注:近日,一起操纵公共平台正常分享功能的垂钓事件成为会商热点,24小时内受害者超过16000余人,本文来自白帽汇,小诺将注意解读一下事件的来龙去脉。
一阵急促的QQ信息提示音吵醒了小诺,他像是把分离在床上处处都是的四肢逐个唤醒了一遍后才能挣扎着拿出手机看了一眼,发现才睡了不到15分钟……但当瞄到“垂钓链接”这四个字时,小诺硬生生咽下了即将脱口而出的抱怨,仿佛唤醒了身体中某个专属进程一样地忽然兴奋起来,究竟这是本身所负责的威胁谍报工作中,接触最多的一个关键词。
凭经验,这种手段一看就知道是垂钓链接地址,不出不测的话点进去将会是一个仿造的QQ空间页面,还会有个登录框忽悠你输入本身的QQ账号和暗码。这已经是一种很是古老的垂钓方式了,但此次似乎它找到了一种新的方式绕过了腾讯的阻挡过滤机制,让不明本相的群众误认为这是以QQ相册的“官方”名义发来的安全链接,留意看阿谁链接左下角的“QQ相册”图示。
点开链接后公然不出所料,目前能够确认这是一个操纵了腾讯分享组件的垂钓链接无疑。为了进一步确认,小诺还简单组织还原了一下整个的跳转过程。
不外这个垂钓方式不免难免也太不讲究了,尤其是这个很是随心所欲的登录框。本以为是腾讯经典的XSS缝隙+阻挡马套路,没想到垂钓者底子不屑用,直接用URL跳转+表单提交的老方式。难度这么简单,直接开搞~过程中右键看了一下页面源代码,居然发现它能识别拜候者IP,假如发现IP地址来自上海、深圳、天津、珠海的话,则主动跳转至soft.baidu.com页面。这是什么套路?难道是发展于斯,不忍对老乡下手?
本以为能够闭着眼搞到Cookie,没想到,垂钓者居然还使用了网络安全产物。
好在这对小诺来说难度依然不大,睁一只眼就够了,顺利收到Cookie~
不看不知道,即便如此简单的垂钓手段,也仍然有人中招,乖乖献上了本身的QQ账号和暗码。
这激起了小诺的好奇心,不禁想要反查一下垂钓着究竟什么来头。接下来,通过nosec平台这个奥秘兵器对垂钓页面域名进行反查询,发现垂钓者共注册了三个域名,此中只有两个可以打开。
顺手加了目录用弱口令进行测试,居然成功了,看到垂钓者还使用了代办署理系统,用来分派多个不法则字符构成的二级域名。
再次应用nosec大数据平台进行关联查询,又发现了一些,而且均是同一个团伙所为。
事已至此,小诺整理了下手头资料,向相关公司提交了这个新被发现的疑似缝隙。
过后我们发现,从2016年9月18日17:43:48至次日13:09:54短短不到24小时的时间内,垂钓者已经获取到了有超过16000个QQ账号和暗码信息。也就是说,有超过16000人点击了链接并输入了本身的QQ账号和暗码!
同时,小诺也再次提示各人,生疏链接、特殊是需要输入账号暗码的链接请慎点;别的近期点击并提交过本身账号信息的,要及时去点窜暗码。
单凭一个标题都能短时间让至少16000人点击,这个技能似乎很是适合公家号的同事……
来源:雷锋网