从2019年3月24日发生在我身上的案例来谈一谈QQ安全中心必然要走向灭亡。或者我质疑腾讯这样一家藐视用户安全的公司如何能从内心真正尊重用户安全?
【一次惨痛的QQ被盗并造成个人经济损失的教训】事情已过去两天,当我登上从东京返回香港的CX501航班,5个多小时的飞行行程,终让我有空理一理3月24日发生的QQ被盗事件,这是一起再普通不过的QQ被盗诈骗形成经济损失的案例,但回顾整个过程,仅仅因为使用了“微信朋友圈同步QQ空间”这个普通功能,让我的QQ即刻被盗,并且手机上安睡的“QQ安全中心”没有任何异常报警,其后导致好友直接经济损失19800,珍贵友情感动之余,更多的是对自己装逼的自责,对友人财务损失的愧疚,也有对运营商,QQ能否保证通信安全的疑惑。 友人的轻信固然是本案主因,但个人QQ账户保护,运营商的安全防范,腾讯QQ空间的鉴权,网络安全机制,异常QQ号监测这么多环节只要有一环落实安全动作,本案损失都可能从源头避免。而本案通信流程涉及到终端,中国,日本运营商,及时通信服务商腾讯,由于对腾讯,运营商网络架构不了解,一旦发生安全事故,局外人根本不可能找到问题所在,归咎于自身对账户保护不足,诈骗防范意识不足,只能自认倒霉。一定是老百姓自认倒霉吗?我有些不服!带着这些疑问让我去回顾本案,尝试梳理,希望引起各方重视,从中吸取教训,避免悲剧再次上演。
【本案相关信息介绍】1. 事发时间2019年3月24日15:30,地点为东京都台场,数据服务提供商是Y!Mobile,手机通过空口接入运营商数据管道;2. 手机为某大厂18年旗舰,系统自带安全防病毒软件,并且Powered by Tencent 腾讯 | 360 | Modile secunity | Trustlook,事发当天显示安全;3. 通信软件安装有:微信,QQ空间,QQ邮箱,未安装:QQ;4. 本人深圳某通信公司研发从业人员,安全意识较好,PC和手机使用15年有余,未有过安全事故,从不连接不可信wifi;
【QQ被盗诈骗事件回放】以下按时间序列回忆本案的关键点,时区为东京时区(UTC+9),2019年3月24日:15:30 在台场发微信朋友圈装逼:“假装在纽约”,脑子一热,勾选了同步QQ空间;16:45 接到大学同学F的微信,询问是不是QQ被盗,附截图一看,QQ号不是我,但名字正确;16:50 接到大学同学Z的微信,询问是不是QQ被盗,直接电话几句话说清楚了:很多同学都收到了诈骗邮件,就一个字“在?”。此时我还懵逼中,我的密码很复杂,我手机上的“QQ安全中心”未报警,一切正常,怎么突然就被盗号了呢?决定先赶紧回住处发通知给大家;17:20 到住处,开电脑,登录QQ,此时仍需要输入“QQ安全中心”的随机变动的6位数字(现在看来“QQ安全中心”欢迎主页的“用心守护您的QQ”真是个笑话);17:30 登录QQ,同学Y,C,群。。。等询问;17:35 PC上的QQ被踢下线,微信运行正常,又重新登录QQ,又被踢;18:10 QQ密码修改完毕,重新登录后,没有被踢;18:30 微信,QQ 所有群开始群发防止诈骗提醒公告;19:00 QQ上按从下之下名单单独发送防止诈骗提醒公告;(此时已放松警惕,觉得各群都通知到了,肚子饿去吃饭)19:45 接到L微信询问我刚才是否通过QQ联系他,我告诉他没有!此时我预感不妙,他还是说出了那句话“被骗了”。。。。。。内心自责无处可发,埋怨了一通。银行表示无能为力,警察蜀黍表示尽力而为;22:45 通过QQ邮件群发给每一个认识的人,微信再一次给相关人提醒。如下是转账截图,警察蜀黍处的备案:
【诈骗套路】1. QQ邮件群发:使用其他的QQ邮件,该QQ邮件的发送人备注我本人真名,群发给所有人,开始钓鱼;2. QQ加好友联系:使用另外一个QQ号(一般是4~5年Q龄),该QQ号使用我QQ的历史头像,或者我与家人合影的头像,同时使用和我QQ号相似的昵称(一般在后面加个符号),用该QQ号和关键好友联系;3. 待通过QQ通过验证,邮件回应后,诈骗集团针对我不同的好友,采取个性化的沟通策略,主要为两类。如常联系的好友,是最近回国代购,如不常联系的好友同学,则帮处理紧急事务。打招呼则是模拟熟人的口气直呼真名;总结下,一旦QQ被盗,诈骗集团先导出你的联系人,联系人备注信息,头像,联系人聊天记录,QQ合影,以便于伪造QQ和邮箱,制定沟通策略,沟通中直接使用真名打招呼。给各位展示几张截图感受下:
【事后技术分析与困惑】
为便于分析与介绍清楚,我画了如上的简化网络示意图(实际数据业务流程比这复杂太多),并简单解释一些基础知识(只分析数据业务场景);1. “基站”和“分组域网关”使得手机能够通过空口连接基站,并能够访问互联网,这是数据服务提供商Y!Mobile提供的服务;2. 你为什么可以上微信?则是因为“微信服务器”连接到“分组域网关”,当“分组域网关”和“基站”为手机提供IP承载后,手机上的“微信APP”和“微信服务器”之间就会建立一个加密的传输通道(当然QQ和QQ空间这些服务器都连接到分组域网关,这样你手机同样也可以上QQ空间和QQ是同样道理);3. 你为什么使用微信发朋友圈同步到QQ空间时,不需要输入QQ空间的密码?“微信服务器”的某处或所连接的远端QQ用户寄存器会保留我的QQ空间与QQ的密钥,以便于微信朋友圈内容通过“QQ空间服务器”的鉴权认证将内容发在QQ空间里;4. 你为什么能够通过QQ直接进入到QQ空间而不需要密码?因为QQ与QQ空间访问的是同一个QQ用户寄存器;尝试用快递运输来更行销的描述下:Y!Mobile铺设了你手机上网的道路,“微信”和“QQ空间”是道路上跑的快递车,手机上发送到朋友圈/QQ空间的图片通过快递车送到“微信”和“QQ空间”服务器,快递车装货和卸货的口令就是你的用户名和密码。讲完基础知识,现在结合如下信息进行分析与推测;1. Y!Mobile提供的是管道,提供传输能力,“微信”和“QQ空间”快递车如何加密,鉴权,跑什么内容,是不感知的;收到攻击的表现为管道瘫痪,也就是用户无法上网,所以可以排除①②段路径消息被劫持的可能性;2. 在日本台场单独使用微信,鉴于我“微信”没有被盗,使用“微信”仍然是正常的,所以可以排除③④段路径消息被劫持;3. 在日本单独使用“QQ空间”,“QQ空间”也没有被盗,所以可以基本排除⑦⑥段路径消息被劫持,判断QQ用户服务器是安全的;4. 由于使用了“微信”朋友圈同步“QQ空间”,导致“QQ”被盗,而“QQ空间”和“QQ”由于使用完全相同的用户名和密码,诈骗集团通过“QQ空间”获取到我用户名密码,从而登录“QQ”导出QQ好友列表和用户备注,这是有可能的,很可疑的是⑤段路径用户密钥被抓取破解,安全漏洞有可能在“微信服务器”,也有可能在“QQ空间服务器”,但“QQ空间服务器”被攻击的可能性更大;我通过baidu搜索了一下国内无类似案例,所以推测问题有可能出在“日本-QQ空间服务器”,存在漏洞被黑客攻击;5. 由于手机没有安装“QQ”,所以⑧⑨段路径是否安全未知,但已经不是本案关键;我们在看看“用心守护您的QQ”的“QQ安全中心”在整个事发过程中的表现:您的账户暂无风险(如下是3月26日截图,和事发当时一样);
因为“QQ安全中心”有登录地域监控,非日本登录需要验证消息,查看“我的足迹”,会发现我的QQ从16:00开始频繁登录,而且登录的地点都是日本;
这里我很难分辨是我登录还是诈骗集团,因为当时我不断在掉线重登,但是可以判定我的QQ的用户名密码已经被泄露;假设此时“QQ安全中心”的登录地域监控,异地登录需验证码这两个功能仍然有效,这里存在如下两种可能:第一种可能:“微信朋友圈”到“QQ空间”密钥同步存在漏洞,或者说密钥算法已经被黑客破解,黑客通过“微信朋友圈”同步“QQ空间”劫持消息解码出密码明文,将我的账户信息导出给诈骗执行,诈骗执行通过日本的本地团队,或者中国团队伪装了在日本地域登录QQ,骗过了“QQ安全中心”的登录地域监控,影响范围是所有微信与QQ捆绑用户;第二种可能:日本“QQ空间服务器”被黑客攻击的个案,黑客仅仅攻击到 “日本QQ空间”服务器,将“日本QQ空间”服务器组作为寄宿主机,但未破解密钥算法,无法获取到密码明文,而通过将“QQ空间”鉴权的消息伪装,通过“QQ空间”服务器内部直接登录“QQ”,此时“QQ安全中心”完全被欺骗,影响范围是日本地域;基于以上不成熟的分析,也许存在错误,但我认为腾讯公司可以有如下几个改进点,可以自我检查,避免更多的悲剧发生:1. 检查“微信朋友圈”到“QQ空间”的QQ用户鉴权算法或密钥的破解风险:该鉴权算法或密钥是否已经被破解或者存在被破解的可能;2. 检查日本“QQ空间”服务器安全:“QQ空间”服务器是否已经被种马;3. 提升“QQ安全中心”对QQ异地登录的监控能力:在海外以国家为粒度监控登录可能存在粒度过于粗犷,这就造成本案中频繁日本国内异地登录未监控到异常,并允许黑客通过“QQ安全中心”免验证码的方式登录成功;
【QQ被盗号后个人处理建议】QQ被盗号后诈骗团伙的作案黄金时间是当天之内,因为被盗人一般人要么没反应过来,不知道QQ被盗,要么知道QQ被盗但是因为其他事物缠身,无法处理,要么就是QQ好友太多,没有办法通知到。诈骗团伙打的就是这段时间差。所以你一旦知道QQ被盗,修改密码自不必说,脑海中首先要梳理出QQ好友中哪些是很有可能给你打款转账的老铁们,这些人要马上一个一个点对点通知到(QQ,微信,电话,短信都行),然后再其他好友逐个通知,通知的方式一定要包括诈骗团伙使用的方式,如诈骗团队使用QQ,QQ邮件联系你的好友,你的通知方式一定要同时覆蓋,才能确保你的好友不会因为没看见微信,而在QQ被骗。
【个人预防建议】1. 如果QQ不使用,建议注销;2. 如果QQ仍会继续使用,建议QQ空间的个人家人信息全部删除或关闭,缩小访问权限;3. 祈祷腾讯公司对“QQ”及“QQ空间”继续投入,保证产品安全;至于你指望“QQ安全中心”,“腾讯管家”能给你带来QQ及QQ空间的安全防护?别想了,洗洗睡吧,就这样。
上一篇
▲杨善深作品一个人的心里山山水水越多,越容易对一草一木动情,也越无情——奇崛的个性总会有自己参不透的时候。”