• QQ邮箱的安全问题


    下午同事群里有人提醒,小心欺诈邮件。邮件内容为你的帐户在XX存在异地登录,已经进入了【保护模式】,如需解除请点击【解除保护模式】

    除了链接之外,其它跟官方的是一模一样,包括标题。

    那个链接的地址是:http://103.39.77.23:1100/ ,查了一下是香港的

     

    主界面直接用邮件的资源,rescdn.qqmail.com

     

    使用微信扫一扫是能登录的,但是会被跳转到了m.exmail.qq.com,但如果你输入了正确的帐号、密码,那么你的帐户从点击按钮那一刻开始就不安全了。下面截图是我故意输错的

     

    对官方的html代码就只修改了登录点击的JavaScript函数,调用的是一个叫order.asp的接口 http://103.39.77.23:1100/order.asp 

     

     

    讲这件事情呢,主要是想说腾讯这么大的公司,目前的做法,其实对制作钓鱼网站的成本要求极低,某种程度上就默认允许钓鱼网站的存在。从技术上来讲,腾讯可以在识别钓鱼网站上做更多的努力,总比用户帐户被盗对用户、对腾讯自身的资源来讲,都节省了不少(用户帐户被盗就要找地方申诉,申诉又可能需要人工的干预)。

    我列几个简单的实例方案:

    1、腾讯官方的邮件,都使用特殊的标题,在浏览邮件时有特殊的标识(非邮件内容能表现出来的);

    2、所有从邮件点击出去的链接,它都可以进行上报和识别,如果十分钟或者一段时间内,某个url被多人访问,它就去抓取该网页的内容(现在QQ聊天里就有,我发一个链接,过一会就把该页面的概况抓出来显示在下面了,如果认为有风险就显示黄色的icon,认为是安全的就是绿色的勾),判定里面是否包含腾讯/邮件等关键词,如果界面不让抓取,那就标为黄色,放入特定的队列中,需要人工来进行判断;

    3、所有非域名(直接访问IP)的链接,全部进行特别的提醒;

    4、对CDN资源启用防盗链(当然人家可以直接下载你的资源,但如果这样它做钓鱼网站的成本就高了);

     

    当然,最好最最重要的是安全意识,上面那封邮件,如果你仔细去看,它的发件人就有问题。所以,最重要的还是自己的安全意识,这比什么都重要!

  • 相关阅读:
    今天把Oxite给部署起来了!
    PC游戏领域十年间十大败笔
    每天的流水账(2009916)
    小黑颠覆之作 ThinkPad Edge 13真机试用
    向大师们学习Javascript(视频、PPT)
    Google手机Nexus One单挑iPhone、HTC Hero 多图
    福布斯评下一个比尔·盖茨:一半来自中国
    每天的流水账(2009915)
    场地简介
    腾讯品牌形象店即将完工 设计曝光
  • 原文地址:https://www.cnblogs.com/meteoric_cry/p/4984518.html
Copyright © 2020-2023  润新知