今天上当了！被假冒paypal邮件盗取密码

鱼羊鲜

以后真的老了 可咋办

大杨树

商务车 发表于 2013-9-2 16:08
因为老了，懒。

可以理解，，我一直都不知道怎么跟手机换个桌面，现在的颜色太鲜艳，可以我懒得去学。

佳音妈

前两天也收到了，还在JUNK邮箱里呢， 仿真度很高

lhj0532

你没看到是@mailmail31.com.au?

silverfoxs

I received the same email before. I hovered my curse on the top of open link, on the IE status bar, it shows a website has nothing to do with paypal. so I blacklist the email and report it to MS.

This is very common thing. Even you don't do that, once you open the page,
the address of website also indicate it's not paypal address.
You should stop there.

Also check certificate of website, you should be able to see it's not issue to Paypal and you should stop there!!

How do you qualify yourself as experienced I.T professional?

商务车

silverfoxs 发表于 2013-9-2 16:09
I received the same email before. I hovered my curse on the top of open link, on the IE status bar,  ...

  I never call myself as experienced I.T professional, I am just old.......
Other things, please refer to Level 5......

几度秋凉

收到含糊不清的话都不用点击链接，直接看email地址和email中的link就好了。

xtreme8888

最近类似诈骗的不仅仅是paypal
银行啊，post啊，五花八门啥都有。
我看见点进去把所有会的脏话都写一遍。

水星浪子

国内不上qq，国外不上ebay，能杜绝许多的骗子邮件。

henryhe1985

谢谢提醒

silverfoxs

商务车 发表于 2013-9-2 16:19
I never call myself as experienced I.T professional, I am just old.......
Other things, pleas ...

Your subject of this post is misleading. That's why there are so many people jump in and reply your post. Not because you ran into a common problem, it's because you claim experienced I.T professional also fall on this problem.

上班ing

imsonbi 发表于 2013-9-2 13:40
其實有一個很好的方法,就是每次入密碼前,先亂入1個試,要是成功那就肯定是假的.... ...

高级骗子会去check你的密码对不对的。所以这种方法不是非常可靠。

imsonbi

上班ing 发表于 2013-9-2 16:55
高级骗子会去check你的密码对不对的。所以这种方法不是非常可靠。

你去一個釣魚站,入一次你的假密碼,一下就通過了(因為他們跟本查不了你是入真的或假的),那不就證明這是釣魚的嗎?....如何不可靠?那你認為入個真密碼才可靠...  

你知道弄一個釣魚站的時間大蓋是20分鐘左右.

hyue68

imsonbi 发表于 2013-9-2 13:40
其實有一個很好的方法,就是每次入密碼前,先亂入1個試,要是成功那就肯定是假的.... ...

高招

hyue68

感谢分享。

LZ反映真快。

商务车

silverfoxs 发表于 2013-9-2 16:43
Your subject of this post is misleading. That's why there are so many people jump in and reply you ...

Sorry for miss-leading.......

melmonash

谢谢分享

sisicat

看它的网址，根本不是Paypal的网址

紫薇星

骗子真多

水米

这邮件我也收到了 hotmail确实没过滤 杀软也没提示。。。不过 最近我没order东西 所以长了个心眼 看到它链接到让我login的界面 就知道是fishing了。。。赶紧删了

上班ing

imsonbi 发表于 2013-9-2 17:05
你去一個釣魚站,入一次你的假密碼,一下就通過了(因為他們跟本查不了你是入真的或假的),那不就證明這是釣 ...

有的钓鱼网站是可以用后台代码去用你输入的假密码登录真网站来测试你的密码是否正确的。
所以假密码登录不上去的也不一定就是真网站。
当然假密码能登录上去的那肯定是假的了。

我是写程序的，从技术上来说，拿你的密码去登录一下真网站，验证密码通过以后再转到假网站，没什么技术难度。

ingeer

这钓鱼网站太不专业了。 拿了你的user/pswd应该就直接re-direct去真的paypal了，你都不知道发生过什么

aussiecrocodile

我觉得楼主以后看到像银行，PAYPAL，和信用卡公司发来的EMAIL，先要看看他们的EMAIL地址，很多在这上面就可以看出，而且比较一下平时经常收的EMAIL，就可以看出。还有一点，像这样的金融机构的登录，NEVER EVER LOGIN BY CLICK ANY LINK IN THE EMAIL.

aussiecrocodile

还有一点，希望和大家分享，我曾经也试过一次，PAYPAL无故被人DEBIT了5百多美金，发现后找PAYPAL申诉，过几天拿回来了，但问题是如是没发现呢？特别是PAYPAL现在都连着信用卡，不感觉就没了几百块，所以大家也要经常查自己的信用卡的STATEMENT.

hustwater

ingeer 发表于 2013-9-3 09:45
这钓鱼网站太不专业了。 拿了你的user/pswd应该就直接re-direct去真的paypal了，你都不知道发生过什么 :ind ...

请教一个问题：直接re-direct能保持SSL连接吗？我知道这些网站都需要支持https的？

frankyfang

当时log in网址有没有看到https://前缀，带锁头的那个？没有肯定是假的

imsonbi

上班ing 发表于 2013-9-3 08:12
有的钓鱼网站是可以用后台代码去用你输入的假密码登录真网站来测试你的密码是否正确的。
所以假密码登录 ...

從你的網站,你試試弄一個可以forward到正規網站的captcha...又或subframe一個正規網站去試試...

上班ing

imsonbi 发表于 2013-9-3 10:50
從你的網站,你試試弄一個可以forward到正規網站的captcha...又或subframe一個正規網站去試試... ...

我知道如果原始网站有captcha，或者只是简单的禁止跨站URL Forwarding就可以防止被这种钓鱼攻击利用。
可是什么网站是正规网站？这边的SUPER公司网站算不算？我知道有公司是去年才加上这种防范的。谁能保证没有别的公司存在这种漏洞？

imsonbi

上班ing 发表于 2013-9-3 12:35
我知道如果原始网站有captcha，或者只是简单的禁止跨站URL Forwarding就可以防止被这种钓鱼攻击利用。
可 ...

澳洲的網站,電話是有監察,沒有記錯好像是最短3個月,只要證明不是你做的例如:ip address,時間及人證,基本上金錢的損失都可以取回...要先報警就可以...

Hijacking 及 SQL Injection 已經不是新的東西,但你要知道設一個hosting來處理正規的網站,一定不可能是澳洲境內的,....那你forward 一個ssl的Public Key立即就會出現(基本上你的browser就會有反應)除非你的admin逼你設最不安全設定及要加入為"安全區"....

你所說的假設是:
1. 你用釣魚網站來forward那個密碼到正規網站去核對.
2. 並祈望正規網站會回覆你的網站,到你再forward給你的目標.
3. 當中入的密碼你的釣魚站可以收到.

以上可以成立的機會是:
1. 釣魚網站是正規網站的forwarder.(即mirror site)
2. 釣魚網站可以取締正規網站的ip address (replacement)

邏輯上可行,但實施上是不可能,除非你hack了正規網站的firewall, port forwarder, ssl license server(如有),工序太多及你要dos那個正規網站的isp,再打擊那個nameserver改dns到你的server....通常成功後的時間只有幾小時...

要搞這麼多設定,最基本就是送你一隻木馬或botkit比較快....

dragonballz

我LP也被骗过一次，马上回去改paypal密码。这些phishing邮件很有欺骗性的。不过它发的邮件一般不会有你的名字的，因为只有真的paypal才知道你的真名。