一觉醒来,发现自己的QQ给爸妈、同学甚至是暗恋对象发了一堆黄图,以至于被举报、被封,被人挂上QQ空间,这样的社死现场,可能就是很多人昨天早上正在经历的绝望。
更严重的,还得在一身清白的情况下,手持身份证拍照,写下一份检讨书,告诉腾讯: “ 我以后再也不敢群发色图盗号了,求求你把号还给我吧。 ”
就连前段时间因为信息泄露社死的学习通,也被拉出来鞭了一轮尸,又社死了一次。可能是大家的猜测越来越离谱,甚至有人怀疑企鹅监守自盗,眼看火要烧到自己屁股,QQ终于坐不住了。 主要原因是 “ 扫描了假的游戏登录二维码授权登录造成的 ” 。
根据网上网友的爆料,这一波大部分被盗网友都有过在网吧登录QQ相关的二维码账号的经历。
不是吧阿sir,以前人们都说在网吧不要输入账号密码,因为这样容易被记录下来。但现在你跟我说最安全的扫二维码也会被盗,我是真的会谢。。。这。。我还能愉快地在陌生的地方登录账号么?人与人之间的信任呢?
哎,啥也别说了。我们来研究下这种二维码中招的原理吧。
打开软件,拿手机App扫描二维码,点击确定登录,这个流程是不是十分简单?
但事实上,这里面涉及到了两层身份认证。
当你扫描二维码的时候,相当于告诉了服务器:我是谁;而点击确认之后,就是在和服务器确认,我真的是我。
为了安全起见,这两个步骤中任意一个拖太久了,系统就会判定你在骗它,让二维码失效,得重新自证一遍才能完成登录。
实时覆盖你电脑的二维码的话。。。
那么你以为你扫描的是网吧电脑的登录二维码,实际上你扫描的是黑客电脑上的登录二维码。
发现没有?这中间是有个时间差的,只要黑客趁登录二维码没有失效,把自己的二维码发给了你,扫完之后你又没有仔细看,顺手点了个确认。
其实在这次腾讯回复之前,网友们也有不少猜测。其中认同度比较高的,是十分经典的链接偷家操作。
这个操作可能有不少差友都中过。它实际上是利用了一种叫CSRF( 跨站请求伪造 )的漏洞。
简单来说,这种攻击不会让你输入敏感信息,也不会直接获取你的账号密码,但在你点击连接之后,攻击者能够仿造你的cookie,让平台以为他就是你本人。
基本上你登录了之后能做的事,攻击者都能做到。只不过在18年的时候谷歌、阿里这些大厂就开始着手解决了,现在这个操作差不多是时代的眼泪了。
现在的黑客,在登录了你的账后以后,也不再像以前一样,想着直接把QQ占为己有。
而是专门利用冻结账号前的时间群发广告诈骗信息来钓鱼。而他们实现这一目的的犯罪成本极低,根本不需要知道你的密码!
所以不要在陌生地方登录自己的账号,貌似是断绝一切被盗的终极秘法。
最后,对于那些想解封的差友们,如果不是特别着急的话,差评君觉得可以等一波官方自动解封,至少可以逃避手持身份证拍照的二次社死。