本文已发表在知乎，已经2.1K赞咯！！https://www.zhihu.com/question/293315890/answer/523802607

防御攻击的方法：https://blog.shelike.me/index.php/2019/01/27/谈谈伪造邮件/

---

当时我心急买服务器，就被骗了70块。70块，自认倒霉么？作为一个网络安全专家（自封的），我100%是要怼回去的。

我首先百度搜他QQ小号，搜到他在多个论坛发布过诈骗信息，去到论坛里面看，发布这个信息的也是小号。后来我发现他支付宝名称是一个昵称，我就百度这个昵称，发现他是一个哔哩哔哩up主。通过查看他的个人信息找到了他的大号QQ。

我等了两周还不退款，实在是不能忍了。我作为一个网络安全专家，100%要怼回去的。我打算通过钓鱼的方式获取他的哔哩哔哩密码。为此我专门买了个跟哔哩哔哩非常接近的.com域名，我通过伪造哔哩哔哩服务邮件，完美通过QQ邮箱防火墙，以官方的身份发送邮件给他，诱导他在假的哔哩哔哩官网输入了密码。

伪造的邮件：（“你”字改一下就非常完美了）

电脑端查看也是一样的效果：

发件人是官方，这里伪造得很成功。对于网址嘛，-和.可能也少人会注意吧。

点击地址，出现伪造的网址：

手机端：

 

电脑端：（因为修改登录框的onclick事件会导致全局的css失效，我一时找不到方法，就干脆换个手机的二维码吧）

 

然后呢，他一登陆，密码到手。

我就登陆了他的哔哩哔哩

哈哈哈哈，1.5万粉丝（图片的1.2万粉丝是我删剩下的，账号封禁也是我干的），他发的都是什么视频呢？都是什么steam免费领取之类的，还“不看就错过十个亿”。删粉删的很爽，发动态骂他也骂的很爽。我发了“此up主是个骗子”动态后，有些人也道出自己的受骗经历。

十分钟后被骗子发现，他改密码，我早已在他的账号绑定了我的小号QQ，用它再次登录骗子的哔哩哔哩。只见骗子发了一条动态，“账号被黑，问题不大”。我就发了一条“问题大得很，你个傻逼”。后来他多次改密码，每次都被我用绑定的QQ登录。骂的真爽。（图中说140块是夸大的）

 

通过相同的密码，登陆了他QQ互联，（为防止出现异地登录提示，我专门买了台广州的服务器作代理），通过快捷登录，我登陆了：网易邮箱、百度贴吧、百度网盘、网易云音乐、京东、斗鱼、抖音、小米账号等等。

我抹掉了他的小米6

登录他的网盘，卧槽，全是这种东西，好有品位呀，全是幼女！还是一个高中生啊，这我就不删了，祝你身体越来越好！

登录了他的京东，给他买了一百个充气娃娃，祝你性福！

知道了他的地址，顺便去货到付款的网站给他买点成人用品

喂大兄弟，你买的充气娃娃已经送到楼下了！快下楼拿吧！

登陆他的网易云，把他的歌全部删掉，留下一首恐怖音乐

把他哔哩哔哩改成领导人头像，封号90天

删掉他几千粉丝

再去他骗我的那个论坛发帖

我还算手下留情了，至少他的同学对此一无所知。我没用他的空间发说说，或者给他的好友每个人发一封邮件。QQ飞车和绝地求生我也没删他的装备。算是给骗子留了一条后路。 

我只想说一句话：在你决定骗我钱之前，你也不好好想想，你惹的是什么人！

 

 

 

---

因为不知道他的京东付款密码，所以呢，只能下单而已啦~