近年来，随着信息技术的迅猛发展，网络已经成为我们生活不可或缺的一部分。网络小芬给我们带来方便快捷的同时，也成为诈骗犯罪的温床，不发分子利用网友的好奇心理，制作上线钓鱼网站诱骗消费者。钓鱼网站是不法分子尽心网络诈骗的主要手段之一。

　　

　　今天讲的就是一次对钓鱼***到社工的经历

　　废话不多说 看图跑进来的请认真看 记好笔记

　　目标站 http://www.caoliu10240.com/

　　1024大家并不陌生把 没错今天说的就是一个草榴的钓鱼网站，网站是假的，可收集你个人帐号和密码信息确实真的!

　　

　　点击任何东西都要你注册 抱着激动的心情我们注册一个试试，然而注册完了需要你交钱成为vip才能给你看，或者还有一个办法就是要你推广到各个群

　　要有是个人通过你的邀请连接注册了那么你就能不用交钱成为会员，我相信大部分人都会选择丢到个大群让别人去注册把，然而就算通过你的邀请连接注册了上百人上万人你也根本不会成为那传说中的SVIP

　　然而这并没有什么卵用，他们的目的就是为了收集你的帐号密码，然后通过你发送的邀请连接收集跟多人个人账户密码，滚雪球一样，没有限制，也没有终点!

　　

　　下面就是日战环节 国际惯例随手试了一个admin找到了后台 熟悉的界面

　　良精南方cms

　　

　　直接利用越权添加账户密码漏洞添加一个管理员 然后我们进入后台看看把。

　　

　　阉割版 试了几种那shell方法就不成功 编辑器组建被删除 上传点被删除 网站配置没敢插 怕插坏了配置线面工作就没法干了 继续看：

　　

　　截止到昨天就有10000+用户的信息被收集 用户名 密码 邮箱

　　既然搞不定shell 那么我们就搞管理员了

　　通过whois信息查询到邮箱一枚

　　

　　

　　

　　空间里面都是买药的 不知道药是真是假

　　

　　

　　不敢相信一个妹子搭建黄色网站收集用户个人信息 继续社工

　　

　　通过百度得知 他有经常活跃在糗事百科

　　

　　用户名为 風夜殤

　　

　　通过这条信息可以知道他是做网赚的 好了 继续翻

　　

　　他给评论别人帖子 要种子 这个不像是妹子能做出来的啊 从这里得到了另一个

　　

　　通过这个qq的QQ群历史备注查出来 名叫申燕鹏 完全一个妹子的名字啊 目测这个是生活号 进空间看看

　　

　　可以推断 1月27是生日 今年20 那么就是1997年出生的 19970127

　　

　　经常在这里运动 坐标河南省郑州市

　　

　　

　　通过留言板找到手机号 但是是2012年的 不确定现在还用不用了

　　

　　百度搜索qq号得到百度帐号

　　

　　关注1024那你还关注戒色 在下佩服 虽然关注了微博互粉但是我并没有找到他的微博 技术不够啊 通过关注的小米贴吧可以猜测他用的是小米手机

　　现在有了 手机号 两个QQ号 还有一个百度帐号 还有一个常用用户名

　　我们继续用用户名搜索一下了

　　得到他在dosyp论坛有帐号 测试帐号密码有惊喜 户名名和密码是一样的

　　

　　可以看到这就是他生活号邮箱 我们继续搜索

　　

　　注册了知乎 我们继续登录测试

　　

　　经过几次测试用生活号邮箱+某度账户名登录成功

　　一个二十岁的小伙子 整天关注的都是些什么鬼

　　

　　这个站密码猜死我了 最后没办法用钓鱼网站后台密密码登录测试成功了 可以确定是这个人

　　

　　可以确定是这个人了

　　

　　通过ip查出来的地址

　　

　　通过生活号+黄色网站后台密码登录成功

　　

　　通过生活号邮箱+某度帐号登录成功

　　然而本人不才 没能拿下百度帐号

　　为了验证手机号他现在还在用 我去登录小米试试

　　

　　通过两小时的猜测密码还是和前面的某站用户名一样 +手机号登录成功 但是异地登录要手机验证 怎么绕过那 突然想到了 登录小米论坛不需要验证

　　然后去登录小米论坛

　　

　　小米论坛登录成功

　　

　　通过小米的手机找回 定位成功

　　

　　

　　有两台设备 然而想查看手机相册通讯录需要手机验证 或者邮箱验证 这两个一个没拿下来 太可惜

　　

　　登录米聊可以确定手机号是他现在还在用的

　　然而名字是妹子的名字 感觉名字出错了 所以用手机号

　　去找回密码测试

　　

　　*炎朋

　　不对啊 前面QQ群关系查出来的不是这个名字啊 通过对照 QQ群馆续得到的是申燕鹏然而我们支付宝的又不一样 直接转账 会提示验证名字

　　出来得就是后面两个字 我们第一个试试申 验证功过

　　最后得出的结论 真实姓名申炎朋

　　

　　

　　世纪佳缘

　　

　　从这里可以看的出来他只在找人做那个钓鱼网站 2015年1月16号开始策划到现在已经两年了

　　我们继续测试密码登录猪八戒网

　　通过生活号邮箱+钓鱼网站后台登录密码 成功进入猪八戒网

　　

　　

　　从这里再次确认手机号就是他的

　　还有通过手机号找到的微信号啊 qq号找到的微信号啊 什么的都不贴出来了

　　信息都明确了

　　

　　他们收集这些信息有啥用

　　用处太多了 每一条都能影响到你钱财安全 甚至是人生安全 大家可以自行百度信息泄漏的危害

　　保护个人信息的常用方法(良好的习惯)

　　1.不要使用简单的密码。123456，名字拼音+生日(123)之类的.(网友提醒可以在原密码后加上+1s)

　　2.不要N个网站用同一个密码，防止撞库。

　　3.不要随便在网上留QQ放真名甚至是你的身份证号。

　　4.不要随便连接公共WiFi。

　　5.不要用安全性弱的邮箱(我没有针对任何厂商)并且不要用该邮箱绑定支付宝或者苹果ID。

　　6.家里的WiFi管理后台账号密码不要设为默认，必要的话可以做一下MAC绑定。

　　7.分辨钓鱼网站。

　　8.不要随便扫二维码。

　　9.不要随便接收来历不明的文件。

　　10.我个人不推荐小白的电脑不安装安全防护软件。

　　11.如果知道自己注册的网站曝出安全问题，立马去改密码。

　　12.登陆开启二次验证。

　　13.淘宝购物订单不建议填写真名

　　来自微信公众号-------网络小捕快

　　来源：卢松松博客，欢迎分享，(QQ/微信：13340454)