QQ邮箱的安全问题
下午同事群里有人提醒,小心欺詐郵件。郵件內容為你的帳戶在XX存在異地登錄,已經進入了【保護模式】,如需解除請點擊【解除保護模式】
除了鏈接之外,其它跟官方的是一模一樣,包括標題。
那個鏈接的地址是:http://103.39.77.23:1100/ ,查了一下是香港的
?
主界面直接用郵件的資源,rescdn.qqmail.com
?
使用微信掃一掃是能登錄的,但是會被跳轉到了m.exmail.qq.com,但如果你輸入了正確的帳號、密碼,那么你的帳戶從點擊按鈕那一刻開始就不安全了。下面截圖是我故意輸錯的
?
對官方的html代碼就只修改了登錄點擊的JavaScript函數,調用的是一個叫order.asp的接口 http://103.39.77.23:1100/order.asp?
?
?
講這件事情呢,主要是想說騰訊這么大的公司,目前的做法,其實對制作釣魚網站的成本要求極低,某種程度上就默認允許釣魚網站的存在。從技術上來講,騰訊可以在識別釣魚網站上做更多的努力,總比用戶帳戶被盜對用戶、對騰訊自身的資源來講,都節省了不少(用戶帳戶被盜就要找地方申訴,申訴又可能需要人工的干預)。
我列幾個簡單的實例方案:
1、騰訊官方的郵件,都使用特殊的標題,在瀏覽郵件時有特殊的標識(非郵件內容能表現出來的);
2、所有從郵件點擊出去的鏈接,它都可以進行上報和識別,如果十分鐘或者一段時間內,某個url被多人訪問,它就去抓取該網頁的內容(現在QQ聊天里就有,我發一個鏈接,過一會就把該頁面的概況抓出來顯示在下面了,如果認為有風險就顯示黃色的icon,認為是安全的就是綠色的勾),判定里面是否包含騰訊/郵件等關鍵詞,如果界面不讓抓取,那就標為黃色,放入特定的隊列中,需要人工來進行判斷;
3、所有非域名(直接訪問IP)的鏈接,全部進行特別的提醒;
4、對CDN資源啟用防盜鏈(當然人家可以直接下載你的資源,但如果這樣它做釣魚網站的成本就高了);
?
當然,最好最最重要的是安全意識,上面那封郵件,如果你仔細去看,它的發件人就有問題。所以,最重要的還是自己的安全意識,這比什么都重要!
轉載于:https://www.cnblogs.com/meteoric_cry/p/4984518.html
總結
- 上一篇: OC中语法糖,最新语法总结
- 下一篇: 【转】android TV CTS 4.