前不久 iphone 被偷了,于是我打开了丢失模式。最近一直收到假冒成 apple 的钓鱼邮件试图骗取我的 apple id 密码来解锁手机。
之前的邮件都是通过假装成 icloud 的登陆界面来诱骗输入账号密码,于是没有上当。 但是今天收到的一封邮件最终还是击败了我:
习惯性地点开链接之后不到一分钟,微信就收到提醒: qq 信箱在异地登陆。 在过了不到一分钟, mac 弹出提示需要重新输入 appid 密码
到这个时候我才反应过来:刚刚打开的页面中带有 xss 攻击代码,导致对方得到了 qq 信箱的权限,然后再通过 qq 信箱重设我的 apple id 密码,最终将丢失的手机成功解绑。
赶紧登陆到 qq 信箱,果然在垃圾箱里看到有 apple 发来的密码修改成功的提示邮件。
这个故事告诉我们, qq 信箱有多安全。 得到几点教训:
1
ty89 OP 随手一搜看到乌云在知乎的文章:只因一部 iPhone ,结果搅的国内邮箱血雨腥风! https://zhuanlan.zhihu.com/p/20635237
|
2
shoaly 2016-11-06 01:25:03 +08:00
真的吗....看来钓鱼链接确实不能随便点.... 我一直以为 chrome 等流行浏览器 会过滤掉 xss
|
3
phdyu 2016-11-06 01:29:25 +08:00 via iPhone 1
用 Firefox+ No script 插件 上墙内网站用
|
4
ihacku 2016-11-06 01:33:35 +08:00 via Android 1
可以报告给 TSRC https://security.tencent.com 除了有奖金可以“挽回”点损失之外 修复之后还能避免别人被攻击
|
5
huang5587783 2016-11-06 07:17:00 +08:00 via iPhone
我老婆用的就是 QQ 邮箱,有点尴尬,
|
6
RqPS6rhmP3Nyn3Tm 2016-11-06 09:26:58 +08:00 via iPhone
这都多久的新闻了,还没能修复吗?
|
7
popok 2016-11-06 10:46:56 +08:00 via iPhone
不要什么都国外的好,至少 qq 邮箱还是挺好用的。
一个产品被挖出漏洞也算正常, gmail 难道就没 xss 了吗?只要报告上去官方会及时修复就好。 我觉得一般钓鱼邮件不需要点链接进去就能看出来是钓鱼的吧。 |
8
zsj950618 2016-11-06 11:15:54 +08:00 via Android
是你点开了垃圾邮件里的链接还是只是在 QQ 邮箱里查看了那封邮件?
|
11
ty89 OP 最新情况:
刚刚检察信箱发现今天又发来了好几个钓鱼邮件: ![]( http://tyblog.qiniudn.com/16-11-6/45008817.jpg) 正文里面忘了交代一点就是,我在收到邮箱异地登陆的提醒之后,马上给信箱设置了独立密码 由此可以推断,对方虽然修改了 apple id 密码,但是可能由于操作上的时间差的关系,还没能成功解绑 apple id |
12
wclebb 2016-11-06 12:29:36 +08:00
乌云报道过这个,好像结果处理是厂家不予处理/无视,好像,反正就是 QQ 懒得管了。
|
13
flycmd 2016-11-06 19:10:12 +08:00
两步验证, gmail 或者 hotmail 开两步。记得国外邮箱也要开两步验证, apple id 开两步验证。
|
15
ty89 OP |
16
salary123 2016-11-07 10:23:44 +08:00
以前好像看过。。漏洞还没修复么。。究竟是点击邮件,还是邮件里面的链接。。有时候还真是心存侥幸。会去点一下。
|
17
liuhaige 2016-11-07 10:52:18 +08:00
不是需要一张图片就够了?
|
18
v3exad 2016-11-07 11:02:37 +08:00
我感觉是链接问题吧。。。
|
19
monet1314 2016-11-07 12:09:09 +08:00 2
遇到过,不过设了一下 QQ 邮箱的单独密码,然后对方暴怒了~
|