QQ克隆盜號原理及防范(91ri原創)

最近新出一種名為QQ好友克隆盜號的方式,黑客只需通過克隆即可申訴的方式獲得被盜者的QQ完全控制權限,現在我們來解析一下被盜的過程及防范方法。

因為克隆被盜Q的方式我朋友曾經歷過,并且我也參與幫忙找回QQ號的過程,所以就以故事的方式重現也為方便讀者。

1.1 事件起因:某日,朋友告訴我QQ號被盜了,我的第一反應就是木馬病毒搞的好事。但后來經過我一個下午對她電腦的殺毒及木馬檢測等均表示沒有異常,于是把普通盜號木馬作案的可能性排除了,但是我想到了免殺馬,還在糾結怎么可以找到這個馬的時候,盜號者找上門了。

1.2 驚現黑客:問了被盜的朋友才發現這個所謂的“黑客”竟是我朋友的之前班上的同學,而且令人驚訝的是,他不止把我朋友號盜了,還將她的最近聯系人一次性秒殺了,我頓時就一個想法:臥槽 這家伙是傳說中的盜號集團成員么。

但是后來經過與他的對話感覺這人其實沒多少本事,理由是他說話的語氣給我一種自以為是的感覺,而且各種拽,似乎自己都快成神了。等最后的時候 我手一賤 翻了一下他的QQ空間 發現他曾在今年1月份電腦遭遇木馬光臨 并且他在空間對木馬各種唾罵 。這時我就認定這孩子純2B,自己號都會被人盜的,免殺他應該不會做。

于是我沒理他了 繼續按照排除法對這次被盜事件進行分析,我問我朋友是否接過什么文件 或者上過什么網站 又或者裝過什么軟件等 。到最后問的口干舌燥了,答案就是 她只聊QQ 看看電影沒上過什么網站接什么文件的。

我頓時就傻逼了,啥事都沒做過,那個小黑客又沒啥真本事,卻不僅盜了他的號還把他最近聯系列表里的朋友一次性都盜了,到底咋回事呢?

1.3 尋找答案:我用了一個中午上網查近期比較牛B的盜號馬分析案例,找了很久也沒有找到,就找到了一個利用釣魚方式盜取密保木馬,于是以案例中的電腦中馬會出現的樣子詢問我朋友,但我朋友也表示沒有遇到。現在基本排除的木馬攻擊的可能。

咋辦呢 于是我想到了萬能的微博。

分別在騰訊和新浪發了我遇到的問題。

1.4 曙光初現:在發微博的一個小時內得到了非常多的答案 比如:QQ木馬、手里有騰訊QQ用戶數據庫權限、空間釣魚、密保釣魚、社會工程學等。但在后來都一一排除了。

最后新浪的一位朋友提醒QQ有會員克隆功能,會不會是克隆好友的方式然后來申訴的呢?

突然我反應過來,QQ的申訴機制一直被許多人唾棄,雖然是眾多密碼找回系統中較好的一種但依然有很多缺陷,原因就是:只要是人為設計的東西一定有缺陷。“QQ好友克隆申訴”!越想越想那么回事。

1.5 深入敵后:

我想我自己怎么猜都沒用 只有真正去找盜號者才可以獲得答案。為了避免引起他的疑心我通過搜素引擎獲得了一些他的資料并整理后通過郵箱聯系他。

因為知道他QQ曾被盜過(上文有提及)于是聯系了一個手里信封很多的朋友 查了一下 還真查到了他的歷史密碼,于是想直接利用這個密碼釣他的胃口。

經過一番忽悠 他上鉤了 愿意來交換資料,但是這小子還是要求我先給拿到他密碼的方法,我就怕一會給他方法直接給加黑了,正在糾結的時候朋友那么傳來捷報。利用美人計誘惑成功,成功讓那個小黑客交出方法了。(-.-還是妹子的誘惑比較管用)?果然是利用QQ好友克隆的方法,跟預想的一樣。

2.1 “神技”現身:但又是什么讓騰訊的申訴系統出現這么帶弱智漏洞呢,研究了一下。

大家打開大圖看,我圈紅框的地方:

申訴將在4小時內處理完畢,建議您最好能邀請3個或更多的好友輔助您進行申訴。

申訴4小時內處理完畢是個什么概念?假如是人工,4個小時,除了排隊等待申訴以外的時間,真正到手上進行審核的時間有多少?有時可能申訴人多到4個小時都查不完何況有那么多的信息需要審核,人也有三急也要吃喝,去掉這些4個小時內幫你申訴一個號的可能幾乎為0.但是騰訊做到了,理由呢?申訴是使用系統,而不是人工!

我們大家都知道只要是人設計的東西總是會有出現問題的 可是這次出現的問題太弱智了。個人認為騰訊的審核系統就像個判斷機制,你提交信息后 系統會將你提交的東西與內部數據進行判斷,每符合一項就加分,一項一項加下來,若最后分數達到系統指定的分比如60分,那么系統判斷你申訴成功,若達不到則判斷申訴失敗。出現現在這種多好友申訴即可通過的漏洞,說明在騰訊申訴中,好友輔助申訴這塊分數占的較大,甚至夸張的可以說多好友占到了幾乎一半以上的分數。所以只需要通過幾個好友的克隆即可拿到目標QQ權限。

2.2 防范方法:

個人防范:

1.盡量拒絕加陌生人為好友

2.將本文或文章中介紹的方法告訴給你的朋友們,因為有一個道理叫:唇亡齒寒。假如他們的號被盜了,黑客一樣有辦法通過你朋友的QQ克隆你的號,你的號一樣會被盜。所以也得防范好這個。

3.少惹人,這種好友克隆方法較為簡單,但危害性較大,假如你以前的仇人用這個方法黑了你的QQ,那你真的就是一個苦逼了!

此漏洞修復方法:

1.被克隆必須發送系統消息通知QQ號主人(現在被克隆只是彈個框而已),且克隆必須通過QQ號主人的同意,否則無法被克隆。

2.降低好友輔助申訴在申訴中的“權重”

——————————————YD分割線——————————————————

91ri.org點評:小編經過了解其實這個方法在某些QQ社區已經流傳開了,而且有那么一段時間了,現在也有出現大規模被盜Q的趨勢,但是QQ安全中心卻沒有做出任何反應,卻每天都在跟某些一樣蛋疼的安全軟件廠商各自口水各種爭漏洞補丁國內首發。無奈。我表示對他們的響應機制感到蛋疼。

本文分析純屬個人按照之前的研究加以推測 不一定安全正確 有什么不對的歡迎各位拍磚!

小編通過微博得知 由于此方法出現,現已有預兆出現大規模盜號傾向,這種盜號方法看似簡單弱智卻威力巨大,希望各位朋友嚴加防范,同時感謝之前參與討論的朋友,特別感謝新浪微博的@watson–三 朋友。

91ri.org補充:我在這里回答下部分朋友提出的問題:“QQ會員克隆好友.是要被克隆的密碼的.沒密碼照樣克隆不成” 這就是我文章上提及的不要隨便加他人為好友。最近的案件都是由熟人作案引起的。雖然克隆時有要求加被克隆的QQ密碼,但是假如我是盜號者 我想盜你號 只需要用小號加你QQ(任意理由 只要通過就行),成為你的好友,我就可以通過克隆小號的好友列表得到無數個有你好友的QQ。再進行申訴即可盜取QQ!具體防范方法參見上文。

本站官方微博:

騰訊:

站長:http://t.qq.com/vim0x0n

官方:http://t.qq.com/www_91ri_org

新浪:

站長:http://weibo.com/vim0x0n

官方:http://weibo.com/u/2882426600

歡迎大家關注,以便以最快速度獲得業界最新的安全資訊。

本文由網絡安全攻防研究室(www.szcgpp.com)黑客新聞小組原創,轉載請注明出處,感謝!