QQ号是怎么被盗的(QQ号被盗的原因)
疫情的原因宅在家不出门,正聊天的时候看见学弟往群里发送了一则小广告。
过了几分钟,学弟好像终于把控制权夺回来了,在QQ空间里发布了道歉的说说。
可怜的学弟
没错,这已经是一个星期内他的QQ第二次被盗了,并且他丝毫没有头绪。要是只往群里发送些小广告还好,如果要是被盗后给女神发些不该发的东西,那岂不是要疯狂掉印象分?!
严重的后果
为了防止再次被盗,学弟可怜巴巴的向我求助。知其然必要知其所以然,今天我们就来扒一扒,你的QQ是如何被盗走的,相信大家看完后都会学习到如何保护好自己的QQ,远离小广告。
看似神秘实则很low的手段
如果有人在你的QQ空间中这样留言,你会不会点击链接呢?
诱导性链接
这样的链接或者恶意二维码可能通过各种手段来到你的面前,比如邮件、群聊、论坛留言,其往往伴随有诱导性的语言,让你想一探究竟。
而你点击后是这样的:
伪装成QQ空间的恶意页面
乍一看是QQ空间的登录页面,而实际上,它却是来自于恶意网站的一个页面,只不过,它的样式和真正的QQ空间登录页面完全一样。
下拉后看到真实访问的域名(非真实钓鱼页面,仅演示)
仗着在QQ和微信中浏览网页时无法看到网站具体的链接,让真实性大大增加了。其实只要你输入了账号和密码,就会被它记录下来,然后跳转到真正的QQ空间登录页面,你的QQ账号也就离家出走了。
可能你觉得,这么初级的攻击手段会有人信吗?真的!虽然已经2020年了,可还是有不少人傻乎乎的将QQ密码输进去。这就是钓鱼攻击,鱼饵撒好,愿者上钩,不求命中率高,钓的多了,总会有人中招。
其实也有几分防不胜防
有些朋友可能会疑惑,我根本没有向奇怪的页面输入过QQ账号密码啊,为什么依然被盗了呢?这里就不提到另外一种手段:撞库攻击。
相信有不少人安全意识很强,设置过好几个密码。然而,就像笔者这样的专业信息安全从业者,也难以做到注册每个网站时都使用不同的密码,完全记不住啊亲!
这就会出现多个网站使用同一个密码的情况:比如,你的QQ密码、微信密码、支付宝登录密码、某论坛的登录密码是一样的。那么这四者中,某论坛的安全性是较差的,可能被人恶意攻击,然后拿到了它的所有数据,这时你的登录密码就被泄露了。
接着,攻击者会拿着你已经泄露的手机号、密码去尝试登录QQ、微信、微博等常用平台,有能登录成功的,也有无法登录的,这就是所谓的撞库攻击了。这也就是为什么有时候你什么也没做,QQ就莫名其妙被盗的原因。
本来,我们的密码是不允许直接储存在网站的,而是储存一个对应的加salt的哈希值作为替代。当登录时,网站会通过这个哈希值来判断我们输入的密码是否正确。这也就意味着,即使网站所有的数据泄露,攻击者依然拿不到我们的真实密码。
可惜的是,以笔者的信息安全从业经验来看,现在还是有小半的网站明文储存密码,或者不加salt(导致哈希值可被彩虹表破解),那么在把重要的密码交给这些网站的时候,你的信息安全也就由不得你掌控了,可谓防不胜防。
我们应该怎么办
摸清了这些惯用的盗号套路,我们也就能对症下药了。
首先,不要随便点击奇怪的链接或随便扫描二维码,尤其是涉及到登录的时候,一定要看清访问的链接是不是对应的网站。QQ和微信可以通过轻轻下拉页面看到访问链接的真正域名。
只需点住页面轻轻下拉即可
像上图中明明要登录QQ空间,却显示了一个没见过的网站的域名时,你大概率就遇见了钓鱼攻击。及时悬崖勒马,放心不会有损失的。
其次,设置密码时,建议QQ密码、微信密码、支付宝密码等涉及到钱财、社交关系的密码单独设置,与其他网站的密码严格区分。因为这些产品本身的安全性是有保障的,除上面提到的钓鱼和撞库攻击外,密码几乎不可能被盗取。
最后就是在QQ中点击你的头像->左下角设置->账号安全,然后打开登录保护和安全登录检查两项设置。此两者能够有效保证即使在QQ密码泄露的情况下,盗号者也难以登录你的QQ。
从此,妈妈也在不用担心你的QQ!
我是楼上楼下快结婚吧,一个信息安全领域从业者。关注我,带你走进中国红客的世界。