这是一个创建于 3359 天前的主题,其中的信息可能已经有所发展或是发生改变。
前不久 iphone 被偷了,于是我打开了丢失模式。最近一直收到假冒成 apple 的钓鱼邮件试图骗取我的 apple id 密码来解锁手机。
之前的邮件都是通过假装成 icloud 的登陆界面来诱骗输入账号密码,于是没有上当。 但是今天收到的一封邮件最终还是击败了我:
习惯性地点开链接之后不到一分钟,微信就收到提醒: qq 信箱在异地登陆。 在过了不到一分钟, mac 弹出提示需要重新输入 appid 密码
到这个时候我才反应过来:刚刚打开的页面中带有 xss 攻击代码,导致对方得到了 qq 信箱的权限,然后再通过 qq 信箱重设我的 apple id 密码,最终将丢失的手机成功解绑。
赶紧登陆到 qq 信箱,果然在垃圾箱里看到有 apple 发来的密码修改成功的提示邮件。
这个故事告诉我们, qq 信箱有多安全。 得到几点教训:
- 重要的账号千万不要用 qq 信箱以及某些其他国产信箱
- 垃圾邮件还是不要手贱随便点
- 千万不要高估某些中国互联网巨头的技术实力
 | 1 ty89 OP 随手一搜看到乌云在知乎的文章:只因一部 iPhone ,结果搅的国内邮箱血雨腥风! https://zhuanlan.zhihu.com/p/20635237 |
 | 2 shoaly 2016 年 11 月 6 日 真的吗....看来钓鱼链接确实不能随便点.... 我一直以为 chrome 等流行浏览器 会过滤掉 xss |
 | 3 phdyu 2016 年 11 月 6 日 via iPhone  1 用 Firefox+ No script 插件 上墙内网站用 |
 | 4 ihacku 2016 年 11 月 6 日 via Android 1 可以报告给 TSRC https://security.tencent.com 除了有奖金可以“挽回”点损失之外 修复之后还能避免别人被攻击 |
 | 5 huang5587783 2016 年 11 月 6 日 via iPhone 我老婆用的就是 QQ 邮箱,有点尴尬, |
 | 6 RqS6rhmP3Nyn3Tm 2016 年 11 月 6 日 via iPhone 这都多久的新闻了,还没能修复吗? |
 | 7 popok 2016 年 11 月 6 日 via iPhone 不要什么都国外的好,至少 qq 邮箱还是挺好用的。 一个产品被挖出漏洞也算正常, gmail 难道就没 xss 了吗?只要报告上去官方会及时修复就好。 我觉得一般钓鱼邮件不需要点链接进去就能看出来是钓鱼的吧。 |
 | 8 zsj950618 2016 年 11 月 6 日 via Android 是你点开了垃圾邮件里的链接还是只是在 QQ 邮箱里查看了那封邮件? |
| 11 ty89 OP 最新情况: 刚刚检察信箱发现今天又发来了好几个钓鱼邮件:  正文里面忘了交代一点就是,我在收到邮箱异地登陆的提醒之后,马上给信箱设置了独立密码 由此可以推断,对方虽然修改了 apple id 密码,但是可能由于操作上的时间差的关系,还没能成功解绑 apple id |
 | 12 wclebb 2016 年 11 月 6 日 乌云报道过这个,好像结果处理是厂家不予处理/无视,好像,反正就是 QQ 懒得管了。 |
 | 13 flycmd 2016 年 11 月 6 日 两步验证, gmail 或者 hotmail 开两步。记得国外邮箱也要开两步验证, apple id 开两步验证。 |
| 15 ty89 OP |
 | 16 salary123 2016 年 11 月 7 日 以前好像看过。。漏洞还没修复么。。究竟是点击邮件,还是邮件里面的链接。。有时候还真是心存侥幸。会去点一下。 |
 | 17 liuhaige 2016 年 11 月 7 日 不是需要一张图片就够了? |
 | 18 v3exad 2016 年 11 月 7 日 我感觉是链接问题吧。。。 |
 | 19 monet1314 2016 年 11 月 7 日 2 遇到过,不过设了一下 QQ 邮箱的单独密码,然后对方暴怒了~ |
Select Language