Logo
Memu
Action
Document Page

正在打游戏,突然收到一条邮件。过了一会不只是我一个人收到,舍友也收到了。

打开链接:http://qqmaildd.acqmail.org.cn/login/4.htmlwebwork_admin/user/h5/qqmail_user_card/vcebb9d0e37a1941d6


如图所示:

显然这是一个仿制的登录页面,HTTP链接,看起来一点都不像的域名已经把它给出卖了。但是如果使用手机打开,就是这样的效果:

一些手机的App比较鸡贼,它不会显示当前的“URL”地址,也不会提示“HTTP”不安全,这就让一些人下意识的认为这就是去登录QQ邮箱,但是你没有意识到你刚刚从QQ邮箱打开这个玩意(非QQ邮箱的用户除外,不过既然都非QQ邮箱了,安全意识应该比较强了才对)。

流程学习

打开“F12”发现了一个“iframe”嵌入标签,

打开这个链接:http://qqmaildd.acqmail.org.cn/Login.php?u=cc930


一个登录表单,登录的逻辑如下

通过拼接“GET”请求链接进行登录,附上三个参数

  • user:固定为“cc930”(其实会变化的)
  • u,用户名
  • p,密码

成功后,会返回一个“1”,之后会转跳到“https://www.eol.cn/html/df/shaanxi/2016byj/”一个教育网站。


可见,并没有对“密码”做校验,说明“后台”只是简单的记录一下数据。

猜测会记录

  • 登录IP(用户归属地)
  • 账号,密码
  • user,对应某一次的钓鱼


之后应该会有人工来挂上“IP”归属地的代理,进行登录的手动测试。


至此,整个流程大概就应该是这样的,可以看出来这个过程非常的简单,但是只要点的人多,自然会有很多收益,尤其是针对特定的目标群体。

收集信息

WHOIS

刚注册不久的域名。


下面还要其它三个域名,对这个QQ邮件感兴趣。


居然发现一个QQ号,简单看一下。


只是一个小号罢了,估计也是其它途径购入的,想尝试继续发掘,但是能力有限,看不到绑定的手机号,也查不到啥其它结果了。


DNS解析


只有一个解析地址,很可能是“直连 IP”,但是我没找到进一步的有用信息。

找后台

抱歉,没找到,太菜了。


不过测试几个其它钓鱼地址


总结

这是一个很简单的钓鱼网站,搭建成本也很低

  • 一年的cn域名,org.cn 域名,约 30。
  • 一个月的服务器,约 50。
  • 静态页面克隆,COPY & PASTE
  • PHP 管理后台开发,1~3 天。
  • 邮件群发,(收购账号利用账号的关系网,人工 or 手动)。


后续,写一个虚假数据生成器。

发送虚假请求

通过“GET”请求,将随机生成的数据发送给对方,虽然效果不大,但是可以恶心一下对方。


最后,希望有大佬出手来简单“修整”一下这个钓鱼网站。

Footer