前幾天同學的 msn 被盜帳號,本來以為他是要跟我打招呼,不過也沒跟我聊什麼就問我附近有沒有網咖,我說沒有,他又問有沒有家樂福,我還是說沒有,後來他就沒跟我聊了。剛開始我還以為真的是同學,因為他的暱稱讓我不疑有他,可是問我附近有沒有網咖我就有點起疑,這同學應該不太會跟網咖扯在一起,後來我上網搜尋有關 msn 被盜取帳號的網頁,還真的不少,都是要人花錢買網路遊戲的加值卡,這個混蛋隔天竟然真的傳來要我買加值卡的訊息,或者要我去他網誌衝人氣,難道不曉得我早就看穿他的把戲了嗎?
我一嗅到案情並不單純的氣息,本來還在想這同學該怎麼通知他,隔了一會兒想到他有 Facebook 帳號,想說我也好久沒登入了,就趁此機會提醒他一下,沒想到已經有人先警告他 msn 帳號被盜了,我也順便跟他講一下,幸好苦主的 Facebook 帳號還能用,可是卻已經無法登入 msn了。
這個混球很厲害,他故意把暱稱改為『我在日本東京』,他會這樣做顯示幾個狀況:
1. 他也許跟苦主是熟人,知道苦主確實要去日本。
2. 如果他跟苦主不是熟人,那代表他可能掌握了苦主最近的行蹤,包括偷看 hotmail 的信件。
3. 故意寫成不在國內,這樣詐騙起來更有可信度。
4. 以上皆非。
混球要我買帳號所以應該可以排除第一種可能,因此很可能他翻看苦主的郵件,知道我同學最近要出國的事,然後利用這件事實寫上暱稱並以此詐騙,例如當有人問他『你怎麼不自己去買』之類的問題,他就正大光明回答『我在日本所以只能拜託人,回國再給錢』之類的藉口,如果知道苦主要出國的人更可能不假思索的就上當。
網路詐騙有多嚴重?嚴重到微軟必須在首頁右側醒目的地方放這個特製連結
事發經過
那麼這件事跟收 hotmail 信件有什麼關係呢?
關係可大了
很久以前我會將所有郵件都從伺服器上收下來,但是後來經過第一次免費郵件大戰,各家紛紛取消 pop3 協定收郵件後,我就再也無法把信件從遠端收回來了,而這些經年累月累積下來的信件可是我們工作、生活、求學、交友的點點滴滴ㄚ,我可不想把這些郵件送給詐騙集團。
自由軟體界的先驅 Richard Stallman 這樣說:
電腦使用者應該將資訊掌握在自己的手中。
15 號說:當我把資料放在雲端,我的資料還會是我的嗎?
因此,在經過這起詐騙事件後,更加深了我要把郵件從遠端伺服器下載到我自己電腦上的念頭,我一直都希望把郵件從遠端下載回來,因為這是我的郵件,我應該要好好保存它們,而不是由別人去幫我儲存它們。
上網做了一點功課,看到 hotmail 已經開放讓人可以自行下載郵件的 pop3 協定,這真是太好了,那麼就來測試吧,看看是不是真的可以下載。先跟一位朋友講我想這樣做,讓他去試試看,結果回報不能收,我開始覺得這不是個好的開始。
我是使用 Thunderbird 來測試收發郵件,由於我對 Thunderbird 也不熟,後來弄了一小陣子,終於,可以收信了,當信件收下來的那個瞬間,我覺得今天真是太美好了。然後就開始設定郵件篩選的條件,順道一提,Thunderbird 的篩選設定不夠友善,還要先把資料匣建好才能在篩選頁面把信件指定移動到特定資料匣,不能在篩選畫面直接新增一個資料匣。
Thunderbird 只能收『收件匣』而無法收伺服器上已經有的篩選資料匣,這樣我覺得很可惜,如果可以一次全部都收下來是最方便的,不過這不是 Thunderbird 的問題也不是 hotmail 的錯,畢竟 pop3 協定也許無法支援這樣做。但也不是無解,就比較累一點把伺服器上的信件搬到收件匣就可以收下來了,要這樣做之前記得把收件匣裡面的信全部先收下或清空,不然信件全部混雜在一起只會累到自己。
pop3 搞定之後我就開始測試 smtp,我照著網路上搜尋來的資料設定,真奇怪,不能寄信,我問朋友他也是這樣,我還把防火牆關了也是無法寄信,也是弄了一陣子還是無解,就先吃飯去了。
大約兩小時後回來,我不死心想繼續測試,也不知道哪邊來的靈感,打開 DOS 輸入 telnet smtp.live.com 25,見鬼了,明明可以連線怎麼會無法寄信,Thunderbird 停在『已連線到 smtp.live.com』,卻總是無法成功寄送信件,可能的 port 我都用了,包括 25 和 587,就這樣我跟電腦大眼瞪小眼了幾分鐘.....
當我把眼神移到了 DOS 視窗,就在這個時刻,突然,我發現了一個神秘的字串,它這樣寫:
Must issue a STARTTLS command first
我有如被雷打到一般,當中的 STARTTLS 字串我在 Thunderbird 的 smtp 設定頁面有看過,火速開啟設定頁面果然發現了這個選項,就在選擇了這個選項之後,測試信件就可以正常的寄送了。剛剛可以收 pop3 我說今天真是太美好了,現在可以寄 smtp 我要說今天真是太棒了。
這個事件教會了我網路資料不可盡信,所有網頁都寫 smtp 的認證協定是 TLS/SSL,但就是無法正常發信出去,我也就沒有測試 STARTTLS 這個選項,可是偏偏這個選項才是正確的設定值,要不是命令列視窗回應了我這個訊息,我還不知道要跟電腦瞪多久,說不定就這樣放棄了本機寄信的想法,以後寄信都用 web 介面,要收寄件備份再拉到收信匣來收,只是這樣很蠢,又很累,幸好我留意到了 DOS 視窗,DOS 真是我的救星。
所有在寫這篇文章時可收發信件的設定值如下圖所示:
(預設值會保留郵件在伺服器上,若已完成收信可取消)
不知道是大家都寫錯了還是微軟又改了呢?我累了,不想考古了。過幾天再來測試匯入聯絡人
註記:本篇文章修改不下十次。
