怎么盗号简单方法(微信号被盗的可能性,以及被盗后的处理方法)
怎么盗号简单方法文章列表:
- 1、微信号被盗的可能性,以及被盗后的处理方法
- 2、QQ遭大规模盗号?发送内容不堪入目!腾讯回应,原因找到了
- 3、网络安全干货知识分享 | 不会盗QQ,还当什么程序员?
- 4、QQ大面积盗号背后的黑产链:谁在威胁我们的账号安全
- 5、扫码免费送礼品,一扫就被盗号? 微信提醒来了!
微信号被盗的可能性,以及被盗后的处理方法
听说有人微信号被盗了,然后盗号人只是为了用这个微信号在某个微信群说两句色色的?没有尝试转账财产,也没有给别的群或者联系人发送诈骗信息什么?
那这个盗号的真是太闲了,也太坏了!
微信号被盗的概率有多大?
确切的说,概率很小。微信的设备验证很严格,如果用新设备登陆微信号,没有旧设备的辅助和验证码很难登陆。
登陆可以用手机号+验证码,新设备登陆除了手机验证码外,还需要安全验证。
安全验证需要用旧设备扫二维码,或者2位或以上的好友验证。
还可以用微信号/手机号+密码的模式登陆,但是同样需要以上的安全验证。
并且盗号人在尝试密码登陆新设备时,旧设备上正在使用的微信会收到登陆提醒,这时,可以及时的冻结,或者马上做其他紧急处理。
发现被盗了怎么办?
如果被动下号了,手机卡又在自己身边,立即使用微信的常用设备重新登陆微信,修改密码,再去设置→账号与安全→登陆过的设备中,将不再使用或者不了解的设备删除。
必要的情况下,可以申请冻结微信
在设置→账号与安全→微信安全中心
平时也尽量不要点击来源不明或者指向不明的链接,希望大家的微信号都平平安安。
QQ遭大规模盗号?发送内容不堪入目!腾讯回应,原因找到了
6月26日晚10点左右,“电脑那些事儿”粉丝群里,突然有粉丝艾特我,说群里有人发违规信息,让我赶紧踢了。也有小伙伴怕我不怎么看QQ,通过微信通知了我。
我马上登录QQ,进群一看果然有人在发那种图片,我赶紧踢了这个人,然后又使用“撤回”功能,撤回了他的消息,算是把影响降到了最小。
因为以前也有类似的情况,我并没有感觉到特别奇怪。
没想到今早打开微博,发现“QQ盗号”这一词条登上了热搜。发现好多人的账号都被盗了,发送了不良信息;或者收到了好友发来的不良信息。
下面是不少小伙伴的吐槽,堪比“社死”现场啊!
最尬的当属这位朋友了,说真的,看完真的是觉得这盗号的人太可恨了......
正当人们猜测这次被盗号的原因时,腾讯QQ通过官方微博回应了这一事件。具体内容如下:
大家千万不要扫描来源不明的二维码哦~
最后,为了防止QQ被盗号,我们可以采取设置复杂的密码或者设置设备锁等方式,提高安全性。
随便唠唠:
你的账号被盗过吗?
“事儿哥”大学刚毕业被盗过一次,
骗子差点把我妈骗了,幸亏及时反应过来了。
网络安全干货知识分享 | 不会盗QQ,还当什么程序员?
前言
最近整理了一些奇安信&华为大佬的课件资料 大厂面试课题,想要的可以私信自取,无偿赠送给粉丝朋友~
正题:在大家眼里,程序员就是什么都会?!
上面这个段子估计很多朋友都看过,程序员被黑过无数次,在其他人眼中,仿佛我们需要写得了木马,修得了电脑,找得到资源,但凡是跟计算机沾点边的,咱都得会才行。
段子归段子,言归正传,对于咱们程序员来说,多多少少了解一些信息安全的技术知识还是大有裨益的,不仅能了解一些计算机和网络的底层原理,也能反哺我们的开发工作,带着安全思维编程,减少漏洞的产生。
本文内容:
- 网络安全 - SQL注入 - XSS攻击 - CSRF攻击 - DDoS攻击 - DNS劫持 - TCP劫持 - 端口扫描技术- 系统安全 - 栈溢出攻击 - 整数溢出攻击 - 空指针攻击 - 释放后使用攻击 - HOOK - 权限提升 - 可信计算- 密码学 - 对称加密 & 非对称加密 - 秘钥交换技术 - 信息摘要算法 - 数据编码技术 - 多因子认证技术
信息安全大体可分为三个大的分支:
网络安全
系统安全
密码学
下面轩辕君就这三个领域分别罗列一些常用的黑客技术,部分技术是存在领域交叉的,就将其划入主要那个类别里去了。
网络安全
SQL注入
Web安全三板斧之首,大名鼎鼎的SQL注入。
SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等操作,达到其邪恶的目的。
而如何让Web服务器执行攻击者的SQL语句呢?SQL注入的常规套路在于将SQL语句放置于Form表单或请求参数之中提交到后端服务器,后端服务器如果未做输入安全校验,直接将变量取出进行数据库查询,则极易中招。
举例如下:
对于一个根据用户ID获取用户信息的接口,后端的SQL语句一般是这样:
selectname,[...] from t_user whereid=$id
其中,$id就是前端提交的用户id,而如果前端的请求是这样:
GET xx/userinfo?id=1 or 1=1
其中请求参数id转义后就是1 or 1=1,如果后端不做安全过滤直接提交数据库查询,SQL语句就变成了:
selectname,[...] from t_user whereid=1or1=1
其结果是把用户表中的所有数据全部查出,达到了黑客泄露数据的目的。
以上只是一个极简单的示例,在真实的SQL注入攻击中参数构造和SQL语句远比这复杂得多,不过原理是一致的。
防御手段:对输入进行检测,阻断带有SQL语句特征对输入
重点关注:前端工程师、Web后端工程师
XSS攻击
Web安全三板斧之二,全称跨站脚本攻击(Cross Site scripting),为了与重叠样式表CSS区分,换了另一个缩写XSS。
XSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。那如何办到呢?一般XSS分为两种:
反射型
1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击 示例:
http://localhost:8080/test?name=<script>alert("you are under attack!")</script>
2、用户点击后,该JS作为请求参数传给Web服务器后端
3、后端服务器没有检查过滤,简单处理后放入网页正文中返回给浏览器
4、浏览器解析返回的网页,中招!
存储型
上述方式攻击脚本直接经服务器转手后返回浏览器触发执行,存储型与之的区别在于能够将攻击脚本入库存储,在后面进行查询时,再将攻击脚本渲染进网页,返回给浏览器触发执行。常见的套路举例如下:
1、攻击者网页回帖,帖子中包含JS脚本
2、回帖提交服务器后,存储至数据库
3、其他网友查看帖子,后台查询该帖子的回帖内容,构建完整网页,返回浏览器
4、该网友浏览器渲染返回的网页,中招!
防御手段:前后端均需要做好内容检测,过滤掉可执行脚本的侵入
重点关注:前端工程师、Web后端工程师
CSRF攻击
Web安全三板斧之三,攻击示意图如下:
核心思想在于,在打开A网站的情况下,另开Tab页面打开恶意网站B,此时在B页面的“唆使”下,浏览器发起一个对网站A的HTTP请求。这个过程的危害在于2点:
1、这个HTTP请求不是用户主动意图,而是B“唆使的”,如果是一个危害较大的请求操作(发邮件?删数据?等等)那就麻烦了
2、因为之前A网站已经打开了,浏览器存有A下发的Cookie或其他用于身份认证的信息,这一次被“唆使”的请求,将会自动带上这些信息,A网站后端分不清楚这是否是用户真实的意愿
重点关注:前端工程师、Web后端工程师
DDoS攻击
DDoS全称Distributed Denial of Service:分布式拒绝服务攻击。是拒绝服务攻击的升级版。拒绝攻击服务顾名思义,让服务不可用。常用于攻击对外提供服务的服务器,像常见的:
Web服务
邮件服务
DNS服务
即时通讯服务
......
在早期互联网技术还没有那么发达的时候,发起DoS攻击是一件很容易的事情:一台性能强劲的计算机,写个程序多线程不断向服务器进行请求,服务器应接不暇,最终无法处理正常的请求,对别的正常用户来说,看上去网站貌似无法访问,拒绝服务就是这么个意思。
后来随着技术对发展,现在的服务器早已不是一台服务器那么简单,你访问一个www.baidu.com的域名,背后是数不清的CDN节点,数不清的Web服务器。
这种情况下,还想靠单台计算机去试图让一个网络服务满载,无异于鸡蛋碰石头,对方没趴下,自己先趴下了。
技术从来都是一柄双刃剑,分布式技术既可以用来提供高可用的服务,也能够被攻击方用来进行大规模杀伤性攻击。攻击者不再局限于单台计算机的攻击能力,转而通过成规模的网络集群发起拒绝服务攻击。
拒绝服务攻击实际上是一类技术,根据具体实施手段的不同,又可以进一步细分:
SYN Flood
ICMP Flood
UDP Flood
......
防御手段:即便是到现在,面对DDoS也没有100%打包票的防御方法,只能靠一些缓解技术一定层面上减轻攻击的威力。这些技术包括:流量清洗、SYN Cookie等等。
重点关注:运维工程师、安全工程师
DNS劫持
当今互联网流量中,以HTTP/HTTPS为主的Web服务产生的流量占据了绝大部分。Web服务发展的如火如荼,这背后离不开一个默默无闻的大功臣就是域名解析系统:
如果没有DNS,我们上网需要记忆每个网站的IP地址而不是他们的域名,这简直是灾难,好在DNS默默在背后做了这一切,我们只需要记住一个域名,剩下的交给DNS来完成吧。
也正是因为其重要性,别有用心的人自然是不会放过它,DNS劫持技术被发明了出来。
DNS提供服务用来将域名转换成IP地址,然而在早期协议的设计中并没有太多考虑其安全性,对于查询方来说:
我去请求的真的是一个DNS服务器吗?是不是别人冒充的?
查询的结果有没有被人篡改过?这个IP真是这个网站的吗?
DNS协议中没有机制去保证能回答这些问题,因此DNS劫持现象非常泛滥,从用户在地址栏输入一个域名的那一刻起,一路上的凶险防不胜防:
本地计算机中的木马修改hosts文件
本地计算机中的木马修改DNS数据包中的应答
网络中的节点(如路由器)修改DNS数据包中的应答
网络中的节点(如运营商)修改DNS数据包中的应答
......
后来,为了在客户端对收到对DNS应答进行校验,出现了DNSSEC技术,一定程度上可以解决上面的部分问题。但限于一些方面的原因,这项技术并没有大规模用起来,尤其在国内,鲜有部署应用。
再后来,以阿里、腾讯等头部互联网厂商开始推出了httpDNS服务,来了一招釜底抽薪,虽然这项技术的名字中还有DNS三个字母,但实现上和原来但DNS已经是天差地别,通过这项技术让DNS变成了在http协议之上的一个应用服务。
重点关注:安全工程师、后端工程师、运维工程师
TCP劫持
TCP是TCP/IP协议族中非常重要的成员,位于传输层。协议本身并没有对TCP传输的数据包进行身份验证,所以我们只要知道一个TCP连接中的seq和ack后就可以很容易的伪造传输包,假装任意一方与另一方进行通信,我们将这一过程称为TCP会话劫持(TCP Session Hijacking)
TCP劫持技术是一种很老的技术,1995年被提出来后深受黑客青睐。不过近些年来,随着操作系统层面的安全机制增强和防火墙软件的检测能力提升,这种基础的攻击方式越来越容易被发现,慢慢的淡出了人们的视野。
重点关注:安全工程师、运维工程师
端口扫描技术
端口扫描是黑客经常使用的一种技术,它一般是作为网络攻击的前期阶段,用于探测目标开启了哪些服务,以便接下来发起针对该服务的攻击。
记得刚刚学习网络安全的时候,大家总会没事拿出工具来扫一扫,虽然扫了之后就没有了下文,也总是乐此不疲,在不懂的人面前秀一把自己的“黑客”能力。
以TCP/IP协议族构建的互联网,网络服务总是离不开端口这个概念,不管是TCP也好,UDP也罢,应用层都需要一个端口号来进行网络通信。而我们常见的服务端口有:
21: FTP文件传输服务
25: SMTP邮件服务
53: DNS域名解析系统服务
80: HTTP超文本传输协议服务
135: RPC远程过程调用服务
443: HTTPS
3389: MSRDP微软远程桌面连接服务
......
端口扫描都原理,对于基于UDP的服务,发送对应服务都请求包,查看是否有应答;对于基于TCP的服务,尝试发起三次握手发送TCP SYN数据包,查看是否有应答。
如果远端服务器进行了响应,则表明对端服务器上运行了对应的服务,接下来则是进一步探知对端服务器使用的操作系统、运行的服务器程序类型、版本等等,随即针对对应的漏洞程序发起网络攻击。
由此可见,为安全着想,在互联网上应当尽可能少暴露信息,关闭不需要的服务端口。
防御手段:使用防火墙等安全产品,即时发现和阻断非法的扫描探测行为。
重点关注:运维工程师、安全工程师
[为防抄袭,手动插入文字水印,敬请谅解。本文来自微信公众号:编程技术宇宙]
系统安全
系统安全版块中的技术,一般是指攻击发生在终端之上,与操作系统息息相关。
栈溢出攻击
栈溢出攻击历史悠久,也是发生在系统侧最基础的攻击。
现代计算机基本上都是建立在冯-诺伊曼体系之上,而这一体系有一个最大的问题就是数据和指令都保存在存储器中。
在计算机的内存中,既包含了程序运行的所有代码指令,又包含了程序运行的输入输出等各种数据,并没有一种强制的机制将指令和数据区分。因为对于计算机来说它们都是一样的二进制0和1,大部分时候都是靠程序按照既定的“规则”去解释理解内存中的这些0和1。而一旦这些“规则”理解错误,事情就变得糟糕起来。
具体到我们现代CPU和OS,不管是x86/x64处理器,还是ARM处理器,均采用了寄存器+堆栈式的设计,而这个堆栈中,既包含了程序运行各个函数栈帧中的变量数据等信息,还保存了函数调用产生的返回地址。
所谓栈溢出攻击,则是通过一些手段输入到栈中的缓冲区中,冲破缓冲区原有的界限,将存储返回地址的位置覆盖为一个数值,使其指向攻击者提前布置的恶意代码位置,劫持了程序的执行流程。
防御手段:现代操作系统针对栈溢出攻击已经有非常成熟的应对方案,像Linux平台的Stack Canary,Windows平台的GS机制等等,程序员需要做的就是充分利用这些机制。
重点关注:C/C 工程师
整数溢出攻击
和栈溢出攻击一样,整数溢出攻击也是属于溢出类攻击,不一样的是溢出的目标不是栈中的缓冲区,而是一个整数。
我们知道,计算机数值以补码的方式表示和存储。在表示一个有符号数时,最高位是用来表示这是一个正数(0)还是一个负数(1),比如对于一个16位的short变量而言, 1和-1的表示方法如下:
1: 0000 0000 0000 0001-1: 1111 1111 1111 1111
一个16位的short变量表示的范围是-32768~32767,现在思考一个问题,假如一个short变量的值现在是32767:
32767: 0111 1111 1111 1111
如果现在对其执行+1操作,将变成:
1000 0000 0000 0000
而这正是-32768的补码形式!
试想一下,如果这个变量名字叫length作为strcpy参数,或是叫index作为数组的下标,整数的溢出将导致可怕的后果,轻则进程崩溃,服务宕机,重则远程代码执行,拿下控制权。
重点关注:所有程序员
空指针攻击
空指针一般出现在指针没有初始化,或者使用new进行对象创建/内存分配时失败了,而粗心的程序员并没有检查指针是否为空而进行访问导致的攻击。
大多数情况下,这将导致内存地址访问异常,程序会崩溃退出,造成拒绝服务的现象
而在一些特殊的情况下,部分操作系统允许分配内存起始地址为0的内存页面,而攻击者如果提前在该页面准备好攻击代码,则可能出现执行恶意代码的风险。
释放后使用攻击
释放后使用Use After Free意为访问一个已经释放后的内存块。较多的出现在针对浏览器的JavaScript引擎的攻击中。
正常情况下,一个释放后的对象我们是没法再访问的,但如果程序员粗心大意,在delete对象后,没有即时对指针设置为NULL,在后续又继续使用该指针访问对象(比如通过对象的虚函数表指针调用虚函数),将出现内存访问异常。
在上面的场景中,如果攻击者在delete对象后,马上又new一个同样内存大小的对象,在现代操作系统的堆内存管理算法中,会有很大概率将这个新的对象放置于刚刚被delete的对象的位置处。这个时候还通过原来对象的指针去访问,将出现鸠占鹊巢,出现可怕的后果。
养成好的编程习惯,对象delete后,指针及时置空。
重点关注:C/C 工程师
HOOK
HOOK原意钩子的意思,在计算机编程中时常用到,用来改变原有程序执行流程。
在那个互联网充斥着流氓软件的年代,流行着一种键盘记录器的木马,用于记录用户键盘的输入,从而盗取密码,这其中QQ曾经是重灾区。
而实现这一功能的技术就是用到了HOOK技术,钩到了键盘敲击的事件消息。
除了消息HOOK,用得更多的是程序执行流程层面的HOOK。恶意代码被注入目标程序后,在函数入口处添加跳转指令,导致执行到此处的线程转而执行攻击者的代码,实现修改参数、过滤参数的目的。
HOOK技术不仅为黑客使用,安全软件用的更多,安全软件需要守护整个系统的安全防线,通过HOOK技术在各处敏感API处设立检查,从而抵御非法调用攻击行为。
另外,软件补丁技术中也时常用到HOOK技术,软件厂商发现原来程序漏洞后,通过HOOK,修改既有程序的执行逻辑,从而达到修复漏洞的目的。
重点关注:C/C 工程师
权限提升
现代操作系统都对运行于其中的进程、线程提供了权限管理,因为安全攻击无可避免,而权限的限制作为一道颇为有效的屏障将程序被攻击后的影响减少到最小。
换句话说,即便我们的程序因为漏洞原因被攻击执行了恶意代码,但因为操作系统的权限控制,恶意代码能干的事情也有限。
就像一枚硬币总有两个面,有权限限制,自然而然就有权限提升。攻击者想要做更多事情,就得突破操作系统的限制,获取更高的权限。
在Windows上,经常叫获得管理员权限。
在Linux上,经常叫获得Root权限,手机Root也是这个意思。
在iOS上,经常叫“越狱”。
权限提升的方式五花八门,总体来说,程序执行的时候,所属进程/线程拥有一个安全令牌,用以标识其安全等级,在访问资源和执行动作的时候由操作系统内核审核。
权限提升的目标就是将这个安全令牌更改为高等级的令牌,使其在后续访问敏感资源和执行敏感动作时,凭借该令牌可以通过系统的安全审核。
而更改这个安全令牌的惯用伎俩便是利用操作系统内核漏洞(如前面所述的栈溢出、整数溢出、释放后使用等)执行攻击者的代码,实现安全令牌的篡改。
重点关注:安全工程师
可信计算
安全攻击无处不在,不仅应用程序的环境不可靠,甚至连操作系统内核的环境也充满了风险。
如果一段程序(比如支付)必须在一个极度绝密的环境下执行,该怎么办?
可信计算的概念被安全研究者提了出来,根据百科的解释:
可信计算/可信用计算(Trusted Computing,TC)是一项由可信计算组(可信计算集群,前称为TCPA)推动和开发的技术。可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性 [1] 。签注密钥是一个2048位的RSA公共和私有密钥对,它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里,而公共密钥用来认证及加密发送到该芯片的敏感数据。
可信计算中一个非常重要的概念是可信执行环境TEE(Trusted Execution Environment),简单来说就是在现有的计算机内部的世界里,再构建一个秘密基地,专门用于运行极度机密的程序。该秘密基地甚至连操作系统都轻易无法访问,更别说操作系统之上的应用程序了。
在移动端,ARM芯片占据了主流市场,ARM芯片提供了名为TrustZone技术的技术,在硬件层面新增一个可信计算环境,包含一个可信OS,和一些可信APP,和普通环境在硬件层面隔离,处理器内部进行通信完成两个世界的交互。
重点关注:终端系统工程师
密码学
由于数据传输的过程中会遇到信息泄漏、篡改、伪造的风险,加密技术应运而生。
对称加密 & 非对称加密
有加密就有解密,根据加密过程使用的密钥和解密过程使用的密钥是否相同,将加密算法分为了两个大类:对称加密和非对称加密。
最早出现的加密技术是对称加密
对称加密:加密密钥和解密密钥一致,特点是加密速度快、加密效率高。常用的对称加密算法有:
DES
AES
RC4
这种加密方式中有一个非常关键的问题是,解密方需要拿到密钥才能进行解密,而密钥钥匙通过网络传输又会面临不安全的风险,这成了一个鸡生蛋,蛋生鸡的问题。
于是通信技术上一个划时代的技术被发明了出来,这就是非对称加密!
非对称加密:加密密钥与解密密钥不一致,特点是算法较复杂,但安全性高。非对称加密的密钥一般分为公钥和私钥,公钥公开,私钥需保密。常用于数字认证,如HTTPS中握手阶段的服务器认证。常用的非对称加密算法有:
RSA
DH
ECC(椭圆曲线加密)
可以毫不夸张的说,没有了非对称加密,互联网绝不会发展到今天这样的高度。
秘钥交换技术
在互联网通信中,有加密就有解密,解密自然就需要密钥,那如何把这个密钥告诉对方呢?密钥交换算法就是要解决这个问题:如何安全的将密钥传输给对方?
回头看看上面提到的非对称加密,它就可以解决这个问题:
服务器负责生成一对公私钥,公钥告诉客户端,私钥自己保存
客户端拿到公钥后,使用它来对后续通信将要使用的对称加密算法密钥进行加密传输
服务端收到后使用私钥解密,拿到这个密钥
以后双方可以通过对称加密进行传输通信
上面这个例子并不只是举例,在早期版本的HTTPS中,就是通过这种方式来进行密钥交换。而后来的版本中,另外一种叫DH及其变种的密钥交换算法用的越来越多。
DH全称Diffie-Hellman,是两位数学家的名称构成,这种算法的核心是完全依靠数学运算实现密钥的交换。
信息摘要算法
信息摘要算法其实不算是一种加密算法,加密的前提是可以通过解密还原,而信息摘要算法的目的并不是对数据进行保护,也无法解密还原。
在一些语境下,信息摘要我们听得少,听的更多的名词是哈希
信息摘要算法的目的之一是校验数据的正确性,算法公开,数据通过该算法得出一个摘要值,收到数据后通过该算法计算出这个摘要,前后对比就知道是否有被篡改。
常用的信息摘要算法有:
MD5
SHA1
SHA256
数据编码技术
严格来说,数据编码技术也不算是加密算法,因为其目的同样不是为了加密,而只是为了将数据编码以便传输。
最常见的编码算法就是base64了,多用于编码二进制的数据,将不可见的字符编码后转换成64个常见字符组成的文本,便于打印、展示、传输、存储。如邮件eml格式中,将附件文件通过base64编码。
除了base64,还有常用于比特币钱包地址编码的base58。base家族还有base85、base92、base128等众多算法。它们的区别不仅仅在于参与编码的字符集不同,算法执行也是各有千秋。
多因子认证技术
说到认证,最常出现的莫过于登录、支付等场景。传统的认证技术就是密码技术,但随着网络攻击的日益猖獗以及互联网渗透到人们生活的方方面面,传统密码技术的安全性不足以满足互联网的发展。
多因子认证技术意为在传统密码认证之外,引入其他认证技术进行补充,使用2种及以上的方式共同完成认证。随着人工智能技术的发展,基于生物特征的认证技术突飞猛进:
指纹认证
虹膜认证
人脸识别
......
这个世界从来不缺先行者,多因子认证看上去很复杂,好在已经有不少头部企业搭建了认证平台,对于绝大多数企业,需要做的只是下载SDK,调用API而已。
目前国内外主流的多因子认证平台有三大派系:
FIDO,国际标准,在国内,翼支付、百度钱包、京东钱包、微众银行等都已经应用
IFAA,阿里系,凭借阿里在电商领域的优势,也吸引了众多追随者。
TUSI,腾讯系
总结
本文罗列了一些常见的信息安全技术,主要分网络安全、系统安全和密码学三个领域展开。
信息安全技术不仅仅是安全工程师的事情,作为一位程序员,了解这些技术将帮助我们更好的Build The World!
知识在于分享,转发这篇文章,让更多的人看到~
来自公众号:编程技术宇宙
QQ大面积盗号背后的黑产链:谁在威胁我们的账号安全
作 者丨江贤,王岳
编 辑丨陈磊
图 源丨图虫
久未联系的QQ好友突然发来了一条消息,沉寂多年的老同学群有人贴出一张照片?别误会,不是大家不约而同地想要重拾往日情谊,而是登录和操纵社交账号的那根线,被不法网络黑产分子悄悄捏在了手中。
6月26日晚间,QQ平台出现大规模用户账号被盗事件,部分遭到黑客控制的账号开始向好友和所在群聊发送不良图片广告,这一现象一直持续到第二天凌晨才逐渐得到控制。
受访网络安全专家表示,平台需要做好对用户新的加密处理,及时对暴露出的漏洞进行修复;而用户也需定期更换密码,不点击、浏览非官方渠道和存在风险的链接内容,做好网络账号安全防护。
问题出在哪个环节
据社交平台中被盗号用户的描述,在其账号被盗的过程中,盗号者曾多次向账号中的群聊和好友发送不良信息,包括不雅图片、不雅小视频、伪装成聊天记录的外部广告链接等多种形式。
值得关注的是,有部分用户甚至因为在被盗号期间发送大量不良信息而被系统封禁,再次登录时需签署“QQ个人账户合规使用承诺书”,承诺书中写道“我已认真阅读《QQ号码规则》,充分认识并承认我利用QQ实施了违规行为,对其他用户和平台造成了不良的影响”。此外,还需本人签字并上传手持身份证照片方可解封。
针对以上用户遭遇的情况,上海某关注网络安全的法律从业者向记者表示,但从承诺书的内容来看,显然腾讯认为过错在用户,是用户没有保管好自己的账号密码,如若用户签署了该保证书,就可以理解为用户也承认了自己有泄露密码的过错。
“首先搞清楚到底是因为哪一方造成用户的账号密码泄露。”该法律从业者表示,用户和腾讯之间是服务合同关系,如果用户认为是腾讯方问题导致自己账户被盗,那就属于腾讯违约,导致其遭受了一些财产损失,或者用户对此承担一定法律责任,那其是可以根据用户协议的约定要求腾讯承担相应的违约责任和赔偿损失,但需要用户进行举证。
那么,用户的登录信息究竟是如何被泄露的?这或许要从QQ提供的第三方接入相关协议说起。
21记者注意到,在腾讯官方开设的开放平台“QQ互联”中,提到了第三方的网站在接入QQ登录前,需申请获得对应参数,以通过“OAuth2.0”协议的认证。
“QQ互联”官网中对于OAuth2.0协议的说明
上文中提到的“OAuth2.0”协议,其全称为“Open Authorization2.0”,是目前互联互通场景下,最常用的第三方授权协议之一。据悉,QQ所采用的OAuth2.0协议,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。
一名技术专家向21记者分析指出,黑客很有可能是在OAuth2.0协议的认证过程中,通过假扮合法服务的方式,在用户和通讯目标之间进行信息劫持,从而远程登录用户的QQ账号,在用户本人不知情的情况下对外发送信息。“从目前的公开信息来看,大概率是黑客在用户和第三方网站交互的过程中盗取了‘临时访问令牌’(Access Token),用户的账号和密码并未直接泄露。”该专家表示。
而针对本次事件,腾讯QQ在其官方微博中表示:“6月26日晚上10点左右,我们收到部分用户反馈QQ号码被盗。QQ安全团队高度重视并立即展开调查,发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。”
腾讯方进一步指出,确认原因后,腾讯第一时间组织安全技术力量,积极对抗黑产作恶,目前受影响范围已得到控制,受此事件影响的用户帐号也于6月27日凌晨陆续恢复正常使用。
盗号背后的黑产链条
这并非国内社交媒体平台用户账号被盗首次获得广泛关注的案件。
2014年,马航MH370客机失联后不久,网络上出现了一款利用该事件相关报道、图片压缩包伪装盗号木马,通过QQ和论坛等渠道传播的恶性盗号案件,仅杀毒软件有记录的拦截次数就超过2万次。2015年,扬州开发区法院公开宣判了一起非法获取计算机信息系统数据罪案件,本案所涉六名被告非法盗取16万余组QQ账号及密码,获利人民币157万余元。
除国内平台外,很多国外大型社交媒体用户也曾被盗号问题所困扰。
2020年7月,推特遭到大规模黑客入侵,多位名人政要和官方账号受到波及。包括美国现任总统拜登、前总统奥巴马、特斯拉CEO马斯克、苹果官方在内的一大批账号全部被盗。且被入侵的名人账号都发布了一条内容类似的推文:给出一个诈骗链接,要求通过比特币捐款,自己将双倍返还捐款金额。
入侵大规模扩散后,推特官方回应称,已经获悉该平台出现安全事故,正在进行调查并逐步修复。
“盗号问题背后,其实是一条完整的黑产产业链。”数美科技黑产研究专家道然在接受21世纪经济报道记者采访时表示,具体可划分为脱库、洗库和撞库三个阶段:
所谓脱库可以划分为技术和社工手段两类,技术手段是指黑产不法分子直接入侵目标服务器、数据库获取账号密码等信息;社工手段即社会工程,主要是通过钓鱼邮件等方式从用户处获取其相关信息。
洗库阶段则是不法分子根据信息类型进行分类,例如将账号划分为金融账号、游戏账号等等,在此阶段黑产团伙会建立社工库,即将盗取的各类信息按照用户进行归纳,其需要某个人的信息即可在库中调取。此外,其还会计算密码表,即根据用户的某一应用账户密码和生日、地址等个人信息推算其他应用账户可能使用的密码。
在撞库阶段,黑产团伙则会拿着相关个人信息和可能的密码尝试破解用户各类应用账号,例如社交账号、金融账户等等,破解账号后,其可以试图将其中便于变现的数据资产例如金融账户余额等直接转出,也可以结合其他个人信息进行电信诈骗等不法活动,也可能像本次QQ被盗事件一样用于散播不良内容。
“通过这样一条产业链,盗号问题不仅仅关乎单个账号的得失,其背后是用户很大一部分网络信息可能被黑产所利用的风险。”道然说。
如何防范?
那么,在发生盗号事件后,应如何尽可能缩减损失,降低风险呢?
道然表示,用户首先应当尽快修改账号密码,其次是和相关账号上的亲友进行沟通,告诉他们近期务必警惕有关于自己的诈骗信息;从平台层面,其需要尽快修复相关漏洞,同时对黑产传播的不良信息进行撤回或封禁处理,避免风险进一步蔓延。
面对庞大的盗号产业链,互联网平台与用户又该如何见招拆招?
上述技术专家则认为,为预防黑客通过窃取临时登录信息进行盗号行为,该类社交媒体平台应在授权过程中加大对第三方网站及应用合法经营资质的审核力度。同时,对于已经出现该类问题的第三方,平台应立即停止授权,切实保护用户的相关利益。
道然则指出,从基础安全层面而言,平台在对用户数据进行存储时要进行加密处理,一定不能做明文存储,否则被攻击后用户信息相当于直接被暴露给黑产;其次,平台服务器和数据库要及时做好漏洞修补和防火墙升级,可以在内部设置红蓝团队进行攻防演练;最后,从风控角度要对做好账户保护,提升平台对于撞库盗号的识别能力,并对内容生态中出现的钓鱼信息进行及时阻断。
而对于个人用户,道然则表示,一方面用户需要定期修改账号密码;其次就是注意将银行卡密码等关键密码设置于自己的生日信息等隔离开,尽量避免重复使用同一套密码,增大黑产“撞库”可能性。此外,非官方渠道的二维码、链接、网站、应用不要使用,避免信息泄漏。
本期编辑 黎雨桐 实习生 李凯琳
扫码免费送礼品,一扫就被盗号? 微信提醒来了!
近日,有消息称,一男子在街边遇到有商家在做“扫二维码送保温杯”的活动,该男子上前扫描二维码后,领取了一个保温杯。然而几分钟后,他发现自己的微信账号显示被盗号。
不少网友被这条消息吓一跳,纷纷问这是什么原理?扫一下二维码账号就被盗了?我们还能安全地“扫一扫”吗?
12月9日,微信方面表示,目前存在骗子利用“免费送”的由头,在街边发放福利,诱骗用户扫码,骗子准备的二维码一般为iPad/PC等微信客户端的登录二维码,扫码后骗子即可在用户不知情的情况下进行犯罪活动。
方式一般有:
获取用户群的入群二维码,将其售卖给恶意营销团伙;
利用用户的朋友圈等发布欺诈、低俗、营销信息;
向用户微信的亲友骗钱;
私自获取用户隐私信息等。
据了解,类似的还有扫码免费送口罩、咖啡、气球、水杯、烤鸭等,有的是扫码入群,有的是诱导用户扫码后辅助他们进行微信注册或解封。
有意思的是,这些“地推扫码团队”路边摆摊宣传时,甚至声称自己是“微信团队”在举办安全辅助功能的推广活动。但在2020年微信官方就已发布声明,从未举办过此类活动。
该如何预防?
至于网友关心的“是什么‘黑科技’这么厉害?扫一下就被盗号?”据微信方面称,安全团队也会基于用户的异常登录情况进行一些针对性的保护措施,一般情况下,仅扫下二维码就被盗号可能性不大。
图片来源:微信安全中心
有分析指出,扫码后被盗号可能是诱导用户填写了个人账号等信息,或者扫码后跳转至带有木马病毒的链接页面,被安装了木马程序后遭盗号。
至于如何预防,据微信官方表示,骗子在其他设备上登录的情况下,用户可以在自己的手机上直接将骗子的设备踢下线。
另外,微信方面称,一定不要相信他人,将手机给“工作人员”协助操作;一旦发现被别人登录过账号,务必优先修改密码,保证帐号安全;最后在微信客户端“我”“设置” “帐号与安全” “登录设备管理”删除不是自己本人登录的设备。
你学会了吗?
来源:中国新闻网
编辑:史梓敬