一覺醒來,發現自己的QQ給爸媽、同學甚至是暗戀對象發瞭一堆黃圖,以至於被舉報、被封,被人掛上QQ空間,這樣的社死現場,可能就是很多人昨天早上正在經歷的絕望。
更嚴重的,還得在一身清白的情況下,手持身份證拍照,寫下一份檢討書,告訴騰訊: “ 我以後再也不敢群發色圖盜號瞭,求求你把號還給我吧。 ”
就連前段時間因為信息泄露社死的學習通,也被拉出來鞭瞭一輪屍,又社死瞭一次。
可能是大傢的猜測越來越離譜,甚至有人懷疑企鵝監守自盜,眼看火要燒到自己屁股,QQ終於坐不住瞭。
主要原因是 “ 掃描瞭假的遊戲登錄二維碼授權登錄造成的 ” 。
根據網上網友的爆料,這一波大部分被盜網友都有過在網吧登錄QQ相關的二維碼賬號的經歷。
不是吧阿sir,以前人們都說在網吧不要輸入賬號密碼,因為這樣容易被記錄下來。
但現在你跟我說最安全的掃二維碼也會被盜,我是真的會謝。。。
這。。我還能愉快地在陌生的地方登錄賬號麼?人與人之間的信任呢?
哎,啥也別說瞭。我們來研究下這種二維碼中招的原理吧。
打開軟件,拿手機App掃描二維碼,點擊確定登錄,這個流程是不是十分簡單?
但事實上,這裡面涉及到瞭兩層身份認證。
當你掃描二維碼的時候,相當於告訴瞭服務器:我是誰;而點擊確認之後,就是在和服務器確認,我真的是我。
為瞭安全起見,這兩個步驟中任意一個拖太久瞭,系統就會判定你在騙它,讓二維碼失效,得重新自證一遍才能完成登錄。
實時覆蓋你電腦的二維碼的話。。。
那麼你以為你掃描的是網吧電腦的登錄二維碼,實際上你掃描的是黑客電腦上的登錄二維碼。
發現沒有?這中間是有個時間差的,隻要黑客趁登錄二維碼沒有失效,把自己的二維碼發給瞭你,掃完之後你又沒有仔細看,順手點瞭個確認。
直接在黑客的電腦上進行一波裸奔 ▼
還有網友分析,你登錄的二維碼有可能是你QQ手表端的登錄二維碼,而並不是電腦QQ。
一名知乎程序員的被盜血淚史 ▼
因為QQ手表是能和電腦端、手機端並行在線的,一旦黑客登錄瞭你的QQ手表,能更方便黑客長時間的操控。
在這個界面裡,並沒有提示新設備登錄的警告,隻會在頂部出現一個登錄QQ手表的提示,確實很容易忽略。
一旦點擊瞭允許登錄,那對方就可以拿著你的號在QQ手表端為所欲為瞭。
QQ 手表登錄後的界面 ▼
當然,QQ也給大傢提供瞭不少的賬號防護工具,比如設備鎖,人臉識別等等。
但有網友反饋,就算開所有功能,賬號依舊被盜瞭。
我們能做的可能除瞭祈禱QQ的風控做好外,隻能多留個心眼,小心各種坑,保住自己的 “ 身傢清白 ” 瞭。
其實在這次騰訊回復之前,網友們也有不少猜測。其中認同度比較高的,是十分經典的鏈接偷傢操作。
這個操作可能有不少差友都中過。它實際上是利用瞭一種叫CSRF( 跨站請求偽造 )的漏洞。
簡單來說,這種攻擊不會讓你輸入敏感信息,也不會直接獲取你的賬號密碼,但在你點擊連接之後,攻擊者能夠仿造你的cookie,讓平臺以為他就是你本人。
基本上你登錄瞭之後能做的事,攻擊者都能做到。
隻不過在18年的時候Google、阿裡這些大廠就開始著手解決瞭,現在這個操作差不多是時代的眼淚瞭。
從最初的通過記錄用戶鍵盤的輸入信息,到放入插件,貼牌,還有隱形木馬。總有一不小心會中招的時候。
曾經有網友說,QQ防止被盜的頭號方法就是用二維碼掃描,而結果大傢也都看到瞭。
確實,QQ登錄不像微信那麼反人類,在新手機上登錄的時候需要手機驗證碼、二維碼,消息提醒,有各種路障。
我們在享受到二維碼登錄便利的同時,黑客也享受到瞭相同的待遇。
尤其大傢沒有過小心二維碼登錄的意識,很多人看都不看登錄確認頁面的內容,直接手快點擊確認。
現在的黑客,在登錄瞭你的賬後以後,也不再像以前一樣,想著直接把QQ占為己有。
而是專門利用凍結賬號前的時間群發廣告詐騙信息來釣魚。
而他們實現這一目的的犯罪成本極低,根本不需要知道你的密碼!
所以不要在陌生地方登錄自己的賬號,貌似是斷絕一切被盜的終極秘法。
最後,對於那些想解封的差友們,如果不是特別著急的話,差評君覺得可以等一波官方自動解封,至少可以逃避手持身份證拍照的二次社死。
撰文:螢火 編輯:結界 &面線 封面:萱萱
圖片、資料來源:
微博 @ 騰訊 QQ@tophao 羲灬 @ 追夢傢李筱茶 @kkura 的小仙爺 @EpKong@blackorbird@ 秦不工 @AlpacaKun
B站掌控安全學院:QQ登陸機制 - 新型二維碼釣魚
知乎 -Snowfalke:簡單認識CSRF