網路詐騙：又是即時通

我以前已經幾次看過我學生的電腦經過即時通中毒。那時候他們“朋友”有寄檔案給他們，而我什麼都相信的學生馬上接受（或根本就自動接受），馬上點。那個檔案可能叫"interestingname.jpg"，所以他們認為是照片。

不過，當社會組的學生，他們好像忘記他們預設設定沒有改過的Windows當然不會顯示一個檔案的附加名。所以，他們沒有發現真正的檔案名其實是“interestingname.jpg.pif"，而這個不是圖片，這是Windows的一種執行檔。

最近的方法不一樣。現在沒有檔案，只有一個連結。所以，看起來你的朋友發現一個不錯的網站，或甚至自己有“做網頁”。第一次看到的時候，那些連結都會帶你到一個要輸入即時通（我只有看到針對MSN帳號做的）的帳號跟密碼，然後可以…

對，可以什麼？一個網頁說你可以知道某個人有沒有把你當掉。其它 - 忘了。不過，重點是：大家都要你輸入帳號跟密碼。剛最近看到一個學生把暱稱改成警告，跟大家說別人在控制她e-mail帳號（不然你即時通的帳號是什麼呢？），所以不要寄mail給她。看起來她有…

其實，如果你遇到這種事情，有比較簡單的方法可以檢查跟一個網站有關的基本資料。剛昨天，另一個學生的電腦叫我去看他設的網站。控制他電腦的軟體只有給我一個連結，這次沒有其它說明：

http://jack×××××××.found.some.c0o0ol5tuff.info/

在那些×的地方還有另一些字。雖然沒有說明，但是那些詐騙人員跟上次比較有進步：開頭的jack等等真的是他的e-mail/messenger帳號。那我們要查什麼呢？在Unix系統上（包含Linux或OS X）有一些不錯的工具。其中一個叫whois。Windows沒有這種工具（除非你安裝額外的軟體），所以你可能要用相關的網站。

Whois允許我查跟一個網域有關的一些資料。我只需要開一個terminal，輸入“whois google.com.tw”，馬上可以看到誰註冊、管理員的聯絡方式、技術員的聯絡方式、註冊日期等。如果我現在查一整個上面的網址，我找不到資料。原因很簡單：那些詐騙人員最然進步了，但是他們好像也做錯了。他們的軟體（這不是人手動做的）可能沒有成功建立這個網域，或他們只有開幾分鍾就關了。

不過，我們可以找“上面”一點的網域，像這個超棒（請注意他們用的leet letters）的c0o0ol5tuff.info。那我們可以知道什麼呢？

Domain ID:D24752956-LRMS
Domain Name:C0O0OL5TUFF.INFO
Created On:08-May-2008 21:51:12 UTC
Last Updated On:08-May-2008 22:16:08 UTC
Expiration Date:08-May-2009 21:51:12 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:TRANSFER PROHIBITED
Registrant ID:a1c2f5cd1d7
Registrant Name:Mark Bradley
Registrant Organization:TST Management, Inc
Registrant Street1:edificio Magna Corp - 5th Floo
Registrant Street2:
Registrant Street3:
Registrant City:PANAMA
Registrant State/Province:PANAMA
Registrant Postal Code:0000
Registrant Country:PA
Registrant Phone:+507.2021577
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:tstmanagement@gmail.com
Admin ID:a1c2f5cd1d7
Admin Name:Mark Bradley
Admin Organization:TST Management, Inc
Admin Street1:edificio Magna Corp - 5th Floo
Admin Street2:
Admin Street3:
Admin City:PANAMA
Admin State/Province:PANAMA
Admin Postal Code:0000
Admin Country:PA
Admin Phone:+507.2021577
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:tstmanagement@gmail.com
Billing ID:a1c2f5cd1d7
Billing Name:Mark Bradley
Billing Organization:TST Management, Inc
Billing Street1:edificio Magna Corp - 5th Floo
Billing Street2:
Billing Street3:
Billing City:PANAMA
Billing State/Province:PANAMA
Billing Postal Code:0000
Billing Country:PA
Billing Phone:+507.2021577
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:tstmanagement@gmail.com
Tech ID:a1c2f5cd1d7
Tech Name:Mark Bradley
Tech Organization:TST Management, Inc
Tech Street1:edificio Magna Corp - 5th Floo
Tech Street2:
Tech Street3:
Tech City:PANAMA
Tech State/Province:PANAMA
Tech Postal Code:0000
Tech Country:PA
Tech Phone:+507.2021577
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:tstmanagement@gmail.com
Name Server:DNS1.REGISTRAR-SERVERS.COM
Name Server:DNS2.REGISTRAR-SERVERS.COM
Name Server:DNS3.REGISTRAR-SERVERS.COM
Name Server:

今天2008-05-12，“學生”給我這個連結是2008-05-11，而2008-05-08（送給他母親？）一位Mark Bradley，官方住址在巴拿馬，有註冊這個網域。如果你是社會組的成員，你可能不知道：如果我買一個網域，我可以在它之下掛好幾個子網域。所以，如果我買idiots.net，我可以自由地加biggest.idiots.net, more.idiots.net, famous.idiots.net, many.more.idiots.net, a.lot.more.of.those.idiots.net等。我買一個網域，我控制它的DNS，我可以玩。

這種詐騙活動不會繼續很久就會被發現，所以他們動作要快。如果你看到一個網域才幾天前註冊，而且註冊的人住在比較“奇怪"（或者法律方面對他比較“安全“）的國家，你就可能要懷疑一點。

如果你覺得這還不夠奇怪，你可以看一下Mark Bradley在哪裡掛他的網域。在他的whois資料裡面也有註冊他網域（或也可以說"上面“）的DNS，那，你要不要問whois一下registrar-servers.com的資料？跟我之前查的結果一樣：“上面”有一個看起來合法，但是最近（幾個月前）才註冊他們網域的公司。

如果有人跟他們聯絡，“通知”他們關於他們客戶做的事情，他們可能“全力處理”這件事情，把那個客戶的帳號關掉。不過… 同一個客戶會不會很快就有另一個在他們公司掛的網域？

不過，如果你根本就直接開任何你的“朋友"在email或即時通寄給你的檔案，你可能真的覺得我介紹的做法太“麻煩”。中毒，讓別人玩你的電腦，讓別人用你的電腦中其它電腦，讓別人控制你的e-mail帳號，讓別人得到許多你的私人訊息，讓別人玩你，然後重新安裝Windows（今年第幾次？）果然比較“方便”…