2014年3月10日 星期一

工程師也會遇到網路詐騙

目前 IPad App 的安全機制似乎存在很大的安全漏洞!!!使用者要非常小心!!!

相關文章 : Android 4.4系統漏洞
相關文章 : Android 4.4.2再現Bug

我感覺得自己像個傻瓜,但現在這個時代中應該很難找得到像我這樣好騙的人了吧?

由於這幾天即將出現另一波寒流,我於是在 iPad 下載了有關氣象預告的應用程式(App)──Weather Channel。我一打開這個App就看到螢幕下方不時閃爍著惱人的廣告訊息。其中有一則廣告吸引了我的目光:貸款利率持續走低;現在正是重新貸款的好時機;請點選此處看看你能拿到多棒的新低利貸款!

因此,我就真的傻傻地給它按下去,接下來發生了一連串的事情,雖然最後的結果似乎對我有利,但過程卻相當「曲折離奇」。
這個系統一開始先問一些無關痛癢的問題,例如「您的郵遞區號是?」,接著是「您的email地址?(別擔心,我們不會寄email給您) 」,然後又問「您的聯絡電話?(別擔心,我們不會打電話給您)」。我能說什麼呢?整天待在家中總得打發時間……我一時也沒想太多,於是就輸入了我的email以及辦公室的電話號碼。一直到系統問及「您的社會安全號碼(身份證字號)?」時,我才猛然驚覺不對。於是我關掉瀏覽器視窗,刪除了Weather Channel App,繼續度過漫長的一天。

即使是面對合法的貸款公司,也必須非常謹慎地提供個人社會安全號碼。如果有一大堆人不斷用你的社會安全號碼檢查你的信用情況,就可能會讓你的信用評級明顯降低。不過,後來發生的事情是我始料未及的,信用評級可能已經不是我最需要擔心的問題了。

當我隔天一早開始工作時,來自各貸款公司的訊息已經擠爆我的email了,辦公桌上的電話也一直響個不停。我一開始還沒意會過來,因此一走進辦公室,便不假思索地接起桌上的電話,接著就和Quicken Loans公司的Russell開始對話。等到我終於明白這通電話的來由後,便說:「請等一下,那家公司告訴我說他們不會發email或打電話給我呀!」Russel回答:「是喔?他們沒知會你嗎?其實,他們已經把你的email和電話號碼發送給每一家公司了,我只是打電話給你的其中一家公司而已。」真是豈有此理!

不過,既然已經在和Russell講電話了,我們就順便討論一下重新貸款的問題。在這方面有一點讓我比較自豪的是我的個人信用評分十分良好,上一次看到時大概是800多分左右。也許我的銀行戶頭中沒多少錢,但我總會按時繳款,所以從來沒有逾期還款的記錄。

但我告知Russel我的良好記錄後,他卻告訴我在他的電腦中看到我的信用評分其實是600多分。他還說在我的信用評分上有一筆負面評分──一家帳款催收公司從去年九月起一直在向我追討350美元。他還提供我這家討債公司的名稱、電話以及我的案號。

幾分鐘後,我已經在和這家討債公司通話中了。這家公司告訴我催繳帳單來自於一家醫院──Huntsville Hospital,同時還給我這家醫院提供的催收地址──這個地址是我15年前搬離開的房子。

於是我先在電話中以信用卡付掉了這筆錢,然後撥了通電話給這家醫院。此時我的臉色當然不會太好看,事實上是已經接近抓狂狀態了。

幾經轉接終於和醫院的會計與帳務部門接通了,接電話的小姐找到我的記錄後告訴我這份帳單是我去年在這家醫院進行一項手術的費用。由於這是一項進行腫瘤移除的手術,因此我告訴她自己感到很意外,難道醫療保險公司竟然沒有理賠這筆費用嗎?從電話的另一端傳來她快速翻閱文件的聲音,接著似乎陷入很長一段時間的沈默後,她告訴我要把我的情況轉給她的主管來處理。

等到負責的主管接電話後,我已經感到相當不悅了。我抱怨說每一次來這家醫院看某一科或某一位醫生的初診就要先坐在那裡花很多時間重新填寫一大堆相同的資料,一次又一次,真的很令人心煩,但這裡面的確都已經包括我的名字和最近的聯絡地址了。因此,現在發現醫院最近寄送的帳單竟然是一個連我自己都已經忘記曾經住過的地址,這真的很令人訝異。

另外,我還再次質疑難道保險公司並未理賠我的手術費用嗎?同樣地,又一次地陷入沈默後,這位主管才開口說,「其實情況比你所想像的更嚴重……從這些文件來看,醫院似乎一開始就沒有把你的醫療帳單送交給保險公司申請理賠……」

這段話還真的讓我大吃一驚,我似乎很少會這麼震驚。醫院的這位主管說,「無論如何,你不必付這筆錢。」(很遺憾這家醫院一開始就未採取任何行動,不然大家可省下不少麻煩)但我告訴她,來不及了,我已經在幾分鐘前的電話中把錢付給討債公司了。同樣地,她又再次陷入思考……接著便開始積極地採取行動了。

顯然這家醫院將許多未付清的醫療帳單交由討債公司處理,因此在帳單部門的這位主管與討債公司的主管關係密切。她馬上打電話給負責人要求立即退款至我的信用卡,然後再聯絡信用機構解釋這整件烏龍,請他們務必刪除在我信用評分的這項負分記錄,然後寄給我一份記錄一切經過的信件作為存查。

事情可會這麼容易解決嗎?根據我的瞭解,要清除一個人信用評分上的污點是需要經過一段時間的。從好的一方面來看,至少我發現這其中發生問題,而且順利解決了。否則,如果有一天被匆忙送進這家醫院時,醫院告訴我:「我們沒法為你進行治療,因為你還欠我們一些錢…,」那就更糟糕了!

這也讓我想起另一件事:我每個月付給一家信用公司固定的費用,只要有人試圖以我的名義開新帳戶或者發生可能有損我信用評分的任何事情時,他們就會立即通知我。但事實上,我從來沒收到過任何通知,甚至連這家討債公司已經損害我的良好信譽了,我也完全不知情。因此,等我寫完這篇文章,我應該採取一些行動了。話說回來,你曾經錯按過什麼廣告連結?發生過像這樣離奇的經驗嗎?

編譯:Susan Hong

(參考原文:Do Not Click the 'More Info' Link,by Max Maxfield, Designline Editor)



Android 4.4出現漏洞 駭客能遠端遙控手機

在Android系統中,Master Key漏洞可以說是最常見的一個,駭客們可以通過這個漏洞通過遠端遙控的方式操控使用者的Android系統及他們的設備。之前在各個版本的Android系統中,Master Key漏洞都曾經出現過。而現在似乎在最新的Android 4.4 KitKat作業系統中又出現了新的變種漏洞,同樣是一種非常嚴重的Mater Key漏洞。

在今年7月份,Bluebox安全機構表示發現了一個Android系統漏洞,而幾乎99%的Android設備都有可能受到影響。這個漏洞可以在Android使用者安裝應用程式時繞過程式驗證和惡意程式碼檢測,允許使用者手中的Android設備在沒有加密簽名的情況下就安裝被人通過漏洞惡意修改過的應用程式。雖然google(微博)公司一直表示已經將該漏洞修復,但是不知道各大廠商和運營商們是否即時將漏洞補丁推送到用戶的手機中進行更新。

iOS平臺越獄應用商店Cydia開發者、同時也是Android系統安全程式開發人員的Saurik表示,同樣的Master Key漏洞現在同樣存在於Android 4.4 KitKat作業系統中。雖然這一次的漏洞似乎並沒有之前版本那樣嚴重,但是卻依然足以被駭客利用造成損失。Saurik提供一份非常詳細的漏洞錯誤分析及惡意示範應用,而這個示範應用可以和輕易的通過漏洞正常安裝到Android系統中。同時,Saurik在第一時間將修補該漏洞的補丁更新到了自己的Cydia應用進行升級,並且將補丁安裝到了自己的系統中。

雖然現在已經可以通過補丁的方式修補該項Android 4.4 KitKat的Mater Key漏洞,但是補丁的更新範圍一如既往的受到運營商和廠商的影響。也許穀歌旗下的Nexus系列設備可以在第一時間受到OTA推從安裝更新,但是由於廠商和運營商各自對Android系統進行了深度的定制和修改,因此其它非Nexus系列Android智慧手機何時才能修復該項漏洞還要看不同廠商和運營商自己的事件安排。

沒有留言:

張貼留言

注意:只有此網誌的成員可以留言。