反流氓软件联盟365门神小组发现百度c2c存在漏洞

反流氓软件联盟365门神小组经过初步测试，发现百度的C2C平台将不可避免的被攻击。

反流氓软件联盟365门神小组经过初步测试，发现百度的C2C平台将不可避免的被攻击。

百度的C2C平台将基于百付宝，实现一个网络商店的网络社区，其中社会工程学攻击(钓鱼攻击)是最为常见的攻击手法，在面对安全性高的环境下，这种手法尤为有效，它利用一些小技巧来欺骗别人达到目的，并不依赖于网站漏洞或者攻击技术。

攻击过程

首先，利用注册机制的漏洞，注册一个百度帐户，它的名字看起来和官方的baifubao是一样的，对别人留言进行钓鱼的时候，别人看到用户名是官方的帐号便会相信，因为在百度空间上也不时有一些活动通过留言或者发短信息去联系得奖或者公布得奖的：

例：

留言欺骗

在别人的空间留言提示，大家注意看留言的帐号与官方的baifubao一样，别人去访问那个地址的时候就会被欺骗。

发短信欺骗

通过发送短信来欺骗别人去看地址，该地址包含欺骗别人汇款的虚假信息。

欺骗思路

最后用欺骗性文章来诱导别人进行汇款，由于百度刚推出C2C，很有可能会出现的一些鼓励性活动，以此为理由来欺骗别人

危害

用这种手法进行撒网式的攻击，可以结合最近的百度空间蠕虫技术或者批量发送短信息，自动寻找好友进行发送信息，假如100W条信息里，有10000个是C2C内测用户，其中有1000个人点击进去遭受欺骗。这1000个人可能会被骗走C2C帐号，银行卡号密码，钱财等个人财产。