大批QQ账号被盗，用户在网吧用二维码登录黑产插件所致！“黑灰产”何以突破防护？

2022-06-27 13:06

27.06.2022

本文字数：2650，阅读时长大约4分钟

导读：企业多次发生用户账号被盗事件，首当其冲的原因当属弱口令缺陷，其次是缺乏相应的安全防护手段。

作者 | 第一财经吕倩

今日（6月27日），“QQ回应大批账号被盗”登上微博热搜，针对部分QQ用户账号被盗一事，腾讯QQ官方回应称，主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录，该登录行为被黑产团伙劫持并记录，随后被不法分子利用发送不良图片广告。受此事件影响的用户账号陆续恢复正常使用。

QQ提醒广大用户，不要扫描来源不明的二维码。在非常用环境下登录时要提高安全警惕，防范账号被盗风险。

据第一财经记者独家了解，此次大批QQ用户遭遇账号被盗，主要是因在多家网吧登录Tecent WeGame时，被提醒需用QQ账号扫描二维码登录，首次扫描不成功后，再次扫描被黑产团队截取用户信息，在不获取用户账号与密码的情况下，进入QQ账号内，传播垃圾信息，为这些黑产产品引流。

一位微博ID为阿木木的用户分享了在网吧登录装有盗号木马插件的Tecent WeGame时，扫码瞬间即登录，“登录游戏需要等十秒验证，这个盗号狗说登录就登录了？希望更多人知道网吧这种盗号插件。”一位ID为blackorbird的用户表示，“我认识被盗QQ号的都是去网吧扫过WeGame登录码，通过WeGame接口是可以发信息给好友的。”

多年未用账号突然“诈尸”

一位QQ用户对记者表示，自己已经很多年没用QQ了，近日突然被朋友提醒，称其账号在QQ上向朋友发送色情网址链接，该用户紧急上线重置密码找回账号。另一位QQ用户提供给记者的QQ聊天截图显示，其朋友在2021年被多次盗号，经历盗号、找回、再被盗的过程。每次被盗号后都会给该用户发来抽奖游戏与博彩方面的截图。

今年5月，QQ账号集体被盗的情况也曾发生，网友反馈盗号者会向其好友和QQ群发送低俗广告，虽然广告图片各不相同，但指向的网址都是同一个。操作手法与最终目的与此次QQ账号被盗事件雷同。

顶象业务安全专家对第一财经记者表示，QQ方面表示后续会公布调查报告，从目前资料来看，大规模用户被盗号主要原因在于QQ有开放生态，其账号可以作为其他平台/网站的授权账号，或者直接注册为其他平台/网站账号。

在此背景下，诈骗分子制作了一个虚假的QQ授权登录二维码——即篡改的该游戏二维码，放在某游戏的登录注册界面。用户扫码后，将用户登录后token（身份登录凭证；计算机身份认证中是临时令牌）保存下来。诈骗分子将保存的用户token进行账号登录，然后黑产分子就可以发布各类诈骗信息、钓鱼信息等。

奇安信集团威胁情报中心负责人汪列军对第一财经记者表示，根据腾讯官方的公告描述，黑产团伙很可能利用了安全缺陷，在不安全的机器上植入了事先构造好的虚假登录二维码诱骗用户扫描，从而收集账号密码。这种攻击方式与若干年前流行的盗号木马如出一辙，只要恶意工具可以大范围传播，便可以批量盗窃大量用户的账号。

黑产经济链条根治难度极大

针对黑灰产方面的攻击，QQ方面实际一直进行治理与防护。2022年一季度QQ平台治理公告显示，一季度QQ安全团队打击欺诈、赌博、色情等违规账号500余万，同时重点开展网络水军处置、“荐股”欺诈专项治理，持续清理“饭圈”乱象。

但此次仍发生大规模用户账号被盗事件，在顶象业务安全专家看来，原因可能是由于某游戏网站或平台的账号密码被黑灰产窃取，也就是俗话说的“脱库”，里面包含QQ用户授权登录的token，黑灰产拿着获取到的账户信息，直接登录用户账号，发布各类欺诈信息。

持续投入网络安全与黑灰产打击，为什么还是发生用户账号被盗事件？在安全从业者田际云看来，相对来说，QQ安全做得还不错，毕竟是拥有几十亿用户的平台，如果安全性没有良好保障，不仅将造成重大问题，用户也不会买账。

但在数字时代，田际云称，个人账号的登录与使用场景繁杂，或许QQ内部和已知接口方面做得很好，但数以百万、千万级的应用调用和复杂变化的场景，这其中存在大量安全隐患，毕竟对其无法像内部或常用接口防护要求那么正规。

举个例子，田际云称，阿里安全做得也很好，但依旧不断有人接到诈骗电话，比如某消费者在电商平台买完东西，第二天就收到商家诈骗电话，对方称商品被扣海关或需要退货等，但这些信息并不是从阿里内部泄露的，可能是三方平台——比如快递、CRM等同步了用户订单与账户信息的平台或接口泄露出去的。“阿里、腾讯这类超大型数字平台的网络安全措施比中小公司做得好很多，但安全是相对的，没有绝对的。”田际云对记者表示。

在攻击者层面，汪列军表示，有关个人账号的盗窃、贩卖、滥用已经形成了完成的黑产经济链条，彻底根治的难度极大。同时，随着黑灰产团伙的迅速发展，黑客工具变得越来越廉价和易用，即便小白用户也可通过购买完整的黑客工具和服务，发起高质量的网络攻击，让人防不胜防。

谨慎扫描二维码做好个人保护

在个人用户层面，汪列军提醒：由于个人安全意识的缺失，导致黑灰产团伙拥有大量可乘之机——例如密码设置过于简单、对于潜在的威胁（如虚假二维码、钓鱼网站、钓鱼邮件等）认知不足，导致个人账户极易被窃取。同时为便于记忆，用户经常在多个平台设置同一套密码，一旦一个平台账户被窃，很容易导致多个账户出事。尤其是涉及电商、游戏等平台账户，由于旗下往往拥有大量虚拟财产或者绑定支付账户，容易成为黑灰产窃取的主要对象。

在平台运营者层面，尽管随着《网络安全法》、《数据安全法》等法律法规的出台，网络安全保护力度大大增强，但由于历史原因，很多平台依然存在着安全盲区或缺陷，容易遭到黑灰产团伙的利用，导致用户账户失窃。另外值得注意的是，某些平台还可能存在“内鬼”，即内部员工利用特殊权限，窃取公司用户账户，用于牟取利益。

汪列军表示，企业多次发生用户账号被盗事件，首当其冲的当属弱口令缺陷，如某些办公系统（如OA）和数据库的管理员账户或者员工域账号使用弱口令遭到黑客利用，导致数据库被拖库的事件已屡见不鲜；其次是缺乏相应的安全防护手段。网络安全建设是一个体系化工程，存在木桶效应，任何一块短板都可能导致整个系统的失陷；第三是员工安全意识参差不齐。

因此站在企业层面，汪列军建议，应当用体系化、工程化的思想，实现网络安全与信息化的深度融合与全面覆盖，部署相应的安全设备，同时制定账户安全规则，定期修改登录密码。同时企业应当定期开展网络安全教育与实战攻防演习，提升员工整体安全意识基线。一旦发现弱口令、漏洞等安全隐患应及时解决，杜绝其成为历史遗留。

作为个人用户应当擦亮眼睛，不要轻易在来路不明的渠道输入账号、密码等敏感个人信息，如有必要应当在个人电脑或者手机上安装安全软件。

【推荐阅读】