就因為QQ登錄二維碼,全網(wǎng)發(fā)生了大規(guī)模的社死……

8 評論 3635 瀏覽 0 收藏 11 分鐘

編輯導(dǎo)語:前幾日,QQ出現(xiàn)了大規(guī)模盜號事件,導(dǎo)致許多人的QQ被舉報封禁。這篇文章詳細闡述了這次事件發(fā)展的前因后果,并告誡大家不要再陌生的地方登錄QQ,感興趣的小伙伴一起來看看吧~

“快去看看你的 QQ 號,你號被盜了!”

一覺醒來,發(fā)現(xiàn)自己的 QQ 給爸媽、同學(xué)甚至是暗戀對象發(fā)了一堆黃圖,以至于被舉報、被封,被人掛上 QQ 空間,這樣的社死現(xiàn)場,可能就是很多人昨天早上正在經(jīng)歷的絕望。

更嚴(yán)重的,還得在一身清白的情況下,手持身份證拍照,寫下一份檢討書,告訴騰訊:“我以后再也不敢群發(fā)色圖盜號了,求求你把號還給我吧?!?/p>

就連前段時間因為信息泄露社死的學(xué)習(xí)通,也被拉出來鞭了一輪尸,又社死了一次。

也只有那些經(jīng)歷過大風(fēng)大浪的網(wǎng)友,能在這樣的艱苦的環(huán)境里保持自我,維護好網(wǎng)絡(luò)社區(qū)的和諧氛圍。

可能是大家的猜測越來越離譜,甚至有人懷疑企鵝監(jiān)守自盜,眼看火要燒到自己屁股, QQ 終于坐不住了。

昨天中午,QQ給出了回應(yīng),說被盜號的主要原因是“掃描了假的游戲登錄二維碼授權(quán)登錄造成的”。

根據(jù)網(wǎng)上網(wǎng)友的爆料,這一波大部分被盜網(wǎng)友都有過在網(wǎng)吧登錄 QQ 相關(guān)的二維碼賬號的經(jīng)歷。

不是吧阿 sir ,以前人們都說在網(wǎng)吧不要輸入賬號密碼,因為這樣容易被記錄下來。

但現(xiàn)在你跟我說最安全的掃二維碼也會被盜,我是真的會謝。。。

這。。我還能愉快地在陌生的地方登錄賬號么?人與人之間的信任呢?

哎,啥也別說了。我們來研究下這種二維碼中招的原理吧。在聊這之前,我想先和大家講講,在你掃 QQ 二維碼的時候,你會經(jīng)歷什么。

打開軟件,拿手機 App 掃描二維碼,點擊確定登錄,這個流程是不是十分簡單?

但事實上,這里面涉及到了兩層身份認證。

當(dāng)你掃描二維碼的時候,相當(dāng)于告訴了服務(wù)器:我是誰;而點擊確認之后,就是在和服務(wù)器確認,我真的是我。

為了安全起見,這兩個步驟中任意一個拖太久了,系統(tǒng)就會判定你在騙它,讓二維碼失效,得重新自證一遍才能完成登錄。

但是現(xiàn)在有一個漏洞,就是如果黑客把自己電腦上的登錄二維碼實時覆蓋你電腦的二維碼的話。。。

那么你以為你掃描的是網(wǎng)吧電腦的登錄二維碼,實際上你掃描的是黑客電腦上的登錄二維碼。

發(fā)現(xiàn)沒有?這中間是有個時間差的,只要黑客趁登錄二維碼沒有失效,把自己的二維碼發(fā)給了你,掃完之后你又沒有仔細看,順手點了個確認。那么黑客就直接登錄了你的賬號。

直接在黑客的電腦上進行一波裸奔▼

還有網(wǎng)友分析,你登錄的二維碼有可能是你 QQ 手表端的登錄二維碼,而并不是電腦 QQ 。

一名知乎程序員的被盜血淚史▼

因為 QQ 手表是能和電腦端、手機端并行在線的,一旦黑客登錄了你的 QQ 手表,能更方便黑客長時間的操控。我們也親身實驗了一下,在一臺新手機上安裝了 QQ 手表的 APP 后,把登錄二維碼發(fā)給了其他人。

在這個界面里,并沒有提示新設(shè)備登錄的警告,只會在頂部出現(xiàn)一個登錄 QQ 手表的提示,確實很容易忽略。

一旦點擊了允許登錄,那對方就可以拿著你的號在 QQ 手表端為所欲為了。

QQ手表登錄后的界面▼

當(dāng)然, QQ 也給大家提供了不少的賬號防護工具,比如設(shè)備鎖,人臉識別等等。

但有網(wǎng)友反饋,就算開所有功能,賬號依舊被盜了。

我們能做的可能除了祈禱 QQ 的風(fēng)控做好外,只能多留個心眼,小心各種坑,保住自己的“身家清白”了。尤其是這種情況的重災(zāi)區(qū),主要出現(xiàn)在網(wǎng)吧里。畢竟不少網(wǎng)吧用的都是盜版系統(tǒng),里面被人加了什么料,誰都說不清楚。

其實在這次騰訊回復(fù)之前,網(wǎng)友們也有不少猜測。其中認同度比較高的,是十分經(jīng)典的鏈接偷家操作。

這個操作可能有不少差友都中過。它實際上是利用了一種叫 CSRF (跨站請求偽造)的漏洞。

簡單來說,這種攻擊不會讓你輸入敏感信息,也不會直接獲取你的賬號密碼,但在你點擊連接之后,攻擊者能夠仿造你的 cookie ,讓平臺以為他就是你本人。

基本上你登錄了之后能做的事,攻擊者都能做到。

只不過在 18 年的時候谷歌、阿里這些大廠就開始著手解決了,現(xiàn)在這個操作差不多是時代的眼淚了。防護手段在升級,但黑客也在升級。

從最初的通過記錄用戶鍵盤的輸入信息,到放入插件,貼牌,還有隱形木馬。總有一不小心會中招的時候。

曾經(jīng)有網(wǎng)友說, QQ 防止被盜的頭號方法就是用二維碼掃描,而結(jié)果大家也都看到了。

確實, QQ 登錄不像微信那么反人類,在新手機上登錄的時候需要手機驗證碼、二維碼,消息提醒,有各種路障。

但是誰能想到,黑客在研發(fā)了新的技術(shù)后,想盜你的號,一個二維碼輕松搞定。

我們在享受到二維碼登錄便利的同時,黑客也享受到了相同的待遇。

尤其大家沒有過小心二維碼登錄的意識,很多人看都不看登錄確認頁面的內(nèi)容,直接手快點擊確認。

現(xiàn)在的黑客,在登錄了你的賬后以后,也不再像以前一樣,想著直接把 QQ 占為己有。

而是專門利用凍結(jié)賬號前的時間群發(fā)廣告詐騙信息來釣魚。

就因為QQ登錄二維碼,全網(wǎng)發(fā)生了大規(guī)模的社死。。。

而他們實現(xiàn)這一目的的犯罪成本極低,根本不需要知道你的密碼!人家寫個腳本,自動發(fā)完消息,只要釣上來一只魚,他們就算贏了。

所以不要在陌生地方登錄自己的賬號,貌似是斷絕一切被盜的終極秘法。

最后,對于那些想解封的差友們,如果不是特別著急的話,差評君覺得可以等一波官方自動解封,至少可以逃避手持身份證拍照的二次社死。

 

作者:螢火;編輯:結(jié)界?& 面線

來源:https://mp.weixin.qq.com/s/WrqvdNiPt8CXver5lDzKtw

本文由 @差評 授權(quán)發(fā)布于人人都是產(chǎn)品經(jīng)理,未經(jīng)作者許可,禁止轉(zhuǎn)載

題圖來自 Unsplash,基于 CC0 協(xié)議

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
差評
Debug the World
95篇作品 327081總閱讀量
03-305935 瀏覽
第三域增長的底層邏輯有哪些?
02-1413905 瀏覽
設(shè)計中的交互設(shè)計
03-277287 瀏覽
SaaS產(chǎn)品必須邁過去的坎:PMF
02-174020 瀏覽
外賣大戰(zhàn),抖音微信也來了
02-233783 瀏覽
商業(yè)化近一年,釘釘們活得怎么樣?
評論
評論請登錄

  1. 以后都不敢用二維碼登錄了,雖然沒中招社死,個人還是應(yīng)該提高密碼保護的安全意識。

    來自上海 回復(fù)

  2. 害,幸好沒做社死人,平時我登錄都有手機驗證

    回復(fù)

  3. 真是道高一尺魔高一丈啊,雖然防護手段也在升級,可還是防不住黑客

    回復(fù)

  4. 看得我后背一涼,以后再也不敢用二維碼登錄了

    來自陜西 回復(fù)

  5. 那天晚上我收到了好多條被盜號人發(fā)的圖片,我也很尷尬

    來自福建 回復(fù)

  6. 這波盜號在聯(lián)想到前段時間學(xué)習(xí)通泄露信息,感覺有點掩蓋之前某些事件的意思。。。

    來自吉林 回復(fù)

  7. 前段時間還真的是挺可怕的,真的就是QQ二維碼席卷很多地方。

    來自河南 回復(fù)

  8. 可怕,二維碼也會被騙人,真的要自己提高警惕心才行啊,還有手持身份證照片也不要亂照啊,這個照片被盜了就危險了

    來自廣東 回復(fù)