V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
qcloud
V2EX  ›  问与答

现在黑客技术这么厉害?电脑或者手机点个链接就中招了?

  •  
  •   qcloud · 2016-10-05 21:07:34 +08:00 · 4415 次点击
    这是一个创建于 3005 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天看到一个链接,好奇点了进去,然后就出现了和微信收钱一模一样的页面,看了一下,发现并不是钓鱼,于是问了一下朋友。
    (图太大了,只能麻烦各位放大网页看了)



    (这个 skype 截图是他和国外一个搞这个的马的联系对话。我表示有点小吃惊了,不相信这是真的。)




    如果是真的,可怕。
    第 1 条附言  ·  2016-10-06 09:51:27 +08:00
    收到转账 ¥ 68.00
    http://www.sogou.com/websearch/redirect.jsp?url=http://t.cn/RV74hXk?_wv=1027#cmd_qzone_qq
    来自:web 浏览器

    这是那个 链接,电脑打开直接跳转百度,用手机打开吧。(不要用自己手机打开哈!)
    38 条回复    2016-10-06 20:39:44 +08:00
    a570295535
        1
    a570295535  
       2016-10-05 21:12:36 +08:00
    口怕
    tabris17
        2
    tabris17  
       2016-10-05 21:13:23 +08:00
    懒得看图,一般都是钓鱼网站骗账号咯
    qcloud
        3
    qcloud  
    OP
       2016-10-05 21:14:19 +08:00
    @tabris17 要是钓鱼我就不发了,关键根本就不需要你手动输入任何你的信息啊!!!
    yingos
        4
    yingos  
       2016-10-05 21:17:31 +08:00
    所以我忍住了好奇心不乱点空间链接了... 不过主要是他编的太假了,比如咱们老同学合影的照片都在这 t.cn/xxx
    geeglo
        5
    geeglo  
       2016-10-05 21:21:43 +08:00
    不可能
    能让浏览器任意执行?
    TangMonk
        6
    TangMonk  
       2016-10-05 21:24:04 +08:00
    不可能吧,浏览器没那么大权限
    mikicomo
        7
    mikicomo  
       2016-10-05 21:25:04 +08:00
    designer
        8
    designer  
       2016-10-05 21:25:34 +08:00
    难道是传说中的超能 URL 技术
    qcloud
        9
    qcloud  
    OP
       2016-10-05 21:27:07 +08:00 via iPhone
    @geeglo 如果他自己说的我也就听听,但是他和国外一个人的交流截图有点吃惊。。。因为我之前在某个论坛看到过。
    qcloud
        10
    qcloud  
    OP
       2016-10-05 21:28:48 +08:00 via iPhone
    @yingos 先不说他是不是编的,我打开那个微信收款页面,的确啥都没有,就是点击收钱,一个对话框直接转发给其他人,如果这个页面没有意义,为何仍然在维护?
    ctsed
        11
    ctsed  
       2016-10-05 21:29:44 +08:00 via iPhone
    真的
    qcloud
        12
    qcloud  
    OP
       2016-10-05 21:30:01 +08:00 via iPhone
    @designer 你看下最后那图的 php 代码,那个是电脑版,和这个同理。
    qcloud
        13
    qcloud  
    OP
       2016-10-05 21:31:49 +08:00 via iPhone
    @ctsed 😂
    geeglo
        14
    geeglo  
       2016-10-05 21:36:23 +08:00 via iPhone
    @qcloud 在我被黑之前,我掌握的知识告诉我这是不可能的,除非他们掌握了浏览器的 0day 。

    而且从你描述中,浏览器打开收款界面?微信就自动转账了? 如果有实际例子,发我,这漏洞比我钱包里的那些值钱多了。
    qcloud
        15
    qcloud  
    OP
       2016-10-05 21:45:02 +08:00 via iPhone
    @geeglo 不是微信就自动转账了,什么也没发生,只是提示你转发到其他群可以领取钱
    geeglo
        16
    geeglo  
       2016-10-05 21:47:38 +08:00
    @qcloud 那你逗我?骗傻逼的,你也信?
    qcloud
        17
    qcloud  
    OP
       2016-10-05 21:49:27 +08:00 via iPhone
    @geeglo 这个不重要,关键如果没有任何意义,这个还存在干嘛?
    geeglo
        18
    geeglo  
       2016-10-05 21:51:09 +08:00
    @qcloud 既然你非要宁可信其有,那我说的那些话貌似也是没意义的。
    qcloud
        19
    qcloud  
    OP
       2016-10-05 21:54:35 +08:00 via iPhone
    @geeglo 我也是半信半疑
    binux
        20
    binux  
       2016-10-05 21:56:43 +08:00
    @qcloud 马化腾今天生日,转发送 5 个☀️,你说有什么意思?
    yingos
        21
    yingos  
       2016-10-05 21:57:58 +08:00 via Android
    @qcloud 手握 0day, xss 劫持你的 cookie 实现自动转发呗..
    qcloud
        22
    qcloud  
    OP
       2016-10-05 21:59:13 +08:00 via iPhone
    @binux 😂不能相提并论啊
    megatron
        23
    megatron  
       2016-10-05 22:12:16 +08:00
    手里有这 0day ,可以进方程式面试了吧?
    ProjectAmber
        24
    ProjectAmber  
       2016-10-05 23:35:52 +08:00 via iPad
    iOS 9.3.5 不就是为了修复 CVE-2016-4657 嘛,只不过这种漏洞一般只用来攻击特定目标,不会用来钓鱼。
    shenqi
        25
    shenqi  
       2016-10-05 23:44:53 +08:00
    点链接就中毒的话,这个还是很大可能的。不过,需要特定的环境之类的。
    v9ox
        26
    v9ox  
       2016-10-05 23:48:58 +08:00
    求链接 我想试试 哈哈

    用户什么都不输入 又不用运行 又不用下载 就能获取到我的短信? 真的好好奇
    bdbai
        27
    bdbai  
       2016-10-05 23:51:08 +08:00 via Android
    @shenqi 不明白为什么“点链接就中毒”有“很大可能”。
    blackbbc
        28
    blackbbc  
       2016-10-06 00:55:04 +08:00
    你在逗我吗 Android 只要不运行 apk 你想怎么让我中马?
    Chrome 浏览器有这么大的权限吗 可以直接获取手机短信?
    popu111
        29
    popu111  
       2016-10-06 00:58:19 +08:00
    先前在空间看到有类似的玩意,也看到别人说中招过。但是没能亲身上爪体验。感觉像是 XSS ?
    azh7138m
        30
    azh7138m  
       2016-10-06 02:49:38 +08:00 via Android
    @v9ox 看 24 楼,这漏洞是可以只访问网站就可以完成越狱
    VYSE
        31
    VYSE  
       2016-10-06 03:41:49 +08:00 via Android
    请搜索 PWN2OWN
    zhchbin
        32
    zhchbin  
       2016-10-06 09:25:46 +08:00
    有段时间研究了一下 Windows 上国产浏览器的安全问题,确实有不少主流的浏览器存在任意命令执行的问题。 WooYun 上也有很多案例。

    手机浏览器有也很正常,比如之前 http://bobao.360.cn/news/detail/3480.html 微信惊现任意代码执行漏洞。 360 手机卫士阿尔法团队( Alpha Team )独家发现。
    zhangv
        33
    zhangv  
       2016-10-06 11:38:31 +08:00
    其实有限东西看起来“很傻”,都是起一个“筛选”的作用
    就好像那些打电话的骗子,关键不是骗术高明,而是更搞效地找到“老实人”
    qq30545
        34
    qq30545  
       2016-10-06 13:07:16 +08:00
    别告诉我这不是伪代码
    xjbeta
        35
    xjbeta  
       2016-10-06 16:56:58 +08:00
    手机开 4G 给电脑上网 小伙伴能直接找到我手机号 这年头手机号有了基本什么都有了。。。
    so898
        36
    so898  
       2016-10-06 17:21:11 +08:00
    iOS 应该是用的三叉戟那一套吧,之前苹果修了 Bug 之后,发现漏洞的实验室就把几乎所有原理都公开了……
    Er0s
        37
    Er0s  
       2016-10-06 20:31:09 +08:00   ❤️ 1
    = = 你朋友骗你的吧。。。
    我昨天才在知乎上面回答了这个问题
    https://www.zhihu.com/question/51263739/answer/125059299?from=profile_answer_card
    qcloud
        38
    qcloud  
    OP
       2016-10-06 20:39:44 +08:00
    @Er0s 666
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2640 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 12:05 · PVG 20:05 · LAX 04:05 · JFK 07:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.