看到網上討論民主黨總統候選人希拉莉的電郵門，其實咱們小百姓也可以有電郵門呢，不過咱們的所謂門，不是由水門事件沿襲而來代表醜聞的門，而是開門揖盜的門，就是說如果對自己的電郵安全不注意，往往等於把家裡的大門向強盜敞開的意思。在這裡就講個我自己開門揖盜的故事。

話說不久前的一個星期日，如同以往的周末一樣，我起床比較晚，大約9:00來鍾才起來，從樓上臥室下到二樓的辦公室，像往常一樣打開台式電腦，循着老習慣，又去查看我們在網上的一個替代貨幣交易賬戶，想查查比特幣的市值。賬戶名和密碼早就登錄在案，以往只要撳一下登錄鍵就好，結果這次卻發現進不去了。

我們家兒子思想比較活躍，有啥新鮮事都想試試。兩三年前比特幣、萊特幣等替代貨幣水漲船高，兒子跟風買了一些，沒過多少時間，價值翻倍，用賺得的利潤出去旅遊一番，不亦樂乎。兒子嫌單純買賣不過癮，又開始自己採掘。剛開始時用計算機顯卡，但很快利潤就跟不上電耗，於是兒子拉着我們合夥買了一台專門採掘萊特幣的機器。 

有了機器，就在網上建了一個萊特幣交易賬戶，到這次出事以前，機器採掘的數千萊特幣，一半換成美元，另一半換成比特幣，統統存放在這個交易賬戶里。 

以前除了計算機中過病毒，其他還沒出過什麼事情。道聽途說的也知道有身份盜竊（identity theft）、勒索軟件(ransomware)等等，但因為自己還從未中過招，所以這次進不去賬戶，就沒朝那些壞的方面想。也正因為以前沒有吃過教訓，對電郵安全注意不夠，我的電郵賬戶沒有設置二元認證 （Two-factor Authentication）。 

像無數其他網站一樣，這個萊特幣交易網站個人賬戶的密碼欄下設有一個按鍵，如果賬戶持有人忘記了密碼，撳一下這個鍵，網站就會給與交易賬戶綁定的電郵地址發一個電郵，電郵內含一個允許賬戶持有人更換密碼的鏈接。現在我進不去賬戶了，只以為是賬戶的密碼記錄出了差錯，想當然地覺得只要換一下密碼就好。於是撳了更換密碼鍵，再打開綁定電郵賬戶，果然收到了含有更換密碼鏈接的信。按部就班地給賬戶換了一個新密碼，一試，果然又能進交易賬戶了。瀏覽一番，看看賬戶里沒啥變化，就馬上登出。 

接下來移位客廳沙發，一面看電視，一面從手機上再次打開那個和交易網站綁定的電郵賬戶，準備查查電郵，卻赫然發現電郵賬戶裡面已經面目全非，所有電郵，無論新舊，統統不翼而飛。到了這時，我仍然沒有意識到大禍已臨頭，還以為是電郵網站出了故障，於是就讓家裡領導從她的Gmail郵箱向我的Yahoo郵箱發封電郵試試。我收到了這封電郵，但是緊接着，我家領導就收到一封不是我寫的，但卻是從我的Yahoo郵箱發寄到她的電郵賬戶里的信，信中說，要想我賬戶不受干擾，就必須給他送五個比特幣。 （“Give me 5 bits not to harass your account bitcoin address: ......”） 至此我才終於意識到，我的電郵被黑了。 

這很像我聽說過的勒索軟件中招的過程。但是我對這一切是否因為勒索軟件存有很大疑惑。我所聽說過的勒索軟件案例，如果被勒索者乖乖交錢，黑客並不對其賬戶內容做手腳。 而我早上進不去交易賬戶，剛剛更換賬戶密碼，就發現電郵賬戶被黑，馬上又收到勒索信，這一系列事件讓我直覺地認為黑客的目標其實是我的網上交易賬戶。我以前每登錄一次交易賬戶，交易網站都會送一份確認登錄的電郵，電郵中含有我的交易賬戶戶名。黑客一定是先竊得了我的電郵密碼，得以進入我的電郵賬戶，從電郵賬戶中存放的過往交易賬戶登錄確認信中又得到我的交易賬戶名，再利用交易賬戶的更換密碼鍵和對我的電郵賬戶的掌控更換了交易賬戶密碼，這才是我早上無法進入交易賬戶的真正原因。而我後來用同樣的方法更換密碼使黑客意識到我可能已經發現了他在黑我的交易賬戶，他送這封勒索信，目的應該是聲東擊西，把我弄糊塗，為他在交易賬戶里做手腳爭取時間。如果我猜得不錯，黑客肯定已經又更改了交易賬戶的密碼。於是我試着進入交易賬戶，果然又進不去了。 

這裡要加一句，即便我曾把過去所有的交易賬戶登錄確認信都從電郵信箱刪除，也不能阻止黑客獲得我的交易賬戶戶名。這是因為一旦黑客通過竊取的電郵密碼進入電郵賬戶，就可以很容易地要求提供電郵服務的網站恢復以往的所有電子郵件。我想這些黑客一定有快速審閱郵件的軟件，用以發現諸如交易網站郵件一類令他們感興趣的信息。 

黑客的鍥而不捨讓我不安。我當初是給交易賬戶設了二元認證的。這是一種電子短信（SMS）二元認證，就是說要登錄賬戶，又或者要在賬戶里進行交易轉賬等操作，交易網站會往綁定的手機上發送含有一次性密碼的電子短信，只有把一次性密碼輸入認證，才能操作。但是黑客的再次改變密碼說明他並沒有因為二元認證知難而退。這大大增加了我的危機感。 

把早上發生的一系列事件的關係大概縷清後，一個問題冒了出來：我的電郵賬戶沒有設置二元認證，黑客既然已經通過竊得的電郵賬戶密碼，進入了我的電郵，那麼他要改變電郵賬戶密碼應該是件再容易不過的事。假如黑客利用可以進入我的電郵賬戶的方便，在更改了交易賬戶密碼以後馬上更換電郵賬戶的密碼，就可以把我鎖在電郵賬戶外面，使我無法再更改交易賬戶密碼，而他就可以在我的交易賬戶里為所欲為。 他為什麼不這樣做呢？ 

無論如何，既然還沒有黑客試圖把我鎖在電郵賬戶外的跡象，我就決定自己來試試，把黑客鎖在電郵賬戶外面，結果卻發現黑客之所以無法改變電郵賬戶的密碼，是因為這個Yahoo的電郵賬戶當初乃是從AT&T接續過來的，由於這個歷史，要改變密碼，就要聯繫AT&T，而且是聯繫AT&T的真人代表。如今在計算機上辦事都是和機器對話，要找個真人還挺不容易，而且即便聯繫上AT&T的真人代表,AT&T也肯定要求出示認證材料，黑客沒有認證材料，自然無法改變密碼。這也解釋了為什麼黑客會把電郵賬戶裡面所有的電郵統統刪除了：他肯定是又通過改變密碼進入了交易賬戶，同時為了防止我再次改變密碼，在無法改變電郵密碼的情況下，只好通過不斷刪除郵箱裡郵件的笨辦法，以圖達到阻止我接收交易網站發來的改變密碼的電郵的目的。 

我稍稍嘗試着聯繫AT&T無果後就果斷放棄了，因為我知道此時必須分秒必爭地把黑客的行動能力限制住，否則很可能萬事皆休。也因為時間緊迫，直接求助於交易網站行不通。這個交易網站設在境外，網站服務不能即時提供，送一封諮詢過去，往往要等24小時甚至更長才有回覆。另外我也沒有去嘗試通過改變交易賬戶密碼的方法進入賬戶去把裡面的財產轉出來，因為轉移財產需要繁複的操作，而黑客正在和我法寶盡出地激烈爭奪對賬戶的控制權，雙方每改變一次賬戶密碼，都會把對方自動從賬戶里踢出去，做轉移財產的操作顯然會很難。但是從另一個角度想，黑客肯定也正想着把我交易賬戶里的財產轉移到他的賬戶里去呢，也許正因為我一度改變了賬戶密碼，打亂了他的轉產操作，給我爭取了時間也說不定。反正我當時根本不清楚黑客是否已經把賬戶里的財產偷走了，無非就是死馬當作活馬醫。 

就當時的情況看，一方面黑客不大可能分分秒秒把電郵信箱看牢，也就是說我仍可能再次改變密碼進入交易賬戶。但黑客一旦發現，必然會試圖把我踢出來，所以我一旦進入，所能做的只能是最簡單的操作。此時我想到，既然不能通過改變電郵密碼和交易賬戶密碼的方法把黑客趕走，那麼乾脆就把和交易賬戶綁定的電郵賬戶換成另一個，畢竟黑客知道我其他電郵賬戶密碼的可能性微乎其微，而且我還可以馬上更改其他電郵賬戶的密碼。然而我想到這點的同時又一個問題冒了出來：黑客為什麼不把綁定的電郵換成自己的呢？ 

黑客的心思我一時猜不透，反正我自己來試試吧。 於是我再次通過改變交易賬戶密碼的法子登入賬戶，按照步驟填寫發出更改電郵賬戶的要求，這時交易網站發來一個警告：為賬戶安全故，綁定電郵賬戶更改後，賬戶封閉兩天。 啊，原來這就是黑客不願意更改電郵賬戶的原因：他在那邊忙着偷我的財產，當然不願意賬戶在此時封閉，因為賬戶一封閉，我這個賬戶的真正主人就有時間向交易網站報警，這可對黑客大大不利。 

對黑客不利自然對我有利，於是我果斷按下更換電郵的確認鍵，接下來應該做的就是通過新的電郵賬戶再次改變交易賬戶的密碼。 但是黑客就是黑客，對網上的各種操作比我要精通得多。他不願更改電郵賬戶，但他還是想出了反擊我的其他辦法。我通過再次改變交易賬戶密碼以進入賬戶的嘗試失敗了，因為黑客從賬戶里封了我的IP地址，徹底切斷了我同交易賬戶的聯繫。還沒到一分鐘，我家領導就收到黑客的又一封信，信中說：“我的耐心是有限的。電郵暴力是違法的。”（My patience is limited. The use of mailbox violence is prohibited.） 

至此，我同黑客爭奪交易賬戶的鬥爭打成了一鍋粥。雖然交易賬戶設置了二元認證，但既然黑客能進入交易賬戶封鎖我的IP地址，說明他不知用什麼辦法繞過了二元認證。但從黑客第二封電子信中氣急敗壞的口吻看，我改換綁定電郵的動作應該是給他造成了麻煩。現下黑客阻斷了我同賬戶的聯繫，任何由我進行的針對賬戶的操作都已不可能，我唯一剩下能做的就是直接求助於交易網站，請他們恢復我對賬戶的控制權了。 

另外既然閒下來了，我也就再次嘗試同AT&T聯繫。輾轉反覆，總算接通一位真人代表，通過向AT&T的代表提供十年（!）前聯網付費單的號碼，證明了我才是該電郵賬戶的真正主人，終於得以改變電郵賬戶的密碼。 

接下來和交易網站打交道，在提供證據證明了我是賬戶的真正主人後，網站接通了我的IP地址,並允許我改變了賬戶密碼。但是我用新換過的密碼卻仍然進不了賬戶：我竟然被二元認證擋住了。對此的解釋只能是，黑客不僅沒有受到我設置的二元認證的阻礙，而且在闖進入賬戶後，還設立了他自己的二元認證。眼下我想再進入賬戶，就只能請網站管理取消賬戶的二元認證，而這會導致賬戶封閉兩星期。不過既然黑客曾如此深度地掌控賬戶，裡面也許早已是空空如也，那麼我早進晚進也就無所謂了。 

長話短說，在黑客事件發生三個星期後，我終於又得以進入了自己的交易賬戶。儘管之前已經做好了財產已被洗劫一空的精神準備，但進入賬戶後，看到萊特幣欄里空空如也，現金欄里只剩大約五元錢，心裡還是很失落。想起財產頁最上端有個財產總計，無精打采地瞥了一眼，赫然發現總計數目很大，甚至比黑客事件發生前還超出了數千元。仔細再看看財產細目就發現了原因，如今比特幣欄里的數目比黑客事件前居然翻了一倍！調出賬戶交易史查閱，發現黑客在侵入賬戶當日，從9:29AM 到9:44AM之間的一刻鐘內，把賬戶內所有的現金和萊特幣都換成了比特幣。當時比特幣市值約430美元，到三星期後我再次能進入賬戶時已長到630美元，所以賬戶總值漲了數千元！另外這黑客看來居然是一位同胞，因為他在我的賬戶里的交易流水賬都是中文的。 

在賬戶里進行任何交易都需要二元認證，但是這個有大本領的黑客既然能繞過二元認證登陸賬戶，自然也可以繞過二元認證進行交易。事實是他把賬戶里所有現金和萊特幣都換成了比特幣，唯一剩下的一步就是把比特幣轉到他自己的電子錢包里去，而他卻沒能做到，他為什麼會功虧一簣呢？ 

我此前還從未從這個交易賬戶向外轉過資產，如今重掌賬戶，馬上就着手把所有比特幣轉去一個新的境內網站賬戶。轉賬過程中發現，雖然沒有設置二元認證，但如果要抽取資金，網站還是會往綁定電郵送一封含有確認鍵的認證信，只有收到了確認，網站才會允許資金轉賬。 此時回想，也許是我當初改變綁定郵箱的舉動，使黑客無法收到網站送出的抽取資金的認證信，從而無法把已經兌換好的比特幣抽逃到他自己的電子錢包里去。又或者是因為我和黑客反覆爭奪賬戶控制權的行為觸發了賬戶自動封閉的機制，使得黑客功虧一簣。 

另一方面，這個黑客的不幸還在於他太太太貪婪。他初入我賬戶時，裡面已經有不少比特幣擺在那裡供他偷。假如他不是抱着偷光搶光的信念忙着把我賬戶里的現金和萊特幣都換成比特幣，而是一上來就把現成的比特幣轉入他的錢包，那麼他至少能拿走一半資財。他的貪婪還表現在他不肯以略高於市場的價格一次完成比特幣的兌換，而是在市場價格走高的情況下不斷加價，分批兌換，結果花了十五分鐘才完成全部兌換。此時再想把比特幣轉出，卻碰到我來踢場子。這個黑客讓人想起阿里巴巴故事裡被大盜們殺死在藏寶洞裡的高西木。 

黑客事件的結局如此，主因是我傻人有傻福，黑客從9:29AM開始在我的交易賬戶里倒換比特幣，而我恰好就在九點左右起了床，又恰好有起床就上網查詢交易賬戶的習慣，才這麼巧而又巧地發現了黑客的行徑。黑客闖入了我的電郵，卻因為這電郵賬戶和AT&T的一段特殊的歷史淵源而無法改變電郵密碼，再加上他封閉我的IP地址過晚，總而言之，黑客是乘興而來、敗興而歸，而我雖然開門揖盜，卻因為運氣特好，又抱着亡羊補牢的信念和黑客大戰一番，終於因禍得福，憑空多得了數千元。 

但是好運氣可一不可再，從事件所得更多的是教訓：網上安全不可不注意！黑客事件發生沒幾天，我就在網上讀到，眼下有上億的電郵賬戶密碼在俄羅斯這種地方的黑市上叫賣，不難想象，侵入我賬戶的黑客眼下應該就正在中國的某個地方興致勃勃地攻擊着其他人的郵箱。 一個人的電子郵箱密碼，在很多情況下就好像這個人家的大門，一旦密碼被人竊取，就等同大門被賊人攻陷，後患無窮。所以希望大家都能充分提高警惕，注意網上安全。黑客事件發生後，我已經為自己的電郵和交易賬戶等等都設置了二元認證。 

對了，黑客之所以能繞過交易賬戶的二元認證之謎後來也大致解開了。 我在恢復了對賬戶的掌控後重新設置二元認證，結果發現網站已不再使用電子短信二元認證，而是統統改成了谷歌認證（Google Authenticator）。鑑於我在黑客事件發生之前兩個月最後一次做交易時還是短信認證，結論只能是網站的這個改變就發生在那兩個月中的某個時間。按理網站一定會給所有客戶發出通知，讓大家能及時應變，由短信二元認證過渡到谷歌認證，維持安全係數。如果確實如此，那麼就是我自己忽略了網站的通知，沒有及時順應改變設立新的二元認證。 也就是說，當黑客試圖闖入交易賬戶時，賬戶的大門上並沒有掛上二元認證這把鎖。於是當時的情形就是，我的電郵和交易賬戶都沒有二元認證，真正是開門揖盜。 

下面是我前幾天才從一個網站收到的友情提醒，其中關於二元認證也需要不時更新的建議很值得注意，放在這裡供大家參考：

Hello XXX,

This email is to inform you that we're seeing an increase in attempts to gain unauthorized access to XXX.org user accounts. The attackers are probably trying to exploit password weakness and password reuse, especially in the light of the many recent breaches in other websites which have granted hackers access to large collectionsof account data.

We here at XXX.org are committed to protecting the security of our users. We have already received a few reports of hacked accounts, and for this reason we encourage all users to change their account password and to take advantage of two-factor authentication.

For optimal security, 2FA users should also remember to periodically reset their secret key by disabling and immediately re-enabling two-factor authentication.  （為維持安全計，二元認證的密匙也應不時更新。更新的辦法是取消二元認證並立即重設。）

If you have reason to believe that your account was compromised, you should reset your password as soon as possible.......