就因为QQ登录二维码,全网产生 了年夜 范围 的社死
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/32a8275362ab4bb1a785cb44ae5d082b~tplv-tt-large.image?x-expires=1984402833&x-signature=tm%2F6kIhIgzExxmuLxyQ1XJ5%2BZc8%3D“ 快去看看你的 QQ 号,你号被盗了! ”
一觉醒来,发明 自己的 QQ 给爸妈、同学甚至是暗恋对象发了一堆黄图,以至于被举报、被封,被人挂上 QQ 空间,这样的社死现场,可能就是很多人昨天早上正在经历的绝望。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/4a2208f908c84d19b502a61350abf27f~tplv-tt-large.image?x-expires=1984402833&x-signature=WE%2FSOtqc6cGMvAT8BjneLqbm2Ks%3D
更严重的,还得在一身清白的情况下,手持身份证拍照,写下一份检讨书,告诉腾讯: “ 我以后再也不敢群发色图盗号了,求求你把号还给我吧。 ”
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/8dbad2ac1b114dba8d8e8fc759fac590~tplv-tt-large.image?x-expires=1984402833&x-signature=IA7NJyLpBFMopIkM3EWKU%2FHk3xE%3D
就连前段时间因为信息泄露社死的学习通,也被拉出来鞭了一轮尸,又社死了一次。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/f63c3fc8f58b490d88636c70577b9282~tplv-tt-large.image?x-expires=1984402833&x-signature=El8pVAj6qilVoxjCy2qPeEI4elQ%3D
也只有那些经历过年夜 风年夜 浪的网友,能在这样的艰苦的环境里坚持 自我,维护好网络社区的和谐气氛 。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/555cc82727af4f899f2bb736dc9cdf74~tplv-tt-large.image?x-expires=1984402833&x-signature=7RcVAiQqWnXeDaZSKNvXeQq3sXk%3D
可能是年夜 家的猜测越来越离谱,甚至有人怀疑企鹅监守自盗,眼看火要烧到自己屁股, QQ 终于坐不住了。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/0c785228f2ef4c728687bef8cafc74ae~tplv-tt-large.image?x-expires=1984402833&x-signature=Kh8OGIa95w44swXXxfq4nJdemmI%3D
昨天中午, QQ 给出了回应,说被盗号的主要原因是 “ 扫描了假的游戏登录二维码授权登录造成的 ” 。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/74d8647e85894c7ab9f8ae74836dbc3b~tplv-tt-large.image?x-expires=1984402833&x-signature=wY4YhgbDseFZYyTrxzTuvokgd3s%3D
依据 网上网友的爆料,这一波年夜 部分被盗网友都有过在网吧登录 QQ 相关的二维码账号的经历。
不是吧阿 sir ,以前人们都说在网吧不要输入账号密码,因为这样容易被记录下来。
但现在你跟我说最平安 的扫二维码也会被盗,我是真的会谢。。。
这。。我还能愉快地在陌生的处所 登录账号么?人与人之间的信任呢?
哎,啥也别说了。我们来研究下这种二维码中招的原理吧。
在聊这之前,我想先和年夜 家讲讲,在你扫 QQ 二维码的时候,你会经历什么。
打开软件,拿手机 App 扫描二维码,点击确定登录,这个流程是不是十分简单?
但事实上,这里面涉及到了两层身份认证。
当你扫描二维码的时候,相当于告诉了办事 器:我是谁;而点击确认之后,就是在和办事 器确认,我真的是我。
为了平安 起见,这两个步调 中任意一个拖太久了,系统就会判定你在骗它,让二维码失效,得重新自证一遍能力 完成登录。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/01ab88316f5c4b848cf6f77498d328ff~tplv-tt-large.image?x-expires=1984402833&x-signature=GadHu%2B%2BaMG%2FD%2BF3PePD%2FSSE%2FQQ0%3D
然则 现在有一个漏洞,就是如果黑客把自己电脑上的登录二维码实时笼罩 你电脑的二维码的话。。。
那么你以为你扫描的是网吧电脑的登录二维码,实际上你扫描的是黑客电脑上的登录二维码。
发明 没有?这中间是有个时间差的,只要黑客趁登录二维码没有失效,把自己的二维码发给了你,扫完之后你又没有仔细看,顺手点了个确认。
那么黑客就直接登录了你的账号。
直接在黑客的电脑上进行一波裸奔 ▼
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/07cbbc6a5b7e4e01af021532a98e6381~tplv-tt-large.image?x-expires=1984402833&x-signature=nA3kk60Syd%2FwxZp6dhWNeGMQGRc%3D
还有网友剖析 ,你登录的二维码有可能是你 QQ 手表端的登录二维码,而并不是电脑 QQ 。
一名知乎法度模范 员的被盗血泪史 ▼
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/07b885be5568482380d7ceacaa2148b0~tplv-tt-large.image?x-expires=1984402833&x-signature=77gkfXTusEfNHQtfs9xey5gncds%3D
因为 QQ 手表是能和电脑端、手机端并行在线的,一旦黑客登录了你的 QQ 手表,能更便利 黑客长时间的操控。
我们也亲身实验了一下,在一台新手机上安装了 QQ 手表的 APP 后,把登录二维码发给了其他人。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/c4ac71a3abb94db4afea2d255d51a9e5~tplv-tt-large.image?x-expires=1984402833&x-signature=8lz6kzQT3o2N%2Bvfms6F25eTzM9k%3D
在这个界面里,并没有提示新设备登录的警告,只会在顶部涌现 一个登录 QQ 手表的提示,确实很容易忽略。
一旦点击了允许登录,那对方就可以拿着你的号在 QQ 手表端为所欲为了。
QQ 手表登录后的界面 ▼
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/c80c2fae6bc5463ab0fcd54c30f5dbf3~tplv-tt-large.image?x-expires=1984402833&x-signature=xf1ZkbJVSeAAn3bsSzB94puFNSc%3D
当然, QQ 也给年夜 家提供了不少的账号防护对象 ,比如设备锁,人脸识别等等。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/7262e23d49b44c3db534481eb587acc5~tplv-tt-large.image?x-expires=1984402833&x-signature=Y7JDhj3JGJpDWkbexfIyd9GIDWA%3D
但有网友反馈,就算开所有功能,账号依旧被盗了。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/6ae4710fd73b4d18aff4273007612010~tplv-tt-large.image?x-expires=1984402833&x-signature=pPxj62uEwOAVemBv0PUhNDb0Rw8%3D
我们能做的可能除了祈祷 QQ 的风控做好外,只能多留个心眼,小心各类 坑,保住自己的 “ 身家清白 ” 了。
尤其是这种情况的重灾区,主要涌现 在网吧里。究竟 不少网吧用的都是盗版系统,里面被人加了什么料,谁都说不清楚。
其实在这次腾讯回复之前,网友们也有不少猜测。其中认同度比较高的,是十分经典的链接偷家操作。
这个操作可能有不少差友都中过。它实际上是利用了一种叫 CSRF ( 跨站请求伪造 )的漏洞。
简单来说,这种进击 不会让你输入敏感信息,也不会直接获取你的账号密码,但在你点击连接之后,进击 者能够仿造你的 cookie ,让平台以为他就是你本人。
基本上你登录了之后能做的事,进击 者都能做到。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/02df27e4d81549039e687db21d3c48c3~tplv-tt-large.image?x-expires=1984402833&x-signature=abcOHwjLGLAz80ADqwvEPA%2BGVm0%3D
只不过在 18 年的时候谷歌、阿里这些年夜 厂就开始着手解决了,现在这个操作差不多是时代的眼泪了。
防护手段在升级,但黑客也在升级。
从最初的通过记录用户键盘的输入信息,到放入插件,贴牌,还有隐形木马。总有一不小心会中招的时候。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/978dab66929c48c98e0cb7e6d50fd61a~tplv-tt-large.image?x-expires=1984402833&x-signature=ay7CbM7dBj7yQg5MxkGzQ1ozdPI%3D
曾经有网友说, QQ 防止被盗的头号办法 就是用二维码扫描,而结果年夜 家也都看到了。
确实, QQ 登录不像微信那么反人类,在新手机上登录的时候需要手机验证码、二维码,消息提醒,有各类 路障。
然则 谁能想到,黑客在研发了新的技术后,想盗你的号,一个二维码轻松搞定。
我们在享受到二维码登录便利的同时,黑客也享受到了相同的待遇。
尤其年夜 家没有过小心二维码登录的意识,很多人看都不看登录确认页面的内容,直接手快点击确认。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/f01ce6cbdb6d43589a73a676e0ab0e0c~tplv-tt-large.image?x-expires=1984402833&x-signature=C6JL8AVSnw%2FIdlhnvcBOd829r5A%3D
现在的黑客,在登录了你的账后以后,也不再像以前一样,想着直接把 QQ 占为己有。
而是专门利用冻结账号前的时间群发告白 诈骗信息来垂纶 。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/8626aee27c6d4d729d0dff758526b352~tplv-tt-large.image?x-expires=1984402833&x-signature=7T5TSpa2DhCHmzfrP0gfZDyW%2BqI%3D
而他们实现这一目的的犯法 成本极低,基本 不需要知道你的密码!
人家写个脚本,自动发完消息,只要钓上来一只鱼,他们就算赢了。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/76fe53e5a3404dd7af2b623f471f3603~tplv-tt-large.image?x-expires=1984402833&x-signature=upzYb8P8S26zpRhqEAacLw01AV4%3D
所以不要在陌生处所 登录自己的账号,貌似是拒却 一切被盗的终极秘法。
最后,对于那些想解封的差友们,如果不是特别着急的话,差评君觉得可以等一波官方自动解封,至少可以逃避手持身份证拍照的二次社死。
https://p3-sign.toutiaoimg.com/tos-cn-i-qvj2lq49k0/6eb68c2b1102453a904ad9fd35ac9f02~tplv-tt-large.image?x-expires=1984402833&x-signature=isZ0%2FOyN4VaEm%2F0ywumvzMOmxoc%3D
页:
[1]