group/lihlii/t/c13e926605d1434
  3. 查看邮件的源码 2007.03.15 00:30:05 http://qdzzkai.blog.hexun.com/8234496_d.html
  4. 集合和力量总使用安全HTTPS浏览器连接的Gmail http://www.mydigitallife.info/2008/07/27/set-and-force-gmail-to-always-use-secure-https-browser-connection/zh/
  5. NoScript :: Firefox Add-ons https://addons.mozilla.org/firefox/addon/722
  6. http://keepass.info
  7. http://www.truecrypt.org
  8. http://www.7-zip.org
  9. 邮件钓鱼 http://www.google.com/search?q=%E9%82%AE%E4%BB%B6%E9%92%93%E9%B1%BC

http://lihlii.spaces.live.com/blog/cns!9D3248C29A3C4C4C!6785.entry

17/11/2008

gmail XSS 安全漏洞 密码被窃取问题

Date: Sat, 08 Nov 2008 04:38:00 +0100

http://mail.google.com/support/bin/answer.py?ctx=gmail&answer=45938
Last account activity 检查登录 gmail 的最近历史记录。可以看到最近几次从那些地址登录过你的 gmail 信箱。你登录 gmail web 界面后,在信件列表的下面有:You are currently using 1937MB (26%) of your 7260MB. Last account activity: 16 minutes ago on this computer.  Details
点击 details 可以查看。经常查看是否有盗用。如果不是从你自己的机器地址登录,显然有问题。当然如果特务在你的机器上种上木马来窃取信息,这种方式看不出来。

Last account activity
查登录 gmail 的最近历史记录还有个用处,比如你在朋友机器上登录过 gmail, 或者在办公室机器登录了 gmail,忘记退出,可以在家里机器上强制其他登录退出,作为事后弥补。但最好是不在他人机器上登录重要的邮箱。因为朋友固然可以信任,但是可能他维护 机器的安全度很差。

总结:

1. 首先要确保本机安全
2. 总是用 https://mail.google.com 访问 gmail
3. 在 gmail 中设定,总是用 https 连接。设置选项中有。
4. 经常换密码。
5. 不要打开陌生人的附件。可以用 challenge-response 方式确认对方确实不是攻击者,就是回信去询问一下,或者通过其他通信方式确认一下。比如通过 IM 或者电话询问:你几点几分给我发了一封标题是“xxx”的 email,是吗?
6. 如果不怕暴露 IP 地址,用 thunderbird, outlook express 或者 ms outlook 通过 pop3/smtp+ssl 方式收发邮件可以避免 XSS 网页攻击,email 软件现在一般都禁止运行邮件中的 Javascript, ActiveX。但是钓鱼邮件,恶意附件不小心中招的可能更大一些,因为打开附件的方式更方便,容易误打开。
7. 公开邮箱,不要用于保密的通信。利用 sneakemail.com 等服务保护自己的真实保密邮箱地址,降低被针对性攻击的可能。
8. 学习用 s/mime 加密签名邮件,或者 pgp / gpg 加密签名邮件。
9. 保密的通信及时拷倍到自己的安全存贮设备后,从 gmail 等公共邮箱服务器删除,并从垃圾箱中彻底删除。
10. web 访问 gmail,设置总是通过 https 加密连接,以及采用 firefox 并安装 noscript 插件后,在打开 gmail 时只允许运行 google.com 的 script,应该就能防范 XSS 攻击。
11. 不熟悉的人发送来的 pdf, word doc 文件,可以在 gmail 中选择用 google doc 网页方式打开阅读,降低被恶意代码攻击的可能。

我粗粗看了一下相关技术文章,很复杂,估计非专业人士不会明白,无法完善防范。心里要有准备。还得想办法。不能因为难防就不防。
我熟悉电脑技术的,也关心安全技术,都忽视了很多,因为长久不做这方面工作。一直要跟踪最新消息才行。所以普通人根本没有条件做到。
得总结一份简易清晰容易执行的防范方案给朋友参考。我以前轻信 google 的技术能力,现在看来他们也不免文过饰非。
很多漏洞别人报告了他们都没有公布,而是偷偷修补就算完事。还会有更多的漏洞,因为软件本身就是复杂的东西,很难避免问题。javascript 的大量应用本身和 activex 一样危险。firefox 可以彻底禁止javascript, flash, java,但是这样很多网站的功能就无法完成。注意 flash, pdf, word doc 中都可以执行脚本, javascript, vbscript,所以都可能带入攻击代码。

http://www.gseeker.com/50226711/cgmailieccaeceeeae_132967.php

十二月 27, 2007
正在用Gmail?看看你的过滤器是否被黑了

由. Ken Wong 将文章归档于 G源共享

   Gmail是优秀的,甚至从垃圾邮件过滤能力及功能上看,它可能是最优秀的,但它并不是完美的。这听起来像是废话,但事实上,Gmail之所以不完美, 最主要的原因是它依然存在着不少安全漏洞。除去用户密码保护环节薄弱及取回密码步骤繁琐不说,Gmail一直以来都被发现有XSS安全漏洞。简单地说,当你不小心防问了某些网页后,你的Gmail设置可能会被修改了,而你一无所知。 不相信?英国著名的图像设计师David Airey就是因为Gmail的这种漏洞而在本月失去了他的域名。

  David Airey是小有名气的设计师,他的很多业务是直接来自他的个人网站davidairey.com的。正因为如此,黑客想劫持他的域名,再高价卖回给他。 那黑客是怎样做到的呢?答案是利用Gmail的XSS漏洞(注:Google官方暂时还没有出来证实这一点,但目前有大量的第三方证据),更改了 Gmail的过滤器设置,将与域名转移有关的邮件偷偷地转到了自己的邮箱里,然后在David Airey发觉之前,完成了域名的转移。之后,黑客更主动发邮件给David Airey,开价让他卖回自己的域名。而David Airey很气愤,决定不给黑客一分钱(其实黑客最高只开价650美元,其后更主动降价至250美元),欲通过法律手段解决。并且,他把整个事件的详细经 过写上了他新开的网站Davidairey.co.uk上,以提醒所有Gmail用户。详细的过程可见此

  这的确是一件很令人同情的事件,尽管可能由于圣诞假期的缘故,Google还没有官方人员作出回应,但目前已有大量的第三方证据表示,这和Gmail 存在的XSS安全漏洞有直接关系。要知道Gmail帐户是极其重要的,因为它几乎是整个Google产品体系的入口,一旦被黑,你的邮件、文档、图片、个 人资料等等敏感信息全都会被他人获取。类似这样的事件已发生了多次,尽管每次的原因都尽相同。

  我们可以从这次事件中得到怎样的警示呢?答案是马上检查你的Gmail设置里的过滤器列表,看看有没有多了一些额外的过滤器。 在上述事件中,黑客之所以能得到David Airey的邮件,就是利用漏洞,在Gmail里设置了一个过滤器,将目标邮件转移了。当然,利用漏洞,黑客可以做更多的事,但这种更改过滤器的手段,却 是最不容易令人察觉的,因为一般情况下,用户都不会天天去检查自己的过滤器列表。此外,当然就是不要轻易访问陌生的网页,以防中招。但一旦Gmail真的 有这种漏洞,那么用户也只会防不胜防,无能为力了。

  如果Google有官方回应,我再补充在这里。如果你也怀疑自己的Gmail被人动了手脚或干脆被盗了,请参考我们之前推荐的步骤

  更新:Google称它补复了这个漏洞。但我还是强烈建议你作一次检查。

引用: http://www.creative-weblogging.com/cgi-bin/mt-tb.pl/108535

http://www.davidairey.com/google-gmail-security-hijack/
WARNING: Google’s GMail security failure leaves my business sabotaged
Published on December 24th, 2007

技术细节我也不懂,但你可参考这篇文章(虽然特定的漏洞被修复了,但目前还存在类似的):
http://www.gnucitizen.org/blog/google-g
mail-e-mail-hijack-technique/

初看了一下,https也一样。

http://www.storyday.com/html/y2008/1405_hutchison-lost-password-gmail.html
gmail密码丢失记
时间:2008-01-14 20:56:25      类别:互联网|Internet      本文链接:生活点滴Enjoy Life

昨天的经历可以说是我从2000年上网开始到今天以来最痛苦的一次网络经历,晚上6点,吃完晚饭后发现gmail无法登陆了,同时用gmail注册过的 paypal和bluehost也都被篡改密码了,我当时就懵了,那种感觉和家里被盗没有什么两样。照理说我的计算机已经是很安全了,熟悉我的人都知道我 对安全是相当注意的,基本不会打开不知道的网站,即使要打开也要非IE内核的浏览器先行,装机后的第一件事情也是安装最新更新包的病毒软件,并且最后还会 在安全模式下查杀病毒,并且我的密码都是字母数字和特殊符号的组合,如今我的密码被盗了,而我却完全不知道是如何被盗的!

盗取我密码的人目标很明确,那就是bluehost上的文件,而且估计是想下载我的bloggermap,因为其他网站都是wordpress,没有什么 好下载的,但是他下载完毕之后还顺便将我bluehost的文件全部给清空了。我已经电话联系了bluehost,目前正在开始数据恢复不知道这人到底想 干什么。该人的IP来自美国,我正在根据其他渠道查询防火墙后面的IP地址,目前已经报警备案!

让我感到最奇怪的事情就是我在网上并没有得罪什么人,为什么就对我的帐号如此感兴趣,而且是单刀直入的进攻我的bluehost帐号,如果该人需要的是我 的金钱,他完全可以进攻我的paypal(涉及到资金的问题,所以我的gmail我自认为密码已经很完美了,不要教训我说为什么没有保管好密码),需要的 我bloggermap源代码,我给你便是,反正我要抽时间进行改版的!我实在搞不懂此人的目的是什么,而我自己也粗心,当初的密码重设请求我就应该更加 注意的,但是那也不能怪我啊,如果那样就能获取得到密码,那我们的邮箱还有什么安全性可言呢,更加郁闷的是发现密码被盗之后我还在指望gmail能给我恢 复密码,因为我提供了很多信息。但是目前为止,google除了有一封自动回复的邮件之外,便杳无音讯!!

现在两个bluehost的帐号正在恢复之中,我想利用我惨痛的教训给大家分享一点经验:

1.不要再迷信google,google的搜索技术世界第一毫无疑问,但是一切都是围绕money来的,所以如果你用gmail去注册其他服务,如果密 码被盗,你将和我一样面临叫天天不应叫地地不灵的状况,因为密码被盗之后,你什么行动都采取不了,而不像国内的邮箱那样,设置好一次性保密问题之后,便能 很快找到密码,同时也能将损失降到最低。虽然我今后还是会用google的服务包括gmail,也可能还会是google部分服务的粉丝,但是我绝对不会 信任它了,gmail一定不会用来保存敏感的信息了。其实google也是要赚钱的,人家是美国的公司,在中国就只有adwords,其他部门完全没有, 所以今天朋友想帮我找google的人,得到的答复是这些问题总部才能解决;

2.gmail密码丢失之后,赶快想办法保护其他相关的帐号,而不是等待google小组给你答复(23小时过去了,我没有收到任何来自 google的答复),毕竟你用的是人家免费的服务,昨天我gmail中的别人帐户都很正常(所以很奇怪,为什么这人专门针对我?),但是我还是叫其他人 修改了他的相关的帐户。正是因为我在等待gmail给我的答复,所以我没有跟进bluehost那边,导致bluehost的文件被删除;

3.gmail中千万不要明文的留下你的密码,譬如”我的hotmail密码是:123456″,如果你确实想将密码保存在gmail中的话,你可以这样 说:”我的hoemtail的密码是我的生日&老婆家的电话号码_爸爸的名字拼音”这样的密文方式,幸好我在gmail中就是这样做的,这点大家 也可以看得出来我对保密的要求有多高了;

4.如果需要找朋友借钱,请一定要用电话声音,而不要用短信或者邮件,上次我找一个朋友借钱的案例大家可以参考参考,否则人家盗用了你的email,你可 以想象人家可以干嘛了;

5.google不是神,这年头,好用便用,当粉丝没有必要;

6.你是不是该考虑一下你自己的密码了呢,如果你的邮箱密码被盗,你将会损失多少,血的教训啊,各位兄弟;

目前帐户正在恢复中…,攻击我的人,我知道你一定订阅了我的blog,请你住手吧,我的服务器上根本没有值钱的东西,我也没有对你的生意造成什么竞争,别 逼得我追着公安局要求破案!!

#
第1楼 Allen 在 2008.01.14 21:03发表评论如下:

Googled的服务很好用,但是google的客服很不好,这是公认的。
同情··
[回复他/她]
#
第2楼 zhiqiang 在 2008.01.14 21:18发表评论如下:

Orz, 原来是商业犯罪。你可真荣幸啊 😀

    从来没有想到会发生在我身上,而且是长驱直入阿!

[回复他/她]
#
第3楼 zhiqiang 在 2008.01.14 21:20发表评论如下:

不过你这么一说,我倒是得定期改我的gmail密码了,现在google所有服务同一个帐号,一丢就全丢了,而且别的地方全部关联到这个地方,的确不太安 全。

以后考虑一下别的地方关联到一个不公开帐号,然后forward到主账号这样比较安全。
[回复他/她]
#
第4楼 sansky 在 2008.01.14 21:22发表评论如下:

唉,坐在电脑前等着系统恢复。

    7tiger服务器的要慢一点,明天应该就能好,打电话给google总部,靠,拨5-拨3,然后告诉我没有上班!

[回复他/她]
#
第5楼 水自流 在 2008.01.14 21:28发表评论如下:

怪不得评论丢了一个,呵呵
过年了,什么都会较猖狂

    头想破了都没有想到怎么入侵进来的

[回复他/她]
#
第6楼 nsdianzi 在 2008.01.14 21:36发表评论如下:

我的网站全部瘫了

    不好意思了,谁都想不到啊

[回复他/她]
#
第7楼 tsian 在 2008.01.14 21:43发表评论如下:

嗯。恭喜恢复。

    有苦在心中阿

[回复他/她]
#
第8楼 muzik 在 2008.01.14 21:59发表评论如下:

是该引以为戒咯。我对gmail的依赖程度大概和你相当,如果我的gmail丢了,对来我说简直就是一场灾难。
自从用gmail后,我其它的邮箱大都停了,只保留了一个126的邮箱用来在一些信任度不高的网站注册,并自动转发到gmail。除网银不用email之 外,我在所有自己觉着比较重要或者私隐的网站的唯一标识就是gmail帐户。- -~

值得庆幸的是,我的gmail帐户没有在任何地方公布过。建议你以后还是搞两个email罢,搞一个专用于你网站的,和自己的私密mail区分开来。

    我应该不公布的!但是你的这样做也很危险,我现在用的邮箱和手机关联,应该安全多了

[回复他/她]
#
第9楼 小马 在 2008.01.14 22:01发表评论如下:

你是不是把 Gmail 密码存放到某个文本文件中了。
按理说中木马的可能行不高。

    密码放在心中的,因为gmail就是我的一把钥匙。等彻底恢复之后写文分析一下原因,但是似乎都不太可能啊!所以,这次是遇到最狡猾的敌人了。

[回复他/她]
#
第10楼 silenteer 在 2008.01.14 22:13发表
论如下:

我之前看过一篇关于黑gmail帐号的文章(本人比较外行,不懂)
http://www.gseeker.com/50226711/cgmailieccaeceeeae_132967.php
好像是说通过设置过滤器转发特定邮件(比如重新设置密码的邮件)
不知道对你有没有帮助。

    整个gmail都被盗了,而我在打开链接的时候都会看url地址的,所以我还是一头雾水,不过当然我也得要采取所有能采取的措施了!

[回复他/她]
#
第11楼 silenteer 在 2008.01.14 22:16发表评论如下:

有你的前车之鉴,我要考虑删除gmail里一些过于私人的信息了…
[回复他/她]
#
第12楼 lizongbo 在 2008.01.14 22:26发表评论如下:

没想到gmail不可靠,等待网站恢复.

[回复他/她]
#
第13楼 tearnon 在 2008.01.14 22:38发表评论如下:

同情,昨天就看到了,等你恢复了再跟你联系吧。现在GTALK没了不知道到底哪个才是你了。

对了,我使用GMAIL的使用其它地址作为发送地址来保护我的GOOGLE帐号的,这样别人猜解的帐户并不是我使用的帐户。最好这个地址你拥有绝对控制 权,比如说admin@storyday.com 这样那些恶意者猜解密码的地方都没门。

    我也想过这个问题,当初想到没有必要,现在看来这样也很有必要了,我的gmail将是mail@storyday.com

[回复他/她]
#
第14楼 任平生 在 2008.01.14 22:49发表评论如下:

Gmail 不可以找回密码啊?
这么恐怖。。。
难道不能根据保密信箱找回?
[回复他/她]
#
第15楼 nextway 在 2008.01.14 23:11发表评论如下:

真的要借鉴一下cos的教训了,网上的人真是杂七杂八,快过年了,也要从网络上弄点东西回家,纳闷
[回复他/她]
#
第16楼 lizongbo 在 2008.01.14 23:41发表评论如下:

刚才访问我的网站,发现内容已经全部恢复了.
[回复他/她]
#
第17楼 存储部落因黑客而中端9小时【存储部落】网络存储技术 在 2008.01.14 23:52发表评论如下:

[…] 2008年1月14日,存储部落所在的bluehost主机被黑客入侵,窃取了大量的资料后,所有重要的数据惨遭删除,使得存储部落从下午13:30分左 右停止运行,知道晚上23时左右才恢复,停止运行时间长达9个半小时。 […]
[回复他/她]
#
第18楼 sansky 在 2008.01.15 00:26发表评论如下:

怎么有不行了?
[回复他/她]
#
第19楼 hhalloyy 在 2008.01.15 05:47发表评论如下:

恐怖,赶紧把所有信全转我电脑里,然后清空gmail
[回复他/她]
#
第20楼 hhalloyy 在 2008.01.15 06:00发表评论如下:

我发现Google Account是可以通过安全问题直接重置密码的
[回复他/她]
#
第21楼 Google账户密码的重置和密码安全事项 at E-space 在 2008.01.15 07:05发表评论如下:

[…] 今天看到了生活点滴的gmail密码丢失记,看得我是一劲浑身发凉,着实很恐怖。 […]
[回复他/她]
#
第22楼 tsian 在 2008.01.15 08:44发表评论如下:

我在写post的时候,填入了你的http://www.storyday.com/html/y2008/1405_hutchison-lost– password-gmail.html/trackback。怎么没有引用记录呢?
[回复他/她]
#
第23楼 非常秀 在 2008.01.15 09:48发表评论如下:

早就对gmail的缺陷有不满,发过牢骚:《google、baidu、tom都没那么好,所以一个也不能少》
http://www.veryshows.com/html/it/207.html
但是今天知道,不安全因素更值得警惕
[回复他/她]
#
第24楼 epile 在 2008.01.15 10:32发表评论如下:

刚刚在看邮箱发现以前有一封名为
你在[生活点滴]的评论作者已经给你回复了
回复 china.cos@gmail.com
邮送域 box255.bluehost.com

你是不是在你的WEB程序中保存了你的邮箱密码,让程序帮你发邮件?
有可能是程序漏洞让你的密码泄露了?

    gmail的密码没有在任何地方出现过,那个仅仅是用mail函数发送的邮件,所以你看到我域是bluehost的,而不是gmail的

[回复他/她]
#
第25楼 Bruce 在 2008.01.15 10:37发表评论如下:

看得我背后一身冷汗。
[回复他/她]
#
第26楼 来不及 在 2008.01.15 12:08发表评论如下:

Gmail为google培养了多少fans啊
但是服务还是一贯的这么差
真是令人心寒
[回复他/她]
#
第27楼 dupola 在 2008.01.15 12:51发表评论如下:

恐怖。我只遇到过账号被禁用,所幸不是我的主力账号。
Google 的客服太烂了。
[回复他/她]
#
第28楼 风之逸 在 2008.01.15 17:05发表评论如下:

确实太惨了
问题是。。。到底怎么会被盗的

木马吗
还是其他途径?
是不是网站管理跟gmail用相同密码?

    除了不重要的网站密码都是相同的123456,我就没有两个地方的密码是相同的,但是算法一样,不过人家是通过gmail向bluehost索取密码的!

[回复他/她]
#
第29楼 北极冰仔 在 2008.01.15 17:28发表评论如下:

我靠,疯了,你之前说你密码丢了我还以为有什么大不了,看来我实在是太粗心了。
[回复他/她]
#
第30楼 北极冰仔 在 2008.01.15 17:35发表评论如下:

太专业了!还是向 BH 要的……晕[quote]风之逸:确实太惨了
问题是。。。到底怎么会被盗的
木马吗
还是其他途径?
是不是网站管理跟gmail用相同密码?
[quote]Reply:除了不重要的网站密码都是相同的123456,我就没有两个地方的密码是相同的,但是算法一样,不过人家是通过gmail向 bluehost索取密码的![/quote][/quote]
[回复他/她]
#
第31楼 dominoes 在 2008.01.15 20:59发表评论如下:

问题的关键在于Gmail的密码究竟是如何被盗的呢?这个问题如果没弄清楚,难保没有第二次,第三次啊。问题的关键在于究竟是如何被盗的呢?这个问题如果 没弄清楚,难保没有第二次,第三次。

    所以这才是我迷惑的地方,不过不管弄没有弄清楚我都不会在这里公布了,毕竟人家在暗处,况且我现在的安全邮箱和手机绑定了,只要有人登陆,有邮件我都能收 到短信。

[回复他/她]
#
第32楼 红红 在 2008.01.15 21:06发表评论如下:

通过FOXMAIL接收gmail的邮件,POP3总是拒绝一些邮件,它们甚至连“垃圾邮件箱”也不能进入,结果是不直接登录网站就收不到这些被忽略的邮 件。但是,在网站上查收邮件很浪费时间,每上一次,都要走几个步骤,如输密码等。事实上,对比通过FOXMAIL且能接收为“垃圾邮件”的其他邮箱, GMAIL并不好用。
[回复他/她]
#
第33楼 links for 2008-01-15 « dupola’s weblog(en) 在 2008.01.16 00:21发表评论如下:

[…] 生活点滴Enjoy Life – gmail密码丢失记 (tags: gmail google totwitter) […]
[回复他/她]
#
第34楼 links from dupola’s bookmarks.» Blog Archive » links for 2008-01-15 在 2008.01.16 00:57发表评论如下:

[…] 生活点滴Enjoy Life – gmail密码丢失记
(tags: gmail google totwitter) […]
[回复他/她]
#
第35楼 yiyix 在 2008.01.16 10:35发表评论如下:

两天没来,你这就发生这么多事。
看你这些文章,我也心惊胆寒的,居然有这种人,这网络也太没安全感了。
同情+愤怒+害怕!

    是啊,这两天发生的事情太多了,没有想到上网经验越丰富,居然越容易被黑

[回复他/她]
#
第36楼 密码无小事 – Nings blog 在 2008.01.16 11:57发表评论如下:

[…] cosbeta的gmail丢了,在取回密码环节遇到了问题。我测试了一下,Gmail取回密码还是简单的,回答自己设定的问题,或者请求重置密码邮件发 送到安全邮箱。cosbeta遇到问题,估计是以前没有设置这两个环节吧。 […]
[回复他/她]
#
第37楼 killy 在 2008.01.17 11:21发表评论如下:

“该人的IP来自美国,我正在根据其他渠道查询防火墙后面的IP地址,目前已经报警备案!”

盗取gmail,而bluehost是用gmail注册的,
关联啊,看来我也得注意了。
别总是用gmail太多!
虽然都是免费的,但是私人的也要安全。
推测此人目的:“下载我的bloggermap”能给他带来什么利益?
像一桩悬案,期待看结果。
愿事情顺利解决。

    已经有点眉目,正在逐渐排除,肯定不是木马了!当然,后面如果查找的成本代价太高,我也会放弃的,哎!

[回复他/她]
#
第38楼 killy 在 2008.01.17 11:23发表评论如下:

我觉得邮箱也得弄个提醒之类的,比如定期提醒密码使用次数,并告知修整。就像CCB的网银一样,这样用户用的会更加舒心!
[回复他/她]
#
第39楼 ppip 在 2008.01.18 23:25发表评论如下:

看了还是一身的汗水。
[回复他/她]
#
第40楼 Zoho:强大的在线办公网站 | 好站名录 在 2008.02.06 14:10发表评论如下:

[…] 在线服务的安全性,除了网站本身的可信赖(雅虎会把师涛的资料给中国政府,你认为他可信赖吗?)外,密码被盗取的风险也很大,江东在不久前就遭遇了 Gmail密码被盗取、险些造成巨大损失的案例。江东最后通过技术等手段追查到了密码盗窃者,并把密码追了回来,整个故事惊险刺激,引人入胜,推荐大家去 看看。 […]
[回复他/她]

http://www.gseeker.com/50226711/gmailecieeaeie_100756.php

六月 18, 2007
Gmail帐号被盗后,该怎么办?

由. Ken Wong 将文章归档于 G源共享

   相比起Gmail强大的邮件管理及搜索功能,Gmail对帐号安全保护方面明显要弱得多。一直以来,在读者发给GSeeker的邮件里,有很大一部分内 容是谈到了Gmail的安全问题。最常见的问题是"如果别人知道了我的Gmail密码,我的Google岂不是全完蛋了?"。的确,Gmail以及 Google的其它产品几乎都完全依赖于一个密码,一旦密码被别人获得,对方就可能轻易地访问你的邮件、文档以至其它隐私信息。Google官方虽然也提 供一些找回帐号或密码的方法,但效果当然不如建立类似腾讯QQ那样的密码保护机制。不过在Google现今的安全机制下,我们只有加强自我保护意识,提防 密码泄露。但如果不幸,你的Gmail密码被别人偷走了,你该怎么办?具体地说,别人知道你的密码进入了你的Gmail,然后改掉了你密码、备用邮箱地 址、安全问题,你怎样才能找回自己的Gmail帐号?

  Google官方在帮助文档里已经提供了与Gmail帐号安全有关的资料,强烈建议每一位用户都先熟读。此外,一旦发生Gmail帐号不幸被盗的事 件,你可以填写以下表格,将事件报告给Google的安全团队,他们将会协助你找回Gmail帐号:

  https://services.google.com/inquiry/gmail_security1

  你至少要向Google提供以下四个信息:

1.你现在所用的有效的邮箱地址;
2.你被盗的Gmail邮箱用户名;
3.写出邀请你创建Gmail邮箱的Gmail用户名全名,如果你不是通过邀请创建Gmail邮箱,请告诉Google你是通过怎样的方式创建Gmail 邮箱的;
4.你最后一次登录被盗的Gmail帐号的具体日期;

  除了这四个必要信息外,你的Gmail邮箱是否能找回,还取决于你是否能向Google提供足够多的其它相关信息。因此如果可能的话,你要将所有能证 明你是被盗Gmail邮箱主人的信息都提供给Google。Gmail用户pokemo最 近也被人偷了Gmail邮箱,他向Google求助后,Google建议他提供以下信息。因此,即使你现在的Gmail邮箱是安全的,你也应该事先 记录好以下的某些信息,以防万一

1.你的Gmail邀请里的链接,或者你的Gmail帐号创建邮件里的确认码(即Gmail邮箱开通邮件里的Verification code,这个极其重要!);
2.你的Gmail邀请发送至的邮箱地址;
3.三个你平时用Gmail邮箱经常联系的收信人邮箱地址;
4.如果你在Gmail里创建了Label(标签),请提供三个Label名称;
5.你的Gmail帐号的具体创建日期;
6.Gmail帐号被盗的具体日期;
7.注册Gmail帐号时所填写的备用邮箱地址(如果有的话);
8.注册Gmail帐号时你选择的安全问题;
9.你最后一次更改你的Gmail帐号密码或/及安全问题的具体日期,以及更改后的安全问题的内容;
10.你的ISP名称(如果有的话);
11.列出你基于Gmail帐号所使用的其它Google服务的名称,以及开始使用的各自的具体日期;
12.任何其它相关信息。

  没错,一旦你的Gmail帐号被盗,要找回它,难度并不低于获得已故Gmail用户邮箱的访问权。不过只要你平时能注意保存上述信息,并且耐心与Google沟通,相信 要找回Gmail帐号还是有希望的。但最好的做法当然是防范于未然,平时就注意保存上述这些资料,并且不要向任何人透露你的密码。即使是Google,在 帮你找回邮箱的过程里,也不需要你提供密码。

  Google官方也给出了一些建议,让用户进行自我保护:

* 读完邮件后一律退出。
* 只有从您的个人计算机登录时才选择记住我。
* 定期清除浏览器的表单、密码、缓存及 Cookie,尤其是在公用计算机上。
* 一定要保守秘密!切勿将您的密码或安全问题和答案告诉任何人;如果您已透漏给别人,请尽快更改。
* 选择不易破解的密码与安全问题和答案。
o 切勿将此信息写在任何地方
o 切勿使用电子邮件发送此信息
o 定期更改密码、安全问题和答案
* 下载免费的 Google Pack,其中包含有助于保护计算机安全的 Mozilla Firefox 浏览器及防病毒和防间谍实用程序。

  如果你只是自己忘记了Gmail的密码或用户名,请分别参照这里这里的官方步骤找回。

Response from: 幻灭

如果真的不幸忘了或丢了Verification code,请尽量提供文中Google所要求的其它信息,每一个与你的Gmail相关的有效信息都有可能成为找回Gmail帐号的关键线索。

http://mclee.foolme.net/2007/01/gmail.html
GMail 爆發安全性問題

2007/01/02 by mclee

這是不是 Google 第一個 security 出問題的服務?

根據這裡的消息, 目前 GMail 的 contact list 存放方式, 能夠讓
其他網站把你的 contact list 資訊全部偷走。

這種東西居然可以用 JSON 存? 真不知道他們在想什麼…
或許在設計之初並沒有很嚴謹的 review 程序吧。

On 2007年1月2日 下午 5:11 George Lee 提到…

據說這個 issue 已經 fix 了…

http://news.cnet.com/Gmail-cookie-vulnerability-exposes-users-privacy/2100-1002_3-6210353.html

"When you have organizations like Google spending countless man-hours reducing security vulnerabilities…you can imagine how bad the actual situation is for other organizations," Gatford said.

Gatford advised organizations to use resources such as the Open Web Application Security Project, or OWASP, which offers free tools to help write secure code and allow testing for XSS vulnerabilities.
http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/
Google GMail E-mail Hijack Technique
published: September 25th, 2007

I feel a bit dirty now. First of all, I would like to say that I am a huge Google fan, so don’t take this post personally. Here I am going to show you how someone can install a persistent backdoor within your GMail account and snoop onto all your conversations. I repeat, it is persistent. It is very critical and very unlikely that you will detect it unless you are an uber user.

Cross Site Scripting 攻击。

http://neosmart.net/blog/2008/breaking-severe-gmail-security-vulnerability/
Possible Severe Gmail Security Vulnerability (Updated)
Published June 23rd, 2008 by Mahmoud Al-Qudsi in Google, Hacking, Privacy, Security 8 Comments Tags: Bugs, Cyberia, Gmail, Google, Privacy, Security, Vulnerability

Gmail may have a serious security vulnerability that can result in the leaking of sensitive private information randomly to people you don’t know, haven’t contacted, and have nothing to do with.

web cache proxy 造成的信息泄露。

http://www.elhacker.net/gmailbug/english_version.htm
一个已经修正的漏洞。2006年1月11日 13:58:36

http://blogs.zdnet.com/Google/?p=434
December 31st, 2006
Serious Gmail vulnerability fixed

Posted by Garett Rogers @ 7:55 pm

bigasong wrote:

以下纯猜测:
 
1、我向某些人透露了我的gmail邮箱地址,但是没有在别人的电脑上登入我的gmail邮箱
2、我最近发邮件较多,主要是李劲松律师和他们所的事
3、刚刚收到一封信,说我的邮箱由于垃圾邮件较多,可能会被禁用,要求登陆进去后验证
4,输入密码,打算验证,马上中止
5、马上修改密码,还好,没有中招
 
如此险恶招数,只有黑帮才能用得出来,请各位一种要注意,
其他任何情况下不要输入你的密码,除非是gmail.com的网址

Post a comment or leave a trackback: Trackback URL.

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s