新浪微博活动可被利用钓鱼

0x01

一个玩安全的朋友在微博转发了一个活动,说是抽奖,我以前从来不相信什么抽奖的,不过看他中了奖感觉貌似还不错的样子,于是手贱点了一下,果断中奖!正在我纳闷的时候,系统给我发消息了!

看到系统管理员那个大大V,我果断的相信了,填写了中奖信息等待发奖。

0x02

刚才打游戏的时候越想越不对劲,哪有那么好的事?于是又去看了一下发起人的微博。

不看不知道 看了倒吸一口凉气,我怎么觉得这么蛋疼,一个公司2个月前最后一条消息是他的生活琐事,2个月后刚上微博就他大爷的开始发奖了?整个微博要不是有个V我都懒得管他呢!

打开活动页面,仔细看了一下瞬间蛋疼了。

再打开那个link.又一个抽奖?

我已经感觉到了事情不对,于是我迅速致电给茅台官方,发现没人接,于是果断的打给了新浪客服。我问她我感觉我遇到了骗子,但是那个微博又是加V的,现在不确定,想让她帮我核实一下这个活动是真是假,假如是假的那我的个人信息就确定已经泄露。

电话里客服妹子跟我扯了很久,她都快被我气哭了,但是还是说不出个所以然,但是她强调这些活动是一定经过审核的,让我坐等答案,于是我表示勉强相信。但是看了一下参与人数 下午的时候是4000多人,但了晚上已经有7000多人了,也就是说假如这个活动是假的,那么已经有7000多人的个人信息遭到泄露?!!!!

这个不敢开玩笑,既然新浪不给我一个答复那么我就自己来吧。

0x03

打开微活动的界面申请弄个活动先,看看是否有审核,提示要求必须是新浪认证用户才可以发起活动?

跟el4pse同学借了个V帐号,继续。

直接进来随便填写了活动名字和奖品,提交!

诧异!!!!!竟然发布成功了!奇怪,新浪的审核呢?打开了那个链接看了一下。

尼马,真发布了?于是我开始等着信息了,才几分钟不少用户上钩了。

0x04

我的活动内容是砸金蛋即可抽IPHONE4S,因为怕造成不良影响,活动我仅设置了半小时左右的时间,并派送出了“100台iphone4s”(当然 全是假的)。

活动期间有100多个人中了奖,至少有95个人填写了中奖信息,那么可以设想,那么至少有7000人由于@茅台网上商城 的那个微博中招了。活动发布了几个小时就收集到了7000人,那么3天后呢(这个活动有效期3天)就算12小时7000人,那么3*2*7000=4.2W人!!4W人啊!!!在黑市上4W人的信息能卖多少?不多解释你们懂,何况12个小时怎么可能只有7000人呢?假如这个人多发几次这样的活动呢?

知道一个百万富翁咋来的么?你想象一下一个穷光蛋在数日内变成一个百万富翁是多么难的一件事?不难,只要你把收到的数据都卖出去你就百万富翁。

按黑市价:一个用户的信息可以按RMB出售,一手信息为2-5RMB,按最便宜的2RMB 那么黑客此次可以非法获取8000*2=1.6W RMB 而且这个是最低价 假如按5RMB 那么就是8000*5=4W

如果信息转手卖掉 也就是我们说的二手 三手 多来数次 此黑客大约最低可以获得5-8W左右收益。别的话不多说了,你们懂得。

补充:之后我又致电新浪微博客服,得到的答案依然是有审核,这让我无比蛋疼。顺便录了个音,因为用麦录音,过程中有许多干扰和杂音,大家可以按快进的方式听。

___________结束语_____________

还是那句话 天上不会掉馅饼 贪心不成反被操。喜欢微博抽奖什么的人好自为之吧。

小白:尼他吗不是也SB的去抽奖了 也SB的上当了。

小编:我承认我确实也SB了。 :cry:

——————————————————————

补充,本文同时怀念一下因为测试漏洞被封号的小E同学,在他告诉我他被封的时候我无限蛋疼了。

理由是骗粉丝,我没笑 真心没笑。我承认 这种公开的测试方法是有错的,但是以这种情况下我们只能这样,否则哪里还有什么测试?我打了3通电话给你们,你们就告诉我你们的活动是有审核的,说你们没办法帮我肯定活动是真是假,让我坐等结果或者@活动小队长,但是这样盲目的等结果,如果活动是假的那么最后收益的是那名黑客,吃亏的是我们这些人,到最后还是要我自己想办法解决问题,在我发现问题并告诉你们问题所在的时候,却直接被你们无情的封号。这不是搞笑? :lol:

难过了,算了 不多说了,没意思了,在此借本文对小E同学表示抱歉,同时感谢微博的各位朋友讨论与帮忙及转发。真心感谢! :oops:

本文由网络安全攻防研究室(www.91ri.org)信息安全小组原创,转载请注名出处!