警惕 WebQQ2.0 的 Gmail 钓鱼

标签: webqq2.0 gmail 钓鱼 | 发表时间:2010-09-14 03:46 | 作者:明城 Choope
出处:http://www.gracecode.com/

WebQQ 2.0 上线腾讯又多了款重量级的应用,但是用过程中发现其 Gmail 模块存在钓鱼的嫌疑。当使用 Chrome 访问其 Gmail 模块时提示为诱骗网站。

http://pic.yupoo.com/feelinglucky/AtjUsvYn/medium.jpg

展开这个页面的 iframe 地址,发现是在 qq.com 域下

https://web2.qq.com/cgi/gmail/gmail.html

但页面的形式与 Google 的风格一致,非常能让用户混淆这就是 Google 自家的页面。

http://pic.yupoo.com/feelinglucky/AtjUtkqO/medium.jpg

查看其源代码,发现并没有提交到 Google 的痕迹。

然后我们查看其相关的 gmail.js(https://web2.qq.com/cgi/gmail/gmail.js),发现其中有段代码为

var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"};
if (u != null && p != null) {
    option.u = u; // Google 帐户用户名
    option.p = p; // Google 帐户密码
}
formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST",    data : option} );    

这段应该就是往 GMAIL_SERVER_DOMAIN POST 用户名和密码登录了,那么 GMAIL_SERVER_DOMAIN 的值是什么呢?就在本文件的第 14 行

var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';

也就是说,你的 Gmail 用户名和密码实际上是提交到了

https://web2.qq.com/cgi/qqweb/gmail.do

这个地址。

那么,作为个技术人,我不禁想问:“腾讯,你想干什么?!” 同时建议已经使用过该模块的用户尽快更改您的 Google 帐号密码,并检查 Gmail 过滤器中有无可疑的项目。

PS,这次的 WebQQ2.0 放弃了 YUI,使用了名为 Jet 的 JavaScript 框架,对其感兴趣的可以关注。

UPDATE

-- EOF --

相关 [webqq2.0 gmail 钓鱼] 推荐:

警惕 WebQQ2.0 的 Gmail 钓鱼

- Choope - Gracecode.com
WebQQ 2.0 上线,腾讯又多了款重量级的应用,但是用过程中发现其 Gmail 模块存在钓鱼的嫌疑. 当使用 Chrome 访问其 Gmail 模块时提示为诱骗网站. 展开这个页面的 iframe 地址,发现是在 qq.com 域下. 但页面的形式与 Google 的风格一致,非常能让用户混淆这就是 Google 自家的页面.

警惕Gmail 钓鱼邮件

- 独钓寒江雪 - 阿禅日记
思想挣扎了很久,博客还是要更新的,不管是哪一个. 在编辑器里打字总能让烦躁的心情平服下来. 这两天我收到了两封来自 kuntash9@gmail.com 的邮件,标题与内容都不一样,带附带的附件都是一个大小为70KB的.doc 文档. 我在Gmail 里用预览查看.doc 附件,发现里面只有一幅不到100px*100px的黑白正方形线框图,我觉得这样的.doc 文件大小不可能有70KB,于是就怀疑这是钓鱼邮件.

Gmail不死,Gmail永生

- - SegmentFault 最新的文章
2013年7月,我们深爱着的Google Reader走了,一去不复返. 现在,我们形影不离的Gmail也要神秘失踪了吗. 不知不觉Mail客户端中Gmail邮箱已经快一个月没有收到邮件了,往日那些烦人的邮件此刻也都销声匿迹了,连CSDN的邮件都没有了,直觉告诉我有点不正常. 终于,在邮箱图标右边发现了一个小小的感叹号,原来连接有点问题,重连应该就可以了.

在 Gmail 里玩 Facebook

- 大狗 - 谷奥——探寻谷歌的奥秘
以前我们介绍过利用Gmail Labs里的Gadgets功能使用twitter的方法,今天再介绍一个使用Facebook的方法. 首先你需要到Gmail Labs里开启Gadget(如上图)这个实验项目,然后即可在设置里看到Gadgets选项了,进入后是一个让你输入URL地址的地方:. 然后将Facebook for Gmail gadget的地址输入进来:.

用 gmail 发送补丁

- khsing - A Geek's Page
如果你使用 gmai l帐户,想通过 git send-email 发送补丁的话,需要加几个额外的参数,如下所示,. 或者用git config进行相应的设置,.

Gmail、Google Reader工具合集

- 三心 - 天涯海阁-Web2.0Share
这些工具本人没有全部试过,所以不排除有些工具可能已经失效:). GCount - 新邮件通知,仅能运行于Mac OSX. gDisk - 将Gmail变为网络存储空间,仅能运行于Mac OSX. gFeeder - 小型的Feed阅读器. GetMail - 将邮件从Hotmail转移到Gmail.

Gmail发现安全漏洞

- Royce - Solidot
6月1日,Google官方博客宣布数百Gmail用户遭到黑客攻击,搜索巨人称帐户劫持不是Gmail本身的安全漏洞所致. 攻击者使用的钓鱼攻击,他们向特定帐户发送一封邮件,内有钓鱼网址链接,欺骗用户输入密码. 然而今天Gmail用户温云超发现Google的邮件服务确实存在安全问题,他演示了被钓鱼的过程(YouTube),他收到一封“李承鹏参选人大,邀请你参加”的邮件,文章呼吁支持者前往一个链接支持李承鹏.

我们向Gmail学什么?

- Renz - Ray is thinking
Gmail,我心目中最伟大的互联网应用,一个访问量超Youtube的单一产品站点,一个重新定义Email这个单词的产品. 我们能够从Gmail的成功中学习到什么. 它就像一部红楼梦,“经学家看见《易》,道学家看见淫,才子看见缠绵,革命家看见排满,流言家看见宫闱秘事”. 2004年4月1日,Google宣布推出Gmail,愚人节发布新产品,媒体不相信,用户也不信,大家都把它当作一个笑话.

小心输入Gmail密码

- Eneri - 张磊的blog
最近在使用gmail时,会遇到原本登录的情况下还会提示输入用户名密码的情况. 感觉蹊跷就检查了一下页面源代码,果然是钓鱼行为. 我用gmail都是直接点击Google工具栏的按钮,但在家里和公司的电脑都会被劫持,特别地,家里在用Mac公司是Windows,不可能同时中了一样的木马. 应该是运营商(两边的网络都是北京联通)做了手脚问题出在网络上.

离线功能回归Gmail

- Myheimu - 驱动之家新闻_最新新闻
千呼万唤始出来──用这句话形容离线版Gmail、Google Docs 和 Google Calendar一点不为过,尤其是在Google一刀切取消了以前用于离线的Google Gears之后,大家就一直在等待一个离线版的应用解决方案,在Chromebook发布之后其意义更加重大. 今天Google终于宣布了可让Chrome实现离线的网页应用Gmail Offline ,该应用完全基于HTML5打造,界面则基于Gmail的平板界面(这是最让人不满的),在你没有网络连接的情况下,通过Chrome打开这个离线网页应用,即可管理自己的Gmail邮件了.