前言

原以为QQ被盗号已经成为了历史,毕竟在十几年前的网吧,只要你一不小心打开了某类型网站,被引导下载了播放器,那么十有八九你的QQ号会被异地登陆,或者被改掉密码,然后只得填写各种信息尝试申诉,还不一定能找回来。

早在多年前腾讯就开始引导用户绑定安全手机,后来申请账号也必需手机验证码。按理说个人的QQ号相较于十几年前更加安全了,但是盗号者的手段也在不断更新。今天登着朋友的号,偶然收到一条消息,于是借此浅谈一点什么。

奇怪的来信

收到的消息很普通,甚至说辞无法获得稍微有点常识的人的信任。QQ账号确实可以邀请好友辅助验证,但是在验证通过之前是没有临时登陆一说的。

绝大多数盗号者都会通过“僵尸账号”发布消息,无论是QQ空间还是私聊个人。在智能手机普及之前,绝大多数盗号者的猎捕对象是使用电脑但电脑没有安全防护的人,他们通过携带盗号木马的伪装文件,诱导猎物运行他们发来的程序,盗号的过程神不知鬼不觉。如果电脑上安装的有杀毒软件,他们还会诱导猎物暂时关闭杀软。

在智能手机普及之后,大多数盗号者采取了最朴素的方式,即伪装一个官方的页面,诱导用户输入账号密码,每一次遇到这种情况我都会在密码框里输入一句国粹。

大多数用户绑定安全手机,开启登陆设备锁之后,单单获得账号密码并不足以获取账号的控制权。于是今天的主角显得更聪明,他没有直接发一眼假的钓鱼链接,而是一个二维码,众所周知,手机QQ里打开的网页是不会直接显示链接的。

盗号的来信

我用解码器解析之后发现链接如下:

http://superfusionfive.com/#/    备注:好家伙,直接用顶级域名

理解对方思路

页面是一个看起来很正常的网页,居中一个动态二维码,下面一个一键登录按钮,底部的链接指向的是腾讯官方的链接。

钓鱼网页

使用手机打开,发现该网页确实可以直接唤起QQ一键登录,看到这里的时候我有些疑惑,我一键登录之后对方能获得什么?cookies?

没忍住好奇心,最终用自己的账号扫码,界面显示“允许登录”,“拒绝登录”。想到自己是绑定了安全手机号的,可以随时找回,于是点了允许登陆。

然后网页就直接跳转到验证码输入页面,上方“好友辅助”四个字很具有迷惑性,腾讯官方确实也发来了验证码短信。

网页要求输入验证码

但是,短信内容却是这样的:

【腾讯科技】你正在【修改QQ89xxxx23的密保手机】,验证码xxxxxx,提供给他人会导致QQ被盗和资产损失,若非本人操作,请修改密码。

所以对方的理解显然高出许多盗号者一大截了啊。诱导猎物换绑手机号,一旦有小白信以为真这样操作了,那账号的控制权就真的完完全全在别人手中了。

后续

这个钓鱼网站是用的静态网页,所以无法尝试扫后台爆破;解析到cloudflare的,也没办法来一波ddos;在微步情报社区也没查到什么有价值的信息。

微步情报中心

每次遇到这种事情我都好羡慕大佬们发现菠菜网站之后可以“一不小心进入后台”,但是我们也不能寄希望于永远都有勇士替我们惩奸除恶,唯一能做的就是保护好自己。希望所有人收到不明信息的时候都能多个心眼,看看根域名对不对,通过其它方式联系一下来信人确认,不贪小便宜,也不要盲目相信自己的判断。

你看,搜狐这种网络大厂的员工不就遭遇“内部邮件”诈骗了吗?