釣魚網(wǎng)站“四級跳”竊取用戶QQ密保

日前，暗組安全微博披露了一種新型郵件釣魚手段：黑客假冒“QQ安全中心”名義，誘騙用戶在釣魚網(wǎng)站上輸入QQ帳號和密碼，并以“QQ帳號功能受限”為由套取QQ密保資料，使中招者被盜號后難以找回密碼。據(jù)驗證，國內(nèi)安全軟件中360安全衛(wèi)士已對該釣魚網(wǎng)站實施攔截。

圖1：360攔截假冒“QQ安全中心”的釣魚網(wǎng)站

值得警惕的是，攻擊者使用罕見的“四級跳轉(zhuǎn)”方式，首先從騰訊拍拍跳到Manyou開發(fā)者網(wǎng)站、再跳到央視網(wǎng)、搜狐微博、最終跳到仿冒QQ安全中心的釣魚網(wǎng)站，從而繞過部分防跨站的驗證程序。

圖2：該釣魚鏈接通過四連跳繞開部分防跨站的驗證程序

隨后，該釣魚鏈接會提示用戶的QQ帳號部分功能受到臨時限制，提示用戶通過驗證帳號資料才能解除限制(如圖3所示)。

圖3：釣魚鏈接彈出虛假提示頁面欺騙用戶

“點擊解除限制”，該釣魚網(wǎng)站偽造了一個手機短信驗證頁面(如圖4所示)。其實只要用戶隨便輸入8位數(shù)字，都可以順利進入下一步。

圖4：釣魚鏈接偽造的短信驗證頁面

原來，現(xiàn)在的釣魚網(wǎng)站不光會騙QQ帳號和密碼，連QQ密保資料也成了它的獵物(如圖5所示)。

圖5：QQ密保資料才是釣魚網(wǎng)站的最終目的

網(wǎng)絡(luò)釣魚花樣繁多，這里我們要提醒大家，上網(wǎng)你可長點心吧，千萬認準官方網(wǎng)址。另外對中老年電腦用戶來說，裝款國產(chǎn)安全軟件防防釣魚，也能起到一定的提醒警示作用。