QQ群中的各种小广告,相信大家已经选择性忽视了,但是一些重要的通知群,
出现这条消息呢?这是前几天发生的事情,这个骗子并没有进行伪装,如果稍加修改相信很多人会因此上当。
还有这条消息管理和群主是无法撤回的,这里他使用了一款工具,
太极,详细的就不在此介绍了,想了解的可以自己去搜索引擎了解下。
接下来,
后续文章来源于:read/cv1810103/
揭秘:你的QQ号是如何被盗的!扫二维码需谨慎!
首先我们来看下这些个二维码都是什么样子的
样式1
还有这样的
样式2
还有一种就很厉害了,是官方的活动,但是二维码被替换掉了
替换的二维码
可以看到,这些二维码无一例外,都是充满诱惑力,都说扫了二维码以后有免费的馅饼吃,在巨大的诱惑力面前很多人抱着试一试的态度还真就扫了,然后悲剧就发生了。
通常来讲,你扫过二维码后会进入一个网站,出来一个看起来很正常的QQ网页登陆界面,说你身份已过期什么的,让你重新登录,此时你有两个选择,有一定防范心理的人可能会直接关闭网页了,但是等到你退出去后,你会发现.....你的所有QQ好友,QQ群都被你发了一条消息,内容就是这张二维码....
另外一种人很熟练的输入了自己的QQ账号密码,然后....就没有然后了...你的账号密码就被回传到服务器,下一秒你的账号可能就会被改密了...
那么讲了这么多,他们是怎么做到的,这背后的原理是什么呢?你扫描过二维码后发生了什么呢?别着急,咱们继续往下看。
0x01:二维码解析
我们用二维码在线扫描工具,得到了扫描这个二维码(以第一个为例子分析)后会跳转到的网站:
二维码解析结果
可以得到它指向了一个网站:
然而..直接ping它你会发现找不到这个服务器。
PING的结果
不过别担心,总有办法,我们用nslookup查询得知服务器的IP地址为:14.215.158.24
nslookup查询结果
那么转了一圈,我们终于发现....这个二维码并没有任何问题.....(至少这个例子没有...)
这个二维码指向的IP就是腾讯自己的一个IP...
那么,问题到底出在哪里呢?
0x02:网络恶意营销搞的鬼!
来介绍一种大多数人可能从来没有听到过的东西:QQ裂变
百度中搜索相关词条后显示的连接
这是一种基于XML(可扩展标记语言)的营销引流方式
整个流程就是通过附加在分享链接后面的一段代码来实现后台自动分享的功能,由于涉及技术敏感,防止被利用去做些不好的事情(其实我也不会23333),这里我就不贴完整的实现过程了,以下是一个简单的原理图:
XML
执行内容就是群发消息的代码了
这里再引用一段关于微信裂变的说明:
他们的工作方式:
微信裂变
原理并不复杂
持码者手中的二维码,对应其服务器地址,在远程开了多个实时刷新的微信登录界面;你一旦扫了,服务器将返回你微信登录的 token,你一点击信任 / 登录,对方就成了。简单说,就是他们登了你的微信。目前来看这些裂变软件仅仅是群发事先编辑好的广告,未来他们会演变成怎样——例如获取你最新的聊天记录、发送诈骗信息——就不得而知了。比起费尽心思的盗号,这种方式不需要持码人具备任何计算机知识,线下进攻、爆炸式传播,危害更大。
看到这里,大家肯定已经知道他们是如何做到群发消息的了,正常的二维码+XML实现你毫不知情下的转发,那么,盗号又是如何实现的呢?
由于第一个案例不具有盗号功能...我们换一个分析
前一段时间爆发的恶意二维码
这个就是我上面提到的官方确实有这么一个活动的情况下替换掉原先的二维码来引诱扫描的(你可真是个小机灵鬼..)
扫码结果(不要试图访问这个网站,也不知道还具不具备原先的功能了)
具体的域名解析,代码解析就不放了,大家肯定也看烦了,直接说实现原理:
也很简单,传播功能的实现还是用之前讲到过的QQ分裂技术实现的,只不过这次绑定的原网址不再是正常的广告了,而是黑客编写的仿真QQ登陆页面!
网上提供的高仿网页代码
看起来完全没毛病,再加上是从QQ中扫描二维码进去的,更具有迷惑性。
编写的电脑端登陆界面,手机网页端同理,网图
但是在这里你输入了正确的密码也是登录不上的,你输入的内容会直接回传到盗号者的邮箱中,过程简化如下:
盗号流程
虽然这样的网站在被举报后会直接被腾讯安全拦截,但是防不胜防,挂了一个又出来一个,着实吓人。
后记:
盗号的人确实很可恶了,但是我们也不是没有办法对吧,本来那些奇怪的二维码就不应该轻易的扫吧.....我们是不是也要反思下呢?下面教几个辨别假(误)二维码的方法:
看起来能轻易获得很好的东西的二维码不要扫 如果非要扫,用这个:(一个在线扫码工具)看扫描结果的网址是不是腾讯的官方域名(*)不是的话肯定是盗号的,是的话也要小心分裂营销