事情的开始是这样的,前几天的时候,QQ 响起来了,一位朋友找我帮个忙,聊天记录见下图。
聊到我说我也没卡哪里,我也没有起疑心。因为他经常找我帮他在TaoBao买个东西啥的。不过,我心里再仔细一想,聊天有点不对劲啊。他今天怎么没叫我龙哥?我就马上WX问他说你号是不是被盗了,他说是的。然后就知道原来对面是个骗子,于是我就开始…嘿嘿嘿于是,我赶紧就百度随便找了一个卡号,瞎编了一个名字给他,叫他给我转账。后来我朋友看了聊天记录,说我真是个戏精,给自己加戏!这里本来想着,发个木马给骗子,然后能控制骗子的电脑。但是,朋友说他要自己搞,还要免个杀什么的(杀毒软件检测不出)。其实可以看到聊天记录中骗子发了个银行转账截图。这些都是可以利用软件一键生成出来的。朋友其实也尝试了改,但是当时改密码后,对方也是秒改密码,一直循环了10多次,于是后边便放弃了。我这里就在想是不是有某个BUG。后边感觉应该是QQ安全中心那个动态码,所以能秒改密码!然后,通过后面的分析,想了想骗子是如何盗取他 QQ 号的。后来找到原因了,是因为他的号经常借给朋友玩 LOL,所以没有设置设备锁。他朋友好像也上过钓鱼网站,导致密码给泄露了出去。但是这里我也有一个疑点,QQ 不在常用登陆地,为什么没有显示风控呢?这个思路可以无限裂变的,想想都恐怖。只要盗取一个人的QQ号,给10个人打款,在给10个好友发辅助申请。成功率在此不说。普通人估计都顶不住这波伤害的!
然后我通过查看QQ好友,发现!文章的重点,亮点来了!我们都知道改 QQ密码有申诉要求好友辅助功能,一个 QQ 几百号人,找两个人辅助认证应该不难吧,但是你有没有想过,其实发短信并不是让你辅助认证,而是骗子以辅助好友认证的名义,帮你改你自己的密码!这思路,骚不骚?知道了思路,我们总要来玩一下!这里,我找了我QQ上面一个小姐姐来测试了一下。为了让她入戏,我可是说了不少好话。通过测试我发现对于设置了二代密保,没有设置设备锁的账户,这个方法是可行是。即使我有你密码,我也登陆不了,登陆手机QQ也是登陆不了的,邮箱、空间。我没有试,但是只要设备锁上没有设置限制,就应该能登陆。然后想着骗子能秒改密码,我也下载了一个QQ安全中心。虽然说有字在上面挡住了,但是后面的动态码还是能看见的,这个动态码会一直刷新。是否可以使用右边的扫一扫,扫描登陆,这里我就没有再进行测试了。但是我记得Steam的认证设备就存在一个类似的Bug 。上面这个思路,发现挺骚的。利用重置密码的短信验证功能,加上社会工程学。来达到改密码的效果。如果在配图是不是更完美了。但是必须是目标QQ绑定的手机号发送,如果对方不是绑定手机号发送的短信,自己想一想可以怎么改图达到效果。老活新整!哈马斯再出美人计对以色列进行网络攻击
祝某某通过录屏从钉钉非法获取阿里、蚂蚁金服 8 万条信息:被开除
粉丝被杀猪盘骗了十五万-我重拳出击拿下
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650460001&idx=1&sn=8811db0e028ec38fc023e488e331504b&chksm=83bbaa85b4cc2393bf86f782ddfd0fa46e9af6617687d04ee3a577837c3093ad157c668b5fd0#rd
如有侵权请联系:admin#unsafe.sh