法律声明
以下内容仅限于技术科普、学习研究参考,请勿用于非法用途
杂谈
之前,我们讲过很多通过钓鱼链接导致账户密码泄露的情况,同时我们还专门出过一期防钓鱼的文章
今天,分享一期来自国外大神Maythem
的视频教程,带大家实战看下,如何在国外Instagram社交平台通过一个链接让用户主动输入自己的账户和密码。这样的钓鱼页又通常具有什么特征?
视频教程
图文讲解
我们可以发现,通常黑客或者是一些恶意用户,在钓鱼的时候会使用非常博人眼球的词,例如
看看这个是不是你?
或者有些会结合游戏等内容
绝地求生国服CDKEY免费领取
王者荣耀测试服资格领取
立即领取XXX福利
再或者是有些官方的话
您的帐户可能已被入侵,立即查看相关内容
总之,最终会引导你打开一个链接,有的链接是直接获取你的IP高精度定位,我们上次讲过
有的是利用网站本身的漏洞,让你访问一个链接并同时将cookies传入黑客的服务器,我们上次也讲过
再或是通过一个升级页面完成钓鱼,比方说flash升级页面、一些厂商的VPN登录页、利用XSS攻击完成QQ空间钓鱼科普
- flash升级页面钓鱼源码 https://github.com/xiecat/goblin
- 高仿真的界面用于hvv红队钓鱼、社工等场景:https://www.iculture.cc/forum-post/8101
- XSS攻击,QQ空间钓鱼页科普 https://www.iculture.cc/forum-post/5344
还有的是类似于QQ空间、icloud等仿真页面,让你输入账户领取福利或者是输入账户修改密码等等
- 测试链接已下线,可以自己部署研究学习
通常,在社工中,你可能会通过各种渠道获取到目标对象的一些资料,比方说在领英平台上或者校园网上有他的照片。老外在这里上传了两张受害者的照片(这样的页面通常可能只显示1秒钟,目标对象通常会因为好奇而输入自己的账户密码,这也就是为什么很多人被钓鱼、被社工的原因!就是因为好奇心!)
![图片[1]-黑客是如何通过社交平台钓鱼链接获取用户密码的-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/01/20220130083954714.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
然后1-2秒,页面就跳转到了,很多人都不仔细看网址就输入了账户和密码
![图片[2]-黑客是如何通过社交平台钓鱼链接获取用户密码的-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/01/20220130084134666.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
最终,被黑客成功拿到了账户和密码
![图片[3]-黑客是如何通过社交平台钓鱼链接获取用户密码的-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/01/20220130084233457-1024x550.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
相关工具
视频中所用到的相关工具和链接将放在这里
- Ngrok 快速上线网站的方法,代理转发的手段 https://ngrok.com/
- Instagram社工钓鱼的模板页面 https://github.com/E30IS/letsPhish
- 缩短网址的页面 https://bitly.com/
如果QQ被钓鱼了应该怎么办
- 如果在QQ上莫名点了链接,建议立即修改密码,同时将恶意链接提交给QQ安全中心https://110.qq.com/
- 如果我头比较铁,我不想改密码,建议开启设备锁,同时在设备锁中删除不是自己登陆的设备
QQ设置中
![图片[4]-黑客是如何通过社交平台钓鱼链接获取用户密码的-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/01/20220130085341705.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
选择登陆设备管理
![图片[5]-黑客是如何通过社交平台钓鱼链接获取用户密码的-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/01/20220130085359952.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
查看自己的设备,如果不是自己的设备建议删掉,防止忽然间被盗号
![图片[6]-黑客是如何通过社交平台钓鱼链接获取用户密码的-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/01/20220130085506720.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
© 版权声明
THE END
- 最新
- 最热
只看作者