给长辈、同辈、小辈,以及负责任的互联网公司的移动互联网安全提示


其实不想怎么写这个文章,主要是因为身边有太多人不知道什么网址应该点,什么网址不应该点,点了以后什么操作不应该做,什么应该做。

作为一个互联网从业人员,我时刻对家人普及各种互联网防社工安全提示,有时候我对家人说的很多,他们很觉得我很烦人,因为我一遍又一遍的说了很多,但是对于她们来说,理解一个网址还是很复杂,理解什么操作是具有潜在威胁的,什么又是可以操作的,都有一些困难。

特别是移动互联网,不像PC网站,很多时候,没有办法显完整网址,一些钓鱼链接很容易就被忽略而顺利进入鱼塘。

比如我花了很大力气给他们普及域名结构,告诉他们怎么识别常见网站的官方网址,比如教会他们识别 http://xxx.x/?abc&www.qq.com 也不是腾讯的域名。对于微信上各种乱飞的H5红包链接或者话费赠送,流量赠送的H5链接,也普及了怎么识别是否是官方活动,但是仅仅一个s.p.qq.com 的这个可信域名的任意跳转『漏洞』,就毁了我之前的所有普及功效。

这个是我家人在朋友圈发的内容,我凭直觉看标题就感觉不对,点开一看果然如此。

在内容页面下拉就能看到网页的真实面目,就是个骗信息的站点。

填写完信息会进行诱导分享,属于违规行为,这种情况直接点击右上角菜单进行投诉,(当然,京东之类的腾讯亲儿子这种行为也很多,一般腾讯也不管)

诱导分享以后,还威胁利诱用户不要删除朋友圈。这里给大家普及一个知识,微信的朋友圈,除非你自己授权给好友,否则,任何第三方括程序都是看不见的,也就是他压根不能知道你朋友圈里面的东西,也就谈不上删除以后不能参与。这个满足这个条件的,基本上也就是骗子无疑。果断点举报。

打开电脑查了一下,果然是利用了 s.p.qq.com/pub/jump 这个二次跳转。实际上跳转到了一个BAE托管的站点地址,同时为了避开一些关键词检查或者其他原因,所有文字都是有HTML实体进行转义,连网页标题都是通过社工的服务器使用ajax来修改(同时也统计了数据)。

我实在是找不出还有什么办法教他们怎么辨别网址的安全性或者怎样的了,因为对他们来说,如果QQ的域名都不能点,那就不知道该点什么了。这个问题乌云上早就有人提过,然后腾讯的态度确不怎么积极,纳入QQ管家网址监管有什么用,你的QQ.COM这样的域名就不应该来隐式跳转到未知网页,起码给个中转提示,QQ邮箱能做到你为啥就做不到?新浪的短链接都是使用第三方域名t.cn。我看非得被人利用跳转到一些『非法网站』腾讯才能狠下心来整顿(换我来说:为什么不转型?)

这方面,招商银行的态度值得肯定。之前,招商银行发给用户的短链接全部使用新浪的t.cn短链接。我看到这里面存在社工潜力,给招商的微博发了建议,建议他们不要使用公共的短网址服务来发链接,尤其是跳转到APP的下载链接或者是跳转到网银的登陆链接,随后招行很快回复了我们的微博,并且在后续的短信里面全部改成了非招行域名但是受到招行控制的短网址链接。

在这里再次鄙视下腾讯公司的安全意识。责任和能力成正比,作为一个有这么多用户的大公司,一点点失误都会对很多用户造成损失。面对这样明显的业务逻辑缺陷,对调转到外部非自己域名的链接,给个二次跳转提示都做不到。面对两次报告,都进行回避不愿意修改。

 

在这里也告知各位长辈,同辈,和小辈,手机上各种非常见的域名,不要点,学会理解域名中哪个部分表示域名本身。各种自己不能确定的HTML5网页实现的红包链接,不要点(正规微信红包肯定是在当前聊天窗口打开,任何跳转到外部的红包,而且界面高仿微信红包界面的,99.99%有问题,跳转到不常见域名的,99.999%有问题)。不要参与非正规机构发起的免费或者低价流量/话费充值活动,除非线下商家当场查看兑奖或者腾讯亲儿子,各种要求强制分享的行为基本上都有问题,不要参与直接点举报。不要随意填写个人信息,包括但不限于银行卡卡号,手机号码,家庭住址,不随便下载来历不明的APP(尤其是从网页上直接下载的APK),不要随便连接免费WiFi,出门带个充电宝,那种必须开启开发者模式或者要求进行苹果设备信任的才能充电的充电站你打死也别用。

这是一个特殊的地带,这里面驻扎很多灰产做各种灰色勾当,我都不知道为了躲避检查,干这些恶心事的人申请了多少歪歪妞妞的域名,每个原子环节都有一个域名,被屏蔽一个就换掉,甚至对关键的js,使用UA判断,给PC分析者返回伪装的内容混淆监管(腾讯审核举报的人,一般看不到JS内容不知道APPID,举报的人也不多就算了)。这些勾当也许当前构不成任何刑事责任,警察也懒得管,所以需要学会保护自己,也许你多迟疑一下,扭一扭头,多问问,这颗子弹就偏你而去了。

Author Info :
  • From:给长辈、同辈、小辈,以及负责任的互联网公司的移动互联网安全提示
  • URL:http://blog.ihipop.info/2016/06/4871.html
  • Please Reserve This Link,Thanks!
  • 《给长辈、同辈、小辈,以及负责任的互联网公司的移动互联网安全提示》有5个想法

    发表评论

    电子邮件地址不会被公开。 必填项已用*标注