雷鋒網(wǎng)按：近日，一起利用公共平臺(tái)正常分享功能的釣魚(yú)事件成為討論熱點(diǎn)，24小時(shí)內(nèi)受害者超過(guò)16000余人，本文來(lái)自白帽匯，小諾將細(xì)致解讀一下事件的來(lái)龍去脈。

一陣急促的QQ信息提示音吵醒了小諾，他像是把分散在床上到處都是的四肢逐個(gè)喚醒了一遍后才能掙扎著拿出手機(jī)看了一眼，發(fā)現(xiàn)才睡了不到15分鐘……但當(dāng)瞄到“釣魚(yú)鏈接”這四個(gè)字時(shí)，小諾硬生生咽下了即將脫口而出的抱怨，仿佛喚醒了身體中某個(gè)專屬進(jìn)程一樣地突然興奮起來(lái)，畢竟這是自己所負(fù)責(zé)的威脅情報(bào)工作中，接觸最多的一個(gè)關(guān)鍵詞。

憑經(jīng)驗(yàn)，這種手段一看就知道是釣魚(yú)鏈接地址，不出意外的話點(diǎn)進(jìn)去將會(huì)是一個(gè)仿造的QQ空間頁(yè)面，還會(huì)有個(gè)登錄框忽悠你輸入自己的QQ賬號(hào)和密碼。這已經(jīng)是一種非常古老的釣魚(yú)方式了，但這次似乎它找到了一種新的方法繞過(guò)了騰訊的攔截過(guò)濾機(jī)制，讓不明真相的群眾誤認(rèn)為這是以QQ相冊(cè)的“官方”名義發(fā)來(lái)的安全鏈接，注意看那個(gè)鏈接左下角的“QQ相冊(cè)”圖示。

點(diǎn)開(kāi)鏈接后果然不出所料，目前能夠確認(rèn)這是一個(gè)利用了騰訊分享組件的釣魚(yú)鏈接無(wú)疑。為了進(jìn)一步確認(rèn)，小諾還簡(jiǎn)單構(gòu)造還原了一下整個(gè)的跳轉(zhuǎn)過(guò)程。

不過(guò)這個(gè)釣魚(yú)方式未免也太不講究了，尤其是這個(gè)非常隨心所欲的登錄框。本以為是騰訊經(jīng)典的XSS漏洞＋攔截馬套路，沒(méi)想到釣魚(yú)者根本不屑用，直接用URL跳轉(zhuǎn)＋表單提交的老方法。難度這么簡(jiǎn)單，直接開(kāi)搞～過(guò)程中右鍵看了一下頁(yè)面源代碼，居然發(fā)現(xiàn)它能識(shí)別訪問(wèn)者IP，如果發(fā)現(xiàn)IP地址來(lái)自上海、深圳、天津、珠海的話，則自動(dòng)跳轉(zhuǎn)至soft.baidu.com頁(yè)面。這是什么套路？難道是生長(zhǎng)于斯，不忍對(duì)老鄉(xiāng)下手？

本以為能夠閉著眼搞到Cookie，沒(méi)想到，釣魚(yú)者居然還使用了網(wǎng)絡(luò)安全產(chǎn)品。

好在這對(duì)小諾來(lái)說(shuō)難度依然不大，睜一只眼就夠了，順利收到Cookie～

不看不知道，即便如此簡(jiǎn)單的釣魚(yú)手段，也仍然有人中招，乖乖獻(xiàn)上了自己的QQ賬號(hào)和密碼。

這激起了小諾的好奇心，不禁想要反查一下釣魚(yú)著究竟什么來(lái)頭。接下來(lái)，通過(guò)nosec平臺(tái)這個(gè)秘密武器對(duì)釣魚(yú)頁(yè)面域名進(jìn)行反查詢，發(fā)現(xiàn)釣魚(yú)者共注冊(cè)了三個(gè)域名，其中只有兩個(gè)可以打開(kāi)。

順手加了目錄用弱口令進(jìn)行測(cè)試，居然成功了，看到釣魚(yú)者還使用了代理系統(tǒng)，用來(lái)分配多個(gè)不規(guī)則字符組成的二級(jí)域名。

再次應(yīng)用nosec大數(shù)據(jù)平臺(tái)進(jìn)行關(guān)聯(lián)查詢，又發(fā)現(xiàn)了一些，并且均是同一個(gè)團(tuán)伙所為。

事已至此，小諾整理了下手頭資料，向相關(guān)公司提交了這個(gè)新被發(fā)現(xiàn)的疑似漏洞。

事后我們發(fā)現(xiàn)，從2016年9月18日17:43:48至次日13:09:54短短不到24小時(shí)的時(shí)間內(nèi)，釣魚(yú)者已經(jīng)獲取到了有超過(guò)16000個(gè)QQ賬號(hào)和密碼信息。也就是說(shuō)，有超過(guò)16000人點(diǎn)擊了鏈接并輸入了自己的QQ賬號(hào)和密碼！

同時(shí)，小諾也再次提示大家，陌生鏈接、特別是需要輸入賬號(hào)密碼的鏈接請(qǐng)慎點(diǎn)；另外近期點(diǎn)擊并提交過(guò)自己賬號(hào)信息的，要及時(shí)去修改密碼。

單憑一個(gè)標(biāo)題都能短時(shí)間讓至少16000人點(diǎn)擊，這個(gè)技能好像非常適合公眾號(hào)的同事……

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。