近日遇到了一个YY的钓鱼网站,专门用来盗取账号和密码及手机验证码,三者齐备,可能就直接可以修改密码了,提醒网友们注意。
接下来简单的介绍一下此类网站的盗号原理。
每个动态网站均有一个数据库。用户登陆时填写的用户名和密码,均会填写到数据库中。上图所示的页面,在点了确定按钮后,会把用户填写的用户名和密码保存下来,然后转到一个登陆失败页,让用户发送短信获取短信验证码,并让用户输入此验证码。这样验证码也保存到了数据库中。
盗号者会在后台随时查看到此三者:用户名、密码、短信验证码。然后账号就可能被盗走。
一般的钓鱼网站基本都是如此,会将页面和官网做的极度相似,网址中包含官网的域名(实际是文件名或文件夹名),不是仔细辨认极易认为是官网。然后盗号者会在官网的聊天区发送地址,冒充是组队或官网的活动,欺骗性极大。
号码被盗号,游戏装备或账号就会被出售获利。