下午同事群里有人提醒,小心欺诈邮件。邮件内容为你的帐户在XX存在异地登录,已经进入了【保护模式】,如需解除请点击【解除保护模式】

除了链接之外,其它跟官方的是一模一样,包括标题。

那个链接的地址是:http://103.39.77.23:1100/ ,查了一下是香港的

 

主界面直接用邮件的资源,rescdn.qqmail.com

 

使用微信扫一扫是能登录的,但是会被跳转到了m.exmail.qq.com,但如果你输入了正确的帐号、密码,那么你的帐户从点击按钮那一刻开始就不安全了。下面截图是我故意输错的

 

对官方的html代码就只修改了登录点击的JavaScript函数,调用的是一个叫order.asp的接口 http://103.39.77.23:1100/order.asp 

 

 

讲这件事情呢,主要是想说腾讯这么大的公司,目前的做法,其实对制作钓鱼网站的成本要求极低,某种程度上就默认允许钓鱼网站的存在。从技术上来讲,腾讯可以在识别钓鱼网站上做更多的努力,总比用户帐户被盗对用户、对腾讯自身的资源来讲,都节省了不少(用户帐户被盗就要找地方申诉,申诉又可能需要人工的干预)。

我列几个简单的实例方案:

1、腾讯官方的邮件,都使用特殊的标题,在浏览邮件时有特殊的标识(非邮件内容能表现出来的);

2、所有从邮件点击出去的链接,它都可以进行上报和识别,如果十分钟或者一段时间内,某个url被多人访问,它就去抓取该网页的内容(现在QQ聊天里就有,我发一个链接,过一会就把该页面的概况抓出来显示在下面了,如果认为有风险就显示黄色的icon,认为是安全的就是绿色的勾),判定里面是否包含腾讯/邮件等关键词,如果界面不让抓取,那就标为黄色,放入特定的队列中,需要人工来进行判断;

3、所有非域名(直接访问IP)的链接,全部进行特别的提醒;

4、对CDN资源启用防盗链(当然人家可以直接下载你的资源,但如果这样它做钓鱼网站的成本就高了);

 

当然,最好最最重要的是安全意识,上面那封邮件,如果你仔细去看,它的发件人就有问题。所以,最重要的还是自己的安全意识,这比什么都重要!

QQ邮箱的安全问题的更多相关文章

  1. 技术笔记:Indy IdSMTP支持腾讯QQ邮箱邮件发送

    1.腾讯QQ邮箱的授权码问题 因为腾讯邮箱折腾了个底朝天,其要搞什么授权码登录第三方客户端,否则会报这个错误: 'Error: 请使用授权码登录.详情请看: http://service.mail.q ...

  2. Email系列(QQ邮箱 + 含附件的邮箱案例 + 项目实战)

    平台之大势何人能挡? 带着你的Net飞奔吧! http://www.cnblogs.com/dunitian/p/4822808.html 邮箱系列:https://github.com/duniti ...

  3. 杂项之使用qq邮箱发送邮件

    杂项之使用qq邮箱发送邮件 本节内容 特殊设置 测试代码 1. 特殊设置 之前QQ邮箱直接可以通过smtp协议发送邮件,不需要进行一些特殊的设置,但是最近使用QQ邮箱测试的时候发现以前使用的办法无法奏 ...

  4. 使用QQ邮箱发送email(Python)

    实际开发过程中使用到邮箱的概率很高,那么如何借助python使用qq邮箱发送邮件呢? 代码很简单,短短几行代码就可以实现这个功能. 使用到的模块有smtplib和email这个两个模块,关于这两个模块 ...

  5. 如何变相的绕过QQ邮箱订阅的繁琐核审

    先看看正常流程:http://open.mail.qq.com/ 点击“接入订阅”==>申请接入==>登录一下 选择接入完全免费 大概流程就是这样: 下面我们说说快速接入的方法: 1.登录 ...

  6. java使用正则从爬虫爬的txt文档中提取QQ邮箱

    我的需求是从一堆文档中提取出qq邮箱,写了这篇帖子,希望能帮助和我有一样需求的人,谢谢!...... import java.io.BufferedReader; import java.io.Fil ...

  7. Ubuntu中配置Thunderbird登录qq邮箱

    1.打开thunderbird 2.开启QQ邮箱pop功能 登录网页版QQ邮箱(email.qq.com) 设置---->>账户---->> 3.配置thunderbird 注 ...

  8. C# 发送qq邮箱

    注意: QQ邮箱的简单邮件传输协议(SMTP)使用了SSL加密,必须启用SSL加密.指定端口. QQ邮箱POP3/SMTP服务默认是关闭的,需要开启服务(设置=>账户=>开启服务). QQ ...

  9. flask配置qq邮箱发送邮件

    1.第三方登录qq邮箱不是使用邮箱密码,而是使用独立的授权码: 2.开始在python程序中使用os.environ.get()一直无法获取到环境变量,即使是用source命令重新加载配置文件后使用e ...

随机推荐

  1. (Python)集合、集合的函数

    本节我们将学习python的另一种数据类型:集合(set) 1.集合(set) 集合在Python中是一种没有重复元素,且无序的数据类型,且不能通过索引来引用集合中的元素 >>> b ...

  2. SGU196_Matrix Multiplication

    给一个无向图,如果第i个点连接第j条边,那么mat[i][j]=1,否则mat[i][j]=0. 求mat的转置乘以本身得到的矩阵每个位置的和是多少? 理解矩阵的意义就比较好做了. mat[i][j] ...

  3. Java script基础 回顾

    一.语法 代码与C#相似,变量使用的是var引用出来,包含所有类型:可以直接使用,不用定义. 也是有内置分类的.例如:var b="10"  var c=10;一个是字符串一个是整 ...

  4. Nginx + tornado + supervisor部署

    参考链接:supervisor + Tornado + Nginx 使用详解, 用tornado ,Supervisord ,nginx架网站, tornado官方文档 项目文档树: . ├── ch ...

  5. HDU 5024 Wang Xifeng's Little Plot (DP)

    题意:给定一个n*m的矩阵,#表示不能走,.表示能走,让你求出最长的一条路,并且最多拐弯一次且为90度. 析:DP,dp[i][j][k][d] 表示当前在(i, j)位置,第 k 个方向,转了 d ...

  6. css伪类运用

    <!doctype html><html><head><meta charset="utf-8"><title>CSS输 ...

  7. ORACLE 中NUMBER 类型 低精度转换成高精度

    例如: 表User中有一个字段 salary  Number(10,3), 如果想把字段salary的类型提高精度到salary  Number(10,6),保留六位小数, 解决办法:1,ALTER ...

  8. JAVA对象转化JSON出现死循环问题

    主要是解决JSON因Hibernate映射生成的集合的转化出现的死循环问题. 这个方法很重要 public String ajaxJsonByObjectDirecdt(Object obj, Str ...

  9. poj 1556 The Doors

    The Doors Time Limit: 1000 MS Memory Limit: 10000 KB 64-bit integer IO format: %I64d , %I64u   Java ...

  10. curl+ post/get 提交

    //测试 内容 固定为 你好  post $curlPost = 'mobile='.$mobile.'&message='.$message.'&memberId='.$member ...