phising

請小心localpics.info,應該算是MSN病毒

我剛剛收到一個msn訊息,內容是http://帳號.localpics.info/。由於長的像相片網站了,所以我就點進去看了一下,發現這個網站大有問題:就算他不是釣魚網站,至少也是個火腿網站。

這間公司旗下除了有localpics.info之外,還有maxcomments.com及一些網址看起來像是亂數的網頁(0dk1.info、03kem.info之類的,聽說有一千多個)。如果你有登入過類似的網站的話,請儘速更改你的msn密碼,以避免繼續被當作廣告跳板。還請麻煩把這個網頁告訴你的MSN聯絡人們,以避免他們因為懶得讀英文也跟著上當受騙。

一進去,上面就有兩個視窗,是要求你用MSN帳號跟密碼來登入的。由於這個網站連ssl加密都沒做,又顯然跟微軟沒有關係,我怎麼可能放心的登入。往下捲,發現底下有一大堆字,記載了這份賣身契的內容,底下我稍微節錄了一下。

By filling out this form, you authorize TST Management, Inc to spread the word
about this 100% real and upcomming Messenger Community Site.

    這是一個「upcoming」的網站……連半成品都沒有你也好意思拿出來啊?!

We may temporarily access your MSN account to do a combination
of the following:
1. Send Instant Messages to your friends promoting this site.
2. Introduce new entertaining sites to your friends via Instant Messages.

    所以說,登入了之後,他會請你「幫忙」發SPAM,把他的網站廣告給你的聯絡人知道;並且在這間公司以後開新網站的時候,也請你「幫忙」發SPAM,讓朋友們知道。

You understand that this agreement shall prevail if there is any conflict between this
agreement and the terms of use you accepted when you signed up with MSN. You also
understand that by temporarily accessing your msn account, TST Management, Inc
is NOT agreeing to MSN’s terms of use and therefore not bound by them.

    當這份賣身契與MSN的使用者協議抵觸時,這份賣身契比較大。當這間公司登入你的帳號的時候,因為他們「沒有」同意使用者協議,所以不受束縛。

簡單的說呢,被拐走的使用者帳號不只要被拿來當SPAM跳板,而且被微軟抓包的時候,這還都是「使用者個人行為」,還不能找這間公司負責。

這間公司旗下除了有localpics.info之外,還有maxcomments.com及一些網址看起來像是亂數的網頁(0dk1.info、03kem.info之類的,聽說有一千多個)。如果你有登入過類似的網站的話,請儘速更改你的msn密碼,以避免繼續被當作廣告跳板。還請麻煩把這個網頁告訴你的MSN聯絡人們,以避免他們因為懶得讀英文也跟著上當受騙。