一个QQ用户名/密码钓鱼分析

写在前面

之前好像一直都没有碰到过钓鱼页面啥的…前天刚好碰到，就简单分析一下。

钓鱼分析

钓鱼网址藏在一个二维码中，正值毕业季啊，二维码图片上写着“青春不散场”…看着就很像真的…

二维码对应的URL为https://sharechain.qq.com/1b4e56f042d5bf060fe0e44d6346eebf，是一个腾讯微云的链接。没有用过腾讯微云，感觉像是分享一个帖子，然后帖子点进去就是下图的形式。在电脑上看的话，其实很快就能发现这个东西不太对劲，但是在手机上是不能显示实际对应的跳转链接。文本显示链接与实际跳转链接不对应，这个特征在钓鱼网站检测中也经常用到。

接下来就看一下www.dfesd.com/images/ee/yyoui.html这个链接的内容是什么。

  
    
    
    
    
    
    
    
    
    
  
  
 
 
    

      

        

          
          
        
      
      

        

        

        

          

            

            
          
          

        
        

          

            
            

              

                

                  
                
                
              

                

                  
                
                
            
            
登 录
        
        

          

          

            注册新帐号
            忘了密码？
        
        

      
      

        
        

          
          
          
        

      
    
    

    

        
    

  

理解了一下，其中的js代码会判断访问者所使用的操作系统平台，如果是win/mac/linux，就会直接跳转到王者荣耀的一个网址，之后会判断是否是使用QQ的浏览器来登录的，如果是，则不跳转，如果不是，就会跳转到https://i.qq.com/。查了一下发现当有好多个window.location.href='xxx'时，只会执行最后一个，而且通过测试发现，页面的跳转会在后面所有的js代码都执行结束之后发生。

这部分代码其实就是防止自己被发现吧。当使用电脑登录的时候，就直接跳转到正常的页面。

如果我们是通过手机QQ直接扫描二维码，访问网址，那页面不跳转，会看到一个和正常的QQ空间登录一样的界面，最后面的js代码进行了一些简单的对用户名/密码的判断，避免访问者输入相同的用户名/密码，检测用户名是否全是数字等等，比较好理解。当js代码判断没有错误之后，就会把用户名密码传递给一个http://sasdh447.6600.org/save.php的网址，这才是真正的钓鱼者的服务器，他应该会在后台使用拿到的用户名密码，登录QQ空间，发一些消息，继续传播钓鱼界面。现在因为都有设备锁，所以钓鱼者是没办法直接登录QQ，但是邮件、空间等等这些都是可以登录的。

另外，最开始腾讯微云的链接是跳转到www.dfesd.com下的一个网址，这个是阿里巴巴下的一个快递公司…是合法的，感觉应该是这个网站有漏洞，然后通过这个漏洞上传了yyoui.html这个页面。没有直接在钓鱼者自己的服务器上放yyoui.html页面，应该也是出于保护自身的缘故吧。

最后

感觉钓鱼检测在移动端需求更大，但是移动端…emm…看论文来说好像不是很多。