雷锋网(搜索“雷锋网”公众号关注)按:日前,一起借助公共平台正常分享功能的垂钓风波成为讨论热点,24小时内被害者超过16000余人,本文来自白帽汇,小诺将细致剖析一下风波的来龙去脉。
一阵粗重的QQ信息提示音叫醒了小诺,他像是把分散在床上四处都是的手臂挨个唤起了一遍后才会挣扎着掏出手机看了一眼,发觉才睡了不到15分钟……但当瞄到“钓鱼链接”这四个字时,小诺活生生咽下了正式脱口而出的埋怨,如同唤起了身体中某个专属进程一样地忽然激动上去,显然这是自己所负责的恐吓情报工作中,接触最多的一个关键词。
凭经验,这些手段一看就晓得是垂钓链接地址,不出意外的话点进去将会是一个仿照的QQ空间页面,都会有个登陆框误导你输入自己的QQ帐号和密码。这早已是一种十分古老的垂钓方法了,但此次虽然它找到了一种新的方式绕开了腾讯的拦截过滤机制,让不明真相的群众误觉得这是以QQ相册的“官方”名义发来的安全链接,注意看哪个链接左下角的“QQ相册”图示。
点开链接后果然不出所料,目前才能确认这是一个借助了腾讯分享组件的垂钓链接无疑。为了进一步确认,小诺还简单构造还原了一下整个的跳转过程。
不过这个垂钓形式未免也太不讲求了,尤其是这个特别随心所欲的登陆框。本以为是腾讯精典的XSS漏洞+拦截马套路,没想到垂钓者根本揶揄用,直接用URL跳转+表单递交的老技巧。难度如此简单,直接开搞~过程中右键看了一下页面源代码,竟然发觉它能辨识访问者IP,假如发觉IP地址来自北京、深圳、天津、珠海的话,则手动跳转至soft.baidu.com页面。这是哪些套路?莫非是生长于斯,不忍对同乡下手?
本以为才能闭着眼搞到Cookie,没想到,垂钓者竟然还使用了网路安全产品。
好在这对小诺来说难度仍然不大,睁一只眼就够了qq空间盗取本地音乐,顺利收到Cookie~
不看不晓得,尽管这么简单的垂钓手段,也一直有人中招,乖乖献上了自己的QQ帐号和密码。
这唤起了小诺的好奇心,不禁想要反查一下垂钓着到底哪些来头。接出来,通过nosec平台这个秘密装备对垂钓页面域名进行反查询,发觉垂钓者共注册了三个域名,其中只有两个可以打开。
顺手加了目录用弱口令进行测试,竟然成功了,见到垂钓者还使用了代理系统,拿来分配多个不规则字符组成的二级域名。
再度应用nosec大数据平台进行关联查询,又发觉了一些,但是均是同一个结伙所为。
事已至此,小诺整理了下手头资料,向相关公司递交了这个新被发觉的疑似漏洞。
事后我们发觉,从2016年9月18日17:43:48至隔日13:09:54短短不到24小时的时间内,垂钓者早已获取到了有超过16000个QQ帐号和密码信息。也就是说,有超过16000人点击了链接并输入了自己的QQ帐号和密码!
同时,小诺也再度提示你们,陌生链接、特别是须要输入帐号密码的链接请慎点;另外近日点击并递交过自己帐号信息的qq空间盗取本地音乐,要及时去更改密码。
单凭一个标题都能短时间让起码16000人点击,这个技能似乎特别适宜公众号的朋友……
