黑客是如何通过社交平台钓鱼链接获取用户密码的

法律声明

以下内容仅限于技术科普、学习研究参考，请勿用于非法用途

杂谈

之前，我们讲过很多通过钓鱼链接导致账户密码泄露的情况，同时我们还专门出过一期防钓鱼的文章

今天，分享一期来自国外大神Maythem的视频教程，带大家实战看下，如何在国外Instagram社交平台通过一个链接让用户主动输入自己的账户和密码。这样的钓鱼页又通常具有什么特征？

视频教程

图文讲解

我们可以发现，通常黑客或者是一些恶意用户，在钓鱼的时候会使用非常博人眼球的词，例如

看看这个是不是你？

或者有些会结合游戏等内容

绝地求生国服CDKEY免费领取
王者荣耀测试服资格领取
立即领取XXX福利

再或者是有些官方的话

您的帐户可能已被入侵，立即查看相关内容

总之，最终会引导你打开一个链接，有的链接是直接获取你的IP高精度定位，我们上次讲过

有的是利用网站本身的漏洞，让你访问一个链接并同时将cookies传入黑客的服务器，我们上次也讲过

再或是通过一个升级页面完成钓鱼，比方说flash升级页面、一些厂商的VPN登录页、利用XSS攻击完成QQ空间钓鱼科普

• flash升级页面钓鱼源码 https://github.com/xiecat/goblin

• 高仿真的界面用于hvv红队钓鱼、社工等场景：https://www.iculture.cc/forum-post/8101
• XSS攻击，QQ空间钓鱼页科普 https://www.iculture.cc/forum-post/5344

还有的是类似于QQ空间、icloud等仿真页面，让你输入账户领取福利或者是输入账户修改密码等等

• 测试链接已下线，可以自己部署研究学习

通常，在社工中，你可能会通过各种渠道获取到目标对象的一些资料，比方说在领英平台上或者校园网上有他的照片。老外在这里上传了两张受害者的照片（这样的页面通常可能只显示1秒钟，目标对象通常会因为好奇而输入自己的账户密码，这也就是为什么很多人被钓鱼、被社工的原因！就是因为好奇心！）

然后1-2秒，页面就跳转到了，很多人都不仔细看网址就输入了账户和密码

最终，被黑客成功拿到了账户和密码

相关工具

视频中所用到的相关工具和链接将放在这里

• Ngrok 快速上线网站的方法，代理转发的手段 https://ngrok.com/
• Instagram社工钓鱼的模板页面 https://github.com/E30IS/letsPhish
• 缩短网址的页面 https://bitly.com/

如果QQ被钓鱼了应该怎么办

• 如果在QQ上莫名点了链接，建议立即修改密码，同时将恶意链接提交给QQ安全中心https://110.qq.com/
• 如果我头比较铁，我不想改密码，建议开启设备锁，同时在设备锁中删除不是自己登陆的设备

QQ设置中

选择登陆设备管理

查看自己的设备，如果不是自己的设备建议删掉，防止忽然间被盗号