存档

文章标签 ‘QQ钓鱼网站’

实战–反击QQ钓鱼攻击

2010年2月9日 2 条评论

作者:不走的钟–007安全小组     

       腾讯不仅在技术上对QQ安全上做了很大的努力,而且还在认证管理上下了一翻心思(如激活、异地登陆等认证策略),然而很多网友还是丢了密码,导致通过QQ骗钱、诈骗等事件屡屡发生。下边通过实例给大家看看钓鱼网站的真面目,钓鱼网站如下(QQ群中看到的):
qoobs.us
www.freeqqs.com
www.3gqqcn.com
www.yearqq.com
www.3gregis.com
这几个网站在同一服务器上,为同一人所开,服务器在美国。

打开界面如下:

1

点击“我要免费Q币”

2

当你输入QQ和密码后,QQ和密码将以明文记录到网站后台,原以为这种钓鱼网站只能骗骗小孩,可在免费的Q币的诱惑下,还是有很多人上当,泄露了QQ密码,后台可以看到很多的QQ和密码(有管理员口令才能看到):

qq1
这套钓鱼程序N年前就见过,而且还存在几个漏洞,不过在以前的基础上添加了防注等功能,但是依然没有从根本上解决漏洞所在,不走的钟和CC经过半个小时的努力,拿到了webshell:

2jpg

十分钟后拿到了服务器权限:

3389

 

总结:

        免费QB、免费申请7位QQ、 QQ中奖均为古老的骗术,天下没有免费的午餐,提醒大家保护好自己的密码!这不仅仅是一个QQ号码的问题,如果别人使用你的QQ登陆后,和你的家人、朋友、同事”聊天”,那是多么的可怕 ……