[黑产科普]最近大规模的QQ空间钓鱼攻击
小八卦下黑产
这几天收到一些朋友的留言说希望能科普下这个黑产:
“弦哥,能科普下黑产现在发展到什么阶段了吗?普通用户的哪些信息被卖给谁了?”
“你好,可以科普些黑客们做黑产的事吗?他们怎么盈利?刷网游?盗购物单?卖网民隐私?还是做什么赚钱的呢?谢谢科普”
这话题太大了,太大了……
黑产做的都是一些法律不允许或走法律擦边球的一些事,通常都能够暴利,在网络上的黑产分很多种:挂马、暗链、垃圾邮件、钓鱼、中奖欺诈、垃圾站、恶意软件、吸费软件、盗版(电影)、色情、博彩等等,10几种大类,几十种小类,这些欺骗网民感情的网站(除了某些真色情、真盗版电影的网站)都是我们应该警惕的,即使你不中招,你爸妈,亲朋好友也可能中招,大家可以到安全联盟的官网看看每天被网民举报的网址有多少:http://www.anquan.org/seccenter/accusation/,并可以到首页上查下自己访问的一些网站的信誉,如果信誉低劣,就得谨慎了。
黑产种类这么多,我也没办法在一篇文章里科普完,只能每次来个经典案例,通过案例本身来看黑产吧。
一次经典的QQ空间钓鱼案例
这次的案例非常经典,是安全联盟伙伴电脑管家捕获到的。近日电脑管家捕获到了一起大规模的QQ空间钓鱼攻击,我们进行了快速响应,追根溯源,直捣黄龙,不仅分析了传播手法,还搞下了目标利用程序与背后的一些活动信息,目前还不方便公开所有细节,我将大体过程八卦下(以下取证来自我们的某位安全研究员帅哥):
管家发了我一批钓鱼列表,其中几个:
http://www.websbook.com/code/plus/download.php?open=1&link=aHR0cDovL2NvZGUxLndlYnNib29rLmNvbS91cGltZy9qcy9zbGlkZS1zaG93NS5yYXI=
http://anquan.com.cn/pop/119/to/l.php?i=/I/m.aspx?/379/130
http://waimaoquan.alibaba.com/wm/plus/download.php?open=1&link=aHR0cDovL3VybDcubWUvT2FOcQ==
http://waimaoquan.alibaba.com/wm/plus/download.php?open=1&link=aHR0cDovL3VybDcubWUvVGlOcQ==
阿里巴巴居然也被利用了,我分析发现plus/download.php这个特征似乎眼熟,问了下我们安全研究团队的牛哥,他说是DedeCMS,link参数的值base64编码了,解码后是目标钓鱼地址的短网址形式,这个大规模的钓鱼链接传播利用了DedeCMS的跳转漏洞。
这样隐藏的好处很明显,大家第一眼是看不出这个URL有什么问题的,以大网站为载体进行传播是目前钓鱼网站传播的最流行手段,所以在这个产业链环节中有一个重要的交易就是:买卖跳转链。
钓鱼还需要一套钓鱼程序,比如说QQ空间的钓鱼程序,公开报价300、500一套。得看程序质量了,下面有个钓鱼程序后台的一个截图:
这个钓鱼程序虽然简陋,不过服务态度太好了,而且还声明了:请勿做任何违反法律的事……
小八卦下黑产
无奈人生安全网
这几天收到一些朋友的留言说希望能科普下这个黑产:
copyright 无奈人生
“弦哥,能科普下黑产现在发展到什么阶段了吗?普通用户的哪些信息被卖给谁了?”
www.wnhack.com
“你好,可以科普些黑客们做黑产的事吗?他们怎么盈利?刷网游?盗购物单?卖网民隐私?还是做什么赚钱的呢?谢谢科普” 无奈人生安全网
这话题太大了,太大了…… 无奈人生安全网
黑产做的都是一些法律不允许或走法律擦边球的一些事,通常都能够暴利,在网络上的黑产分很多种:挂马、暗链、垃圾邮件、钓鱼、中奖欺诈、垃圾站、恶意软件、吸费软件、盗版(电影)、色情、博彩等等,10几种大类,几十种小类,这些欺骗网民感情的网站(除了某些真色情、真盗版电影的网站)都是我们应该警惕的,即使你不中招,你爸妈,亲朋好友也可能中招,大家可以到安全联盟的官网看看每天被网民举报的网址有多少:http://www.anquan.org/seccenter/accusation/,并可以到首页上查下自己访问的一些网站的信誉,如果信誉低劣,就得谨慎了。
黑产种类这么多,我也没办法在一篇文章里科普完,只能每次来个经典案例,通过案例本身来看黑产吧。 copyright 无奈人生
一次经典的QQ空间钓鱼案例
这次的案例非常经典,是安全联盟伙伴电脑管家捕获到的。近日电脑管家捕获到了一起大规模的QQ空间钓鱼攻击,我们进行了快速响应,追根溯源,直捣黄龙,不仅分析了传播手法,还搞下了目标利用程序与背后的一些活动信息,目前还不方便公开所有细节,我将大体过程八卦下(以下取证来自我们的某位安全研究员帅哥): copyright 无奈人生
管家发了我一批钓鱼列表,其中几个: 无奈人生安全网
http://www.websbook.com/code/plus/download.php?open=1&link=aHR0cDovL2NvZGUxLndlYnNib29rLmNvbS91cGltZy9qcy9zbGlkZS1zaG93NS5yYXI= 本文来自无奈人生安全网
http://anquan.com.cn/pop/119/to/l.php?i=/I/m.aspx?/379/130 本文来自无奈人生安全网
http://waimaoquan.alibaba.com/wm/plus/download.php?open=1&link=aHR0cDovL3VybDcubWUvT2FOcQ== 本文来自无奈人生安全网
http://waimaoquan.alibaba.com/wm/plus/download.php?open=1&link=aHR0cDovL3VybDcubWUvVGlOcQ==
copyright 无奈人生
阿里巴巴居然也被利用了,我分析发现plus/download.php这个特征似乎眼熟,问了下我们安全研究团队的牛哥,他说是DedeCMS,link参数的值base64编码了,解码后是目标钓鱼地址的短网址形式,这个大规模的钓鱼链接传播利用了DedeCMS的跳转漏洞。 内容来自无奈安全网
这样隐藏的好处很明显,大家第一眼是看不出这个URL有什么问题的,以大网站为载体进行传播是目前钓鱼网站传播的最流行手段,所以在这个产业链环节中有一个重要的交易就是:买卖跳转链。 本文来自无奈人生安全网
钓鱼还需要一套钓鱼程序,比如说QQ空间的钓鱼程序,公开报价300、500一套。得看程序质量了,下面有个钓鱼程序后台的一个截图: 无奈人生安全网
无奈人生安全网
这个钓鱼程序虽然简陋,不过服务态度太好了,而且还声明了:请勿做任何违反法律的事……