开发者社区> boxti> 正文

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

简介:
+关注继续查看
   雷锋网(公众号:雷锋网)按:近日,一起利用公共平台正常分享功能的钓鱼事件成为讨论热点,24小时内受害者超过16000余人,本文来自白帽汇,小诺将细致解读一下事件的来龙去脉。

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

一阵急促的QQ信息提示音吵醒了小诺,他像是把分散在床上到处都是的四肢逐个唤醒了一遍后才能挣扎着拿出手机看了一眼,发现才睡了不到15分钟……但当瞄到“钓鱼链接”这四个字时,小诺硬生生咽下了即将脱口而出的抱怨,仿佛唤醒了身体中某个专属进程一样地突然兴奋起来,毕竟这是自己所负责的威胁情报工作中,接触最多的一个关键词。

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

凭经验,这种手段一看就知道是钓鱼链接地址,不出意外的话点进去将会是一个仿造的QQ空间页面,还会有个登录框忽悠你输入自己的QQ账号和密码。这已经是一种非常古老的钓鱼方式了,但这次似乎它找到了一种新的方法绕过了腾讯的拦截过滤机制,让不明真相的群众误认为这是以QQ相册的“官方”名义发来的安全链接,注意看那个链接左下角的“QQ相册”图示。

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

点开链接后果然不出所料,目前能够确认这是一个利用了腾讯分享组件的钓鱼链接无疑。为了进一步确认,小诺还简单构造还原了一下整个的跳转过程。

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

不过这个钓鱼方式未免也太不讲究了,尤其是这个非常随心所欲的登录框。本以为是腾讯经典的XSS漏洞+拦截马套路,没想到钓鱼者根本不屑用,直接用URL跳转+表单提交的老方法。难度这么简单,直接开搞~过程中右键看了一下页面源代码,居然发现它能识别访问者IP,如果发现IP地址来自上海、深圳、天津、珠海的话,则自动跳转至soft.baidu.com页面。这是什么套路?难道是生长于斯,不忍对老乡下手?

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

本以为能够闭着眼搞到Cookie,没想到,钓鱼者居然还使用了网络安全产品。

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

好在这对小诺来说难度依然不大,睁一只眼就够了,顺利收到Cookie~


骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

不看不知道,即便如此简单的钓鱼手段,也仍然有人中招,乖乖献上了自己的QQ账号和密码。

这激起了小诺的好奇心,不禁想要反查一下钓鱼着究竟什么来头。接下来,通过nosec平台这个秘密武器对钓鱼页面域名进行反查询,发现钓鱼者共注册了三个域名,其中只有两个可以打开

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

顺手加了目录用弱口令进行测试,居然成功了,看到钓鱼者还使用了代理系统,用来分配多个不规则字符组成的二级域名。

再次应用nosec大数据平台进行关联查询,又发现了一些,并且均是同一个团伙所为。

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

事已至此,小诺整理了下手头资料,向相关公司提交了这个新被发现的疑似漏洞。

事后我们发现,从2016年9月18日17:43:48至次日13:09:54短短不到24小时的时间内,钓鱼者已经获取到了有超过16000个QQ账号和密码信息。也就是说,有超过16000人点击了链接并输入了自己的QQ账号和密码!

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

骗子用来盗取 QQ 密码的链接,24小时内超16000人点击,他们到底看到了什么?

同时,小诺也再次提示大家,陌生链接、特别是需要输入账号密码的链接请慎点;另外近期点击并提交过自己账号信息的,要及时去修改密码。

单凭一个标题都能短时间让至少16000人点击,这个技能好像非常适合公众号的同事……

  
  本文作者:白帽汇赵武

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?
本文讲的是全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?,前不久美国国家标准和技术协会(NIST)发布《数字身份验证指南(DAG)》的最新草案,建议企业定期检查用户是否使用了已泄漏密码。
4713 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
10004 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
20690 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
18989 0
+关注
boxti
12535
10036
文章
1327
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载