本文已发表在知乎,已经2K赞咯!!https://www.zhihu.com/question/293315890/answer/523802607

防御攻击的方法:https://blog.shelike.me/index.php/2019/01/27/谈谈伪造邮件/


当时我心急买服务器,就被骗了70块。70块,自认倒霉么?作为一个网络安全专家(自封的),我100%是要怼回去的。

我首先百度搜他QQ小号,搜到他在多个论坛发布过诈骗信息,去到论坛里面看,发布这个信息的也是小号。后来我发现他支付宝名称是一个昵称,我就百度这个昵称,发现他是一个哔哩哔哩up主。通过查看他的个人信息找到了他的大号QQ。

我等了两周还不退款,实在是不能忍了。我作为一个网络安全专家,100%要怼回去的。我打算通过钓鱼的方式获取他的哔哩哔哩密码。为此我专门买了个跟哔哩哔哩非常接近的.com域名,我通过伪造哔哩哔哩服务邮件,完美通过QQ邮箱防火墙,以官方的身份发送邮件给他,诱导他在假的哔哩哔哩官网输入了密码。

伪造的邮件:(“你”字改一下就非常完美了)

QQ图片20180613235419.png

电脑端查看也是一样的效果:

QQ截图20180613235609.png

发件人是官方,这里伪造得很成功。对于网址嘛,-和.可能也少人会注意吧。

点击地址,出现伪造的网址:

手机端:

blob.png

 

电脑端:(因为修改登录框的onclick事件会导致全局的css失效,我一时找不到方法,就干脆换个手机的二维码吧)

blob.png

 

然后呢,他一登陆,密码到手。

无标题.png

我就登陆了他的哔哩哔哩

哈哈哈哈,1.5万粉丝(图片的1.2万粉丝是我删剩下的,账号封禁也是我干的),他发的都是什么视频呢?都是什么steam免费领取之类的,还“不看就错过十个亿”。删粉删的很爽,发动态骂他也骂的很爽。我发了“此up主是个骗子”动态后,有些人也道出自己的受骗经历。

十分钟后被骗子发现,他改密码,我早已在他的账号绑定了我的小号QQ,用它再次登录骗子的哔哩哔哩。只见骗子发了一条动态,“账号被黑,问题不大”。我就发了一条“问题大得很,你个傻逼”。后来他多次改密码,每次都被我用绑定的QQ登录。骂的真爽。(图中说140块是夸大的)

blob.png

 

通过相同的密码,登陆了他QQ互联,(为防止出现异地登录提示,我专门买了台广州的服务器作代理),通过快捷登录,我登陆了:网易邮箱、百度贴吧、百度网盘、网易云音乐、京东、斗鱼、抖音、小米账号等等。

我抹掉了他的小米6

1.png

登录他的网盘,卧槽,全是这种东西,好有品位呀,全是幼女!还是一个高中生啊,这我就不删了,祝你身体越来越好!

1.png

登录了他的京东,给他买了一百个充气娃娃,祝你性福!

登陆他的网易云,把他的歌全部删掉,留下一首恐怖音乐

把他哔哩哔哩改成领导人头像,封号90天

删掉他几千粉丝

再去他骗我的那个论坛发帖

我还算手下留情了,至少他的同学对此一无所知。我没用他的空间发说说,或者给他的好友每个人发一封邮件。QQ飞车和绝地求生我也没删他的装备。算是给骗子留了一条后路。 

我只想说一句话:在你决定骗我钱之前,你也不好好想想,你惹的是什么人!


程序猿,攻城狮,给社会主义添 Bug