漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-07538
漏洞标题:一次愉快的新浪微博社工钓鱼
相关厂商:新浪微博@清华诸葛建伟 的若干粉丝
漏洞作者: artemis
提交时间:2012-05-26 12:20
修复时间:2012-05-26 12:20
公开时间:2012-05-26 12:20
漏洞类型:社工风险
危害等级:低
自评Rank:1
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-05-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-05-26: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
可能有些跑题,权当娱乐一下大家。
虽然本周忙晕了,而且由于家里出的一些事情心情低落,但本着乐观主义革命精神,
在新浪微博上对我(@清华诸葛建伟)的粉丝团进行了一次愉快的社工钓鱼攻击。
将5月23日北京来回台州黄岩的公安部技术交流会之行,假冒去往成备受瞩目的南海
黄岩岛的神秘任务之行,所发的微博没有说一句假话,而依靠一张抓眼球且混淆视觉的
微博配图,以及在旅途中发布一些加以修饰但绝无假话的微博,引发粉丝团对微博的关注
和回应,最终让多名粉丝(其中包括一些安全技术大牛哦)相信我登临黄岩岛进行主权展示
并从事神秘任务。
详细说明:
因为老家就是浙江的,一直便知道台州黄岩,在5月21日订机票时再次看到机票是从
北京至黄岩(或称路桥机场)的,于是萌生社工钓鱼想法,发微博进行试水:
“后天从北京出发去黄岩,做一个展示,并和X安部共商如何应对威胁。嗯,积极准备中......”,
只引来4个评论,“实在太专业了”,“[衰]”,“这么威武”,“ga(公安)”,看起来已经有人上钩,
但效果显然不佳,单纯简单的文字很难引来关注,信息量也太少,很难骗到人。
5月22日由于万恶的工作安排,不得不悲催的将行程调整至当日来回,在出发前夜,
在微博中抛出社工钓鱼微博,为了吸引眼球引起更多关注,以及引导粉丝,从网上找了一张
中国记者登岛宣示主权的照片(好样的!)进行配发,http://news.xmnn.cn/tpxw/201205/t20120510_2293603.htm
而微博内容完全真实(台州黄岩也靠海,本来计划回临近的老家休息几天玩玩的)。
为了隐藏这个微博的钓鱼邪恶目的,同时吸引粉丝团热议钓到更多的鱼,
还专门插在了两个预期引发广泛关注的微博(1个是网际侦探新职业,另1个是组队参加Defcon CTF资格赛)。
http://www.weibo.com/2304731083/ykoBnDgJM?type=repost
并在随后旅途中很欢乐地以现场转播方式不断通过微博发布进展,引起粉丝关注和参与,让鱼儿上钩,如
“登机了,马上飞黄岩。太期待了 ”,(登机关手机前发),
“到黄岩了,x安部买单的飞机就是快啊:)”(到台州黄岩发的),
“ 这也上不来推特fb啊,这说明什么?”,(借助黄岩主权判定问题试图吸引更多讨论)
“这的降落点还真是军用的,太小了,才一个巴掌大的地。”(军用,巴掌大试图让粉丝相信我是通过直升机上岛,而事实上黄岩岛连个巴掌大的平地都没有,台州黄岩机场是军民两用,民用航班很少),
“明天原定计划出海捞鱼,太悲催了,要不是四万亿项目等我回去汇报,真该在这里好好领略祖国的大好领海,休息会吃过饭后得干正事了。”(出海捞鱼是亮点)
“结束黄岩之旅,从x安部了解了主要威胁,上黄岩回北京了”
在一些粉丝上钩后的评论也进行了互动,以故弄玄虚等手法增加可信度,如:
@清华诸葛建伟:回复@酒无而七:不许打探国家机密,不该问的别问,我不该说的打死也不说。[做鬼脸] //@酒无而七:搞个黑客基地?收集敌方资料?
回复@sbilly:嗯,拍完照了,网速太慢上网费太贵,回去以后再发出来。 //@sbilly:一定要拍照留念啊~呵呵呵 //
在晚上回程微博已经沉下去之后,虽然返程在紧张赶时间和准备PPT中度过(领导太要命了,回来晚10点被抓去干活到凌晨),
仍发挥了大无畏的革命精神,在路上仍又手机发了几个进展帖,顶起微博试图再抓一些鱼。
最后抓到的鱼儿成果如下(有误伤者请凭良心自辩,注意群众的眼睛是雪亮的,不许删帖):
Websecurity:真爽啊'黄岩岛有机会可以看看去
潘猛1981:牛逼
sbilly:去黄岩岛??厉害! sbilly: 一定要拍照留念啊~呵呵呵
六月丫丫的巴巴屋:赞
謝文東的围脖 :诸葛老师是007啊
余弦 :在岛上替我留下:HACKED BY。
红黄满: 在岛上留个backdoor吧
肖军_iie: 去宣誓一下主权?
王红阳: 诸葛要露出纹身
酒无而七:搞个黑客基地?收集敌方资料?酒无而七:回复@BUPT小小de橙子:楼上正解,墙内人士。酒无而七:坐等正事八卦。哈哈。
那一份的坚持:
BUPT小小de橙子:中国领土 _与非或 :唉……
老祝2012:威武!!!
带疑问
泓磊Herry:黄岩岛?,:回复@泓磊Herry:磊子。。。。泓磊Herry:回复@弱弱的声音:必须的 (难道:弱弱的声音知道磊子被社工了?)
知道我在做钓鱼社工的粉丝
lukesun629:你让菲律宾海军虚惊一场啊!
许伟林: 太坏了,弄得阿基诺很紧张。
(这两都是我的学生,都知道我去台州黄岩,不来配合骗局,还试图拆台,不过没有明着拆台,助学金不扣了)
@Monyer:我同事说今天看到你了 公安部粉丝团的朋友露底了
最后,LinuxPad的评论提醒了我(他肯定认为我真去钓鱼岛执行神秘任务了),万一钓到菲律宾情报分析人员,
或是美国特工就不妙了,搞不好以后去菲律宾开会旅游什么的被纳入黑名单拒绝入境,被认为是国安特工而遭美国
大使馆拒签,所以,尽管工作紧张,还是尽早发布这个社工钓鱼报告,然后在微博中删除钓鱼帖为妙(再保留1周),
如果已被钓鱼的情报分析人员,请务必看过来,本人与国安毫无关联,不掌握任何机密情报,不参与任何神秘任务,
请不要将我加入监控黑名单,谢谢。
LinuxPad :你暴露的够多了,回头你就成被社对象了,嘿嘿。
小心被敌特社交分析后社工攻击。 //@清华诸葛建伟:你在x安部也有同事 ,//@Monyer:我同事说今天看到你了
漏洞证明:
修复方案:
提高安全意识,社工可以无孔不入,多些心眼,对一些存有疑点的说法要进行深入调查,才能取信。如果深入调查一下,就可以很快揭开这个钓鱼帖,比如黄岩不可能直接做飞机或直升机到,不可能在数小时内抵达。粉丝团中肯定有若干大神发现了bug(没有大神转发,因此钓鱼成果也不够丰厚),可以出来说说体会吧。
版权声明:转载请注明来源 artemis@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:2 (WooYun评价)