我與歹徒的 YaHoo 帳號爭奪戰

看過許多關於 YaHoo 使用者帳號被盜的新聞，總覺得離自己很遠，再加上自己恰好對資訊方面有點涉獵，所以壓根也不會想到帳號被盜這檔事，竟然會活生生的發生在我的身上 ......


或說昨天（2009/10/18）中午正在使用家中的 iMac，突然我的 iPhone 3Gs 傳來信件訊息聲，拿起來一看是雅虎系統的通知信，告訴我 12:49:07 有一台匿名電腦登入我的帳號，引起我注意的是在紅框圈起的地方，裡面的文字一字不差的正是我在雅虎所設定的密碼，但這時我以為是我先前登入時，系統有錯誤所產生的紀錄吧，所以也不以為意的自動忽視了這個最初的跡象。


接著精采的來了，12:53 收到雅虎系統的通知信，有人企圖新增一個郵件帳號到我的「備用認證電子信箱」清單，這個企圖新增的信箱帳號跟我的完全一樣，只是後面由我原來的 xxx1715@yahoo.com（我是在美國雅虎申請的，所以沒有 .tw），變成 xxx1715@yao.com。
這時我確定我的密碼已經流出，帳號已經被登入，而且企圖加入一個不屬於我的信箱帳號，為何要加入信箱帳號呢？因為雅虎的程序是如果要變更密碼，系統會自動寄出認證信函到使用者所設定的「備用認證電子信箱」，再由使用者點下認證信函內的連結，以確定密碼變更。


12:53 同一時間又收到了系統寄來的確認信函，告訴我正在刪除我原先所設定的「備用認證電子信箱」。
歹徒為何要刪掉你原先所設定的「備用認證電子信箱」呢？因為當你忘記密碼時，可以要求系統發認證信函到你所設定的「備用認證電子信箱」去，你接收完認證信函後，可以接著進行問與答等的操作，以將你帳戶的密碼給重設。
看出重點沒？如果歹徒順利的將歹徒他自己的電子郵件帳號給加入「備用認證電子信箱」清單，再將使用者原本設定在「備用認證電子信箱」清單內的其他電子郵件帳號給刪掉，這時候使用者怎樣也無法進行密碼重設了，因為密碼重設時，系統發出的認證信函只會按照「備用認證電子信箱」內所設定的清單寄出，但這時「備用認證電子信箱」並沒有使用者的信箱，只有歹徒的信箱，所以原來的使用者只能眼睜睜的看著密碼被盜，而束手無策。


我的「備用認證電子信箱」一共設有兩個電子郵件帳號，上圖歹徒正想刪除我 HiNet ms1 的信箱，這張圖是歹徒又試著要從「備用認證電子信箱」刪掉我 GMail 的信箱帳號，所以雅虎的系統自動發出的確認信函，注意到時間沒？一樣是下午 12:53，這歹徒動作真快。

這時我也已經同步試著要登入我的 Yahoo 帳號，果不其然已經無法用我原來的帳號登入了，因為密碼已經被歹徒改掉了。
所以我也立時的按下上圖確認信函中的連結，連結帶回雅虎網站，我就立刻點下我要繼續使用這個「備用認證電子信箱」，不要刪除掉這個信箱。

可是這時我的密碼已經遭到竄改了，我無法登入我原本的帳號，所以只好進入雅虎的登入畫面後，點選「忘記密碼」依照畫面的指示操作，等待系統依照「備用認證電子信箱」內由使用者設定的電子郵件信箱，寄出重設密碼的確認信件，如下圖：


當我收到重設密碼的認證信件後，點下連結回到雅虎網站，依照網站的指示一步步的操作，並回答之前自己設定的相關問答提問後，終於順利的搶先在歹徒再次變更我的密碼之前，將遭到歹徒變更的密碼給重設掉，換回我自己設定的密碼。


這是在我變更回我遭到竄改的密碼後，由系統發出確認我密碼已經變更的通知信函。


上圖是我重新取得我帳戶控制權之後，進入安全驗證異常登入紀錄所看到的資料，其中可以見到歹徒在 12:49:07 由大陸那邊的 IP 進行登入，直至 13:06:15 才由我重新奪回我帳戶的控制權。


那麼歹徒取得我的帳戶後，他用來幹嘛？他首先密集刊登了三個物品拍賣，如上圖。


歹徒刊登的拍賣品之一


歹徒刊登的拍賣品之二，可以見到我以紅圈框起來的時間，都是 12:52 密集連續刊登，也或許歹徒正忙著刊登，才讓我趁著空隙立刻將密碼變更，奪回帳戶控制權，當我看到這三個非我刊登的物品後，也立刻將這三個物品取消拍賣。


原本以為一切都沒事了，晚上 19 時左右我就繼續使用我的 X200s 筆電，結果雅虎在晚上 21：02 發了信件告訴我，因為我的帳戶曾大量刊登禁止品，所以將我的帳戶停權，我無法使用拍賣功能，我原先以為是因為中午遭人盜取帳號的原因，所以依照信上的指示進行申訴。


結果下一封郵件更可怕，竟然要直接將我的帳號停權！我心想反正我已經寫了申訴，而且相關的 Log 檔跟畫面擷圖我都有，隔天再繼續處理吧。


沒想到今天一早收到的依舊是將我停權的信件通知，這下我火了，直接打電話到雅虎的客服中心去問（02-21927123），盧了老半天，最後我告訴客服，停權一個月我ok，反正要這種帳號多的是，但重點是因為我有使用 Flickr Pro 的帳號，那如果因為這樣導致我以前上傳的相片損失，或是只因為台灣雅虎在經過使用者親身驗證後，仍執意將我的帳號停權一個月，那這一個月的 Flickr 年會費損失，是誰負責？還有這一個月無法上傳、下載相片的精神損失由誰負責？

結果客服答稱那要我直接發 mail 給香港雅虎，因為 Flickr 網路相簿的業務及 Pro 會員繳的年費，是由香港負責不是台灣，所以要我自行發 mail 去香港雅虎問。

這下子林伯我更火了，我請他搞清楚我的 Flickr 相簿無法登入，是因為 Flickr 採用雅虎的帳號密碼實施系統整合性登入，但因為台灣雅虎這邊不顧客戶已經進行過身分驗證，並已經 reset 過密碼，仍執意將我停權，害我無法登入 Flickr，這樣竟要我自己寫mail去跟香港雅虎解釋？在我看來，只要台灣雅虎將我的帳號解鎖，一切就都ok了。

所以我請小姐將電話轉到台灣雅虎所謂的「交易安全部門」，或是找更高階的主管來跟我對談，讓他們直接跟我進行身分核對或是確認，因為客服小姐根本沒有權限處理或是做出決定，但小姐也堅持不轉，堅稱只能將我的 case 記錄給 pass 到「交易安全部門」去，無法將我的電話轉接，沒關係，那我就請小姐註記為急件，請「交易安全部門」在中午12點前回我電話，不然就等著接我的要求台灣雅虎賠償我的 Flickr 年會費的存證信函。

其實我最擔心的就是 Flickr，為何非要跟雅虎的帳號綁在一起呢？
我所有的回憶在 Flickr 上都有，因為我除了在 Raid 5 上留一份外，在 Flickr 還上傳一份，萬一就此給人惡意清空或自刪帳號的話，我就不相信雅虎會負責！


最後在中午 11 時許接到台灣雅虎的「交易安全部門」打來的電話，確認過後，重新將我的密碼reset過，就開放我的帳戶。而「交易安全部門」的小姐也說會把我這段期間，因為歹徒冒刊所產生的消費帳款通通沖銷，我想說奇怪，不是只被歹徒刊登了三筆嗎？怎麼聽起來很嚴重的樣子？


結果順利變更完密碼登入雅虎，查看一下消費記錄後才發現，這段期間一共被歹徒利用我的帳號，來刊登物品廣告花了 3510 元。

下面就是歹徒利用我的帳號所刊登的拍賣啟事，一共有二頁之多：



看了這些消費記錄讓我吃驚的是：
一、我原本以為只有昨（18）日中午被歹徒刊登了三筆，但帳號控制權被我搶回後，應該就沒事了，所以下午我也跟朋友去「貓一下」吃飯，順便去信義 Fnac 逛了一下，還聽了場演講。
二、我大約晚上 18 時回家，開了我的 X200s 筆電就開始整理一些稿件（因為以 Word 為主，所以我沒用 Mac），沒想到就在這期間，我的密碼再次被盜取下來，而且馬上給登進了雅虎，不過歹徒他這次直接大量刊登物品，並未試著去變更我的密碼或其他設定，所以我根本沒有收到郵件通知，而歹徒在 19：57 僅僅一分鐘的時間，就大量狂刊了 18 篇的拍賣啟事，還做了像是大量曝光等的加值服務，而我卻一封物品刊登的通知信也都沒收到！會不會是雅虎系統的 bug？讓系統根本來不及發出刊登通知信？


看了這登入記錄應該可以清楚看出元兇正是我的 X200s 筆電，因為上圖中 X200s IE的安全憑證並不是我設定的，這時可完全確定我的筆電被利用來登入 YaHoo 了。
所以下午已經全面掃毒，先用了警政署號稱可以清除木馬程式的 NPASCAN V1.7 去掃，結果是沒有發現，讓我不禁懷疑警政署這木馬清除程式的功能。
後來換了德國的小紅傘 Avira AntiVir Premium 付費版去掃，果然掃出來一支 TR/Dldr.FraudLoad.ebl.13 Trojan 木馬病毒，清除完後，現在又重新開始再掃一次。


後來我不管3721，我把我常用的郵件帳號通通加入「備用認證電子信箱」中，這樣有人要竄改，也要給他耗費一點時間，這樣就可以多一點讓我重設密碼的時間。


我也好奇的去追了下這個歹徒的行蹤，首先看他加入在我的「備用認證電子信箱」中的帳號 xxx1715@yao.com，ping 了才發現真有這台主機。


查了一下 whois，這 IP 209.62.105.13 屬於名為 ThePlanet.com 的公司所申請的網段之一


嗯～是 1998 年成立總部在美國德州休士頓的公司


點了該公司網頁，果不出其然，主機代管公司

其實還可以請台灣雅虎追查那個歹徒的登入 IP，但是應該會跟上面的顯示一樣是在大陸，一個在大陸、一個在美國，那就只好故意下標追出台灣的匯款帳戶，從歹徒在銀行開立的帳戶那邊下手了。
最後，希望大家要多加注意自己的電腦安全，別亂開信件附檔，或亂下載程式，而密碼要記得常常給他變更，這次是因為運氣好，剛好我人正在用電腦，也知道該怎麼玩，不然的話 ......

2009/10/20 補充：
這篇文章發表後，小弟收到了很多人的 pm，想不到竟有那麼多人有著相同的遭遇！也非常感謝許多人給我對於後續在帳號處理上的應注意事項，一併謝謝大家！

小弟現在用著 iPhone 3Gs 跟 HTC Magic，經過這件事情之後，我當然將所有的密碼通通改掉，但我相信風險依舊存在，尤其目前許多服務都是採雲端運作的今天，試想，有一天你的 Google 帳號遭到入侵，你卻只能看著你手中的魔術機、英雄機螢幕中的通訊錄、行程表、docs 等的內容，因為歹徒正慢慢一筆筆刪除，所以你手機的資料也一筆筆消失，可恨的是歹徒不急著變更密碼，因為一變更密碼你的手機只會顯示無法同步，但資料仍舊會存在 ...... 可怕吧？