今日,“QQ回應大批賬號被盜”登上微博熱搜,針對部分QQ用戶賬號被盜一事,騰訊QQ官方回應稱,主要原因系用戶掃描過不法分子偽造的遊戲登錄二維碼並授權登錄,該登錄行為被黑產團伙劫持並記錄,隨後被不法分子利用發送不良圖片廣告。受此事件影響的用戶賬號陸續恢復正常使用。
QQ提醒廣大用戶,不要掃描來源不明的二維碼。在非常用環境下登錄時要提高安全警惕,防範賬號被盜風險。
據第一財經記者獨家了解,此次大批QQ用戶遭遇賬號被盜,主要是因在多家網吧登錄Tecent WeGame時,被提醒需用QQ賬號掃描二維碼登錄,首次掃描不成功后,再次掃描被黑產團隊截取用戶信息,在不獲取用戶賬號與密碼的情況下,進入QQ賬號內,傳播垃圾信息,為這些黑產產品引流。
一位微博ID為阿木木的用戶分享了在網吧登錄裝有盜號木馬插件的Tecent WeGame時,掃碼瞬間即登錄,“登錄遊戲需要等十秒驗證,這個盜號狗說登錄就登錄了?希望更多人知道網吧這種盜號插件。”一位ID為blackorbird的用戶表示,“我認識被盜QQ號的都是去網吧掃過WeGame登錄碼,通過WeGame接口是可以發信息給好友的。”
多年未用賬號突然“詐屍”
一位QQ用戶對記者表示,自己已經很多年沒用QQ了,近日突然被朋友提醒,稱其賬號在QQ上向朋友發送色情網址鏈接,該用戶緊急上線重置密碼找回賬號。另一位QQ用戶提供給記者的QQ聊天截圖顯示,其朋友在2021年被多次盜號,經歷盜號、找回、再被盜的過程。每次被盜號后都會給該用戶發來抽獎遊戲與博彩方面的截圖。
今年5月,QQ賬號集體被盜的情況也曾發生,網友反饋盜號者會向其好友和QQ群發送低俗廣告,雖然廣告圖片各不相同,但指向的網址都是同一個。操作手法與最終目的與此次QQ賬號被盜事件雷同。
頂象業務安全專家對第一財經記者表示,QQ方面表示後續會公布調查報告,從目前資料來看,大規模用戶被盜號主要原因在於QQ有開放生態,其賬號可以作為其他平台/網站的授權賬號,或者直接註冊為其他平台/網站賬號。
在此背景下,詐騙分子製作了一個虛假的QQ授權登錄二維碼——即篡改的該遊戲二維碼,放在某遊戲的登錄註冊界面。用戶掃碼后,將用戶登錄后token(身份登錄憑證;計算機身份認證中是臨時令牌)保存下來。詐騙分子將保存的用戶token進行賬號登錄,然後黑產分子就可以發布各類詐騙信息、釣魚信息等。
奇安信集團威脅情報中心負責人汪列軍對第一財經記者表示,根據騰訊官方的公告描述,黑產團伙很可能利用了安全缺陷,在不安全的機器上植入了事先構造好的虛假登錄二維碼誘騙用戶掃描,從而收集賬號密碼。這種攻擊方式與若干年前流行的盜號木馬如出一轍,只要惡意工具可以大範圍傳播,便可以批量盜竊大量用戶的賬號。
黑產經濟鏈條根治難度極大
針對黑灰產方面的攻擊,QQ方面實際一直進行治理與防護。2022年一季度QQ平台治理公告顯示,一季度QQ安全團隊打擊欺詐、賭博、色情等違規賬號500餘萬,同時重點開展網絡水軍處置、“薦股”欺詐專項治理,持續清理“飯圈”亂象。
但此次仍發生大規模用戶賬號被盜事件,在頂象業務安全專家看來,原因可能是由於某遊戲網站或平台的賬號密碼被黑灰產竊取,也就是俗話說的“脫庫”,裡面包含QQ用戶授權登錄的token,黑灰產拿着獲取到的賬戶信息,直接登錄用戶賬號,發布各類欺詐信息。
持續投入網絡安全與黑灰產打擊,為什麼還是發生用戶賬號被盜事件?在安全從業者田際雲看來,相對來說,QQ安全做得還不錯,畢竟是擁有幾十億用戶的平台,如果安全性沒有良好保障,不僅將造成重大問題,用戶也不會買賬。
但在數字時代,田際雲稱,個人賬號的登錄與使用場景繁雜,或許QQ內部和已知接口方面做得很好,但數以百萬、千萬級的應用調用和複雜變化的場景,這其中存在大量安全隱患,畢竟對其無法像內部或常用接口防護要求那麼正規。
舉個例子,田際雲稱,阿里安全做得也很好,但依舊不斷有人接到詐騙電話,比如某消費者在電商平台買完東西,第二天就收到商家詐騙電話,對方稱商品被扣海關或需要退貨等,但這些信息並不是從阿里內部泄露的,可能是三方平台——比如快遞、CRM等同步了用戶訂單與賬戶信息的平台或接口泄露出去的。“阿里、騰訊這類超大型數字平台的網絡安全措施比中小公司做得好很多,但安全是相對的,沒有絕對的。”田際雲對記者表示。
在攻擊者層面,汪列軍表示,有關個人賬號的盜竊、販賣、濫用已經形成了完成的黑產經濟鏈條,徹底根治的難度極大。同時,隨着黑灰產團伙的迅速發展,黑客工具變得越來越廉價和易用,即便小白用戶也可通過購買完整的黑客工具和服務,發起高質量的網絡攻擊,讓人防不勝防。
在個人用戶層面,汪列軍提醒:由於個人安全意識的缺失,導致黑灰產團伙擁有大量可乘之機——例如密碼設置過於簡單、對於潛在的威脅(如虛假二維碼、釣魚網站、釣魚郵件等)認知不足,導致個人賬戶極易被竊取。同時為便於記憶,用戶經常在多個平台設置同一套密碼,一旦一個平台賬戶被竊,很容易導致多個賬戶出事。尤其是涉及電商、遊戲等平台賬戶,由於旗下往往擁有大量虛擬財產或者綁定支付賬戶,容易成為黑灰產竊取的主要對象。
在平台運營者層面,儘管隨着《網絡安全法》、《數據安全法》等法律法規的出台,網絡安全保護力度大大增強,但由於歷史原因,很多平台依然存在着安全盲區或缺陷,容易遭到黑灰產團伙的利用,導致用戶賬戶失竊。另外值得注意的是,某些平台還可能存在“內鬼”,即內部員工利用特殊權限,竊取公司用戶賬戶,用於牟取利益。
汪列軍表示,企業多次發生用戶賬號被盜事件,首當其衝的當屬弱口令缺陷,如某些辦公系統(如OA)和數據庫的管理員賬戶或者員工域賬號使用弱口令遭到黑客利用,導致數據庫被拖庫的事件已屢見不鮮;其次是缺乏相應的安全防護手段。網絡安全建設是一個體系化工程,存在木桶效應,任何一塊短板都可能導致整個系統的失陷;第三是員工安全意識參差不齊。
因此站在企業層面,汪列軍建議,應當用體系化、工程化的思想,實現網絡安全與信息化的深度融合與全面覆蓋,部署相應的安全設備,同時制定賬戶安全規則,定期修改登錄密碼。同時企業應當定期開展網絡安全教育與實戰攻防演習,提升員工整體安全意識基線。一旦發現弱口令、漏洞等安全隱患應及時解決,杜絕其成為歷史遺留。
作為個人用戶應當擦亮眼睛,不要輕易在來路不明的渠道輸入賬號、密碼等敏感個人信息,如有必要應當在個人電腦或者手機上安裝安全軟件。