这波盗号很迷......不要扫描来路不明的二维码！！！

你好呀，我是歪歪。

嘿，铁子，你的 QQ 还好吗？

我记得上个周末的晚上，本来我正在看某说唱节目，刚刚把老舅的《年轻的窦唯》听完，正觉得很上头呢，突然看到群里有人说 QQ 出事了。

于是我立马打开了微博，看到了这样的景象：

看到学习通和 QQ 盗号并排站在一起的时候，当时我就会心一笑，这场面，像极了站在教室门口罚站的两个小学生。

学习通被拖库我本来是不知道的，但是看到别人发的一个图片，或者说一个段子：

然后我才去了解了一下，发现居然泄漏了这么多数据：

所以，我自然而然的把这两个事情联想到一起了。

肯定是有学生的学习通的密码设置的和 QQ 一样，黑产的那帮哥们直接用学习通的密码去登录 QQ。

啪，一下，登录成功。

这个过程，说的专业一丢丢就是撞库。

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

然而就在电光火石之间，我觉得事情肯定是没有这么简单的，虽然我多年不登录 QQ 了，但是我依稀记得换设备登录，或者网页登录是需要扫二维码的呀，不可能直接拿着 QQ 密码就登录成功的。

更不用说我看到的这条微博了：

小心 QQ 安全部门的朋友跳出来打爆你的狗头。

点个链接就被盗号的事情，从技术上来说我觉得是不可行的。

除非是你自己点了链接之后，它让你输入账号密码，你自己乖乖的输入了一遍。

但是这个技术含量就下降很多了，这种行为属于“钓鱼”，稍加留神都能识别出来。

反正我当时觉得 QQ 这事儿应该是和学习通有着千丝万缕的联系，但是我又实在想不通黑产的这些哥们是这么做到拿到密码就能直接登录的呢？

毕竟就算是 QQ 号的主人拿着密码，换个设备登录，都会触发另外的安全策略，不会让你直接登录成功的。

算了，想不明白，就不想了吧...

直到我看到了 QQ 的这个官方说明：

那一刻我才回过味来。

回过味来之后，我又冒出一丝丝冷汗。

你看官方解释中的这句话：

发现主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录。

然后，我还看到了一个来自第一财经记者的独家报道：

此次大批QQ用户遭遇账号被盗，主要是因在多家网吧登录 Tecent WeGame 时，被提醒需用 QQ 账号扫描二维码登录，首次扫描不成功后，再次扫描被黑产团队截取用户信息，在不获取用户账号与密码的情况下，进入 QQ 账号内，传播垃圾信息，为这些黑产产品引流。

同时我还看到了这样的一个视频，可以看到 Tecent WeGame 下面还藏了一层皮：

http://mpvideo.qpic.cn/0bc3paaagaaax4ab2353hjrfa6gdan4aaaya.f10002.mp4?dis_k=aadc447e8e4f46adb86eeaf26f3a66f8&dis_t=1667299432&vid=wxv_2463532985028313090&format_id=10002&support_redirect=0&mmversion=false

也就是说，被盗号的人是因为扫码了一个伪装的二维码，然后手机上弹窗要求授权登录。

本质上来说，二维码也是一个链接，但是这个链接不论是什么，哪怕它就是一个一眼假的链接，它藏在了二维码里面，我看不到，所以我不能通过链接来辨别是否安全。

它们只需要把二维码做的官方一点，做的真一点，然后我又着急上分，根本没仔细看弹窗的内容。

也许，我就直接无脑授权了。

在整个过程中，我的密码并没有泄露。但是由于我授权了，密码反而变得不那么重要了，因为黑产的哥们已经登录成功了。

虽然说本质上也是一种“钓鱼”，但是我细嗦了一下，感觉这波操作：高，是在高。

我猜测攻击过程可能是这样的。

事先说明都是我的猜测，一点都不保真，可能有安全大佬看到了之后，轻轻一笑：我喜欢这个小伙子，他在一本正经的胡说八道。

首先，要有一个钓鱼软件，比如前面说的在网吧里面被动过手脚的 Tecent WeGame。

然后，这个操作本质上是要引导用户扫码授权，登录 PC 端（或者其他什么端）的 QQ。

那么黑产的哥们要搞到一个 PC 端的登录二维码，如果是单纯搞一个登录二维码是很简单的事儿。

但是我们知道登录二维码一般来说是有有效期的，指定时间后不扫就过期了。

所以，这个码一定不是预先生成的，而是实时生成的。

因此，我大胆的猜测，钓鱼要成功，除了扫登录二维码这个必须的动作之外，还要有一个获取 PC 端登录二维码的动作。

所以才有了前面说的“首次扫描不成功后，再次扫描”的动作。

因为首次扫描之后，就是告诉后台，有鱼儿上钩了，该去生成登录二维码了。

然后提示用户扫码失败，请再次扫码，这个时候的二维码已经是登录 PC 端的二维码了，按理来说用户的手机上会提示“你正在登录 PC 端 QQ”什么的，让你确认。

但是，大部分用户可能根本就不看，因为在他们的视角，我登录的是 Tecent WeGame，这能有什么问题？

他们想的更多的是：赶紧的吧，我要上分，我要开黑，我要玩盲僧。

于是，哼着小曲就喜滋滋的点了确认。

此时，黑产的哥们登录成功，可以准备搞事情了。

为什么我说细思极恐呢？

因为这个攻击手段，它完全可以剥离于 QQ 存在，移植到其他类似的可以扫描授权登录的软件里面。

因为对于 QQ 来说，我理解这就是一个用户扫描二维码登录的场景。

本质上是钓鱼，但是它绕过的是什么？

绕过了人们本能的对于输入账号、密码的敏感度，但是却没有注意到只要扫描二维码点击授权之后，也是可以登录的。

基于以上的猜测，我想了一下我最常用的微信。

当我在电脑上登录了之后，我的微信页面有这样的提示：

点进去之后它会告诉你电脑上微信是登录着的，同时还给你提供了在手机上退出电脑登录的功能：

包括扫码登录的时候，微信弹出的页面是这样的：

已经非常明确的提示你：注意哦，点击登录之后就是在电脑上登录微信了哦。

你要是在攻击的情况下，还是无脑点了“登录”。

那我只能理解你这波被盗号，不算亏，吃个教训也挺好的。

按理来说，微信有的这一套，QQ 也都是有的。

好了，说回 QQ 的登录。

我还看到了这条微博：

也就是说 QQ 的扫码登录流程采用的是业界常见方案 OAuth2 认证。

那么说到 OAuth2，就不得不说到 CSRF 了。

CSRF，（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

感兴趣的可以去了解一下，这玩意也偶现于面试环节。

本质上和 QQ 这次差不多，就是攻击者盗用了你的号，以你的名义发送一些奇奇怪怪的东西。

我觉得 QQ 不会这么低级，毕竟现在针对 CSRF 攻击已经有成熟的解决方案了。

但是通过这个事件，去研究一下各大网站的登录逻辑，也是极好的。

‍‍‍另外，腾讯这波关于二维码的解释我理解其实也只是一个比较敷衍的借口，比如很多人反映根本就没有扫过什么二维码，也被盗号，这个怎么解释呢？

最后既然腾讯决定拿“二维码”来说事儿，我也想简单说几句。

我看有人在喷，说目前的网络环境下，二维码已经是处于一个滥用、泛滥、一发不可收拾的地步了。

大家都知道来路不明的链接不要点，然而大家对于扫二维码的戒备远远低于点链接，但是一个二维码的本质也是链接。

所以二维码错了吗？

我觉得二维码只是一项技术而已。

技术无罪。

就像有人拿着刀伤了人，你会说刀做错了什么吗？

错的是人。

最后，附上我写完了之后才看到的安全大佬针对这个事件的分析，我果然是在一本正经的瞎说：‍‍

顺便再看看 QQ 官方公告下的三个小“笑话”吧：

··················END················

你好呀，我是歪歪。我没进过一线大厂，没创过业，也没写过书，更不是技术专家，所以也没有什么亮眼的title。

当年高考，随缘调剂到了某二本院校计算机专业。纯属误打误撞，进入程序员的行列，之后开始了运气爆棚的程序员之路。

说起程序员之路还是有点意思，可以点击蓝字，查看我的程序员之路。

​​