雷鋒網按：近日，一起利用公共平臺正常分享功能的釣魚事件成為討論熱點，24小時內受害者超過16000余人，本文來自白帽匯，小諾將細致解讀一下事件的來龍去脈。

一陣急促的QQ信息提示音吵醒了小諾，他像是把分散在床上到處都是的四肢逐個喚醒了一遍后才能掙扎著拿出手機看了一眼，發(fā)現才睡了不到15分鐘……但當瞄到“釣魚鏈接”這四個字時，小諾硬生生咽下了即將脫口而出的抱怨，仿佛喚醒了身體中某個專屬進程一樣地突然興奮起來，畢竟這是自己所負責的威脅情報工作中，接觸最多的一個關鍵詞。

憑經驗，這種手段一看就知道是釣魚鏈接地址，不出意外的話點進去將會是一個仿造的QQ空間頁面，還會有個登錄框忽悠你輸入自己的QQ賬號和密碼。這已經是一種非常古老的釣魚方式了，但這次似乎它找到了一種新的方法繞過了騰訊的攔截過濾機制，讓不明真相的群眾誤認為這是以QQ相冊的“官方”名義發(fā)來的安全鏈接，注意看那個鏈接左下角的“QQ相冊”圖示。

點開鏈接后果然不出所料，目前能夠確認這是一個利用了騰訊分享組件的釣魚鏈接無疑。為了進一步確認，小諾還簡單構造還原了一下整個的跳轉過程。

不過這個釣魚方式未免也太不講究了，尤其是這個非常隨心所欲的登錄框。本以為是騰訊經典的XSS漏洞＋攔截馬套路，沒想到釣魚者根本不屑用，直接用URL跳轉＋表單提交的老方法。難度這么簡單，直接開搞～過程中右鍵看了一下頁面源代碼，居然發(fā)現它能識別訪問者IP，如果發(fā)現IP地址來自上海、深圳、天津、珠海的話，則自動跳轉至soft.baidu.com頁面。這是什么套路？難道是生長于斯，不忍對老鄉(xiāng)下手？

本以為能夠閉著眼搞到Cookie，沒想到，釣魚者居然還使用了網絡安全產品。

好在這對小諾來說難度依然不大，睜一只眼就夠了，順利收到Cookie～

不看不知道，即便如此簡單的釣魚手段，也仍然有人中招，乖乖獻上了自己的QQ賬號和密碼。

這激起了小諾的好奇心，不禁想要反查一下釣魚著究竟什么來頭。接下來，通過nosec平臺這個秘密武器對釣魚頁面域名進行反查詢，發(fā)現釣魚者共注冊了三個域名，其中只有兩個可以打開。

順手加了目錄用弱口令進行測試，居然成功了，看到釣魚者還使用了代理系統(tǒng)，用來分配多個不規(guī)則字符組成的二級域名。

再次應用nosec大數據平臺進行關聯查詢，又發(fā)現了一些，并且均是同一個團伙所為。

事已至此，小諾整理了下手頭資料，向相關公司提交了這個新被發(fā)現的疑似漏洞。

事后我們發(fā)現，從2016年9月18日17:43:48至次日13:09:54短短不到24小時的時間內，釣魚者已經獲取到了有超過16000個QQ賬號和密碼信息。也就是說，有超過16000人點擊了鏈接并輸入了自己的QQ賬號和密碼！

同時，小諾也再次提示大家，陌生鏈接、特別是需要輸入賬號密碼的鏈接請慎點；另外近期點擊并提交過自己賬號信息的，要及時去修改密碼。

單憑一個標題都能短時間讓至少16000人點擊，這個技能好像非常適合公眾號的同事……

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。