险些中招钓鱼诈骗,复盘我的踩坑全过程
经过了AI润色。
起因
QQ自带内置邮件助手,默认邮箱格式为QQ号@qq.com。我平时几乎不会使用这个邮箱,号码也很少刻意记,本以为不会收到什么消息。 但在6月28日下午,我收到一封来路不明的陌生邮件。
接触与识破
一时好奇我回复了邮件,很快收到骗子自动推送的一条链接。点开后页面看似腾讯文档,细看却漏洞百出,现在回想才惊觉自己当时警惕心不足。
这个仿站制作算不上粗制滥造,基础交互一应俱全,足以蒙蔽不细心的人,但多处细节暴露破绽:
- 网站无SSL安全证书,浏览器直接标注不安全;
- 域名并非腾讯官方后缀
*.qq.com/*.tencent.com; - 页面完全没有适配电脑端,布局错乱观感诡异;
- 我此前刚登录过腾讯文档,页面却强制弹窗要求重新登录,借口是文件过大需验证身份。
起初我切换浏览器UA模拟手机端浏览,页面勉强恢复正常,这时才猛然醒悟:正规腾讯产品绝不会出现适配割裂、域名混乱这类低级问题,当即停止操作关闭页面,没有继续输入任何账号信息。
事后思考
复盘整件事,骗子大概率是利用QQ用户统一的邮箱格式批量群发钓鱼邮件,精准抓取QQ邮箱投递诈骗信息,而非我日常在用的主力邮箱,隐蔽性更强。 事后我简单爬取了站点内容,发现站内仅有四份文件,而且内容疑似AI批量生成,低成本批量制作钓鱼页面实施诈骗。
总结提醒
陌生邮件附带的外部链接切勿随意点开,遇到要求二次登录、域名异常、无安全证书的页面直接关闭。 但凡涉及账号登录、隐私验证的陌生网页,多核对一遍官方域名与安全标识,不要因一时好奇泄露个人信息。
石猫博客