浅谈一次QQ被盗取(攻击)事件

注：本篇博客，仅谈一下博主个人在一些安全事件上一些见解，个人技术有限，可能会有一些理解、表述不到位的地方，欢迎大家进行评论

1>背景介绍

2>攻击过程分析

3>攻击防范

1.背景介绍

在各种聊天软件盛行的今天，各种盗取账号、利用用户账号敲诈勒索等行为层出不穷，我们经常在QQ中会遇到各种盗号行为，比如： 在QQ空间(说说)、QQ群在用户不知情的情况下发送各种广告信息，或者一些链接，甚至于当用户登录的情况下，以用户的身份进行骗钱行为。

接下来小边同学先为大家介绍几种常见的案例

QQ诈骗、诈骗钱财
QQ空间评论、说说(恶意链接)
QQ群发消息
…

案例1：QQ诈骗

案例2：QQ空间评论、说说(恶意链接)

案例3：以用户的身份，向各种用户好友，以及群聊发送恶意链接

而这种形式，小边同学今天就遇到了，在后期的思考中，我找到了问题所在，之前由于我想查一下自己在的成绩，所在在某群找到了与下图同样的腾讯文档链接，该链接需要我输入QQ账号和密码，当我输入后，然而页面没有回显任何成绩信息，当时也没有想太多，而今天，在我登录的情况下，账号向各个群聊，以及私聊发出此链接。我的QQ绑定了手机，以及腾讯密保等安全服务，且定义了设备锁，也就是说其他人几乎不可能对于我的QQ密码进行修改，那么这种操作，在严格意义上来说属于一种攻击行为，而非盗取行为，而这种攻击行为，是在用户登录的情况下，以用户的身份认证信息，而执行某些操作，这种攻击形式，我之前接触过，应该属于一种CSRF攻击

2.攻击过程分析

这种攻击形式，我们叫做CSRF(跨站请求伪造)，接下来针对于整个流程进行分析。

2.1 腾讯文档在此次攻击中扮演什么角色？

Q：包装角色以及定向攻击

原因1（包装角色）： 通常情况下，普通用户对于腾讯文档这种官方软件，信任度是极高的，也就是说，我们信任腾讯文档，随着网络行业的发展，用户对于安全这块有了一定的了解，一个陌生的链接，我通常都会有一种谨慎感，而这种谨慎，以至于这些没有被包装过的链接没有很强的攻击性，因为用户很少会去打开，更不可能在一个陌生的链接去登录自己的QQ号，而攻击者就利用的是用户对于腾讯文档的信任，在腾讯文档中上传恶意链接。

原因2（定向攻击）： 用户对于文档内容的需求性，文档命名为“学院最新《综合成绩单》”，对于我个人来说，我想查到自己在学院的排名，所以我更倾向于打开此腾讯文档，来获得我的成绩信息，而这类攻击，具有定向性，定向于一群人(想查取自己的成绩信息的人)

原因3（发送位置）： 而这种命名，如果出现在非学生，非管方的群里时，很少有人去关注这个东西，所以说，这种腾讯文档，我分析，大多出现在各种学生交流群里

2.2 链接的迷惑性页面

第一步迷惑性：腾讯文档迷惑性，利用对腾讯文档的信任，进入腾讯文档，会看到这个二维码以及连接
第二步迷惑性：二维码迷惑性，我们知道二维码是连接生成的，我们通常情况下能通过链接的命名对于这个页面大致有所交接，但是二维码，我们看不出任何信息，再一个就是该链接的迷惑性，从该链接中我们看不出任何关于这个页面的信息，其必然进行了转换长链接转换为短链接
举个例子：
https://blog.csdn.net/weixin_43726831(这个链接是小边同学博客主页，长链接可以看出相关信息)
->http://u6.gg/sS6G5(这是一个用链接生成器生成的“短链接”)
这两个链接都能打开我的个人主页
第三步迷惑性： 登录页面的定义，这个登录页面和我们常见的QQ邮箱登录页面没有任何差别，页面做的越专业，其迷惑性必然越高
第四步迷惑性： 注册新账号，和忘记密码，通常情况下，会跳入腾讯账号密码服务界面，而此时我们点击时会跳入无法打开该页面，那么此时除了输入用户名和密码，我们无法做任何的操作

2.3 图解攻击流程

第一步： 首先本地用户，打开可信的腾讯文档，用腾讯文档对于恶意连接、二维码进行包装
第二步： 恶意链接中，请求输入本地用户，账号及密码
第三步： 本地QQ用户，输入用户名及密码，生成相应的cookie信息，返回到攻击者服务器
第四步： 攻击者以用户的身份认证信息，向QQ服务器发送"发送消息请求"
第五步： QQ服务器收到攻击者服务器请求，回一个确认包，同时在本地用户登录，且本地用户不知情的情况下，向QQ群&&其他用户发送恶意链接，导致该恶意链接在互联网中扩散

3.攻击防范

目前，我们所见到的利用QQ诈骗、散布恶意链接、广告等形式的攻击，基本上都属于CSRF攻击
这种攻击为一种，肯定有它的共性：

诱导用户点击不知名链接、输入用户名密码信息，攻击者使用用户的cookie信息，进行网络诈骗，密码修改，以及恶意链接传递

它是利用QQ用户的身份信息来完成一些操作
所以站在这一层面来说，我们可以进行如下防范：

陌生、不知名的链接尽量不要去点，危险的网站也不要进入
不能随意的在页面中输入自己的，用户名，以及密码信息
借钱尽量不用聊天、可以用语音通话/视频的形式
定期修改密码(这也是腾讯官方提供的一种安全保护行为)
开启QQ手机设备锁，QQ密码绑定手机

最后：当我们的QQ如果被攻击了，我们最快的一种解决办法就是修改密码(不同的用户名和密码会生成不同的cookie值)

4.总结

正所谓吃一堑，长一智，我希望我的这篇博客，能为大家解答，也能告诫大家，当自己QQ被盗取(攻击)的问题以及原理，还有就是解决方法

欢迎大家来对于本篇博客进行评论

WEB安全之CSRF