QQ被盗之后的反思
起因
今天下午三点左右,小说正看的起劲,手机突然弹出一条提示信息,内容如下:
您的QQ密码已修改,请重新登录。如非本人操作,请前往http:110.qq.com冻结账号并修改密码。
可笑的是当时我只是嘴角一歪,微微一笑,浑不在意。
很快我就借助手机号修改了密码,但重新登录后不到十秒钟,相同的提示信息再次蹦出在我面前。
大战了三回合之后,我放弃了这种无谓的抵抗。
原因大概有下列几点:
- 和它拼修改密码肯定是拼不过的,很可能对方只是个脚本程序。
- 修改的密码不能和之前的密码相重复,即使用随机密码偶然斗过了他,到时候还要自己去找回密码。
周旋
也就是在休战的这短短一会儿,微信有多名好友向我发来验证信息。
我明白,对方开始真正动手了。
为了不让自己社会性死亡,又不能通过修改密码这一方式破局,那就只好同归于尽了。
我赶紧打了客服电话将自己的qq号码冻结。
通过短时间的冷静,我想对方能够用这种方式攻击我,应当是满足了某种初始条件。
十余分钟后,我猜想这种初始条件应该不满足了,就开始着手解封QQ,这个过程非常简单。
- 首先是登录QQ安全中心,选择账号解封,然后填入一些必要的用户信息。
- 选择两三个辅助好友,填写他们的相关信息。(
理论上填写的好友电话满足格式要求即可) - 填写的用户信息大概率会被视为证据不足,此时再补充个本人联系邮箱一般就会放你通行。
- 辅助好友接下来会收到一封qq邮箱发来的邮件,点击链接输入号码验证即可。
如果系统认为你满足解封要求了,就会给你发来一封短信,点击短信链接修改密码就可以正常登录了。
持疑QQ解封流程
- 辅助好友的信息之间(姓名、qq号、电话号码)是否具有严格的绑定关系?
因为对于系统来说,电话号码是为了让你使用电话告知对方回执编号,那么只要能联系的上他,电话与qq之间是否绑定应当可以没有关系。 - 好友是否成功验证,哪个好友成功验证,是否符合解封要求等,这些反馈信息反馈不到位。
没有这些反馈信息的支持,很容易让用户抓瞎,造成诸如不清楚自己是否验证成功了?又或者某个好友还没进行验证等等。
所以整个流程是存在很大纰漏的,成功了还好,如果解封失败了,就会因为缺少必要的日志信息或异常信息而始终使问题得不到解决。
当然,以上这段话应该说给腾讯客服听,这里只是简单吐槽几句罢了。
复盘
在确认QQ被攻击后,我就大致记起了一件往事,一件关乎这次信息泄漏的往事。
只是没想到,一个月前收集的信息直到现在才来对付我。
下面是那段泄漏敏感信息的聊天记录:
在此之前好像还填了他一份调查问卷,上面甚至填写了我的QQ密码(因为是调查问卷所以没太在意,因为在学校时填写的实在是太多了!),他随便做点手脚拿到这份密码难度不大。
从图片明显可以看出,首先我的电话号码肯定是泄露了,至于电话号码的作用待会再说。然后是一份语音信息,这个很容易得知是为了在骗钱时被他人怀疑时自证清白所用。
至此初始条件全部浮出水面:
- 我的QQ账号和QQ密码
- 我的姓名等基本信息
- 我的电话号码
- 我的一份本人语音
姓名和语音这种东西当然是为了骗钱时证明身份用的,前者是基础,后者是辅助。于技术而言这里不再赘述。
攻击原理猜想
- 首先是利用QQ账号和QQ密码登录并修改我的QQ信息
- 接下来如果我修改密码必然需要借助手机号(因为当前的密码我无法知晓)
- 借助手机号说白了就是借助手机验证码,那么只要能够捕获到手机验证码,理论上他也能修改密码。
- 我不断借助手机验证码修改密码,它也会像蛔虫一样紧接着修改密码,人家是脚本,我是活生生的人,自然会先放弃缠斗。
- 在我停止骚扰他的这段时间他就可以用来“干正事”。
攻击流程大致应该是这样,最大的疑惑在于核心部分,他是如何借助手机号/手机验证码不断修改我的密码。
我的猜想有如下几种情况:
- 截获并转发我的手机验证码,让他在我修改密码后紧接着使用相同的验证码修改密码(验证码一码两用可能性不高)
- 截获我的手机验证码后,并不立刻转发,而是达到某种临界条件后要求手机再发送一条验证码,一条用于我修改密码,一条用于它修改密码。
- 直接使用我的电话号码发送验证码并捕获(可能性不高,不然手机验证码早就混不下去了)
解决方案
最好的方式应该是解绑电话号码与QQ号码之间的联系,并修改QQ密码。
但是一旦被先手修改密码,就可以说是进入了一个死胡同,死循环。
首先冻结QQ令对方程序停止运行,再去找回并修改密码才应该是一个可行的解决方案。
