伪装成QQ空间的恶意页面
乍一看是QQ空间的登录页面,而实际上,它却是来自于恶意网站的一个页面,只不过,它的样式和真正的QQ空间登录页面完全一样。
下拉后看到真实访问的域名(非真实钓鱼页面,仅演示)
仗着在QQ和微信中浏览网页时无法看到网站具体的链接,让真实性大大增加了。其实只要你输入了账号和密码,就会被它记录下来,然后跳转到真正的QQ空间登录页面,你的QQ账号也就离家出走了。
可能你觉得,这么初级的攻击手段会有人信吗?真的!虽然已经2020年了,可还是有不少人傻乎乎的将QQ密码输进去。这就是钓鱼攻击,鱼饵撒好,愿者上钩,不求命中率高,钓的多了,总会有人中招。
其实也有几分防不胜防有些朋友可能会疑惑,我根本没有向奇怪的页面输入过QQ账号密码啊,为什么依然被盗了呢?这里就不提到另外一种手段:撞库攻击。
相信有不少人安全意识很强,设置过好几个密码。然而,就像笔者这样的专业信息安全从业者,也难以做到注册每个网站时都使用不同的密码,完全记不住啊亲!
这就会出现多个网站使用同一个密码的情况:比如,你的QQ密码、微信密码、支付宝登录密码、某论坛的登录密码是一样的。那么这四者中,某论坛的安全性是较差的,可能被人恶意攻击,然后拿到了它的所有数据,这时你的登录密码就被泄露了。
接着,攻击者会拿着你已经泄露的手机号、密码去尝试登录QQ、微信、微博等常用平台,有能登录成功的,也有无法登录的,这就是所谓的撞库攻击了。这也就是为什么有时候你什么也没做,QQ就莫名其妙被盗的原因。
本来,我们的密码是不允许直接储存在网站的,而是储存一个对应的加salt的哈希值作为替代。当登录时,网站会通过这个哈希值来判断我们输入的密码是否正确。这也就意味着,即使网站所有的数据泄露,攻击者依然拿不到我们的真实密码。
可惜的是,以笔者的信息安全从业经验来看,现在还是有小半的网站明文储存密码,或者不加salt(导致哈希值可被彩虹表破解),那么在把重要的密码交给这些网站的时候,你的信息安全也就由不得你掌控了,可谓防不胜防。
我们应该怎么办摸清了这些惯用的盗号套路,我们也就能对症下药了。
首先,不要随便点击奇怪的链接或随便扫描二维码,尤其是涉及到登录的时候,一定要看清访问的链接是不是对应的网站。QQ和微信可以通过轻轻下拉页面看到访问链接的真正域名。