知道安全团队(KnownSec Team)于今日监测到一个模仿QQ安全中心的钓鱼网站,该钓鱼网站的仿真度极高。QQ用户一旦使用此网站提供的“修改密码”功能更改密码,可能导致账户被窃取。
钓鱼网站链接:http://www.qq-anquan.com/
钓鱼网站界面:
当用户进入http://www.qq-anquan.com/ydbhht/Index.htm时,将会出现一个登录窗口,要求用户输入账户、密码以及验证码(验证码是从腾讯网站上调用来的)。
在登录窗口上点击右键,选择“属性”,来看下该窗口的URL:
http://www.qq-anquan.com/ydbhht/QQ安全中心.files/login.htm
显然该窗口并非腾讯官方的。
将该链接复制到地址栏,继续分析。
点击右键,查看源文件:
从第59行到61行,可以看到一个表单的标签:
<FORM id=loginform style=”MARGIN: 0px” name=loginform
onreset=”return onFormReset(loginform)” onSubmit=”return ptui_onLoginEx(loginform, ‘qq.com’)”
action=../one/index_1.asp target=”_parent”>
表单标签的“action=”之后的链接即登录框内信息所要提交的页面。
从这里我们可以看出,信息不是提交到腾讯官方的登录页面的。
通过以上信息,我们可以复原该钓鱼网站的登录信息记录页面为:
http://www.qq-anquan.com/ydbhht/one/index_1.asp
复原链接的方法是这样的:
../是指当前目录的上一级目录,在这里就是指http://www.qq-anquan.com/ydbhht/
然后将one/index_1.asp直接添加到上面就得到了完整的URL。
直接将连接复制到地址栏里,打开新页面,该页面内部调用了http://www.qq-anquan.com/ydbhht/one/QQ安全中心.files/set_question.asp
将鼠标在文本框附近点右键查看“属性”可以看到。当然直接查看当前页面的源文件也可以发现一个框架:
<IFRAME src=”QQ安全中心.files/set_question.asp?u=&p=” mce_src=”QQ安全中心.files/set_question.asp?u=&p=” frameBorder=0
width=800 scrolling=no height=350></IFRAME>
进入http://www.qq-anquan.com/ydbhht/one/QQ安全中心.files/set_question.asp查看源文件,可以发现:
<FORM name=myform onSubmit=”return checkForm();”
action=../../humeiyan/set.asp method=post autocomplete=”off”>
复原链接:http://www.qq-anquan.com/ydbhht/humeiyan/set.asp
直接进入该链接,可以发现,该页面提示:
但实际我们是没有输入密码的。O(∩_∩)O哈哈~
今后大家遇到类似的网站,无法判断真假的时候也可以通过以上步骤进行简单的判断。
我们很乐意他人使用我们的工作成果,如果使用我们数据的请通知我们一下,我们将十分感谢。
如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们:
邮箱:sec@knownsec.com或sec@scanw.com
联系电话:13552251891。
知道创宇:专业的WEB安全公司 www.knownsec.com
Popularity: 14% [?]
