“快去看看你的 QQ 號(hào)，你號(hào)被盜了！”

一覺醒來，發(fā)現(xiàn)自己的 QQ 給爸媽、同學(xué)甚至是暗戀對(duì)象發(fā)了一堆黃圖，以至于被舉報(bào)、被封，被人掛上 QQ 空間，這樣的社死現(xiàn)場，可能就是很多人昨天早上正在經(jīng)歷的絕望。

(相關(guān)資料圖)

更嚴(yán)重的，還得在一身清白的情況下，手持身份證拍照，寫下一份檢討書，告訴騰訊：“我以后再也不敢群發(fā)色圖盜號(hào)了，求求你把號(hào)還給我吧。”

就連前段時(shí)間因?yàn)樾畔⑿孤渡缢赖膶W(xué)習(xí)通，也被拉出來鞭了一輪尸，又社死了一次。

也只有那些經(jīng)歷過大風(fēng)大浪的網(wǎng)友，能在這樣的艱苦的環(huán)境里保持自我，維護(hù)好網(wǎng)絡(luò)社區(qū)的和諧氛圍。

可能是大家的猜測越來越離譜，甚至有人懷疑企鵝監(jiān)守自盜，眼看火要燒到自己屁股， QQ 終于坐不住了。

昨天中午，QQ給出了回應(yīng)，說被盜號(hào)的 主要原因是“掃描了假的游戲登錄二維碼授權(quán)登錄造成的”。

根據(jù)網(wǎng)上網(wǎng)友的爆料， 這一波大部分被盜網(wǎng)友都有過在網(wǎng)吧登錄 QQ 相關(guān)的二維碼賬號(hào)的經(jīng)歷。

不是吧阿 sir ，以前人們都說在網(wǎng)吧不要輸入賬號(hào)密碼，因?yàn)檫@樣容易被記錄下來。

但現(xiàn)在你跟我說最安全的掃二維碼也會(huì)被盜，我是真的會(huì)謝。。。

這。。我還能愉快地在陌生的地方登錄賬號(hào)么？人與人之間的信任呢？

哎，啥也別說了。我們來研究下這種二維碼中招的原理吧。

在聊這之前，我想先和大家講講，在你掃 QQ 二維碼的時(shí)候，你會(huì)經(jīng)歷什么。

打開軟件，拿手機(jī) App 掃描二維碼，點(diǎn)擊確定登錄，這個(gè)流程是不是十分簡單？

但事實(shí)上，這里面涉及到了兩層身份認(rèn)證。

當(dāng)你掃描二維碼的時(shí)候，相當(dāng)于告訴了服務(wù)器：我是誰；而點(diǎn)擊確認(rèn)之后，就是在和服務(wù)器確認(rèn)，我真的是我。

為了安全起見，這兩個(gè)步驟中任意一個(gè)拖太久了，系統(tǒng)就會(huì)判定你在騙它，讓二維碼失效，得重新自證一遍才能完成登錄。

但是現(xiàn)在有一個(gè)漏洞，就是如果黑客把自己電腦上的登錄二維碼 實(shí)時(shí)覆蓋你電腦的二維碼的話。。。

那么你以為你掃描的是網(wǎng)吧電腦的登錄二維碼，實(shí)際上你掃描的是黑客電腦上的登錄二維碼。

發(fā)現(xiàn)沒有？這中間是有個(gè)時(shí)間差的，只要黑客趁登錄二維碼沒有失效，把自己的二維碼發(fā)給了你，掃完之后你又沒有仔細(xì)看，順手點(diǎn)了個(gè)確認(rèn)。

那么黑客就直接登錄了你的賬號(hào)。

直接在黑客的電腦上進(jìn)行一波裸奔▼

還有網(wǎng)友分析，你登錄的二維碼有可能是你 QQ 手表端的登錄二維碼，而并不是電腦 QQ 。

一名知乎程序員的被盜血淚史▼

因?yàn)?QQ 手表是能和電腦端、手機(jī)端并行在線的，一旦黑客登錄了你的 QQ 手表，能更方便黑客長時(shí)間的操控。

我們也親身實(shí)驗(yàn)了一下，在一臺(tái)新手機(jī)上安裝了 QQ 手表的 APP 后，把登錄二維碼發(fā)給了其他人。

在這個(gè)界面里，并沒有提示新設(shè)備登錄的警告，只會(huì)在頂部出現(xiàn)一個(gè)登錄 QQ 手表的提示，確實(shí)很容易忽略。

一旦點(diǎn)擊了允許登錄，那對(duì)方就可以拿著你的號(hào)在 QQ 手表端為所欲為了。

QQ手表登錄后的界面▼

當(dāng)然， QQ 也給大家提供了不少的賬號(hào)防護(hù)工具，比如設(shè)備鎖，人臉識(shí)別等等。

但有網(wǎng)友反饋，就算開所有功能，賬號(hào)依舊被盜了。

我們能做的可能除了祈禱 QQ 的風(fēng)控做好外，只能多留個(gè)心眼，小心各種坑，保住自己的“身家清白”了。

尤其是這種情況的重災(zāi)區(qū)，主要出現(xiàn)在網(wǎng)吧里。畢竟不少網(wǎng)吧用的都是盜版系統(tǒng)，里面被人加了什么料，誰都說不清楚。

其實(shí)在這次騰訊回復(fù)之前，網(wǎng)友們也有不少猜測。其中認(rèn)同度比較高的，是十分經(jīng)典的 鏈接偷家操作。

這個(gè)操作可能有不少差友都中過。它實(shí)際上是利用了一種叫 CSRF （ 跨站請求偽造）的漏洞。

簡單來說，這種攻擊不會(huì)讓你輸入敏感信息，也不會(huì)直接獲取你的賬號(hào)密碼，但在你點(diǎn)擊連接之后，攻擊者能夠仿造你的 cookie ，讓平臺(tái)以為他就是你本人。

基本上你登錄了之后能做的事，攻擊者都能做到。

只不過在 18 年的時(shí)候谷歌、阿里這些大廠就開始著手解決了，現(xiàn)在這個(gè)操作差不多是時(shí)代的眼淚了。

防護(hù)手段在升級(jí)，但黑客也在升級(jí)。

從最初的通過記錄用戶鍵盤的輸入信息，到放入插件，貼牌，還有隱形木馬?？傆幸徊恍⌒臅?huì)中招的時(shí)候。

曾經(jīng)有網(wǎng)友說， QQ 防止被盜的頭號(hào)方法就是用二維碼掃描，而結(jié)果大家也都看到了。

確實(shí)， QQ 登錄不像微信那么反人類，在新手機(jī)上登錄的時(shí)候需要手機(jī)驗(yàn)證碼、二維碼，消息提醒，有各種路障。

但是誰能想到，黑客在研發(fā)了新的技術(shù)后，想盜你的號(hào)，一個(gè)二維碼輕松搞定。

我們在享受到二維碼登錄便利的同時(shí)，黑客也享受到了相同的待遇。

尤其大家沒有過小心二維碼登錄的意識(shí)，很多人看都不看登錄確認(rèn)頁面的內(nèi)容，直接手快點(diǎn)擊確認(rèn)。

現(xiàn)在的黑客，在登錄了你的賬后以后，也不再像以前一樣，想著直接把 QQ 占為己有。

而是專門利用凍結(jié)賬號(hào)前的時(shí)間群發(fā)廣告詐騙信息來釣魚。

而他們實(shí)現(xiàn)這一目的的犯罪成本極低， 根本不需要知道你的密碼！

人家寫個(gè)腳本，自動(dòng)發(fā)完消息，只要釣上來一只魚，他們就算贏了。

所以不要在陌生地方登錄自己的賬號(hào)，貌似是斷絕一切被盜的終極秘法。

最后，對(duì)于那些想解封的差友們，如果不是特別著急的話，差評(píng)君覺得可以等一波官方自動(dòng)解封，至少可以逃避手持身份證拍照的二次社死。

撰文：螢火 編輯：結(jié)界& 面線 封面：萱萱

圖片、資料來源：

微博@騰訊QQ @tophao羲灬@追夢家李筱茶@kkura的小仙爺@EpKong @blackorbird @秦不工@AlpacaKun

B 站掌控安全學(xué)院：QQ 登陸機(jī)制-新型二維碼釣魚

知乎-Snowfalke ：簡單認(rèn)識(shí) CSRF

關(guān)鍵詞： 的情況下 輸入賬號(hào) 犯罪成本