钓鱼网站“四级跳”窃取用户QQ密保

　　日前，暗组安全微博披露了一种新型邮件钓鱼手段：黑客假冒“QQ安全中心”名义，诱骗用户在钓鱼网站上输入QQ帐号和密码，并以“QQ帐号功能受限”为由套取QQ密保资料，使中招者被盗号后难以找回密码。据验证，国内安全软件中360安全卫士已对该钓鱼网站实施拦截。

　　图1：360拦截假冒“QQ安全中心”的钓鱼网站

　　值得警惕的是，攻击者使用罕见的“四级跳转”方式，首先从腾讯拍拍跳到Manyou开发者网站、再跳到央视网、搜狐微博、最终跳到仿冒QQ安全中心的钓鱼网站，从而绕过部分防跨站的验证程序。

　　图2：该钓鱼链接通过四连跳绕开部分防跨站的验证程序

　　随后，该钓鱼链接会提示用户的QQ帐号部分功能受到临时限制，提示用户通过验证帐号资料才能解除限制(如图3所示)。

　　图3：钓鱼链接弹出虚假提示页面欺骗用户

　　“点击解除限制”，该钓鱼网站伪造了一个手机短信验证页面(如图4所示)。其实只要用户随便输入8位数字，都可以顺利进入下一步。

　　图4：钓鱼链接伪造的短信验证页面

　　原来，现在的钓鱼网站不光会骗QQ帐号和密码，连QQ密保资料也成了它的猎物(如图5所示)。

　　图5：QQ密保资料才是钓鱼网站的最终目的

　　网络钓鱼花样繁多，这里我们要提醒大家，上网你可长点心吧，千万认准官方网址。另外对中老年电脑用户来说，装款国产安全软件防防钓鱼，也能起到一定的提醒警示作用。