假借朋友的名义，病毒正在大肆传播

作者：Robert McArdle，趋势科技资深安全威胁研究员

我曾经收到过灵修老师发给我的邮件，还好除了语带暧昧的限制级主题外，邮件附件和链接都被我们家的防病毒软件屏蔽了。那位老师不知因此流失了多少学生，直到他发现自己中毒了，赶紧跟通讯录中的所有亲友解释，那一封封春色无边的信件都是病毒代发的。

下次如果发现你的朋友可能因为Hotmail账号被入侵，可以试试Hotmail的举报功能。

Hotmail增加了额外的安全功能：简单回报可能被入侵的朋友账号

日前微软的Dick Craddock发表了一篇博客文章，介绍了Hotmail最近新增的一个新功能。这个功能可以让用户在认为朋友的电子邮件账号被入侵时，直接进行举报。简单来说，这是微软一个相当聪明的想法，并且也是正确的举动，可以更好地保护Hotmail服务。这个声明正好赶上刚出炉还热腾腾的一份新报告 –垃圾邮件发送者改用入侵的账号来发送邮件，而不是直接从僵尸网络来发送。

这个功能背后的想法是：当一个账号被入侵后，经常被用来发送垃圾邮件给用户的朋友。所以在Hotmail的其他账号入侵检测功能以外，这套新系统可以让那些朋友也成为早期预警系统。Hotmail甚至会通知Gmail和雅虎的邮件团队，如果他们发现从这些服务供货商来的账号被入侵的话。

看到在线邮件服务加入这样的功能给人非常正面的感觉，如果看到其他服务供应商跟进，当然也不会感到意外。微软还加强了弱密码侦测机制，迫使用户改用强密码。这也是一个好主意，因为这将有助于保护用户防范对密码进行的暴力攻击，但无法阻止黑客利用恶意软件入侵账号。大多数新的数据窃取恶意软件会拦截所有网络密码，并反馈给攻击者。所以不幸的是，不管你的密码是123456，还是看起来像是火星文一样的乱码都没有差别。

这里提醒一些你可能还不知道的其他网页邮件系统安全功能：

Hotmail的用户可以使用一次性代码登入，如果他们是从无法信任的机器（例如网吧、公用计算机，或是黑客朋友的笔记本电脑等）登入网站，此时就可以使用login.live.com页面登入按钮正下方的这个链接。

Gmail提供双因素认证的选项，这需要使用手机才能登入。这意味着，攻击者不能只有你的账号资料，还必需能真的拿到你的手机，才能登入你的账号。

今年初，我写了篇博客文章建议使用者在填写密码找回问题时说谎，实际上密码找回问题仍然是保护网页邮件系统安全时最薄弱的环节。

等着看攻击者如何应对这个举动吧，应该非常有趣，特别是如果其他服务供应商也学习Hotmail的作法，这个将迫使攻击者在从入侵账号发送垃圾邮件时，会选择不同的作法和对象。不过就是道高一尺，魔高一丈，信息安全业者和攻击者之间会轮流互占上风。但是，任何可以让网络犯罪份子日子更难过，能够直接打击他们根本的技术，都是绝对欢迎的。

@原文出处：HotmailAdds Some Extra Security Features

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！