小心你的微信

微信已逐渐成为手机党甚至普通机油的一个常用App，随着微信的名气升温和用户量攀升，犯罪份子也开始盯上了微信。现在移动设备日渐增多，各种应用层出不穷，而且移动网络的提速使更多人在移动设备上完成日常工作，但大部分用户对于移动设备上网的账号安全意识还是很低，这就导致了犯罪分子有机可乘。

最简单有效的方法就是钓鱼网站。钓鱼网站通常是指伪装成银行及电子商务等网站，主要危害是窃取用户提交的银行帐号、密码等私密信息。所谓“钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。

下面是inhu.net直接把支付宝的页面弄了下来，做了个演示。（不用访问，仅仅在本地测试。怕被封域名！）

在演示可以看出，如果你不去留意这个网站地址的话你肯定已经把账号密码输进去了。然后我就随便弹出一个提示框说网站正在维护，请刷新再试。这时候跳转到真正的支付宝首页，继续登入一切看似正常无误，其实你的账号密码已经被人记录。

对于手机的钓鱼网站就更难防范，因为连唯一识别的地址都不一定能看得到。限于手机屏幕的大小，所以显示的信息量不如电脑屏幕上多。导致手机上的钓鱼网站更加难以防范。

inhu.net 用手机上了一下支付宝的官网，在登录页面居然还自作聪明的向下滚动了一点把地址栏隐藏起来了。当用户习惯不去检查登录地址是否正确无误时，钓鱼网站就更加有机可乘了。发现很多比较大的社区网站的手机版都做了这个用户体验的优化，但一个值得深思的问题出来了：要用户体验还是要账号安全？

说回微信，微信是一个社交软件。可以给朋友发送多种类型的信息：文字、语音、图片、坐标甚至超级链接。正因为微信逐渐取代日常的短信和电话，很多重要信息都在微信中传播着，而骗徒们也开始慢慢的在渗透着微信的整个社交圈。

由于凡是软件都会有Bug，Windows每个月都出补丁别说微信没有Bug。正因为这样骗徒们通过高科技的技术手段终于找到了伪造超级链接的方法，看下图：

没错，你看到的可能是QQ空间的一个超级链接，而且复制出来也是一个QQ空间的链接。但由于微信的Bug其实这是一个伪造出来的地址（伪造方法不易提供）。当我们点击访问的时候我们去到的并非一个真正的QQ空间链接，而是一个钓鱼网站的仿手机QQ登陆的页面。

不过，这个犯罪分子有点呆。弄了一个这么丑的钓鱼网站，我不得不立马反应出来这是一个钓鱼网站。而且微信访问一个页面的时候连查看地址的功能都没有。如果遇上这个页面做得好看一点，估计inhu.net 的QQ会在几分钟后就被人踢下线然后资料被人改得乱糟糟，而且各位好友也会收到来自inhu.net 的垃圾信息了。

刚从犯罪分子逃脱出来的我，到现在还心有余悸。不得不说对于移动设备的上网安全，无论是厂商还是网民都缺乏一定的防范意识，这次直指微信是因为它用户群体最大。在很多安全设置上面没有保障到用户的财产安全。即使它提示的是“不要在此网站输入QQ账号密码”，但钓鱼网站的不仅仅钓QQ而已吧。

提高防范意识，健康安全上网。

文章出处:http://inhu.net/phishing-sites-in-weixin.html