下午同事群里有人提醒,小心欺诈邮件。邮件内容为你的帐户在XX存在异地登录,已经进入了【保护模式】,如需解除请点击【解除保护模式】
除了链接之外,其它跟官方的是一模一样,包括标题。
那个链接的地址是:http://103.39.77.23:1100/ ,查了一下是香港的
主界面直接用邮件的资源,rescdn.qqmail.com
使用微信扫一扫是能登录的,但是会被跳转到了m.exmail.qq.com,但如果你输入了正确的帐号、密码,那么你的帐户从点击按钮那一刻开始就不安全了。下面截图是我故意输错的
对官方的html代码就只修改了登录点击的JavaScript函数,调用的是一个叫order.asp的接口 http://103.39.77.23:1100/order.asp
讲这件事情呢,主要是想说腾讯这么大的公司,目前的做法,其实对制作钓鱼网站的成本要求极低,某种程度上就默认允许钓鱼网站的存在。从技术上来讲,腾讯可以在识别钓鱼网站上做更多的努力,总比用户帐户被盗对用户、对腾讯自身的资源来讲,都节省了不少(用户帐户被盗就要找地方申诉,申诉又可能需要人工的干预)。
我列几个简单的实例方案:
1、腾讯官方的邮件,都使用特殊的标题,在浏览邮件时有特殊的标识(非邮件内容能表现出来的);
2、所有从邮件点击出去的链接,它都可以进行上报和识别,如果十分钟或者一段时间内,某个url被多人访问,它就去抓取该网页的内容(现在QQ聊天里就有,我发一个链接,过一会就把该页面的概况抓出来显示在下面了,如果认为有风险就显示黄色的icon,认为是安全的就是绿色的勾),判定里面是否包含腾讯/邮件等关键词,如果界面不让抓取,那就标为黄色,放入特定的队列中,需要人工来进行判断;
3、所有非域名(直接访问IP)的链接,全部进行特别的提醒;
4、对CDN资源启用防盗链(当然人家可以直接下载你的资源,但如果这样它做钓鱼网站的成本就高了);
当然,最好最最重要的是安全意识,上面那封邮件,如果你仔细去看,它的发件人就有问题。所以,最重要的还是自己的安全意识,这比什么都重要!