久未聯系的qq好友突然發來消息，或是賬号被不法分子捏在手中。QQ賬号被盜問題出在哪個環節？背後有哪些黑産鍊條？一文了解。

整理/新媒體編輯 段大衛

“快去看看你的QQ号，你号被盜了！” 一覺醒來，發現自己的QQ給爸媽、同學甚至是暗戀對象發了一堆圖，以至于被舉報、被封，被人挂上QQ空間，這樣的社死現場，可能是6月26日晚間很多人正在經曆的絕望。

（圖片來源：新浪微博截圖）

更嚴重的是，還要在一身清白的情況下，手持身份證拍照，寫下一份檢讨書，告訴騰訊：“充分認識并承認我利用QQ實施了違法行為。”

眼看輿論愈演愈烈，QQ終于坐不住了，在6月27日中午發表了一則緻歉聲明。

（圖片來源：新浪微博截圖）

但可謂“一波未平一波又起”，在第二天的6月28日，有消息稱，QQ出現bug，不管原密碼是什麼，輸入密碼“123456789”就能登錄。随後關于“QQ密碼”的問題再次登上熱搜榜。

（圖片來源：新浪微博截圖）

QQ短期内頻繁出現問題，影響個人相關權益。賬号被盜的問題出現在哪個環節？盜号背後有哪些黑産鍊條？我們應該如何防範？

問題出在哪個環節？

據社交平台中被盜号用戶的描述，在其賬号被盜的過程中，盜号者曾多次向賬号中的群聊和好友發送不良信息，包括不雅圖片、不雅小視頻、僞裝成聊天記錄的外部廣告鍊接等多種形式。

(圖片來源：視覺中國)

那麼，用戶的登錄信息究竟是如何被洩露的？這或許要從QQ提供的第三方接入相關協議說起。

在騰訊官方開設的開放平台“QQ互聯”中，提到了第三方的網站在接入QQ登錄前，需申請獲得對應參數，以通過“OAuth2.0”協議的認證。

▲“QQ互聯”官網中對于OAuth2.0協議的說明

文中提到的“OAuth2.0”協議，其全稱為“Open Authorization2.0”，是目前互聯互通場景下，最常用的第三方授權協議之一。據悉，QQ所采用的OAuth2.0協議，允許用戶授權第三方網站訪問他們存儲在另外的服務提供者上的信息，而不需要将用戶名和密碼提供給第三方網站或分享他們數據的所有内容。

據了解，黑客很有可能是在OAuth2.0協議的認證過程中，通過假扮合法服務的方式，在用戶和通訊目标之間進行信息劫持，從而遠程登錄用戶的QQ賬号，在用戶本人不知情的情況下對外發送信息。從目前的公開信息來看，大概率是黑客在用戶和第三方網站交互的過程中盜取了“臨時訪問令牌”(Access Token)，用戶的賬号和密碼并未直接洩露。

而針對本次事件，騰訊QQ在其官方微博中表示：“6月26日晚上10點左右，我們收到部分用戶反饋QQ号碼被盜。QQ安全團隊高度重視并立即展開調查，發現主要原因系用戶掃描過不法分子僞造的遊戲登錄二維碼并授權登錄，該登錄行為被黑産團夥劫持并記錄，随後被不法分子利用發送不良圖片廣告。”

騰訊方進一步指出，确認原因後，騰訊已組織安全技術力量，目前受影響範圍已得到控制，受此事件影響的用戶帳号也陸續恢複正常使用。

盜号背後有哪些黑産鍊條？

這并非國内社交媒體平台用戶賬号被盜首次獲得廣泛關注的案件。

2014年，網絡上就曾出現過一款利用某新聞事件相關報道、圖片壓縮包僞裝盜号木馬，通過QQ和論壇等渠道傳播的惡性盜号案件，僅殺毒軟件有記錄的攔截次數就超過2萬次。2015年，揚州開發區法院公開宣判了一起非法獲取計算機信息系統數據罪案件，本案所涉六名被告非法盜取16萬餘組QQ賬号及密碼，獲利人民币157萬餘元。

(圖片來源：視覺中國)

除國内平台外，很多國外大型社交媒體用戶也曾被盜号問題所困擾。

2020年7月，推特遭到大規模黑客入侵，多位名人政要和官方賬号受到波及。包括美國現任總統拜登、前總統奧巴馬、特斯拉CEO馬斯克、蘋果官方在内的一大批賬号全部被盜。且被入侵的名人賬号都發布了一條内容類似的推文：給出一個詐騙鍊接，要求通過比特币捐款，自己将雙倍返還捐款金額。

入侵大規模擴散後，推特官方回應稱，已經獲悉該平台出現安全事故，正在進行調查并逐步修複。

“盜号問題背後，其實是一條完整的黑産産業鍊。”數美科技黑産研究專家道然在接受媒體采訪時表示，具體可劃分為脫庫、洗庫和撞庫三個階段：

所謂脫庫可以劃分為技術和社工手段兩類，技術手段是指黑産不法分子直接入侵目标服務器、數據庫獲取賬号密碼等信息；社工手段即社會工程，主要是通過釣魚郵件等方式從用戶處獲取其相關信息。

洗庫階段則是不法分子根據信息類型進行分類，例如将賬号劃分為金融賬号、遊戲賬号等等，在此階段黑産團夥會建立社工庫，即将盜取的各類信息按照用戶進行歸納，其需要某個人的信息即可在庫中調取。此外，其還會計算密碼表，即根據用戶的某一應用賬戶密碼和生日、地址等個人信息推算其他應用賬戶可能使用的密碼。

在撞庫階段，黑産團夥則會拿着相關個人信息和可能的密碼嘗試破解用戶各類應用賬号，例如社交賬号、金融賬戶等等，破解賬号後，其可以試圖将其中便于變現的數據資産例如金融賬戶餘額等直接轉出，也可以結合其他個人信息進行電信詐騙等不法活動，也可能像本次QQ被盜事件一樣用于散播不良内容。

“通過這樣一條産業鍊，盜号問題不僅僅關乎單個賬号的得失，其背後是用戶很大一部分網絡信息可能被黑産所利用的風險。”道然說。

騰訊QQ還稱，賬号被盜主要原因是“用戶掃描過不法分子僞造的遊戲登錄二維碼”，并提醒用戶不要掃描來曆不明的二維碼。

微信為何更安全？

（圖片來源：視覺中國）

1.QQ和微信相比，QQ的曆史更長，在設計之初并不安全

QQ最早在1999年就已經投入市場，在00年代作為使用最廣泛的即時通訊軟件存在，但在當時，互聯網在安全保護方面的相關政策和技術都還很不成熟，甚至如果注冊一個qq号，隻需要為qq号設置一個密碼就可以，完全不需要綁定手機号或者是實名認證等一系列的安全操作，在當時，密保問題還作為保護密碼使用最廣泛的方式之一，并且有在當時有很多用戶是第一次接觸互聯網，在網絡安全方面的意識是比較低的，所以很多人的密碼設置非常簡單，容易被破解或者試出來，因此QQ号本身并不具備身份的唯一性和較高的安全性，QQ在設計之初的安全性低，這是QQ當初不安全的基礎因素，相信很多QQ的老用戶都經曆過當初那個QQ号極易被盜的時代。

2.誕生于中國互聯網早期，互聯網安全保護方法不成熟

在QQ如日中天的00年代，中國互聯網尚且處于起步階段，在當時的大部分網站是很不規範的，很多小網站不注重保護用戶的隐私，會在後台把用戶的賬号和密碼保存下來并彙總成數據庫，然後再賣給想要收購這些數據的買家，而在當時，很多用戶注冊過唯一的社交賬号可能是QQ，因此很多用戶會把自己的QQ号和QQ密碼作為在這些網站上的賬号和密碼使用，這就導緻安全隐患的留下，很多盜号者可以開發一個逐一嘗試賬号密碼是否對應的軟件來進行批量操作，最後總能盜到一些在小網站上以QQ賬号和密碼作為注冊賬号和密碼的用戶的QQ。并且很多這種網站要求用戶輸入郵箱，很多用戶會輸入QQ郵箱，而盜号者就能根據用戶這個賬号的密碼和郵箱所索引的QQ号去嘗試盜号。這是中國互聯網早期安全措施不成熟所導緻的盜号風險。

3.QQ号作為大部分玩家登錄各平台遊戲或者社交軟件的賬号，容易上當被騙走賬号

過去很多遊戲和網頁都提供QQ登錄這個選項，而很多用戶圖方便會直接使用QQ登錄，并且在玩遊戲和使用網頁的過程中，很多騙子以代練，代刷遊戲币或者交易賬号等借口，使用戶把賬号和密碼交付給騙子，這也是早期QQ被盜的一個關鍵風險。

4.微信所出現的移動互聯網時代，網絡安全措施已經相對更加成熟

微信在設計之初，比QQ更加安全，登錄微信需要手機驗證碼驗證或者朋友輔助驗證以及其他安全措施，相比QQ在先天上就有了安全的優勢。并且微信時代互聯網實名制逐漸得到推廣，每個人都需要綁定手機号才能使用微信，驗證碼的不斷更新也使盜号者盜号的難度急劇增加。并且微信的使用環境相較于QQ也更加純淨，大量使用掃碼登錄也降低了第三方登錄所造成的風險。

如何防範賬号風險？

1.設置比較複雜的密碼

許多人由于怕麻煩經常把密碼設置的很簡單，而且不少賬号都用了同樣的密碼，這樣的話非常容易被破解，導緻不少關聯的賬号都被盜取，盡量把密碼設置的複雜會避免一部分盜号風險。

2.不要輕易點開陌生鍊接

早年間qq盜号是發一段陌生鍊接到群裡，如果你點了那麼就有可能被盜号，後來人們防範意識上升後，又有了新的盜号方法，比如這次qq大規模盜号就是通過圖片，誘導别人掃碼，導緻授權了不法程序自己的個人信息。

3.提高防範意識

不管是什麼信息，都不要随便點開，也不要和陌生人透露自己的賬号密碼等信息。

4.企業應織好安全“保護網”

類似此事件中，QQ大批賬号被盜企業不該止于“道歉”，企業應解決好賬号被盜的問題，織密數據安全防護網。法律層面也應為信息保護安上法律“安全鎖”，并對侵害信息安全的行為嚴肅懲處，形成警示。在事後追查和追責階段，我們也期待這些盜取賬号進行非法傳播活動的黑産者早日落網。

（内容來源：21世紀經濟報道、IT之家、QQ互聯、e起學技術、人民網等）

出品：科普中央廚房

監制：北京科技報 | 北科傳媒

歡迎分享到朋友圈

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!