QQ邮箱的安全问题

下午同事群里有人提醒，小心欺诈邮件。邮件内容为你的帐户在XX存在异地登录，已经进入了【保护模式】，如需解除请点击【解除保护模式】

除了链接之外，其它跟官方的是一模一样，包括标题。

那个链接的地址是：http://103.39.77.23:1100/ ，查了一下是香港的

 

主界面直接用邮件的资源，rescdn.qqmail.com

 

使用微信扫一扫是能登录的，但是会被跳转到了m.exmail.qq.com，但如果你输入了正确的帐号、密码，那么你的帐户从点击按钮那一刻开始就不安全了。下面截图是我故意输错的

 

对官方的html代码就只修改了登录点击的JavaScript函数，调用的是一个叫order.asp的接口 http://103.39.77.23:1100/order.asp 

 

 

讲这件事情呢，主要是想说腾讯这么大的公司，目前的做法，其实对制作钓鱼网站的成本要求极低，某种程度上就默认允许钓鱼网站的存在。从技术上来讲，腾讯可以在识别钓鱼网站上做更多的努力，总比用户帐户被盗对用户、对腾讯自身的资源来讲，都节省了不少（用户帐户被盗就要找地方申诉，申诉又可能需要人工的干预）。

我列几个简单的实例方案：

1、腾讯官方的邮件，都使用特殊的标题，在浏览邮件时有特殊的标识（非邮件内容能表现出来的）；

2、所有从邮件点击出去的链接，它都可以进行上报和识别，如果十分钟或者一段时间内，某个url被多人访问，它就去抓取该网页的内容（现在QQ聊天里就有，我发一个链接，过一会就把该页面的概况抓出来显示在下面了，如果认为有风险就显示黄色的icon，认为是安全的就是绿色的勾），判定里面是否包含腾讯/邮件等关键词，如果界面不让抓取，那就标为黄色，放入特定的队列中，需要人工来进行判断；

3、所有非域名（直接访问IP）的链接，全部进行特别的提醒；

4、对CDN资源启用防盗链（当然人家可以直接下载你的资源，但如果这样它做钓鱼网站的成本就高了）；

 

当然，最好最最重要的是安全意识，上面那封邮件，如果你仔细去看，它的发件人就有问题。所以，最重要的还是自己的安全意识，这比什么都重要！