日前,暗组安全微博披露了一种新型邮件钓鱼手段:黑客假冒“QQ安全中心”名义,诱骗用户在钓鱼网站上输入QQ帐号和密码,并以“QQ帐号功能受限”为由套取QQ密保资料,使中招者被盗号后难以找回密码。据验证,国内安全软件中360安全卫士已对该钓鱼网站实施拦截。
图1:360拦截假冒“QQ安全中心”的钓鱼网站
值得警惕的是,攻击者使用罕见的“四级跳转”方式,首先从腾讯拍拍跳到Manyou开发者网站、再跳到央视网、搜狐微博、最终跳到仿冒QQ安全中心的钓鱼网站,从而绕过部分防跨站的验证程序。
图2:该钓鱼链接通过四连跳绕开部分防跨站的验证程序
随后,该钓鱼链接会提示用户的QQ帐号部分功能受到临时限制,提示用户通过验证帐号资料才能解除限制(如图3所示)。
图3:钓鱼链接弹出虚假提示页面欺骗用户
“点击解除限制”,该钓鱼网站伪造了一个手机短信验证页面(如图4所示)。其实只要用户随便输入8位数字,都可以顺利进入下一步。
图4:钓鱼链接伪造的短信验证页面
原来,现在的钓鱼网站不光会骗QQ帐号和密码,连QQ密保资料也成了它的猎物(如图5所示)。
图5:QQ密保资料才是钓鱼网站的最终目的
网络钓鱼花样繁多,这里我们要提醒大家,上网你可长点心吧,千万认准官方网址。另外对中老年电脑用户来说,装款国产安全软件防防钓鱼,也能起到一定的提醒警示作用。
