|
15楼#
发布于:2010-11-21 14:48
GOLF-AT:同一个IP,还有另外一个同事在用Skype。我估计应该不是用IP来判断的,至少不是单纯用IP来判断。另一个同事用的是WinXP,同事用的是邀游,我用的是Win7 和 Firefox。如果 Skype 登录的时候,同时将 Windows 的版本号也传给 Skype 服务器,那么在浏览器中,根据 UserAgent 判断 Windows,再加上 IP,倒是可以区分我和同事来的。但是如果一个公司有很多人的话,IP 都相同,也有人用 Firefox 的话,那不就是识别不了了。回到原帖 MAC地址可以识别不同的电脑,否则内网里的人都乱套了 我建议你最好向火狐和SKYPE双方的官方问问,一切皆可能 |
|
|
16楼#
发布于:2010-11-21 14:48
首先回想下那天你帮你同事给skype客服email的那次开机中,skype有没有运行过?
其次firefox的content js无法访问本地文件的 再次,你不应该相信windows上所谓的绿色化,只要运行一次,注册表、system32等即刻会有变化,只要开发者愿意,那么通过钩子,以后即使不运行,也能进行某些私密通信 没有考察过skype的授权协议,不过个人猜测问题多出在skype上.... |
|
|
17楼#
发布于:2010-11-21 14:48
ithinc:你填写反馈表单的时候,Skype程序是否正打开呢?可能是通过某种程序间通信得到的吧。你把那个反馈链接贴出来,也许大家就能看出什么了呢。回到原帖 当时 Skype 是运行着的,网页地址:https://support.skype.com/support_request 左边列表选择 Account and Password,然后右边列表选择第3个选项“Blocked Accounts”。上面2个列表选择后,会出现很长内容,网页最下方是要提交的问题。 可笑的是,同事晚上又去淘宝换了一个人买Skype充值了。这次人家又跟他要账号和密码,他说自己充值,人家给他一个密码,充值时说是成功,但是始终不能到账。具体的充值过程我没看到,只是后来他告诉我的。后来别人让他申请退款了。试想一下,如果别人给他真正的充值密码,万一只是一时查不到,但是钱又真的到了他的Skype账号,卖的人又同意退款了,那不是卖Skype充值的人倒贴了?所以,我敢肯定,给他充值密码的人,是知道那个密码是不可能充值的,才会很爽快的同意退款。我怀疑,Skype可能有什么漏洞,被一些人利用了,或者人家见他没上当,就将他骗到一个假冒的网站去假装充值,不成功后再让他退款,这样他就无法去淘宝投诉了。我的那个同事,还是太贪小便宜了(充值2欧元只要12元RMB)。如果不是我之前告诉他这里面的骗术,估计今晚又要被人骗一次。虽然今晚没被人骗到钱,但是整个过程还是又让人给骗了。 |
|
|
18楼#
发布于:2010-11-21 14:48
|
|
|
19楼#
发布于:2010-11-21 14:48
|
|
|
20楼#
发布于:2010-11-21 14:48
和网页无关,是双方的路由问题,我还是建议你直接问SKYPE,说不定是个后门 |
|
|
21楼#
发布于:2010-11-21 14:48
关于同事昨晚又被骗的后续报道(当时没骗到钱)。今晚又和他说到这件事,同事还是不相信自己被骗了。我和他说了2点,要么Skype网站有漏洞(别人利用了漏洞),要么他被别人骗到一个虚假网站了。果然,他说别人给了他一个网页,让他去那个网页去充值。我跑去一看,果然不是Skype(包含TOM Skype)的网页,是一个钓鱼网站。这个网页顶部可以登录TOM邮箱和TOM网站的一些链接,中间是“充值”的地方,充值的地方有三个输入框,分别是输入充值密码(充值密码就是网上买来的),Skype账号,和重新输入Skype账号。我点击了顶部的几个链接,看上去都去了真正的TOM网页,比较正常。我又看了这个网页的源代码和js文件(一共4个),其中3个js看上去好像也比较正常,另一个js文件非常不正常,它采用了非常非常多的函数,函数之间频繁调用,代码连成一行,非常难看懂。研究这个js几十分钟,还是没有研究出来,但是我看到它会监控鼠标事件(mousedown、mouseup、mouseover)和按键事件(keydown)。虽然 js 没看懂,不过我就想,这个钓鱼网站究竟是怎么骗人的?首先想到的就是直接偷取用户的Skype用户名和密码,但是这个网页只有输入Skype用户名,没有输入Skype密码的地方,光知道Skype账号应该还是没用的,它应该还要偷用户的Skype密码才行啊,百思不得其解。本来还想提问js能否跨网页作用,但是据我自己掌握的知识,似乎不可能。那么这个钓鱼网站怎么钓鱼呢?后来,终于想到一个途径,通过顶部的TOM登录框,窃取用户的TOM邮箱号和密码,然后再用这个邮箱和Skype账户名去Skype网站,假装忘记Skype密码,让Skype发送一个链接到这个邮箱来重置密码,然后用偷来的密码去登录用户的TOM邮箱,去重置Skype密码,这样不就可以窃取用户Skype上的钱了?只有用户在Skype上留的e-mail,就是TOM邮箱的话,这个办法才可行。虽然不是100%有效,但还是可以逮到一些用户的。不过,我后来又想到第二个途径,就是那个“重新输入”Skype账号的地方。一般来说,输入账号的下面,就是输入密码。我想也会有一些马虎的人,不经意间在那个地方输入了Skype的密码,这样这个网站不就是直接窃取了Skype用户名和密码了。
|
|
|
22楼#
发布于:2010-11-21 14:48
GOLF-AT:关于同事昨晚又被骗的后续报道(当时没骗到钱)。今晚又和他说到这件事,同事还是不相信自己被骗了。我和他说了2点,要么Skype网站有漏洞(别人利用了漏洞),要么他被别人骗到一个虚假网站了。果然,他说别人给了他一个网页,让他去那个网页去充值。我跑去一看,果然不是Skype(包含TOM Skype)的网页,是一个钓鱼网站。这个网页顶部可以登录TOM邮箱和TOM网站的一些链接,中间是“充值”的地方,充值的地方有三个输入框,分别是输入充值密码(充值密码就是网上买来的),Skype账号,和重新输入Skype账号。我点击了顶部的几个链接,看上去都去了真正的TOM网页,比较正常。我又看了这个网页的源代码和js文件(一共4个),其中3个js看上去好像也比较正常,另一个js文件非常不正常,它采用了非常非常多的函数,函数之间频繁调用,代码连成一行,非常难看懂。研究这个js几十分钟,还是没有研究出来,但是我看到它会监控鼠标事件(mousedown、mouseup、mouseover)和按键事件(keydown)。虽然 js 没看懂,不过我就想,这个钓鱼网站究竟是怎么骗人的?首先想到的就是直接偷取用户的Skype用户名和密码,但是这个网页只有输入Skype用户名,没有输入Skype密码的地方,光知道Skype账号应该还是没用的,它应该还要偷用户的Skype密码才行啊,百思不得其解。本来还想提问js能否跨网页作用,但是据我自己掌握的知识,似乎不可能。那么这个钓鱼网站怎么钓鱼呢?后来,终于想到一个途径,通过顶部的TOM登录框,窃取用户的TOM邮箱号和密码,然后再用这个邮箱和Skype账户名去Skype网站,假装忘记Skype密码,让Skype发送一个链接到这个邮箱来重置密码,然后用偷来的密码去登录用户的TOM邮箱,去重置Skype密码,这样不就可以窃取用户Skype上的钱了?只有用户在Skype上留的e-mail,就是TOM邮箱的话,这个办法才可行。虽然不是100%有效,但还是可以逮到一些用户的。不过,我后来又想到第二个途径,就是那个“重新输入”Skype账号的地方。一般来说,输入账号的下面,就是输入密码。我想也会有一些马虎的人,不经意间在那个地方输入了Skype的密码,这样这个网站不就是直接窃取了Skype用户名和密码了。回到原帖 能否把網站發來看看,想研究研究 |
|
|
|
23楼#
发布于:2010-11-21 14:48
这是网址:http://skypetool.com/tom/skype_card/pay.aspx (这是钓鱼网站,请不要用自己的真实账号去测试) |
|
|
|
24楼#
发布于:2010-11-21 14:48
|
|
|
|
25楼#
发布于:2010-11-21 14:48
|
|
|
|
26楼#
发布于:2010-11-21 14:48
看过TOM Skype的网站说明,可以直接将自己账号里的钱转到他人账号。所以,私下转账的话,可以直接在TOM Skype网站进行,也不需要他人的密码。另外,正如我之前说的,这个网页有一个js文件,代码非常不规范,代码非常难读懂,其它3个js文件,都是非常规范的代码。所以,那个js文件是非常可疑的。再加上它监控用户的键盘按键事件,这就更加可疑了。虽然我不是100%肯定,但是95%以上的可能是钓鱼网站。 |
|
|
27楼#
发布于:2010-11-21 14:48
Cye3s:Skype 平常不用TOM Skype聊天。现在讲的是打电话到固话或手机,需要充值。国内最正规的途径就是去TOM Skype充值。其中充值又分2种,国内卡和国际卡,国内卡稍微便宜一些,且没有接入费,但是必须要用TOM版的Skype才能打电话。国际卡的充值,可以用国际版的Skype,也可以用TOM版的Skype打电话,每次通话需要另外收取2分钟的接入费。同事昨晚通过TOM Skype买了5元的国内卡,试了一下,经常断线,我自己买的国际卡,从来不断线。 |
|
上一页
下一页
