今日，“QQ回應(yīng)大批賬號(hào)被盜”登上微博熱搜，針對(duì)部分QQ用戶(hù)賬號(hào)被盜一事，騰訊QQ官方回應(yīng)稱(chēng)，主要原因系用戶(hù)掃描過(guò)不法分子偽造的游戲登錄二維碼并授權(quán)登錄，該登錄行為被黑產(chǎn)團(tuán)伙劫持并記錄，隨后被不法分子利用發(fā)送不良圖片廣告。受此事件影響的用戶(hù)賬號(hào)陸續(xù)恢復(fù)正常使用。

QQ提醒廣大用戶(hù)，不要掃描來(lái)源不明的二維碼。在非常用環(huán)境下登錄時(shí)要提高安全警惕，防范賬號(hào)被盜風(fēng)險(xiǎn)。

據(jù)第一財(cái)經(jīng)記者獨(dú)家了解，此次大批QQ用戶(hù)遭遇賬號(hào)被盜，主要是因在多家網(wǎng)吧登錄Tecent WeGame時(shí)，被提醒需用QQ賬號(hào)掃描二維碼登錄，首次掃描不成功后，再次掃描被黑產(chǎn)團(tuán)隊(duì)截取用戶(hù)信息，在不獲取用戶(hù)賬號(hào)與密碼的情況下，進(jìn)入QQ賬號(hào)內(nèi)，傳播垃圾信息，為這些黑產(chǎn)產(chǎn)品引流。

一位微博ID為阿木木的用戶(hù)分享了在網(wǎng)吧登錄裝有盜號(hào)木馬插件的Tecent WeGame時(shí)，掃碼瞬間即登錄，“登錄游戲需要等十秒驗(yàn)證，這個(gè)盜號(hào)狗說(shuō)登錄就登錄了?希望更多人知道網(wǎng)吧這種盜號(hào)插件。”一位ID為blackorbird的用戶(hù)表示，“我認(rèn)識(shí)被盜QQ號(hào)的都是去網(wǎng)吧掃過(guò)WeGame登錄碼，通過(guò)WeGame接口是可以發(fā)信息給好友的。”

多年未用賬號(hào)突然“詐尸”

一位QQ用戶(hù)對(duì)記者表示，自己已經(jīng)很多年沒(méi)用QQ了，近日突然被朋友提醒，稱(chēng)其賬號(hào)在QQ上向朋友發(fā)送色情網(wǎng)址鏈接，該用戶(hù)緊急上線重置密碼找回賬號(hào)。另一位QQ用戶(hù)提供給記者的QQ聊天截圖顯示，其朋友在2021年被多次盜號(hào)，經(jīng)歷盜號(hào)、找回、再被盜的過(guò)程。每次被盜號(hào)后都會(huì)給該用戶(hù)發(fā)來(lái)抽獎(jiǎng)游戲與博彩方面的截圖。

今年5月，QQ賬號(hào)集體被盜的情況也曾發(fā)生，網(wǎng)友反饋盜號(hào)者會(huì)向其好友和QQ群發(fā)送低俗廣告，雖然廣告圖片各不相同，但指向的網(wǎng)址都是同一個(gè)。操作手法與最終目的與此次QQ賬號(hào)被盜事件雷同。

頂象業(yè)務(wù)安全專(zhuān)家對(duì)第一財(cái)經(jīng)記者表示，QQ方面表示后續(xù)會(huì)公布調(diào)查報(bào)告，從目前資料來(lái)看，大規(guī)模用戶(hù)被盜號(hào)主要原因在于QQ有開(kāi)放生態(tài)，其賬號(hào)可以作為其他平臺(tái)/網(wǎng)站的授權(quán)賬號(hào)，或者直接注冊(cè)為其他平臺(tái)/網(wǎng)站賬號(hào)。

在此背景下，詐騙分子制作了一個(gè)虛假的QQ授權(quán)登錄二維碼——即篡改的該游戲二維碼，放在某游戲的登錄注冊(cè)界面。用戶(hù)掃碼后，將用戶(hù)登錄后token(身份登錄憑證;計(jì)算機(jī)身份認(rèn)證中是臨時(shí)令牌)保存下來(lái)。詐騙分子將保存的用戶(hù)token進(jìn)行賬號(hào)登錄，然后黑產(chǎn)分子就可以發(fā)布各類(lèi)詐騙信息、釣魚(yú)信息等。

奇安信集團(tuán)威脅情報(bào)中心負(fù)責(zé)人汪列軍對(duì)第一財(cái)經(jīng)記者表示，根據(jù)騰訊官方的公告描述，黑產(chǎn)團(tuán)伙很可能利用了安全缺陷，在不安全的機(jī)器上植入了事先構(gòu)造好的虛假登錄二維碼誘騙用戶(hù)掃描，從而收集賬號(hào)密碼。這種攻擊方式與若干年前流行的盜號(hào)木馬如出一轍，只要惡意工具可以大范圍傳播，便可以批量盜竊大量用戶(hù)的賬號(hào)。

黑產(chǎn)經(jīng)濟(jì)鏈條根治難度極大

針對(duì)黑灰產(chǎn)方面的攻擊，QQ方面實(shí)際一直進(jìn)行治理與防護(hù)。2022年一季度QQ平臺(tái)治理公告顯示，一季度QQ安全團(tuán)隊(duì)打擊欺詐、賭博、色情等違規(guī)賬號(hào)500余萬(wàn)，同時(shí)重點(diǎn)開(kāi)展網(wǎng)絡(luò)水軍處置、“薦股”欺詐專(zhuān)項(xiàng)治理，持續(xù)清理“飯圈”亂象。

但此次仍發(fā)生大規(guī)模用戶(hù)賬號(hào)被盜事件，在頂象業(yè)務(wù)安全專(zhuān)家看來(lái)，原因可能是由于某游戲網(wǎng)站或平臺(tái)的賬號(hào)密碼被黑灰產(chǎn)竊取，也就是俗話(huà)說(shuō)的“脫庫(kù)”，里面包含QQ用戶(hù)授權(quán)登錄的token，黑灰產(chǎn)拿著獲取到的賬戶(hù)信息，直接登錄用戶(hù)賬號(hào)，發(fā)布各類(lèi)欺詐信息。

持續(xù)投入網(wǎng)絡(luò)安全與黑灰產(chǎn)打擊，為什么還是發(fā)生用戶(hù)賬號(hào)被盜事件?在安全從業(yè)者田際云看來(lái)，相對(duì)來(lái)說(shuō)，QQ安全做得還不錯(cuò)，畢竟是擁有幾十億用戶(hù)的平臺(tái)，如果安全性沒(méi)有良好保障，不僅將造成重大問(wèn)題，用戶(hù)也不會(huì)買(mǎi)賬。

但在數(shù)字時(shí)代，田際云稱(chēng)，個(gè)人賬號(hào)的登錄與使用場(chǎng)景繁雜，或許QQ內(nèi)部和已知接口方面做得很好，但數(shù)以百萬(wàn)、千萬(wàn)級(jí)的應(yīng)用調(diào)用和復(fù)雜變化的場(chǎng)景，這其中存在大量安全隱患，畢竟對(duì)其無(wú)法像內(nèi)部或常用接口防護(hù)要求那么正規(guī)。

舉個(gè)例子，田際云稱(chēng)，阿里安全做得也很好，但依舊不斷有人接到詐騙電話(huà)，比如某消費(fèi)者在電商平臺(tái)買(mǎi)完?yáng)|西，第二天就收到商家詐騙電話(huà)，對(duì)方稱(chēng)商品被扣海關(guān)或需要退貨等，但這些信息并不是從阿里內(nèi)部泄露的，可能是三方平臺(tái)——比如快遞、CRM等同步了用戶(hù)訂單與賬戶(hù)信息的平臺(tái)或接口泄露出去的。“阿里、騰訊這類(lèi)超大型數(shù)字平臺(tái)的網(wǎng)絡(luò)安全措施比中小公司做得好很多，但安全是相對(duì)的，沒(méi)有絕對(duì)的。”田際云對(duì)記者表示。

在攻擊者層面，汪列軍表示，有關(guān)個(gè)人賬號(hào)的盜竊、販賣(mài)、濫用已經(jīng)形成了完成的黑產(chǎn)經(jīng)濟(jì)鏈條，徹底根治的難度極大。同時(shí)，隨著黑灰產(chǎn)團(tuán)伙的迅速發(fā)展，黑客工具變得越來(lái)越廉價(jià)和易用，即便小白用戶(hù)也可通過(guò)購(gòu)買(mǎi)完整的黑客工具和服務(wù)，發(fā)起高質(zhì)量的網(wǎng)絡(luò)攻擊，讓人防不勝防。

謹(jǐn)慎掃描二維碼 做好個(gè)人保護(hù)

在個(gè)人用戶(hù)層面，汪列軍提醒：由于個(gè)人安全意識(shí)的缺失，導(dǎo)致黑灰產(chǎn)團(tuán)伙擁有大量可乘之機(jī)——例如密碼設(shè)置過(guò)于簡(jiǎn)單、對(duì)于潛在的威脅(如虛假二維碼、釣魚(yú)網(wǎng)站、釣魚(yú)郵件等)認(rèn)知不足，導(dǎo)致個(gè)人賬戶(hù)極易被竊取。同時(shí)為便于記憶，用戶(hù)經(jīng)常在多個(gè)平臺(tái)設(shè)置同一套密碼，一旦一個(gè)平臺(tái)賬戶(hù)被竊，很容易導(dǎo)致多個(gè)賬戶(hù)出事。尤其是涉及電商、游戲等平臺(tái)賬戶(hù)，由于旗下往往擁有大量虛擬財(cái)產(chǎn)或者綁定支付賬戶(hù)，容易成為黑灰產(chǎn)竊取的主要對(duì)象。

在平臺(tái)運(yùn)營(yíng)者層面，盡管隨著《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等法律法規(guī)的出臺(tái)，網(wǎng)絡(luò)安全保護(hù)力度大大增強(qiáng)，但由于歷史原因，很多平臺(tái)依然存在著安全盲區(qū)或缺陷，容易遭到黑灰產(chǎn)團(tuán)伙的利用，導(dǎo)致用戶(hù)賬戶(hù)失竊。另外值得注意的是，某些平臺(tái)還可能存在“內(nèi)鬼”，即內(nèi)部員工利用特殊權(quán)限，竊取公司用戶(hù)賬戶(hù)，用于牟取利益。

汪列軍表示，企業(yè)多次發(fā)生用戶(hù)賬號(hào)被盜事件，首當(dāng)其沖的當(dāng)屬弱口令缺陷，如某些辦公系統(tǒng)(如OA)和數(shù)據(jù)庫(kù)的管理員賬戶(hù)或者員工域賬號(hào)使用弱口令遭到黑客利用，導(dǎo)致數(shù)據(jù)庫(kù)被拖庫(kù)的事件已屢見(jiàn)不鮮;其次是缺乏相應(yīng)的安全防護(hù)手段。網(wǎng)絡(luò)安全建設(shè)是一個(gè)體系化工程，存在木桶效應(yīng)，任何一塊短板都可能導(dǎo)致整個(gè)系統(tǒng)的失陷;第三是員工安全意識(shí)參差不齊。

因此站在企業(yè)層面，汪列軍建議，應(yīng)當(dāng)用體系化、工程化的思想，實(shí)現(xiàn)網(wǎng)絡(luò)安全與信息化的深度融合與全面覆蓋，部署相應(yīng)的安全設(shè)備，同時(shí)制定賬戶(hù)安全規(guī)則，定期修改登錄密碼。同時(shí)企業(yè)應(yīng)當(dāng)定期開(kāi)展網(wǎng)絡(luò)安全教育與實(shí)戰(zhàn)攻防演習(xí)，提升員工整體安全意識(shí)基線。一旦發(fā)現(xiàn)弱口令、漏洞等安全隱患應(yīng)及時(shí)解決，杜絕其成為歷史遺留。

作為個(gè)人用戶(hù)應(yīng)當(dāng)擦亮眼睛，不要輕易在來(lái)路不明的渠道輸入賬號(hào)、密碼等敏感個(gè)人信息，如有必要應(yīng)當(dāng)在個(gè)人電腦或者手機(jī)上安裝安全軟件。

關(guān)鍵詞： QQ賬號(hào)被盜 黑產(chǎn)經(jīng)濟(jì)鏈條根治難度極大 黑產(chǎn)經(jīng)濟(jì)鏈條 黑產(chǎn)經(jīng)濟(jì)