近日,有大量用户通过社交平台反馈称,自己或朋友的QQ号出现被盗号的情况,收到多个朋友发来的不良图片!

打开网易新闻 查看精彩图片

被盗的QQ号会发送附着链接的淫秽图片消息,当受害者将所附链接用浏览器打开的时候,犯罪分子的电脑可能启动脚本进一步盗取受害者信息,如果不幸中招了,大家要谨慎处理。

打开网易新闻 查看精彩图片

随着越来越多的用户进行反馈,腾讯官方注意到了这次丢号非小概率事件,而是大规模的群体丢号,并在丢号的记录里查证到同一黑产的不雅内容,随即着手开展了缜密的技术调查与安全修复,并迅速作出了回应:

打开网易新闻 查看精彩图片

腾讯QQ官微发布声明称:QQ安全团队高度重视并立即展开调查,发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。

黑科技“二维码”如今已到被滥用的程度

二维码这个东西,我虽然没有证据证明它和QR code的关系,但是日本QR code发明出来之后,一直都没有得到大规模运用。

QQ的前身来自以色列的三个年轻人维斯格、瓦迪和高德芬格聚在一起上决定开发一种软件,二维码的前身是来自QR Code码,是由Denso公司于1994年9月研制的一种矩阵二维码符号,它具有一维条码及其它二维条码所具有的信息容量大、可靠性高、可表示汉字及图象多种文字信息、保密防伪性强等优点。

有趣的是,QQ和QR只在中国得到了梦幻般的发展,一个霸占了社交类软件的一个时代,一个促进了中国社会的全方面民生便利操作。

打开网易新闻 查看精彩图片

而微信更是集前三者的大成,进化成了现在人手必备的手机APP。

二维码的攻击手段

  • 攻击者打开QQ PC端,PC端提示一个扫描登录的二维码
  • 攻击者识别二维码将二维码转化为网址
  • 攻击者选定一个钓鱼用的网站,提示用户请使用QQ扫码登录,将第二步得到的网址重新转化为二维码展示在网站上。也可以使用伪造的QQ客户端。
  • 这意味着,被攻击用户扫描的二维码,其实是攻击者打开的QQ PC端上的二维码
  • 用户此时扫码后应该提示“您正在登录QQ PC客户端”,而并非用户打开的网站,但用户很可能直接忽略了相关的提示并进行了确认
  • 攻击者的QQ PC端现在登录了被攻击者的账号

(规避以上技术骗局的基础常识是务必仔细确认登录前的提示信息,看提示的登录类型和要登录的网站是否和提示的一致,这就类似于诈骗电话,只要你不接陌生来电,比其他任何办法都管用,遇到不明的二维码,不扫就是终极防御。

强迫扫码是把双刃剑

现在越来越多的日活操作需要用户举起手机去扫码,甚至是一种强迫性的,例如微信在电脑端也是不可以用密码登陆,强制扫码,如果忘记带了工作机,把工作机忘在了家里,那你就要返程去取了,对于北上广来回上下班需要几个小时的工作者来说,也挺无奈的。

言归正传

不知道为何,腾讯此次修复与回应,不但没有落好,反而收到的是QQ用户的不满与发泄。

在该微博下方,不少网友评论称自己QQ被盗,“背了好大一口锅”。

打开网易新闻 查看精彩图片

知乎上几乎清一色的再说腾讯将盗号风波甩锅给用户自己不小心,但实际用户不小心的确也是事实,但用户们也在用同样的方式“回敬”腾讯,那就是:“是你们腾讯非要强制二维码登陆的,所以各有责任。”

打开网易新闻 查看精彩图片

要让我说,先不说到底是官方安全技术的责任,还是用户自己‘有眼无珠’的失误,游戏使人麻木,是一定的,但也是因为用户已经非常相信了各大互联网企业,完全怪腾讯,不实际,完全怪用户不小心,也不实际,因为用户是出于对QQ的信任,而不是每次登陆还要拿着放大镜仔细参考。

某呼平台出现了一条“蓝帖”:

打开网易新闻 查看精彩图片

借由此事的发酵,开始有人刨腾讯的发家史。

丢号与没丢号的,都站在了一边,没丢号的也参与了进来……声讨?

为什么?

因为“网络安全”的协议书。

打开网易新闻 查看精彩图片

现在的普罗大众出于使用的刚需,和对平台的信任,或者是实在无暇去读那如论文一般长的用户使用协议,在下载APP和使用某些功能的时候,都会直接点“同意”或“已阅读”。

但实际上,我认为99%的普通人根本不看,因为没办法点“拒绝”,一旦拒绝,就无法使用。

用户角度:

被TX奉为至高安全方案的“手机验证”,被一个小小的“不法分子伪造的游戏登录二维码”就给破了,合着TX花了这么多力气去定位用户的手机号、手机、电脑。花了这么多力气绑定用户的指纹、脸部等生物信息,花了这么多力气收集了十几亿中国用户的详细信息,到最后连安全保障都没有,那所谓的“网络安全”到底是防火墙还是监视器?这是用户因此事件而心态爆炸的最根本原因。

毕竟根据用户协议,QQ号属于TX公司,用户使用不当其实是用户的责任,TX公司可以起诉用户,因此前天账户被别人“盗号”使用的各位,其实是蒙了TX的大恩才没有被起诉吃官司吗?正是因为这个的逻辑,才让TX用户感到不喜。

总结:

互联网、垄断级互联网企业出台的霸王条款,才是此次事件发酵剧烈的根源,原本是这个时代会经常出现的事件,但却能引起轩然大波,互联网,有时候真的让人敬畏!我说的这个敬畏不全是褒义词。

不论如何,请各位沉迷各种软件和游戏的低头族,能早日回归健康生活。