你的QQ是否被盜過號，或者你身邊的朋友、同學(xué)是否有過被盜號的經(jīng)歷。如今的安全機(jī)制真的沒有效嗎？盜號真的這么簡單嗎？本期將徹底解決這一問題。

本期是上一期的姊妹篇，建議先看上一期，這樣對于攻擊者的手法才有更好的理解：傳送門

常見的盜號手法

1、誘導(dǎo)鏈接以及二維碼
??這種情況在QQ群里面見的多。通常是發(fā)送一些具有誘惑性的鏈接誘導(dǎo)你去點擊。也可能會是一些二維碼，如下圖。為了做這期，能更好的了解其盜號的手段，我把凡是我看到的盜號鏈接都點了個遍，那些惡意二維碼我也掃了個遍。這是我在了解其原理并做了相應(yīng)的安全措施前提下做的，小伙伴們千萬不要去亂點亂掃。

2、釣魚郵件
??攻擊者會模仿騰訊官方給你發(fā)一封郵件，告訴你QQ賬號異常，需要修改密碼等等。我們看到這樣的消息往往會很著急，這就很容易進(jìn)入攻擊者的圈套。如下圖：

打開郵件后里面是這樣的內(nèi)容：

該郵件內(nèi)容和官方發(fā)送的提醒很相似，我們往往不假思索的按照提示更改密保手機(jī)號，如圖：

它會要求輸入賬號密碼登錄，以確認(rèn)是本人操作（總之做的很像那么一回事）。如圖：

和前面一樣，你輸入密碼后就會被攻擊者取獲，你的QQ就這樣被盜了。

??那么如何辨別 異地登錄 或 異常登錄 提醒郵件是真是假呢？收到QQ帳號異地登錄郵件時，辨別是否冒充騰訊QQ安全中心發(fā)送的郵件，就看郵箱是不是：accounts@tencent.com；如圖：

這些都說明是官方的郵件，其它的一概不可信。
3、好友輔助驗證
??有時我們會遇到QQ凍結(jié)的情況，這時解凍需要找好友幫忙驗證，攻擊者也是利用這一點進(jìn)行裂變攻擊。當(dāng)我們的好友向我們發(fā)來輔助驗證請求，我們一般會給予幫助，如下圖：

看上去好像很正規(guī)，弄得挺像那么一回事。但是當(dāng)你填寫完以后，攻擊者也就獲取到你的密碼了。其實原理和前兩個差不多，只是方式不一樣。由于上一期我們講過（傳送門），開啟登錄保護(hù)后即使泄露密碼，攻擊者也無法登錄你的QQ，所以他們往往還需要發(fā)短信驗證，如下圖：

4、各種刷會員刷鉆或外掛程序

還有網(wǎng)上下載的，或者別人發(fā)給你的各式各樣的小軟件。有免費刷鉆的，有免費刷會員的，還有各種游戲外掛，免費刷游戲裝備的等等。如下圖：

可以發(fā)現(xiàn)，這些軟件都是要求你輸入賬號和密碼的。這些都是利用貪小便宜的心理，一旦你輸入了賬號密碼，就會被發(fā)送至攻擊者的服務(wù)器后臺。你的QQ也就被盜了。
5、盜號木馬
??倘若有人通過郵件或QQ發(fā)送諸如“我的照片.exe"這樣的文件，這很可能是竊取QQ密碼的木馬。這種程序在運行后，就會把QQ號碼和密碼自動發(fā)送到木馬程序指定的郵箱。不僅如此， QQ還會自動將類似的木馬程序發(fā)送給其他好友。
??在早期的時候，10多年前吧，還有鍵盤記錄木馬，在你輸入QQ賬號密碼時，記錄下你的鍵盤記錄，然后發(fā)送至攻擊者后臺。不過后來由于QQ安全升級，這種方法很快就淘汰了。取而代之的是從內(nèi)存中讀取賬號密碼，有點類似于之前Windows系統(tǒng)上的"getpass.exe"木馬程序。之前盜號木馬盛行的時期，往往把木馬和圖片綁定，你只需要打開圖片就中了木馬，然后QQ就被盜了。
??不過這些木馬現(xiàn)在都已經(jīng)淘汰了，目前光靠木馬獲取QQ密碼幾乎是難于登天。這也就是為什么近些年盜號都是通過上面介紹的那些釣魚手段，既然軟件找不到漏洞，那就利用社會工程學(xué)，人性總是有弱點的，誘導(dǎo)你自己輸入賬號密碼。
??你可能會想，以上這些手段，不管是誘導(dǎo)鏈接、惡意二維碼、釣魚郵件、輔助問卷等等，不論是哪種形式，都是萬變不離其宗，換湯不換藥，最后都是騙你輸入賬號密碼，那我只要不輸入賬號密碼不就行了。以后凡是QQ登錄，我都掃碼登錄，不再輸入自己的賬號和密碼，不就不會被盜號了。雖然說掃碼登錄會安全很多，但依然有風(fēng)險。
6、偽裝QQ授權(quán)登錄
??這招比較新穎，我是也是偶爾發(fā)現(xiàn)的。我們知道，很多應(yīng)用都接入了騰訊QQ的API，比如我們登錄一些非騰訊旗下的網(wǎng)站時，會有QQ登錄這一選項，如下圖：

掃碼登錄也并非絕對安全

??話說我之前也一直認(rèn)為掃碼登錄是絕對安全的，直到遇到這么一個案例。也是我的一位同學(xué)，他一直都是掃碼登錄，也沒有登錄過任何釣魚網(wǎng)站，但是QQ依然被盜號了。然后盜號者會群發(fā)廣告詐騙信息進(jìn)行釣魚。這就很奇怪了，盜號者是怎么登錄上他的QQ號的，他的賬號一直以來都開著登錄保護(hù)，除了掃二維碼登錄之外都要輸入動態(tài)密碼才能登陸上賬號的。
??后來才知道，被封前一天他去了網(wǎng)吧，在查詢了賬號的歷史登錄IP之后，確定了是在網(wǎng)吧出的問題。

15:51分掃碼登錄電腦QQ，之后登錄游戲，一切正常。但是15:54分的3個網(wǎng)頁登錄就很奇怪了，因為那時候他應(yīng)該已經(jīng)在玩游戲了，沒有再進(jìn)行其它登錄活動，點開發(fā)現(xiàn)果然和開始登錄的IP不是同一個。我們先看15：51分登錄的情況：

??不過還有一個問題，現(xiàn)在網(wǎng)頁版QQ已經(jīng)被騰訊停止服務(wù)了，盜號者是怎么通過網(wǎng)頁cookie登錄發(fā)送廣告詐騙信息到群里的呢？原因就是現(xiàn)在很多網(wǎng)頁端都有分享功能，通過這個接口調(diào)用可以發(fā)送QQ聊天信息。如下圖：

??到這里就清晰了，盜號者確實是通過二維碼登錄的客戶端來實現(xiàn)群發(fā)廣告詐騙信息的。由于他掃碼登錄了電腦QQ客戶端，網(wǎng)吧這臺電腦被植入了木馬程序，后臺運行的木馬使用網(wǎng)頁快速登錄，保存cookie之后發(fā)送去作案的服務(wù)器，調(diào)用騰訊網(wǎng)頁分享接口來發(fā)送垃圾信息。通過上述的方法，盜號者可以在不知道密碼的情況下，僅僅通過你登錄過QQ客戶端，就可以暢通無阻地實現(xiàn)他的目的。
??現(xiàn)在這種方法也不能用了，騰訊進(jìn)行了安全加固，現(xiàn)在網(wǎng)頁分享要手機(jī)掃碼，然后通過手機(jī)打開那個網(wǎng)頁，再在手機(jī)上面分享那個網(wǎng)頁。不過由于QQ體系過于龐大，有很多之前不安全的API接口雖然已經(jīng)停用和廢棄了，但難免會有漏網(wǎng)之魚，沒能及時下線的API接口，所以還是會有很多方法能繞過你的賬號保護(hù)措施。

總結(jié)

??要避免被盜號，首先不要再使用賬號密碼登錄，統(tǒng)統(tǒng)改成掃碼登錄，安全性瞬間提高一個檔次。

不要在任何地方輸入賬號密碼，不管是哪種手段（郵件、鏈接、二維碼），最后都是誘導(dǎo)你輸入賬號密碼，只要你不輸入，一般拿你沒辦法。如果一定要輸入，必須確定是官方網(wǎng)址，下面是常見的官方網(wǎng)站：

??一般二級域名都是qq.com，如果不是就要小心了。
??第二點就是：在非私人設(shè)備上登錄QQ時（不是自己電腦上），比如像網(wǎng)吧里的電腦登錄QQ時，就要額外小心，因為攻擊者可能在網(wǎng)吧電腦里植入了木馬程序，如果你需要登錄QQ，一定要先檢查是否有可疑進(jìn)程在后臺運行，找到并將其殺死。很多人被盜往往就是在網(wǎng)吧里登錄了QQ。剩下的就是點擊了那些鏈接然后填了賬號密碼。
??另外我看到過還有利用XSS漏洞和CSRF漏洞來獲取登錄令牌的，這些方法也只在早些年有過，現(xiàn)在幾乎不可能還存在這樣的低級漏洞?，F(xiàn)在安全防御手段十分完善，動態(tài)token，二次驗證，輸入過濾，HttpOnly機(jī)制等等，幾乎是宣判了XSS攻擊的死刑。
??本篇結(jié)合上一篇：傳送門，完美解決QQ盜號問題。這兩篇爆肝了3天，創(chuàng)作不易，喜歡還請點贊支持一下！筆者公眾號：極客隨想，歡迎關(guān)注，干貨滿滿。
文章來源地址http://www.zghlxwxcb.cn/news/detail-446281.html

到了這里，關(guān)于最全QQ盜號手法分析，全面防御QQ盜號的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！