QQ邮箱漏洞被骗子利用 小企鹅一闪1000块被骗走

admin 2021年4月3日20:01:37评论31 views字数 1921阅读6分24秒阅读模式

“能不能给我充点钱”,每次在QQ上有好友发来这样的内容,杨小姐总会立刻提高警惕,这样的骗局听多了。不过,向来警惕的杨小姐最近也上当了,还被骗子忽悠了1000元的游戏点卡

尽管行骗术语很老套,但骗子却利用了QQ邮箱的短消息能和QQ电脑客户端同时在线并收发信息的漏洞,这让网友大呼防不胜防,太恐怖。

真假小陈同时在线

“在吗?你能网购吗?帮我买点东西。”看到正在和自己聊着工作的小陈发来的信息,杨小姐照常狐疑了一下。还没反应过来,聊天页面里又跳出了“你帮我给我小号冲点Q币呗”的消息。面对“小陈”接二连三的充卡要求,杨小姐再没多想就用网银帮“小陈”充了1000元点卡

给骗子充了游戏点卡后,杨小姐的电脑屏幕上,突然显示了小陈的一条新留言:“QQ被盗,有人要你买东西不要买。小心上当。”再次仔细看了遍聊天记录,她发现她和真假小陈所有聊天信息,竟然全部显示在一个聊天对话框里。

在给小陈打了电话以后,杨小姐才知道,两三个小时前,小陈的QQ被盗了。骗子通过小陈的QQ邮箱向他所有的QQ好友都发出了“充值”的要求。小陈说,他刚刚申请找回了密码,不想这么快就有好友中招了。“这太可怕了,我下午接到了很多好友的电话,而且找回密码后马上登录发布消息,叫大家不要上当。没想到,这个骗子一直没有退出QQ邮箱,还在一直行骗。”

QQ邮箱漏洞被骗子利用

QQ电脑客户端早已有被迫下线功能,那么骗子究竟是如何得逞的?这是最让杨小姐百思不得其解的地方。

记者通过比对小陈和杨小姐两人提供的聊天记录,发现了一个细节,真假小陈同时在线的时候,小陈用的是QQ电脑客户端,而骗子则在用QQ邮箱聊天功能。

记者亲身试验了那个QQ邮箱的特别用途。只要在QQ下线前把QQ邮箱的页面打开,这时,即使在另一个地方重新登录QQ,之前的QQ客户端被迫下线,但仍然可以通过QQ邮箱短消息与朋友进行聊天。而且只要邮箱聊天页面不关,通过QQ客户端和QQ邮箱聊天发过去的内容,好友都能收到。这就是杨小姐为什么一边能收到小陈发来的工作信息,而同时又能收到骗子要求充卡的消息的原因。

腾讯称此前不知道有这个漏洞

对此,记者联系了腾讯公关部门的工作人员,对方表示之前从未接到过这样的投诉,自己也没有用过QQ邮箱的短消息功能,所以一直不知道系统有这个漏洞。

该工作人员表示已经将情况反映给了了腾讯技术团队,并提醒QQ用户对于好友通过QQ提出的经济要求,譬如充钱等,无论金额大小,最好通过电话确认或者当面进行核实,才能避免被骗子利用。

站长评论:

这种骗术从前一两年开始大规模爆发,现在呈爆炸趋势,原因是:骗钱太容易,而且成本低廉,配合群发软件,完全可以实现全自动骗钱,而且即使报警了,基本上没人查……

而且很多人都有修改备注的习惯,会把好友的QQ昵称修改成真实的名字,所以片子一来就是:“***,给我充点点卡……”,由于知道真实的名字,会非常容易的使受害人相信,所以上当的概率很高……

关于腾讯,这个不能算是漏洞,准确的说应该是设计缺陷,很多类似的产品都有此类设计缺陷。

缺陷是腾讯在修改密码后,没有清理QQ邮箱的会话链接(很多年前,QQ客户端就有强制下线功能了),导致可以一直在线。

如果使用会话保持工具,定时刷新会话(Refresh Cookies),那么就会一直保持在线,可以重复利用。

很早以前,利用 XSS 偷取的 Cookies 曾经被这样玩得很火,现在居然被骗子利用上了(原理相同),无语了……

我猜QQ空间、腾讯微博等应用,应该存在相同的问题……

腾讯这次真的要反思下了……

补充:

腾讯有个功能做得很好,如果你在QQ聊天框中出现“充值”、“点卡”、“转账”、“银行”、“钱”、“汇款”等敏感词汇,腾讯会给你聊天框顶端显示个高亮提示:警惕骗子冒充好友进行诈骗……

这个功能确实很好,但是……

腾讯你还说你没有监视用户隐私???!!!

PS:

以前本人QQ好友里也有人中招过,同样是手机充值卡,或者是游戏点卡之类的……

跟骗子玩了好一会,忽悠到骗子的卡号后,大骂骗子……

然后丫直接下线了……

2012-4-13 14:55:00 补充:

刚刚发完此文几个小时,居然就碰到了……

见:碰到一个冒充QQ好友进行诈骗的骗子……

留言评论(旧系统):

九区外观大队队长 @ 2012-04-13 09:34:45

公鸡威武,这么早就起来发文章了,那个时候,我还在碎觉呢。

本站回复:

懒虫 ╮(╯_╰)╭

【匿名者】 @ 2012-05-20 22:31:58

这个提醒不涉及“监视用户隐私”吧,很容易过滤的,说这话的人明显不是程序猿。

本站回复:

你说的话,实时都被别人过滤,监控中,你说这不是“监视用户隐私”??虽然是程序操作……

文章来源于lcx.cc:QQ邮箱漏洞被骗子利用 小企鹅一闪1000块被骗走

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日20:01:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   QQ邮箱漏洞被骗子利用 小企鹅一闪1000块被骗走https://cn-sec.com/archives/324941.html

发表评论

匿名网友 填写信息