QQ克隆盗号原理及防范(91ri原创)

最近新出一种名为QQ好友克隆盗号的方式,黑客只需通过克隆即可申诉的方式获得被盗者的QQ完全控制权限,现在我们来解析一下被盗的过程及防范方法。

因为克隆被盗Q的方式我朋友曾经历过,并且我也参与帮忙找回QQ号的过程,所以就以故事的方式重现也为方便读者。

1.1 事件起因:某日,朋友告诉我QQ号被盗了,我的第一反应就是木马病毒搞的好事。但后来经过我一个下午对她电脑的杀毒及木马检测等均表示没有异常,于是把普通盗号木马作案的可能性排除了,但是我想到了免杀马,还在纠结怎么可以找到这个马的时候,盗号者找上门了。

1.2 惊现黑客:问了被盗的朋友才发现这个所谓的“黑客”竟是我朋友的之前班上的同学,而且令人惊讶的是,他不止把我朋友号盗了,还将她的最近联系人一次性秒杀了,我顿时就一个想法:卧槽 这家伙是传说中的盗号集团成员么。

但是后来经过与他的对话感觉这人其实没多少本事,理由是他说话的语气给我一种自以为是的感觉,而且各种拽,似乎自己都快成神了。等最后的时候 我手一贱 翻了一下他的QQ空间 发现他曾在今年1月份电脑遭遇木马光临 并且他在空间对木马各种唾骂 。这时我就认定这孩子纯2B,自己号都会被人盗的,免杀他应该不会做。

于是我没理他了 继续按照排除法对这次被盗事件进行分析,我问我朋友是否接过什么文件 或者上过什么网站 又或者装过什么软件等 。到最后问的口干舌燥了,答案就是 她只聊QQ 看看电影没上过什么网站接什么文件的。

我顿时就傻逼了,啥事都没做过,那个小黑客又没啥真本事,却不仅盗了他的号还把他最近联系列表里的朋友一次性都盗了,到底咋回事呢?

1.3 寻找答案:我用了一个中午上网查近期比较牛B的盗号马分析案例,找了很久也没有找到,就找到了一个利用钓鱼方式盗取密保木马,于是以案例中的电脑中马会出现的样子询问我朋友,但我朋友也表示没有遇到。现在基本排除的木马攻击的可能。

咋办呢 于是我想到了万能的微博。

分别在腾讯和新浪发了我遇到的问题。

1.4 曙光初现:在发微博的一个小时内得到了非常多的答案 比如:QQ木马、手里有腾讯QQ用户数据库权限、空间钓鱼、密保钓鱼、社会工程学等。但在后来都一一排除了。

最后新浪的一位朋友提醒QQ有会员克隆功能,会不会是克隆好友的方式然后来申诉的呢?

突然我反应过来,QQ的申诉机制一直被许多人唾弃,虽然是众多密码找回系统中较好的一种但依然有很多缺陷,原因就是:只要是人为设计的东西一定有缺陷。“QQ好友克隆申诉”!越想越想那么回事。

1.5 深入敌后:

我想我自己怎么猜都没用 只有真正去找盗号者才可以获得答案。为了避免引起他的疑心我通过搜素引擎获得了一些他的资料并整理后通过邮箱联系他。

因为知道他QQ曾被盗过(上文有提及)于是联系了一个手里信封很多的朋友 查了一下 还真查到了他的历史密码,于是想直接利用这个密码钓他的胃口。

经过一番忽悠 他上钩了 愿意来交换资料,但是这小子还是要求我先给拿到他密码的方法,我就怕一会给他方法直接给加黑了,正在纠结的时候朋友那么传来捷报。利用美人计诱惑成功,成功让那个小黑客交出方法了。(-.-还是妹子的诱惑比较管用) 果然是利用QQ好友克隆的方法,跟预想的一样。

2.1 “神技”现身:但又是什么让腾讯的申诉系统出现这么带弱智漏洞呢,研究了一下。

大家打开大图看,我圈红框的地方:

申诉将在4小时内处理完毕,建议您最好能邀请3个或更多的好友辅助您进行申诉。

申诉4小时内处理完毕是个什么概念?假如是人工,4个小时,除了排队等待申诉以外的时间,真正到手上进行审核的时间有多少?有时可能申诉人多到4个小时都查不完何况有那么多的信息需要审核,人也有三急也要吃喝,去掉这些4个小时内帮你申诉一个号的可能几乎为0.但是腾讯做到了,理由呢?申诉是使用系统,而不是人工!

我们大家都知道只要是人设计的东西总是会有出现问题的 可是这次出现的问题太弱智了。个人认为腾讯的审核系统就像个判断机制,你提交信息后 系统会将你提交的东西与内部数据进行判断,每符合一项就加分,一项一项加下来,若最后分数达到系统指定的分比如60分,那么系统判断你申诉成功,若达不到则判断申诉失败。出现现在这种多好友申诉即可通过的漏洞,说明在腾讯申诉中,好友辅助申诉这块分数占的较大,甚至夸张的可以说多好友占到了几乎一半以上的分数。所以只需要通过几个好友的克隆即可拿到目标QQ权限。

2.2 防范方法:

个人防范:

1.尽量拒绝加陌生人为好友

2.将本文或文章中介绍的方法告诉给你的朋友们,因为有一个道理叫:唇亡齿寒。假如他们的号被盗了,黑客一样有办法通过你朋友的QQ克隆你的号,你的号一样会被盗。所以也得防范好这个。

3.少惹人,这种好友克隆方法较为简单,但危害性较大,假如你以前的仇人用这个方法黑了你的QQ,那你真的就是一个苦逼了!

此漏洞修复方法:

1.被克隆必须发送系统消息通知QQ号主人(现在被克隆只是弹个框而已),且克隆必须通过QQ号主人的同意,否则无法被克隆。

2.降低好友辅助申诉在申诉中的“权重”

——————————————YD分割线——————————————————

91ri.org点评:小编经过了解其实这个方法在某些QQ社区已经流传开了,而且有那么一段时间了,现在也有出现大规模被盗Q的趋势,但是QQ安全中心却没有做出任何反应,却每天都在跟某些一样蛋疼的安全软件厂商各自口水各种争漏洞补丁国内首发。无奈。我表示对他们的响应机制感到蛋疼。

本文分析纯属个人按照之前的研究加以推测 不一定安全正确 有什么不对的欢迎各位拍砖!

小编通过微博得知 由于此方法出现,现已有预兆出现大规模盗号倾向,这种盗号方法看似简单弱智却威力巨大,希望各位朋友严加防范,同时感谢之前参与讨论的朋友,特别感谢新浪微博的@watson–三 朋友。

91ri.org补充:我在这里回答下部分朋友提出的问题:“QQ会员克隆好友.是要被克隆的密码的.没密码照样克隆不成” 这就是我文章上提及的不要随便加他人为好友。最近的案件都是由熟人作案引起的。虽然克隆时有要求加被克隆的QQ密码,但是假如我是盗号者 我想盗你号 只需要用小号加你QQ(任意理由 只要通过就行),成为你的好友,我就可以通过克隆小号的好友列表得到无数个有你好友的QQ。再进行申诉即可盗取QQ!具体防范方法参见上文。

本站官方微博:

腾讯:

站长:http://t.qq.com/vim0x0n

官方:http://t.qq.com/www_91ri_org

新浪:

站长:http://weibo.com/vim0x0n

官方:http://weibo.com/u/2882426600

欢迎大家关注,以便以最快速度获得业界最新的安全资讯。

本文由网络安全攻防研究室(www.91ri.org)黑客新闻小组原创,转载请注明出处,感谢!