盗号者:我就想欺负你们这些不懂盗号原理的小白「建议收藏」

盗号者:我就想欺负你们这些不懂盗号原理的小白「建议收藏」“好好看完这篇文章,不做盗号者眼里的香饽饽!”

大家好,又见面了,我是你们的朋友全栈君。

在这里插入图片描述

00 前情提要

很多人以为盗号离我们很远,但其实不然。以我为例,我是信息安全专业的,身边就有不少人中过招,其中不乏我的专业老师,许多学校里的朋友、甚至是专业信息安全赛事群里的小伙伴。
在这里插入图片描述
在这里插入图片描述
但其实号被盗了,也不能全怪咱们太不小心了。

毕竟,现如今,各种花里胡哨的盗号手段层出不穷简直不要太狡猾。很多人一不小心就会踩到雷,甚至很多时候大多数被盗号的人都不知道自己什么时候就被盗号了。

那么接下里,我就以一个简单的类似于微信盗号的流程来举例,给大家看看盗号背后的原理

01 流程解析

1.假设我们收到一张图片,上面的内容是这样的

在这里插入图片描述
2.很多人会觉得这是一个工具的二维码图片,如果真的想要清理好友的话,或许真的会扫。

那我们以一个普通用户的角度,去扫码,会经历什么呢?

好,扫描二维码进入一个微信页面
在这里插入图片描述
依次按照上面的提示操作,获得以下提示:让你选择登陆地( 或许是为了防止异地登陆做的措施)
在这里插入图片描述
输入登陆地后,获得以下提示

在这里插入图片描述
最终,得到一个二维码

在这里插入图片描述
3.扫描上图二维码之后发现,进入了一个微信登陆授权页。获取二维码源代码为get请求,具体代码如下:

http://47.113.201.90:3000/mm/getloginqrcode?u=3&op=false&pro=北京直辖市&city=北京市&img=true

二维码具体域名解析为47.56.87.21,生成IP开放端口3000,22

且有20个域名指向,均为钓鱼域名 
在这里插入图片描述
当我们直接访问该二维码时,我们得到如下图所示的结果

在这里插入图片描述

4.最终发现,原来我们费尽千辛万苦想要清理好友,却最终被引流到一个游戏群,太狡猾了吧!!!

02 延伸思考

上述流程虽然并不是一个典型的被盗号流程,但是大家可以仔细想一想,盗号者是不是可以利用这种方式盗号呢?

是可以的,如果盗号者将最后一个二维码精心设置为微信登陆界面的二维码,那么,你以为最终的清除好友功能实际上却是给对方送微信账号的白给行为

而除此之外,盗号者的方法也是花里胡哨,这里简单介绍一下,供大家识别

1.钓鱼网站盗号

有人在QQ群里发了一条链接, 链接看上去奇奇怪怪

在这里插入图片描述
我点击登录进去后,页面是这样子的

在这里插入图片描述
看上去中规中矩,是个QQ邮箱登录界面,可是出于安全起见,我先随便乱写一通,试试看能不能登录

在这里插入图片描述
什么,居然登录进去了,钓鱼网站石锤啊。

不得不感叹,这一步步的诱导操作实在是妙,以假乱真的网页,精妙的跳转,让人防不胜防

2.QQ空间异常留言(来自网友的例子)

小学同学,在我空间留言,给我发了回忆录

在这里插入图片描述
我趁热点开,进入到一个QQ登录界面

在这里插入图片描述
输入了密码,结果发现

在这里插入图片描述
心里骂了那个小学同学,突然感觉不对劲,结果出现 异常登录

在这里插入图片描述
解析一下源代码,发现

在这里插入图片描述
防不胜防啊!!!!

03 防范措施

盗号者,如此狡诈。老实的我们该如何防范呢?没关系,我告诉你

1.养成良好的上网习惯

就钓鱼网站来说,简单来说,钓鱼网站就是个“李鬼”,这个网站里的页面信息装的和真的网站相差无比,但是他的后台数据是假的,他只将你的用户名密码记录下来,然后再帮你跳转到真的网站。

甚至有些不敬业的钓鱼网站,当你输入用户名、密码后,该网站就直接罢工,什么反应都么有了。

钓鱼网站最大的危害就是盗取你的用户名和密码

所以我们该怎么做呢?

首先观察域名,到底官方域名是不是一样的

其次,看看https网站有没有绿色小锁
在这里插入图片描述
最后,如果你的密码已经泄露了,请尽快冻结自己的账号,然后迅速改密码,防止自己账户中的重要信息泄露

其实钓鱼网站最常见的是游戏领域上的,比如购买点券、游戏币、皮肤之类的,这个时候它会比官方给的价格低很多。比如官方皮肤89块钱,钓鱼网站上只需要40块钱,你就想着试试看,输入了账号密码,结果被盗号了,你啥都没有了。还有就是之前我小时候不懂事,玩穿越火线的时候,兴致冲冲去刷枪网站刷枪,到现在为止,我的那个qq账号还是黑名单状态。

在这里插入图片描述

2.事后补救措施

1、举报钓鱼网站

2、立即更改账号密码,因为你手机在身上,改密码对你来说还是比较简单的

04 简单小结

总体来说,其实所谓的黑客盗号,他并不是通过所谓的密码学来分析你的密码,激活成功教程你的密码的。

它往往是通过钓鱼网站、钓鱼WIFI来获得了你微信登陆授权、或者一个平台的用户名、密码。

面对这种骇客盗号,我们养成良好的上网习惯,才是我们的制胜法宝

所以请做到:

1、但凡登录账号务必看一下域名是否有异常

2、不要乱扫二维码

3、被盗号后及时通过手机修改密码

最后,如果本文对你有所帮助,希望可以点个赞支持一下。你们的鼓励将会是博主原创的动力,蟹蟹呀

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/149732.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 领域驱动实践总结(基本理论总结与分析+架构分析与代码设计+具体应用设计分析V)[通俗易懂]

    领域驱动设计DDD是一种设计思想,它可以同时指导中台业务建模和微服务设计(中台本质是业务模型,微服务是业务模型的系统落地),领域驱动设计强调领域模型和微服务设计的一体性,先有领域模型然后才有微服务,而不是脱离领域模型来谈微服务设计。

  • 小技巧两个感叹号(两个!)连用

    小技巧两个感叹号(两个!)连用

  • NDT Matching 算法学习

    NDT Matching 算法学习问题背景近来从事毫米波雷达的定位与建图工作,想拓展下工作思路,研究autoware公司的激光点云定位与建图。期间正好发现autoware的激光点云配准算法是NDT(Normal-DistributionsTransform),相比ICP算法,它能更快速高效地确定两个大型点云的刚性变换。这里分别介绍下2003年经典的2DNDT算法,以及autoware日本团队在2006年提出的3DND…

    2022年10月23日
  • 大数据管理与应用专业总结笔记

    大数据管理与应用专业总结笔记大数据管理与应用专业:数据科学教育特点:不仅依赖于传统的信息管理于信息系统专业,更依赖于计算机、数学、统计等学科。大数据专业十一门涉及广泛的交叉性的学科。大数据时代的下的理念(维克托·迈尔·舍恩伯格):一是更相关性而不是因果性;二是更关注数据的纷繁复杂,而不是数据的精准;三是全部数据,而不是抽样数据。维克托·迈尔·舍恩伯格:维克托·迈尔-舍恩伯格是十余年潜心研究数据科学的技术权威,是最早洞见大数据时代发展趋势的数据科学家之一,也是最受人尊敬的权威发言人之一。**目前的形势:**目前国内新增院校还不多

  • CSS3中如何解决子元素继承父元素的opacity属性[通俗易懂]

    CSS3中如何解决子元素继承父元素的opacity属性[通俗易懂]问题css3中的opacity属性是用来设置div元素的不透明级别的,但是我们往往会遇到因为父级元素设定opacity后,子元素也跟着透明了,但是有时候我们只是想让背景是透明的,这该如何解决呢?错误的示例我们常常想到的方法是直接给子元素的opacity设定为1,如下:<!DOCTYPEhtml><html><head><metacharset=”utf-8″><title>opacity</title&g

  • nginx转发https到http

    nginx转发https到http微信小程序和公众号,要求外链的页面或API必须使用https。https意味着需要证书,在测试阶段,很不方便,因此部署的测试站点都是http。于是尝试在现有的https站点中,用nginx转发请求到只有http的测试站点。方法众所周知,在nginx.conf中添加一个转发规则。 server{ listen80; server_name服务器IP; 。。。 } server{ listen443ssl; server

    2022年10月19日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号