QQ邮箱 禁不起安检
安全阵线
上期小编在关注暴力破解雅虎邮箱时,意外发现了一个秘密。说起来也巧了,小编当时正在求证雅虎邮箱被暴力破解新闻的真实性和可行性,却从一位朋友那里知道了QQ邮箱也存在漏洞,而且是高危漏洞。
暴力破解说白了,关键是看运气,能不能成功全靠人品。不过QQ邮箱这个漏洞却是一个挂马漏洞,黑客可以利用漏洞制作一封特殊的邮件,利用好友通知功能,大面积地发送(一般一次是一千封左右),当用户收到邮件后,打开时就激活了网页木马。
小编的朋友还特别远程演示了整个操作流程,让我亲自体验了一把,当我收到标题为“我的新邮箱账号”的邮件,立即就点击了,邮件中出现了网页(见图)。朋友给我的邮件中嵌入的不是网页木马,而是一个电影网站,但如果将电影网站的网址换成网页木马的地址,就是挂马了。
早在8月下旬,朋友就发现了QQ邮箱的漏洞——问题还是出在好友通知功能处,注册新邮箱后会自动给好友发通知,利用这个功能的缺陷就可以大面积挂马。后来腾讯发现了漏洞,做了特殊处理,但显然漏洞并没有完全补上。
幸运的是,朋友是热爱安全的人,不是热衷盗号的黑客,虽然该漏洞发现已经有一段时日了,却没有带来什么危害。我们已经通知了腾讯,希望他们尽快对好友通知功能进行检测,及早地修补漏洞。
你想在线举报恶意网站吗?你想要小编在线帮你鉴定恶意网站吗?你想跟广大网友一起声讨恶意网站吗?登录http://hd.shudoo.com/f/bb,发帖吧!
HOSTS反黑文件上周一共拦截了67865次,其中拦截次数最多的10个恶意网站中有5个流氓网站、3个色情网站、2个病毒网站。http://qqbk09.cn是上周举报人数最多、最受读者憎恶的恶意网站。下面是我们挑选的针对该网站的一封读者举报信。
读者举报信:我打开QQ空间的最新更新,就出来一个中奖提示,说我被QQ系统抽中了获得人民币和笔记本,叫我访问http://qqbk09.cn领奖(见图)。我进入领奖网站,马上弹出一个提示,提示中居然包含了验证码。
我乱编了一个QQ号码,填上了验证码,就通过验证了。接着要我填一个表格,以便给我打钱,我乱填了姓名和银行卡号,又通过了。最后要求我给上千元保证金到指定账号……
当然,我是不会这么做的