V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jsthon
V2EX  ›  分享发现

最近 QQ 空间出现的一种钓鱼链接比较有意思

  •  
  •   jsthon · 2015-04-29 21:49:11 +08:00 via Android · 3253 次点击
    这是一个创建于 3496 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近总是收到一些老同学@我的与我相关动态

    > 原文:
    新自制各位亲们的相片看看有没有漏了谁。。。请珍惜我们的友情,收藏起来吧
    链接在。 http://kucllmwnha.tk/?ak=piXkqk
    @同学甲 @同学乙 @同学丙 @同学丁 等等

    (考虑到需要保护同学隐私故用甲乙丙丁替换)


    内容大致都差不多
    里面含有一个链接
    然后大概是把所有同学都@了一遍
    看.tk域名就知道不是什么好东西
    点开之后果不其然
    高仿QQ相册钓鱼网站一个

    当时为防止有同学上当
    出于好心提醒我立马在说说中评论
    “实测为钓鱼站,请勿填写帐号密码。”
    结果盗号者居然把我的评论删了
    最后还是有很多人上当了

    现在愈演愈烈已经泛滥成灾
    空间里越来越多的同学发相同的说说
    内容都是同样的链接然后@不同的人

    估计不久我的同学中招的越来越多
    提醒什么的也根本没有用了

    现在把这个链接放出来
    不知各位有什么办法呢
    希望不让这个恶人得逞
    也希望同学能减少损失

    感谢万能的V2EX大神们


    # 钓鱼网站链接

    http://kucllmwnha.tk/?ak=piXkqk&_wv=5

    # 空间说说截图
    11 条回复    2015-04-30 19:48:22 +08:00
    ryd994
        1
    ryd994  
       2015-04-29 21:53:38 +08:00 via Android
    见到@ 一堆,我还都不认识的,直接删。
    xrui
        2
    xrui  
       2015-04-29 21:55:38 +08:00 via Android
    http://networkstresser.com
    我觉得没有更好的办法了
    zado
        3
    zado  
       2015-04-29 21:58:35 +08:00
    腾讯的默认登录几乎都不用https的,每次登录都是心惊胆战.
    processzzp
        4
    processzzp  
       2015-04-29 22:02:12 +08:00 via Android
    在QQ空间/微博上,我以为是这样:

     |    🐟  🐟
    J🐟  🐟  🐟
          🐟  🐟

    但是更多時候,我看到的是:

     |     🐟  🐟
     I 🐟  🐟  🐟
           🐟  🐟

    也许这就是傻子多了骗子不够用了吧
    (不是在讽刺某个人,但是这个群体就是给人这种印象)
    jsthon
        5
    jsthon  
    OP
       2015-04-29 22:05:26 +08:00 via Android
    @ryd994 可是他们@的有一半是我们共同的同学

    @xrui 我在尝试找安全漏洞,无果。

    @processzzp 但事实是我的同学中招的越来越多,毕竟大家对旧照片还是有兴趣,而且大家对网络安全防范意识并不高。


    依稀记得这里有大神的
    gxm123gxm
        6
    gxm123gxm  
       2015-04-29 22:12:45 +08:00
    是这个姿势么--> @typcn
    没有同学群啥的么?发到群里去
    processzzp
        7
    processzzp  
       2015-04-29 22:18:51 +08:00 via Android
    @jsthon @jsthon QQ空间漏洞本来就多,认真挖总能有收获😜。
    再说,帐号密码都送人家了,发一条说说有什么难度。QQ分组信息和备注搞到手,估计连你是谁都知道了,当然可以只@你认识的人了,@其他人的说说你又看不到。
    我觉得这已经算手下留情了,要是想捞一笔的肯定会继续挖一挖关系链,争取找朋友骗点钱/登录支付宝/爆掉其他的帐号/侮辱一下名誉之类的。给当事人造成的困扰还是很严重的
    其实这就像iPhone丢了之后的钓鱼邮件,认真看看URL基本上都能防住,可惜大多数人安全意识就是不高,这不能怪你。
    解决的方法我有两个 1: http://ctc.qzs.qq.com/qzone/web/qzone_submit_close.html
    2: https://technet.microsoft.com/en-us/library/hh278941.aspx
    说的有点乱,大概就这些意思,见谅
    RIcter
        8
    RIcter  
       2015-04-29 22:20:32 +08:00 via iPhone
    原來 xss 盲打能拿到後台,現在釣魚的都精明的不行,也都有過濾了還要繞 waf。
    不多說了怕被砍死233
    kslr
        9
    kslr  
       2015-04-29 23:20:36 +08:00 via Android
    理他们远点
    mrjoel
        10
    mrjoel  
       2015-04-30 18:34:42 +08:00
    不久前(2015年) 刷得qq空间说说存储xss两条 遂决定逐渐远离TX系产品(本人不用微信)
    jsthon
        11
    jsthon  
    OP
       2015-04-30 19:48:22 +08:00 via Android
    @mrjoel 身边的家人和同学都是QQ/微信,真是没办法了。微信/QQ/Telegram 现在我都在用。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1321 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:44 · PVG 01:44 · LAX 09:44 · JFK 12:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.