漏洞详情

披露状态:

2014-04-22: 细节已通知厂商并且等待厂商处理中
2014-04-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

可能从技术层面来说,钓鱼漏洞大多数厂商的感觉是不痛不痒的,甚至有些厂商都不认为是漏洞。但是钓鱼漏洞的危害到底有多大呢?看了这个漏洞分析你就知道了。

详细说明:

最近有个朋友向我求助,说是自己的淘宝和银行卡的密码被盗了,然后我问他最近有没有在淘宝交易过,然后从他所说的情况中,我觉得他是被钓鱼了,然后通过我的分析和验证也确认了这点。下面来看看黑客是用怎样的手法来欺骗用户的。



#1 朋友说自己在淘宝买了个XX,然后付款后卖家联系自己说他们的商品是货到付款的,在线支付的都是无效的,要给他退钱。朋友肯定也不是没有提防心里,然后就问对方自己的商品订单号,然后对方准确的说出了他的姓名、电话号码、订单号码等信息。



然后给他发了一个退款地址,要他尽快“完成退款,以免造成自己不必要的损失”。



#2 这个过程在普通人看起来似乎没什么问题,但是就是这样的一个操作,自己的大量敏感信息(包括淘宝账号、登录密码、支付密码、手机号、姓名、身份证号、银行卡号、取款密码、网银密码、CVN2等)就被黑客给盗走了。





#3 下面来看下黑客的钓鱼手法:



发给用户所谓的退款地址,然后用户打开如下:



1.jpg





一般没有安全意识的买家是不会发现有啥异常的,因为网站页面和淘宝模仿的是极为相似的



当你点击下一步的时候,会跳转到银行卡选择,然后点击下一步的时候会转到填写银行卡信息(其实在这个时候,你的淘宝帐号、登录密码、支付密码就已经被盗了)。



2.jpg





3.jpg





用户看到还要填写这么多信息,但是想到给自己退钱的,所以还是一个一个认认真真的填写了(他这里对于输入框还是有些正则判断的),然后终于填写完了,提交“等待退款”。



纳尼!点击确认退款按钮竟然提示系统繁忙了!然后买家赶紧去问卖家怎么回事,卖家以比如说系统暂时有问题怎么怎么的去糊弄一下买家,或者之家就不鸟你了,因为此时,你的大量信息,包括淘宝账号、登录密码、支付密码、手机号、姓名、身份证号、银行卡号、取款密码、网银密码、CVN2等,已经被黑客给窃取掉了。





4.jpg





漏洞证明:

#4 首先,当我得知朋友是被钓鱼后,我让朋友给我提供了那个卖家发给他的地址,也就是那个钓鱼地址。



通过测试发现这个钓鱼链接中是存在XSS的,所以果断插入了XSS代码进行了盲打获取cookie。



然后成功获取到了cookie,通过cookie进入到了后台,可以看到,后台的数据其实远远不止这么点,有些应该是已经被黑客给转以后删除掉了。



5.jpg





#5 可以看到里面每天都有人中招,txt中有大量的用户信息,包括淘宝账号、登录密码、支付密码、手机号、姓名、身份证号、银行卡号、取款密码、网银密码、CVN2等。



6.jpg







最重要的一点是,对于普通用户来说,这种钓鱼攻击是他们防不胜防的!

修复方案:

这里怀疑是淘宝卖家的账户被黑客控制了,然后黑客利用一些信息去让用户信任,从而实现钓鱼诈骗。当然,如果没有这些关键信息的话,也是可以群发给旺旺用户。看到这里是不是觉得这种钓鱼诈骗防不胜防呢!



或者是黑客用虚假信息注册了淘宝店铺,然后以低价等行为去诱导用户购买,然后进行钓鱼诈骗。



其实,比起其他漏洞,钓鱼漏洞的诈骗成功率是高之又高的,原因大概如下:



1 中国网民普遍安全意识较低

2 厂商不认为这是自己的漏洞,从而不去进行控制

3 安全厂商大部分都是当钓鱼网站有存在一定时间后,接到了大量举报,才去标记这些,但是此时已经有大量用户中招了。



防范措施:



1 厂商对用户进行安全意识的普及,比如上图中通过url的域名,就可以很直观的判断其为钓鱼网站。可悲的是据统计现在的中国网民中,平均1000个用支付宝的人,只有1个人知道官方的域名是啥。



2 长期对这些钓鱼网站进行排查打击。

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-04-25 17:42

厂商回复:

感谢您对我们的关注和支持!

最新状态:

暂无


漏洞评价: