今天我也被钓了一次

  近来事情很多,压的穿不过气来,经过好朋友建议,开始去玩诛仙这个游戏来放松下。诛仙这个游戏还是比较不错的,最重要的是它里面没有人使用外挂,还有就是这个游戏画面也确实漂亮。但是在玩的同时还是发现了不少的问题,在线的游戏管理员缺乏系统的管理,垃圾信息发了很多,对于我这个游戏门外汉也就被它们阴了一把。下面我来陈述下详细被阴的过程,同时也在这里科普下所谓的社会工程学的“钓鱼”***。
  我当时还在努力的朝35级努力,正杀怪杀的性起,一条系统信息发了过来,提示我这次被所谓的一个诛仙机构在2009真情回报游戏玩家的随机抽奖选中,并中奖了。唉,难道老天终于开始垂青我这个穷小子了么?算起来自己也买了不少的×××,至今只中了一回,中了个5元的,那还是第一次买×××,哥们们说鸿运当头,得请客,就去M消费了下,花了200大洋。莫非今年第一次玩网络游戏,又开胡了?系统信息提示:请你迅速登陆 [url]www.zhuxian-wanwai.cn/v[/url],并迅速和客服联系,切换到桌面上,登陆qq,然后查找添加这个客服mm(或许也是哥哥哦),通常做这个行当的人妖多一些。下面来看下我们的对话:
顽张ってね  10:25:22
需要领奖
【诛仙】客服  10:25:35
您好,这里是完美诛仙咨询部,请问您在游戏时收到消息通知的用户吗?
顽张ってね  10:25:43
是的了
【诛仙】客服  10:26:00
好的.请输入领取码我们需要核对您的身份.谢谢.
顽张ってね  10:26:26
029
【诛仙】客服  10:26:35
您好.您的验证码错误.
顽张ってね  10:26:37
069
【诛仙】客服  10:26:51
好的,請您稍侯.......(服務器需要核對)請您退出遊戲.以便服務器刷新.謝謝合作!
【诛仙】客服  10:27:04
您好,請您現在立即退出[誅仙]遊戲後在與本人員聯系,謝謝合作!
顽张ってね  10:28:07
恩。好了。已经退出来了
【诛仙】客服  10:29:04
辦理步驟:點擊→【【誅仙】2009大回饋,真情送豪禮!】→輸入帳號與領取碼→【確認領獎】→填寫資料→提交.
【诛仙】客服  10:29:05
恭喜您,服務器已經核實了您的身份.請您登陸本次活動主頁: [url]http://zhuxian-wanwai.cn/v/[/url](領取碼:069)
【诛仙】客服  10:29:06
请您登陆活动主页真实填写您的资料后提交保存在与我们联系。
【诛仙】客服  10:57:32
您好,请问您提交了表格完了吗? 
顽张ってね  11:07:57
不好意思,我的经验海没有弄完,做完任务再填写,好吧。mm
【诛仙】客服  11:10:43
好的.
顽张ってね  12:53:12
哦,说中了2等奖,还有奖金
【诛仙】客服  12:53:22
是的.
顽张ってね  12:54:13
那怎么办理呢?
【诛仙】客服  12:55:09
您好,请问您提交了表格完了吗? 
顽张ってね  12:55:44
表格提交完了
顽张ってね  12:55:54
不知道为什么还要收费啊
。。。。。。。。。。。。。。以下省略
通过上面的消息,你们可以看的出来,他们还是做了一些测试的,第一次我故意把上面说的邀请码输错,因为有的号码是随机的,他们还是要做一些验证的,接着输入了正确的邀请码,起先我以为它的站点是挂马站点,没有去点,为了自己的游戏人物不被怪物杀掉,就先退了出来,迅速打开虚拟机,初衷的考虑是怕他们在站点上挂马,放下载者,经过详细的检查,确定没有发现挂马信息和游戏下载着的痕迹。点击进入领奖登记,提示我输入游戏账号,然后输入邀请码,输入完毕,点击验证,直接弹出提示我中了2等奖,然后客服提示我让我迅速填写信息,说要给我邮寄礼品,接着提示让我按照要求,交980元左右的手续费,最猖狂的是说,他们是经过北京公正处公证过的,所有的当你认为是诈骗的话,你可以向当地的公安机关报案。难道我真的这么傻么,mm还是gg你的IP地址直接显示你在海南琼海,我也查阅过上面的站点dns注册信息,注册的所有者为新网,而且诛仙的所有机构都在北京,哎,就这点伎俩还要在江湖混,真实脸不知耻。呵呵,到了这步,大家基本上可以准确的定位这个是典型的钓鱼了吧。别着急,我们接着科普下,这个站点这么害人,我们是不是想希望搞他一下呢,现在不是正在严打严查的时期么,怎么有的哥们想说直接黑了它?那不是我们应该做的,再说黑了,对以后警察大哥的取证也带来危害,那我们遇到这个问题怎么解决呢?
第一步,你首先通过和诛仙的客服进行联系,确认是否有这个活动。
第二步,经过确认是钓鱼***,通过qq的举报把这个冒充诛仙客服的家伙先做下举报,然后提交到腾讯,不过这里还是有些问题,他们的处理很慢,到我完成这篇文章,这个qq还是依然能够访问,不知道腾讯是否能加大一下力度。
第三步,把访问的网站做下记录,该做截图做下截图,这样即使原站点关闭,也可以为以后对这些涉案人员的调查工作做出一些贡献,同时也是一种义务。既保护了自己,同时也保护了更多游戏玩家。

文章到这里,还并没有完稿,因为我在这个里面同样还是存在很大的风险,这个我和梁林做了咨询,他告诉我说,目前国内外的钓鱼***都是只诈骗,通常手段都是让你提交表格,通过填写表格来记录你的账号和密码。并不在主站上挂马和安放下载者。至少现在还没有发现,我同样认为如果对方手里面有一些0day,还有经过免杀处理的下载者,那么就是我们不提交表格,只要一登陆,那还是有危险存在的,不光是账号丢失,现在的一些下载者和网银及股票交易都做了捆绑,这个损失可就不是一个小小的游戏账号了。同时也暴漏了地下黑色产业链的猖獗,已经由小规模到了一个集团化,产、供、销一条龙,诈骗不再是单一的滴一声移动诈骗了,短信诈骗,可见这个产业化也在做一些调整。
技术术语答疑: 
社会工程学:利用人心的心理弱点(如:人性的痴贪,轻狂,好奇)来进行欺骗和***,以获得所需的信息(计算机登陆口令,游戏账号,密码,隐私,情报等)
提交表格:是一个编写好的伪装页面,例,asp,php等,再填写完毕的时候,对方在另外的一台服务器上直接获取,通过get函数获得所有的信息。还有经过调查有些人喜欢用自己的手机号的后几位做密码,还有最常见的生日密码,这里我建议大家除了直接哪些正规站点或者可信任站点填写真实信息外,其他的时候还是建议多用伪装,至于怎么伪装,我这里就不需要教授了。
钓鱼:它是Fishing和phone做了结合,叫做phshing,由于70年代最早的钓鱼来源于盗打电话,网络钓鱼需要精心构造一个看上去合法可信的网站,设置好陷阱,提示你需要登陆和更改你的密码信息等,这里的鱼饵就是提示你中奖了,或者被挑选成为某个vip会员等。