QQ邮箱的安全问题
下午同事群里有人提醒,小心欺诈邮件。邮件内容为你的帐户在XX存在异地登录,已经进入了【保护模式】,如需解除请点击【解除保护模式】
除了链接之外,其它跟官方的是一模一样,包括标题。
那个链接的地址是:http://103.39.77.23:1100/ ,查了一下是香港的
主界面直接用邮件的资源,rescdn.qqmail.com
使用微信扫一扫是能登录的,但是会被跳转到了m.exmail.qq.com,但如果你输入了正确的帐号、密码,那么你的帐户从点击按钮那一刻开始就不安全了。下面截图是我故意输错的
对官方的html代码就只修改了登录点击的JavaScript函数,调用的是一个叫order.asp的接口 http://103.39.77.23:1100/order.asp
讲这件事情呢,主要是想说腾讯这么大的公司,目前的做法,其实对制作钓鱼网站的成本要求极低,某种程度上就默认允许钓鱼网站的存在。从技术上来讲,腾讯可以在识别钓鱼网站上做更多的努力,总比用户帐户被盗对用户、对腾讯自身的资源来讲,都节省了不少(用户帐户被盗就要找地方申诉,申诉又可能需要人工的干预)。
我列几个简单的实例方案:
1、腾讯官方的邮件,都使用特殊的标题,在浏览邮件时有特殊的标识(非邮件内容能表现出来的);
2、所有从邮件点击出去的链接,它都可以进行上报和识别,如果十分钟或者一段时间内,某个url被多人访问,它就去抓取该网页的内容(现在QQ聊天里就有,我发一个链接,过一会就把该页面的概况抓出来显示在下面了,如果认为有风险就显示黄色的icon,认为是安全的就是绿色的勾),判定里面是否包含腾讯/邮件等关键词,如果界面不让抓取,那就标为黄色,放入特定的队列中,需要人工来进行判断;
3、所有非域名(直接访问IP)的链接,全部进行特别的提醒;
4、对CDN资源启用防盗链(当然人家可以直接下载你的资源,但如果这样它做钓鱼网站的成本就高了);
当然,最好最最重要的是安全意识,上面那封邮件,如果你仔细去看,它的发件人就有问题。所以,最重要的还是自己的安全意识,这比什么都重要!
最新文章
- PHP环境配置
- C#图片处理常见方法性能比较
- C fwrite
- Visual Studio命令行工具
- MySQL主从同步配置(Ubuntu)
- ichecked 全选、反选
- UIApplication详解
- java多线程系类:基础篇:03Thread中的start()和run()的区别
- error MSB6006: “cmd.exe”已退出,代码为 3。
- zxing扫码--镭射线
- linux内核启动参数
- jquery 异步请求Demo【转载】
- 转发:为什么Android使用弱加密算法?
- server宕机监控、检測、报警程序(139绑定手机短信报警)monitor_down.sh
- 序列化之对象,字符串,byte数组,XML之间的转换(一)
- web.xml is missing and <;failOnMissingWebXml>; is set to true
- JAVA 调用https接口, java.security.cert.CertificateException
- centOS6.8开放防火墙端口
- Bug : Cannot evaluate ...toString()
- cent7安装ffmpeg