作者:乱雪
今天同学的一个朋友发短让我帮他破解一个网易相册的密码,至于其他的原因出于保密就不说了,一般来说这个东西除了社会工程学,技术手段几乎无效。
我向他要来对方的QQ号码和相册地址,在网上搜索半天都未找到相关信息。因为网易博客“关于”栏里填了很多真实信息,我先利用了“密码找回”功能加上对方在关于里写的资料去试着找回密码,没有成功。他的目的是看到相册的内容,密码暂时没找出来,所以就用“骗”了。
首先我确认了对方是个年龄不算很大,网龄以及网络方面的知识很少,那么非常适合。我换了一个不常用的QQ号码,然后将用户名改为“网易博客客服”,并且加对方为好友,很快通过验证,我首先自我介绍以后,告诉对方我联系他的目的。我找以“因为四川汶川大地震,国家为了避免网上散播谣言,需要对每个用户的博客进行检查,由于你相册加了密码,我们需要查看里面的内容”。当然这个是很弱智的骗法,我是根据他而网龄不大,对网络不熟悉才这样问的。对方问我能不能把密码清除,让我进去看。我们的目的就是看对方相册的内容,自然也就同意,而对方清除所有相册分类的密码后,把我们需要看的重要的那个相册分类删除了,并说任何人包括我们(指客服)也不能看,为了不引起怀疑,我用VB画了一个“操作记录程序”的界面,内容大概为“用户名在2008年5月21日删除了相册分类”。我估计对方可能在我们检查完后会重新上传,而说需要出去半小时,我逞这个机会,制作了一个假的网易页面,命名为 “网易博客违法检测安全登记中心”,正好手里有个ASP空间,将写好的ASP程序上传上去。如图:
大约半小时至一小时后,对方回来了,我将地址发给对方,并声称在三小时以内必须登记,否则后果自负,而刚才已经耽误了很多时间了,于是对方急急忙忙地去登记,登记完后并通知了我,然后我将数据库下载下来,密码已经存在数据库里了。然后对方又问我刚才删除的分类和照片可以重新上传并设置密码吗(我刚才的估计完全正确),我回答了可以,对方很有礼貌的向我感谢。我登陆了博客管理,然后不停刷新页面,几分钟后果然上传了照片,然后我将密码发给了我朋友,并告诉他不要在对方离开后进入后台,因为前台有个“最后登陆时间”,如果我们忽略了这点,对方却注意了这,那就会引起刚才行骗的怀疑。完后就将对方拉入黑名单并且删除了,下次有事我这个“客户”大哥再找你摆龙门阵吧,哈哈。
这次欺骗很成功,从这点看出国内网民对网络安全的意识相当差。从这次经历应该学到了,首先网易客服不会通过QQ来联系的,而且从我发给她的登记地址就可以完全看出漏洞,而且作为网易的人,是完全没必要像你索要登陆密码的。欺骗是需要根据对方自身条件而制定一套方案的。声明我不是什么骗子,只是看这对朋友非常重要的份上才弄的。