当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07538

漏洞标题:一次愉快的新浪微博社工钓鱼

相关厂商:新浪微博@清华诸葛建伟 的若干粉丝

漏洞作者: artemis

提交时间:2012-05-26 12:20

修复时间:2012-05-26 12:20

公开时间:2012-05-26 12:20

漏洞类型:社工风险

危害等级:低

自评Rank:1

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-05-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-05-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

可能有些跑题,权当娱乐一下大家。

虽然本周忙晕了,而且由于家里出的一些事情心情低落,但本着乐观主义革命精神,
在新浪微博上对我(@清华诸葛建伟)的粉丝团进行了一次愉快的社工钓鱼攻击。
将5月23日北京来回台州黄岩的公安部技术交流会之行,假冒去往成备受瞩目的南海
黄岩岛的神秘任务之行,所发的微博没有说一句假话,而依靠一张抓眼球且混淆视觉的
微博配图,以及在旅途中发布一些加以修饰但绝无假话的微博,引发粉丝团对微博的关注
和回应,最终让多名粉丝(其中包括一些安全技术大牛哦)相信我登临黄岩岛进行主权展示
并从事神秘任务。

详细说明:

因为老家就是浙江的,一直便知道台州黄岩,在5月21日订机票时再次看到机票是从
北京至黄岩(或称路桥机场)的,于是萌生社工钓鱼想法,发微博进行试水:
“后天从北京出发去黄岩,做一个展示,并和X安部共商如何应对威胁。嗯,积极准备中......”,
只引来4个评论,“实在太专业了”,“[衰]”,“这么威武”,“ga(公安)”,看起来已经有人上钩,
但效果显然不佳,单纯简单的文字很难引来关注,信息量也太少,很难骗到人。
5月22日由于万恶的工作安排,不得不悲催的将行程调整至当日来回,在出发前夜,
在微博中抛出社工钓鱼微博,为了吸引眼球引起更多关注,以及引导粉丝,从网上找了一张
中国记者登岛宣示主权的照片(好样的!)进行配发,http://news.xmnn.cn/tpxw/201205/t20120510_2293603.htm
而微博内容完全真实(台州黄岩也靠海,本来计划回临近的老家休息几天玩玩的)。
为了隐藏这个微博的钓鱼邪恶目的,同时吸引粉丝团热议钓到更多的鱼,
还专门插在了两个预期引发广泛关注的微博(1个是网际侦探新职业,另1个是组队参加Defcon CTF资格赛)。
http://www.weibo.com/2304731083/ykoBnDgJM?type=repost
并在随后旅途中很欢乐地以现场转播方式不断通过微博发布进展,引起粉丝关注和参与,让鱼儿上钩,如
“登机了,马上飞黄岩。太期待了 ”,(登机关手机前发),
“到黄岩了,x安部买单的飞机就是快啊:)”(到台州黄岩发的),
“ 这也上不来推特fb啊,这说明什么?”,(借助黄岩主权判定问题试图吸引更多讨论)
“这的降落点还真是军用的,太小了,才一个巴掌大的地。”(军用,巴掌大试图让粉丝相信我是通过直升机上岛,而事实上黄岩岛连个巴掌大的平地都没有,台州黄岩机场是军民两用,民用航班很少),
“明天原定计划出海捞鱼,太悲催了,要不是四万亿项目等我回去汇报,真该在这里好好领略祖国的大好领海,休息会吃过饭后得干正事了。”(出海捞鱼是亮点)
“结束黄岩之旅,从x安部了解了主要威胁,上黄岩回北京了”
在一些粉丝上钩后的评论也进行了互动,以故弄玄虚等手法增加可信度,如:
@清华诸葛建伟:回复@酒无而七:不许打探国家机密,不该问的别问,我不该说的打死也不说。[做鬼脸] //@酒无而七:搞个黑客基地?收集敌方资料?
回复@sbilly:嗯,拍完照了,网速太慢上网费太贵,回去以后再发出来。 //@sbilly:一定要拍照留念啊~呵呵呵 //
在晚上回程微博已经沉下去之后,虽然返程在紧张赶时间和准备PPT中度过(领导太要命了,回来晚10点被抓去干活到凌晨),
仍发挥了大无畏的革命精神,在路上仍又手机发了几个进展帖,顶起微博试图再抓一些鱼。
最后抓到的鱼儿成果如下(有误伤者请凭良心自辩,注意群众的眼睛是雪亮的,不许删帖):
Websecurity:真爽啊'黄岩岛有机会可以看看去
潘猛1981:牛逼
sbilly:去黄岩岛??厉害! sbilly: 一定要拍照留念啊~呵呵呵
六月丫丫的巴巴屋:赞
謝文東的围脖 :诸葛老师是007啊
余弦 :在岛上替我留下:HACKED BY。
红黄满: 在岛上留个backdoor吧
肖军_iie: 去宣誓一下主权?
王红阳: 诸葛要露出纹身
酒无而七:搞个黑客基地?收集敌方资料?酒无而七:回复@BUPT小小de橙子:楼上正解,墙内人士。酒无而七:坐等正事八卦。哈哈。
那一份的坚持:
BUPT小小de橙子:中国领土 _与非或 :唉……
老祝2012:威武!!!
带疑问
泓磊Herry:黄岩岛?,:回复@泓磊Herry:磊子。。。。泓磊Herry:回复@弱弱的声音:必须的 (难道:弱弱的声音知道磊子被社工了?)
知道我在做钓鱼社工的粉丝
lukesun629:你让菲律宾海军虚惊一场啊!
许伟林: 太坏了,弄得阿基诺很紧张。
(这两都是我的学生,都知道我去台州黄岩,不来配合骗局,还试图拆台,不过没有明着拆台,助学金不扣了)
@Monyer:我同事说今天看到你了 公安部粉丝团的朋友露底了
最后,LinuxPad的评论提醒了我(他肯定认为我真去钓鱼岛执行神秘任务了),万一钓到菲律宾情报分析人员,
或是美国特工就不妙了,搞不好以后去菲律宾开会旅游什么的被纳入黑名单拒绝入境,被认为是国安特工而遭美国
大使馆拒签,所以,尽管工作紧张,还是尽早发布这个社工钓鱼报告,然后在微博中删除钓鱼帖为妙(再保留1周),
如果已被钓鱼的情报分析人员,请务必看过来,本人与国安毫无关联,不掌握任何机密情报,不参与任何神秘任务,
请不要将我加入监控黑名单,谢谢。
LinuxPad :你暴露的够多了,回头你就成被社对象了,嘿嘿。
小心被敌特社交分析后社工攻击。 //@清华诸葛建伟:你在x安部也有同事 ,//@Monyer:我同事说今天看到你了

漏洞证明:

修复方案:

提高安全意识,社工可以无孔不入,多些心眼,对一些存有疑点的说法要进行深入调查,才能取信。如果深入调查一下,就可以很快揭开这个钓鱼帖,比如黄岩不可能直接做飞机或直升机到,不可能在数小时内抵达。粉丝团中肯定有若干大神发现了bug(没有大神转发,因此钓鱼成果也不够丰厚),可以出来说说体会吧。

版权声明:转载请注明来源 artemis@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:2 (WooYun评价)


漏洞评价:

评论

  1. 2012-05-26 12:28 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    — —。我个人认为这个没啥意义?

  2. 2012-05-26 12:34 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    = = 这句亮了。。“不过没有明着拆台,助学金不扣了”

  3. 2012-05-26 12:41 | 斯文的鸡蛋 ( 普通白帽子 | Rank:173 漏洞数:41 | 我在这头,你在那头~)

    有广告之嫌

  4. 2012-05-26 13:57 | artemis ( 路人 | Rank:13 漏洞数:5 | 清华大学信息与网络安全实验室Artemis研究...)

    @gainover 那是和学生们开玩笑,不当真的。

  5. 2012-05-26 14:00 | artemis ( 路人 | Rank:13 漏洞数:5 | 清华大学信息与网络安全实验室Artemis研究...)

    转自微博:我错了。我在新浪微博上的黄岩之行“微博钓鱼”确实走火入魔了,也有自我炫耀炒作之嫌,对伤害到的粉丝博友们致歉,下次不会了。干好工作是正事,作为自我惩戒和提醒,封微博三天,不再参与任何关于此事的争辩。

  6. 2012-05-26 14:07 | 天行健 ( 路人 | Rank:20 漏洞数:3 | 业余信息安全爱好者,没事了玩一玩)

    这是来乌云给自己的微博拉粉丝的吧?你这跟喊狼来了有什么区别么?自毁公信力的做法罢了,没什么值得炫耀的

  7. 2012-05-26 14:22 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    你是认证用户,用自己的身份来做这种测试,你觉得呢?

  8. 2012-05-26 14:23 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    (1)普通网友说的“微博钓鱼”和web安全所说“网络钓鱼”在理解上是有差别的。(2)给个实例:“隔夜开水不能乱喝啊!科学研究表明隔夜水中含有大量零醇,氧酚,一氧化二氢等化学物质,喝下后会影响每一个生理反应。猛戳:hxxp://www.gu0kr.com/post/140450/”。文字部分为“微博钓鱼”,上钓者甚至包含CCTV:http://weibo.com/1408329341/yeDtKo3Rt。而链接部分则为web安全中常说的“网络钓鱼”,更确切来说是钓鱼网站一类。(3)虽然微博钓鱼确实不能称得上是在web安全界中狭义上所说的“网络钓鱼”,但细究起来,其实两个都是共同利用了人性的缺点,都是广撒网钓大鱼,都算得上是互联网业务安全范围。只是洞主这么玩,貌似有些过了头。(4)郑重建议,玩“微博钓鱼”实际上是在透支自己的信誉度,令自己走火入魔,令他人远远疏离你。除非真不想活了,否则不建议这么做。

  9. 2012-05-26 14:43 | artemis ( 路人 | Rank:13 漏洞数:5 | 清华大学信息与网络安全实验室Artemis研究...)

    在微博已经自我惩戒禁言了,这边也禁言吧。@wooyun, 如果可以的话,申请撤销这篇风险报告,不行的话也算了,自己做的错事我可以承担后果。

  10. 2012-05-26 15:00 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @artemis 我觉得是一个讨论的机会,没有完全对与错吧,不撤销吧 :)

  11. 2012-05-26 20:46 | 鱼化石 ( 实习白帽子 | Rank:93 漏洞数:18 | 介绍不能为空)

    先看了各大牛的评论...

  12. 2012-05-26 21:54 | artemis ( 路人 | Rank:13 漏洞数:5 | 清华大学信息与网络安全实验室Artemis研究...)

    请@xsser 撤销吧,没什么可讨论的了,果然是自找麻烦了,以后得收收这种娱乐与微博大嘴了。谢谢!