你的QQ是怎么被盗的（下）

0x00 前言

上篇在这里：《你的QQ是怎么被盗的（上）》

上篇介绍了获取QQ密码的两大类方法：

1、直接获取密码 

2、进入目标内网攻击个人机

以及具体的攻击手段、优缺点、和如何防范。

下篇继续补充两大类：

3、主动交互社会工程学攻击

4、对相关厂商的攻击

最喜欢做的事就是给自己挖坑，最不想做的就是填坑……

0x01 第三类：主动交互社会工程学攻击

在网络安全领域，社会工程学是一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法。通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密。无论何时，人的因素都会是信息安全链条里最薄弱的一环节。

简单的说，社会工程学就是一门《欺骗的艺术》，这本书是境外传奇黑客凯文·米特尼克所著，也是社会工程学的起源。不过在国内，要搜《反欺骗的艺术》才能买的到。

（1）钓鱼攻击

上周的文章提到了水坑攻击，钓鱼攻击和水坑攻击类似，都是想办法让目标点击你的木马，拱手让出计算机的控制权。

不同之处是，钓鱼需要通过伪装身份、话术等手段主动去接触目标，并制作精美的鱼饵才能让目标上钩。

关于鱼饵的伪装技术有很多，细说起来又是一篇文章，这里就只举两例，不求面面俱到，只做简单说明：

1、将可执行的exe文件改名为一个诱惑性的名称并修改图标，然后手动添加一个无害的假后缀名，将真正的exe后缀名用一长串空格进行隐藏。图示如下：

2、采用宏病毒，或office文档的漏洞甚至可以在不需要修改后缀名的情况下执行恶意代码，隐蔽性更强。

不过宏现在不是默认启用的，同样需要话术去诱导目标手动启用。office漏洞需要预知目标使用的office版本，且手中有稳定可用的exp(攻击代码)。

宏病毒文档图示如下：(office漏洞的exp我没有，哭了QAQ)

与水坑攻击对比：

水坑攻击是在目标的必经之路上埋陷阱，等目标来踩，全程不需要以任何身份主动接触目标，且利用了目标对常走的"路"的信任感，从而对水坑的要求也没那么高（放个exe也会有很多人不假思索的点击）。

钓鱼攻击需要以伪装的身份接触目标以投递样本，且目标初期信任感较低，需要长期耐心的沟通或精美的鱼饵。

但钓鱼攻击需要的前置条件很简单，只需要一个联系方式——电话、邮箱等等。即可发起攻击。对中大型企业来说攻击面极广，攻击者收集一批邮箱批量投递样本(鱼叉攻击)，只要有一例成功即可绕过层层安全设备快速进入目标内网，简单高效。由此钓鱼攻击也成为了各国APT组织的常用攻击手段。

【优点】：简单高效，只需一个联系方式即可发起攻击。

【缺点】：需要话术或制作精美的鱼饵，需要伪装身份与目标接触，失败后目标的警惕性将大幅度增强。

【防范】：不随意打开陌生可疑文件，或者放虚拟机打开，电脑装杀软。

（2）欺骗客服

客服其实拥有着较高的权限，一般来说帮你改个密码、改个密保手机都是轻而易举的。不幸的是，在做安全的人眼里，很多客服都是"傻白甜"。也验证了"人是最大的安全漏洞"这一点。

这里就分享一个我实际做过的项目中的一个案例：我在内网拿到了目标某开发人员的手机号，通过大数据查到目标的常用密码和微博号，在微博获知目标使用的手机品牌：

（这是我随便找的示意图，非目标微博，目标也没用华为手机）

之后用目标手机号和密码登陆某招聘网站获得简历，知悉其毕业院校。再登陆学信网，通过验证学校关卡，获得他的证件照以及身份证号码。登陆淘宝网获取目标居住地址。最后用ps和小工具制作了一套目标的身份证正反面图片（不重要的信息随便编，比如有效期限）：

准备工作就绪，去目标的手机品牌对应云盘直接登陆，登陆后会提示不能查看任何信息，需要短信验证。这时选择手机号不可用，要求更换手机号，并向客服提供目标身份证正反面获取信任，秒通过，拿到目标通讯录和手机相册的所有图片。

【优点】：不需要和目标交互，隐蔽性高。

【缺点】：需要掌握目标大量信息才能骗过客服，且大品牌厂商的客服都有一套标准的验证身份的流程，若需要你人脸验证或手持身份证就很考验你的p图技术了。特殊的一点：TX没有客服，所以这招盗不了QQ号……

【防范】：不要在社交平台过多泄露个人信息，定期修改密码。

（3）好友申述

专门针对QQ用户的一种攻击，具体手段我没试过，都是道听途说的，不清楚现在还能不能用。

众所周知，TX没有客服，那忘记了QQ密码又换了手机号该怎么办呢。TX提供了一种方式叫好友申述：只需要你联系QQ号里的几个好友，让他们帮你验证“你是你”即可。

具体的攻击手段我听过两个版本：

一、攻击者提前几个月用自己的几个小号加你好友，几个月后提出申述，直接选择自己的小号帮忙，就可以申述成功改掉你的QQ密码。

二、攻击者通过空间点赞寻找你的好友先加上，对其自称是你的小号。然后再加你，和你弹一个视频聊天，在你露脸几秒后挂断，称“点错了”，但其实他的目的是获得你几秒的视频图像。之后提出申述，联系你的好友帮忙，用刚才获得的视频图像证明自己。如此利用你的好友申述成功改掉你的QQ密码。

【优点】：对空间开放，加好友随意的人，或者攻击者和目标本来就很熟悉的情况下，成功率较高。

【缺点】：耗时耗力，需要知道目标的好友信息。

【防范】：空间不对外开放，不随意＋人，保持一定的安全意识。

0x02 第四类：对相关厂商的攻击

（1）拿下目标注册过的厂商的数据库

思路是这样的，目标注册了QQ号和密码，每次登陆都要向TX验证输入的密码是否正确，TX那里必然保存有目标的密码信息（实际是有hash加密的，部分可解开）。那只要打下TX拿到数据库，就可以拿到目标的密码了。

不过鉴于TX有国内Top级别的安全团队，想拿TX的数据库有那么亿点点不容易。不过换个角度，大部分人所有网站都使用相同的密码，那只要随便找到一个目标注册过的小网站，打下来就好啦，理论存在实践开始：

【优点】：不需要与目标交互。

【缺点】：需要目标“一个密码走天下”，耗时耗力，收获与投入不成正比，有法律风险（只有搞黑产的才能用这个手段）……

【防范】：密码分级，不随意注册小网站。

（2）挖漏洞（xss和csrf）

同样是挖TX的漏洞，这个相比上一条的可实现性强多了。虽然TX有国内top级别的安全团队，但攻防是处于不对等的地位的，面对海量的资产，TX的安全团队有时会跟不上它的业务或安全技术发展的速度，由此爆出一些可利用的漏洞。

这可不是天方夜谭哦，2018年，连QQ空间的官方账号都中招了一次。当时我就在现场，是目击者。

freebuf上有一篇文章也描述了相关技术的实现：https://www.freebuf.com/vuls/75711.html

通常来说，这种效果是xss和csrf漏洞的配合攻击达成的效果。因为“危害小”且存在量大，很多厂商都不会很重视这两种漏洞，各大SRC也基本明确规定了“不收非重要操作的csrf和反射性xss”。

这里简单描述一下漏洞原理吧：

xss漏洞：用户的输入的js代码可绕过过滤，直接输出在页面的html代码执行。

比如正常的输出是这样的:

<text value="这里是用户输入">

但恶意用户输入了下面的字符串：

123"><script>恶意js代码</script><"

结果输出就变成了这样：

<text value="123"><script>恶意js代码</script><"">

恶意js代码从text标签中逃逸出来被执行了，xss漏洞虽然拿不到用户的密码，但可以暂时获得目标浏览器和账号的使用权。

csrf漏洞： 攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作。通常是配合xss或诱导用户点击恶意链接来触发攻击。

下面是一个很经典的图示，把csrf的原理描述的很清楚：

【优点】：xss和csrf很多厂商不重视，存储型xss漏洞几乎无法防御，隐蔽性高。

【缺点】：需要能挖到漏洞，反射型xss和单纯的csrf需要诱导目标点击恶意链接，拿不到目标的密码。

【防范】：针对存储型xss，我确实没什么防御办法。针对反射型和csrf，那就是不要点击不明链接。

0x03 后记

无

本文始发于微信公众号（小黑的安全笔记）：你的QQ是怎么被盗的（下）