大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。
Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺
你的QQ是否被盗过号,或者你身边的朋友、同学是否有过被盗号的经历。如今的安全机制真的没有效吗?盗号真的这么简单吗?本期将彻底解决这一问题。
本期是上一期的姊妹篇,建议先看上一期,这样对于攻击者的手法才有更好的理解:传送门
常见的盗号手法
1、诱导链接以及二维码
这种情况在QQ群里面见的多。通常是发送一些具有诱惑性的链接诱导你去点击。也可能会是一些二维码,如下图。为了做这期,能更好的了解其盗号的手段,我把凡是我看到的盗号链接都点了个遍,那些恶意二维码我也扫了个遍。这是我在了解其原理并做了相应的安全措施前提下做的,小伙伴们千万不要去乱点乱扫。
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/4ae54ce7-403f-4dfe-8bc9-3321bb54e7bc2022071540fa90d0-9e02-4384-859d-241707642bd71.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](https://javaforall.net/wp-content/uploads/2020/11/2020110817443450.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/5f864c24-6825-40ba-95b8-1cdcdafee54c202207159025d138-97c1-48e0-99d5-f4f081082a6c1.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/a3293636-b147-4dce-bbec-7ef3e1974a82202207152d7c28d2-0fab-454a-a06b-0bb0aa0b718b1.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/75d2ad0c-51b3-4262-8f1b-142744d91cec20220715a8f3fce2-1c67-4d2e-8a28-bdda7849284e1.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/22cfb9dd-210e-450b-a67a-7eb7708afcf920220715df3693fd-761d-4afe-b924-a36ea8d871c31.jpg)
2、钓鱼邮件
攻击者会模仿腾讯官方给你发一封邮件,告诉你QQ账号异常,需要修改密码等等。我们看到这样的消息往往会很着急,这就很容易进入攻击者的圈套。如下图:
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/8db5af3e-7776-4e12-b8b0-769ec1cc347320220715c8471425-2bb0-4579-998b-ac94ccd172941.jpg)
打开邮件后里面是这样的内容:
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/415e0ca5-7473-4f6e-82c9-03a67e4f65d820220715786f275c-685a-481c-9598-deb5e11042851.jpg)
该邮件内容和官方发送的提醒很相似,我们往往不假思索的按照提示更改密保手机号,如图:
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/f406cf16-9c16-4ade-9412-d41f3aaa471c2022071566fb7a39-6cf5-4679-bf47-5f9e8cb9c4081.jpg)
它会要求输入账号密码登录,以确认是本人操作(总之做的很像那么一回事)。如图:
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/76f5aa9b-1ab3-4ca5-a941-f8cc79807c7b20220715cfd12ded-b700-4eee-afd0-c58745d64fc81.jpg)
和前面一样,你输入密码后就会被攻击者取获,你的QQ就这样被盗了。
那么如何辨别 异地登录 或 异常登录 提醒邮件是真是假呢?收到QQ帐号异地登录邮件时,辨别是否冒充腾讯QQ安全中心发送的邮件,就看邮箱是不是:accounts@tencent.com;如图:
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/c555e93c-a47a-4d22-bbb7-1b27df655f502022071561c80e87-a34f-4956-ac40-d750d4a59be21.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/ddf1eddf-047b-4378-a1a5-99d79e1e42af2022071527a879f0-6cc5-4b33-9771-d62e0f7bfd951.jpg)
这些都说明是官方的邮件,其它的一概不可信。
3、好友辅助验证
有时我们会遇到QQ冻结的情况,这时解冻需要找好友帮忙验证,攻击者也是利用这一点进行裂变攻击。当我们的好友向我们发来辅助验证请求,我们一般会给予帮助,如下图:
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/2926cf48-a2db-4d7b-a884-971f5a886bec2022071507650665-fc2a-4773-addb-9a59edae3afa1.jpg)
看上去好像很正规,弄得挺像那么一回事。但是当你填写完以后,攻击者也就获取到你的密码了。其实原理和前两个差不多,只是方式不一样。由于上一期我们讲过(传送门),开启登录保护后即使泄露密码,攻击者也无法登录你的QQ,所以他们往往还需要发短信验证,如下图:
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/0078bac8-bd38-4bd3-ba50-349c8efa34e2202207151fd2151b-3ae8-44fc-a3aa-0bb2527c08081.jpg)
4、各种刷会员刷钻或外挂程序
还有网上下载的,或者别人发给你的各式各样的小软件。有免费刷钻的,有免费刷会员的,还有各种游戏外挂,免费刷游戏装备的等等。如下图:
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/52ee0caf-6ea5-491b-b301-1f6df1e1d48020220715aab6731c-c844-4a4f-aa31-8e9928d789561.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/dd746e9e-9c52-459f-a745-2d5b3ace701e20220715e5af3191-e9db-4ad5-b165-9d50b7b5f5371.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/130aff5e-38f7-4e4f-98db-169d25e791282022071583f4e203-6757-4b63-bfeb-debbf8a07fcf1.jpg)
可以发现,这些软件都是要求你输入账号和密码的。这些都是利用贪小便宜的心理,一旦你输入了账号密码,就会被发送至攻击者的服务器后台。你的QQ也就被盗了。
5、盗号木马
倘若有人通过邮件或QQ发送诸如“我的照片.exe”这样的文件,这很可能是窃取QQ密码的木马。这种程序在运行后,就会把QQ号码和密码自动发送到木马程序指定的邮箱。不仅如此, QQ还会自动将类似的木马程序发送给其他好友。
在早期的时候,10多年前吧,还有键盘记录木马,在你输入QQ账号密码时,记录下你的键盘记录,然后发送至攻击者后台。不过后来由于QQ安全升级,这种方法很快就淘汰了。取而代之的是从内存中读取账号密码,有点类似于之前Windows系统上的”getpass.exe”木马程序。之前盗号木马盛行的时期,往往把木马和图片绑定,你只需要打开图片就中了木马,然后QQ就被盗了。
不过这些木马现在都已经淘汰了,目前光靠木马获取QQ密码几乎是难于登天。这也就是为什么近些年盗号都是通过上面介绍的那些钓鱼手段,既然软件找不到漏洞,那就利用社会工程学,人性总是有弱点的,诱导你自己输入账号密码。
你可能会想,以上这些手段,不管是诱导链接、恶意二维码、钓鱼邮件、辅助问卷等等,不论是哪种形式,都是万变不离其宗,换汤不换药,最后都是骗你输入账号密码,那我只要不输入账号密码不就行了。以后凡是QQ登录,我都扫码登录,不再输入自己的账号和密码,不就不会被盗号了。虽然说扫码登录会安全很多,但依然有风险。
6、伪装QQ授权登录
这招比较新颖,我是也是偶尔发现的。我们知道,很多应用都接入了腾讯QQ的API,比如我们登录一些非腾讯旗下的网站时,会有QQ登录这一选项,如下图:
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/bb74320b-cc73-40f3-9775-d91828d8d12d202207151f936582-7d22-4d37-9d14-f83e974a06971.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/bab5d0cd-e778-4748-a382-8c7d570bc7e620220715f99dd053-9a1e-4a53-8e8e-98e26af629bc1.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/f99acb7f-e183-4bf7-afc0-697d07d4130520220715cab45fd2-2963-47d6-9122-cc92668452881.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/ffba86f2-5f14-49a0-a111-4ef9df84b5542022071566ab4dd2-7f91-4185-a307-9b8411f02a081.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/34cf26f9-2783-4b62-984d-fd2b535ab66a2022071593456a2f-f781-47da-b7dd-024d6273db611.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/09a0b81f-0e0f-42a7-a678-012cebb49bd4202207157da30055-7f44-4025-9016-4a489b514f481.jpg)
扫码登录也并非绝对安全
话说我之前也一直认为扫码登录是绝对安全的,直到遇到这么一个案例。也是我的一位同学,他一直都是扫码登录,也没有登录过任何钓鱼网站,但是QQ依然被盗号了。然后盗号者会群发广告诈骗信息进行钓鱼。这就很奇怪了,盗号者是怎么登录上他的QQ号的,他的账号一直以来都开着登录保护,除了扫二维码登录之外都要输入动态密码才能登陆上账号的。
后来才知道,被封前一天他去了网吧,在查询了账号的历史登录IP之后,确定了是在网吧出的问题。
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/a747b351-0b50-4e9a-8c4f-91b674eb5f34202207151f002dea-5b3f-4ce9-be9e-ef3fd365349e1.jpg)
15:51分扫码登录电脑QQ,之后登录游戏,一切正常。但是15:54分的3个网页登录就很奇怪了,因为那时候他应该已经在玩游戏了,没有再进行其它登录活动,点开发现果然和开始登录的IP不是同一个。我们先看15:51分登录的情况:
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/af3b87db-b3fe-4db1-8ba4-e0e3281f4c842022071541d5bb8f-e936-4c9c-80e8-1411146fc2941.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/710a4c7a-dc86-40f5-a8ed-d19d0e44b99120220715d62e3965-e230-4bad-9677-fbe7592600a41.jpg)
不过还有一个问题,现在网页版QQ已经被腾讯停止服务了,盗号者是怎么通过网页cookie登录发送广告诈骗信息到群里的呢?原因就是现在很多网页端都有分享功能,通过这个接口调用可以发送QQ聊天信息。如下图:
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/0da28b59-9daa-41b1-a722-b27a206ee064202207153d881492-766f-46e8-b5b1-4a0d7a60ae411.jpg)
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/dff538ae-cffa-44aa-a1c0-6537499039c620220715a4421740-c7c9-4666-9f22-26dbd18873021.jpg)
到这里就清晰了,盗号者确实是通过二维码登录的客户端来实现群发广告诈骗信息的。由于他扫码登录了电脑QQ客户端,网吧这台电脑被植入了木马程序,后台运行的木马使用网页快速登录,保存cookie之后发送去作案的服务器,调用腾讯网页分享接口来发送垃圾信息。通过上述的方法,盗号者可以在不知道密码的情况下,仅仅通过你登录过QQ客户端,就可以畅通无阻地实现他的目的。
现在这种方法也不能用了,腾讯进行了安全加固,现在网页分享要手机扫码,然后通过手机打开那个网页,再在手机上面分享那个网页。不过由于QQ体系过于庞大,有很多之前不安全的API接口虽然已经停用和废弃了,但难免会有漏网之鱼,没能及时下线的API接口,所以还是会有很多方法能绕过你的账号保护措施。
总结
要避免被盗号,首先不要再使用账号密码登录,统统改成扫码登录,安全性瞬间提高一个档次。
![最全QQ盗号手法分析,全面防御QQ盗号[通俗易懂]](http://qn.javajgs.com/20220715/b609b94c-e5bb-48ef-a770-86d1e66d0872202207155b58f724-b673-42d7-be07-02931092838c1.jpg)
不要在任何地方输入账号密码,不管是哪种手段(邮件、链接、二维码),最后都是诱导你输入账号密码,只要你不输入,一般拿你没办法。如果一定要输入,必须确定是官方网址,下面是常见的官方网站:
| 网站 | 网址 |
|---|---|
| QQ邮箱 | mail.qq.com |
| QQ空间 | qzone.qq.com |
| QQ安全中心 | aq.qq.com |
| 腾讯视频 | v.qq.com |
| QQ音乐 | y.qq.com |
一般二级域名都是qq.com,如果不是就要小心了。
第二点就是:在非私人设备上登录QQ时(不是自己电脑上),比如像网吧里的电脑登录QQ时,就要额外小心,因为攻击者可能在网吧电脑里植入了木马程序,如果你需要登录QQ,一定要先检查是否有可疑进程在后台运行,找到并将其杀死。很多人被盗往往就是在网吧里登录了QQ。剩下的就是点击了那些链接然后填了账号密码。
另外我看到过还有利用XSS漏洞和CSRF漏洞来获取登录令牌的,这些方法也只在早些年有过,现在几乎不可能还存在这样的低级漏洞。现在安全防御手段十分完善,动态token,二次验证,输入过滤,HttpOnly机制等等,几乎是宣判了XSS攻击的死刑。
本篇结合上一篇:传送门,完美解决QQ盗号问题。这两篇爆肝了3天,创作不易,喜欢还请点赞支持一下!笔者公众号:极客随想,欢迎关注,干货满满。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/159465.html原文链接:https://javaforall.net
