2022年6月27日
本文字数2650,阅读时间约4分钟
简介:很多时候,企业都有盗用用户账号的情况。首先是弱密码的缺陷,其次是缺乏相应的安全保护措施。
作者|第一财经吕倩
今天(6月27日),《QQ回应大量账号被盗》登上微博热搜。针对部分QQ用户账号被盗一事,腾讯QQ官方回应称,主要原因是用户扫描了不法分子伪造的游戏登录二维码并授权登录。登录行为被黑产团伙劫持录音,然后被不法分子用来发送不良图片广告。受此事件影响的用户帐户已恢复正常使用。
QQ提醒用户不要扫描来源不明的二维码。在异常环境下登录时,应提高警惕,防止账户被盗的风险。
据《中国经营报》记者独家了解,此次大量QQ用户遭遇账号被盗,主要是在多家网吧登录腾讯WeGame时被提醒使用QQ账号扫描二维码登录。第一次扫描不成功后,黑产团队截获用户信息,进入QQ账号传播垃圾信息,引流这些黑产。
微博中一位ID为阿木木的用户分享说,在网吧用盗号木马插件登录腾讯WeGame时,通过扫码瞬间登录。“登录游戏需要十秒,所以黑客狗说他登录了?希望更多人知道网吧的黑客外挂。”一个ID为blackorbird的用户说:“我知道被盗的QQ号都是去网吧扫描WeGame登录码,可以通过WeGame接口给好友发消息。”
多年不用的账号突然“诈尸”
一位QQ用户告诉记者,他已经很多年没用过QQ了。最近突然被朋友提醒,他的账号在QQ上给朋友发了色情网址链接。用户紧急上线重置密码,找回账号。另一位QQ用户提供给记者的QQ聊天截图显示,他的好友在2021年被盗多次,经历了被黑、找回、再次被盗的过程。每次号码被盗,都会给用户发送彩票游戏和赌博的截图。
今年5月,QQ账号集体被盗事件也发生了。网民反映,黑客会向他们的朋友和QQ群发送低俗广告。虽然广告图片不一样,但都指向同一个网址。操作方法和最终目的和QQ账号被盗一样。
这位顶级商业安全专家告诉第一财经记者,QQ表示后续会公布调查报告。从目前的信息来看,大规模用户被黑的主要原因是QQ具有开放的生态,其账号可以作为其他平台/网站的授权账号,也可以直接注册为其他平台/网站的账号。
在这种背景下,诈骗分子制作了一个假的QQ授权登录二维码——也就是被篡改的游戏二维码,放在某游戏的登录注册界面中。扫描用户代码后,用户的登录令牌(身份登录证书;计算机认证中的临时令牌)。诈骗分子登录保存的用户令牌,黑产者就可以发布各种诈骗信息和钓鱼信息。
安信集团威胁情报中心负责人王烈军告诉第一财经记者,根据腾讯官方公布的消息,黑产团伙很可能利用了安全漏洞,在不安全的机器上植入预先构建的虚假登录二维码,诱骗用户扫描,从而套取账号密码。这种攻击和几年前流行的盗号木马如出一辙。只要恶意工具能够广泛传播,就可以批量盗取大量用户的账号。
根除黑产的经济链条是极其困难的
针对黑灰产的打击,QQ其实一直在管理和保护。《2022年第一季度QQ平台治理公告》显示,第一季度,QQ安全团队共打击诈骗、赌博、色情等违法账号500余万个。同时,重点开展网络水军处置、“股票推荐”诈骗专项治理,持续清理“饭圈”乱象。
但是,这一次,还是出现了大规模的用户账号被盗事件。在顶级商业安全专家看来,原因可能是某游戏网站或平台的账号密码被黑灰盗走了,也就是俗话说的“去库”。包含QQ用户授权登录的令牌,黑灰用获取的账号信息直接登录用户账号,发布各种诈骗信息。
为什么在持续投入网络安全和黑灰产的情况下,用户的账号还是会被盗?在安全从业者田纪云看来,QQ安全做得比较好。毕竟是一个几十亿用户的平台。如果安全性得不到很好的保障,不仅会出大问题,用户也不会买账。
但在数字时代,田纪云表示,个人账户的登录和使用场景是复杂的。或许QQ在内部和已知接口上做得很好,但是在百万级、千万级的应用调用和复杂多变的场景下,存在大量的安全隐患。毕竟不能像内部或者通用接口保护需求那样形式化。
田纪云举例说,阿里在安全方面做得很好,但仍有人接到诈骗电话。比如,消费者在某电商平台买了东西后,第二天就接到商家的诈骗电话,对方称货物已被海关扣留或需要退货。但这些信息并不是从阿里内部泄露的,可能是快递、CRM等三方平台泄露的,这些平台同步了用户的订单和账户信息。“阿里、腾讯等超大型数字平台的网络安全措施比中小公司好很多,但安全是相对的,不是绝对的。”田纪云告诉记者。
在攻击者层面,王烈军表示,个人账户的被盗、被卖、被滥用已经形成了一个完整的黑色生产经济链条,彻底根除难度极大。同时,随着黑灰团伙的快速发展,黑客工具越来越便宜,越来越好用。即使小白用户也可以通过购买完整的黑客工具和服务来发动高质量的网络攻击,让人防不胜防。
仔细扫描二维码做好个人防护
在个人用户层面,王烈军提醒:由于个人安全意识的缺失,黑灰团伙有了大量的可乘之机——比如密码设置过于简单,对潜在威胁(如假二维码、钓鱼网站、钓鱼邮件等)的意识。)不足,导致个人账号容易被盗。同时,为了方便记忆,用户往往会在多个平台上设置同一套密码。一旦一个平台账号被盗,很容易对多个账号造成事故。尤其是涉及电商、游戏的平台账号,由于往往拥有大量虚拟财产或绑定支付账户,很容易成为黑灰产盗取的主要目标。
在平台运营商层面,虽然随着网络安全法、数据安全法等法律法规的颁布,网络安全的保护力度大大增强,但由于历史原因,很多平台仍存在安全盲区或缺陷,容易被黑灰产团伙利用,导致用户账号被盗。此外,值得注意的是,部分平台还可能存在“内鬼”,即内部员工利用特殊权限盗取公司用户账号牟利。
王烈军表示,企业用户账号被盗事件已经发生多起,第一个就是弱密码缺陷。比如一些办公系统(如OA)和数据库管理员账号或员工域账号被利用弱密码进行黑客攻击,导致数据库被拖库。并不少见;其次,缺乏相应的安全防护措施。网络安全建设是一个系统工程,具有木桶效应。任何一个短板都可能导致整个体系的沦陷。三是员工安全意识参差不齐。
因此,在企业层面,王烈军建议,运用系统化、工程化的思想,实现网络安全和信息化的深度融合和全面覆盖,部署相应的安全设备,制定账号安全规则,定期修改登录密码。同时,企业要定期开展网络安全教育和实战攻防演练,提升员工整体安全意识的基准线。一旦发现弱密码、漏洞等安全隐患,要及时解决,防止成为历史文物。
作为个人用户,要擦亮眼睛,不要轻易通过不明渠道输入账号、密码等敏感个人信息。如有必要,应在个人电脑或手机上安装安全软件。