Tag Archives: Phishing

‘请把您的信用卡号告诉我’ , 招行客服说

今天偶然发现上个月的信用卡还款有问题,在专业版里怎么设置都不成,于是拨了招行的 800 客服电话。
招行的信用卡服务热线做的很是”独到” –需要在听一堆提示之后输入身份证号码和查询密码,这一堆的数字,要一遍按正确了,似乎也不那么容易。
客服: 请告诉我您的身份证号码?
我心里狐疑(电话里不是都输入一遍了么?),再说一遍吧。
客服:不好意思,系统忙,查不到您的信息,请告诉我您的信用卡号码
我:信用卡号码告诉你? 通过身份证查找不出来? 通过我名字查找呢?
客服:通过名字可能有很多重复的,请您把信用卡号码告诉我。
我:你不是搞笑吧 ? 要我通过电话把信用卡号码给你念一遍? 我周围可都是人…
客服:先生(语重心长地),您的所有信息我们都是可以看到的。
我:能看到你就查找么,我不会把我的信用卡号码告诉你的!
客服:那我们就没办法了。
我:你客服号多少?
客服: 沉默…先生,现在查到了,刚才可能是我把身份证号码输错了。
招行的柜台服务一向是不错的,可是这个 800 电话的客服人员似乎也太不注意安全问题了吧(信用卡号要通过电话念给他们,据说有人还真的照这么做过)? 是他们没有这个安全意识? 还是我遇到了电话”钓鱼”(Phishing) ?
这个经过告诉我(这个故事告诉我们):
1) 国内银行对于信用卡安全远远没有重视起来;
2) 国内信用卡消费风险很高; 很多用户没有关于信用卡的安全意识;
3) 那些哭着喊着找你办理信用卡的银行,你要看看他们的信用;
4) 如果没有透支的必要,不要使用信用卡; 借记卡不是也挺好的么?
这几天就和各个公司的客服较劲了.
EOF

简单用了一下 IE 7 Preview

看到不少站点放出来的新闻说微软公开发布 IE7 Beta2,正好想测试一下自己的 Blog 在 IE 7 下面的表现能力. 就下载了一个.
没想到结果比较糟糕, Banner 部分的横向列表居然显示到该层的外面去了[截图].找了半天的原因,最后发现只要我把页面代码中的第一行的 DOCTYPE 声明去掉就可以正常显示.感觉很不好.
第二个不舒服的地方是 IE 7 默认把浏览器内的 Cleartype(字体平滑处理)打开了.老实说,这个平滑处理我在液晶上从来不用,对英文用户是个很好的帮助,但是对中文处理有的时候是发虚的.如何关掉这个平滑处理? 在 IE 右上角菜单右边选择 Tools -> Internet Options -> Advanced -> MultiMedia 部分反选 “Use ClearType” .

继续阅读

小心”网络钓鱼”邮件

今天打开 Gmail ,收到一封标题显示来自 eBay 的邮件[立此存照],要我更新的帐户信息,我在 eBay 的国际站没有帐户的,毫无疑问这是一封”钓鱼(Phishing)邮件”。Gmail 也给出了相关的警告。提醒我地址可能是伪造的。这还是我用 Gmail 第一次收到类似的”钓鱼邮件”。前不久,公司的邮件也收到一封”钓鱼”的邮件,伪造成公司的安全技术人员发出,要大家更改密码。虽然很逼真,但是稍加留意,还是能看出来那个 URL 其实是一幅图片。
随着这一两年国内电子商务如火如荼的展开,”网络钓客”们也活跃了起来,几乎是无孔不入。
什么是网络钓鱼(Phishing)? 根据 Anti-Phishing Working Group 的定义,网络钓鱼攻击者把社会工程技术手段兼而用之,偷取消费者个人身份信息和财务帐户信息。
如何有效的防范呢 ?
1. 提高安全意识,不要随意点击邮件中的一些不明的 URL ,尽量不要在公用电脑上进行安全性要求比较高的操作。苍蝇不叮无缝的蛋:前一段公司厕所内居然贴了一幅宣传文章,说的就是这个事情。还真的能在人”聚精会神”的时候给以警醒 :)
2. 选用高可靠的的邮件服务。如我用的 Gmail 和 Outlook 都可以给出足以令用户注意的警告信息。而国内的一些免费邮件提供商似乎没有这样的服务。如果申请 支付宝 这样的电子支付工具帐户,还是尽量用可靠的邮件服务。
3. 可以考虑安装一些具有防”网络钓鱼”功能的工具条。找到的一些(不够完全):

  • Yahoo! 助手,能够自动识别”钓鱼”网站,这是国内的第一款具备此功能的工具条。
  • NetCraft 工具条 这是业界第一款专门防”钓鱼”的工具条。也支持 Firefox.
  • 微软工具条插件
  • EarthLink Toolbar 在国内名不见经传.

这些工具大部分都是针对 IE 浏览器的。小声的说,Firefox 曾经发现过一个钓鱼漏洞。其实,浏览器安全上,Firefox 也不是那么完美的。


更新:2009 年3月,支付宝携手雅虎推出电子邮件信任计划,相信从第一程度上能有效阻止钓鱼邮件的泛滥。