2011年,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》出台,公安机关严厉打击黑客攻击破坏活动,震慑了黑客圈,大批黑客放弃病毒制作,少部分黑客转向了流氓软件、勒索病毒和挖矿病毒,针对QQ的盗号行为已趋于末路。
木马专家万立夫这样对作者解释:“流氓软件主要是刷流量,这种打擦边球的灰色产业链不容易引起警方注意,勒索病毒和挖矿病毒都与虚拟货币有关,可更好隐藏病毒作者的真实身份。”
于是2013年之后,QQ配上手机扫二维码登录方式逐步得到解脱(编者注:围绕腾讯游戏的盗号木马是在2015年步入低谷,这是另外一场艰苦持久的博弈),继而流氓软件逐步成为安卓平台的头号心腹大患,勒索病毒和挖矿病毒一跃成为当前病毒界“明星双煞”。
这个事情黑客并没有彻底认输,想出了不少曲线盗号手法。
模仿QQ官方页面
2010年后网络钓鱼产业链已形成:专门有人设计钓鱼网站模板(利用模块可以在极短的时间内量产大量相似的钓鱼网站),专门有人搭建钓鱼网站,专门有人传播钓鱼网站,专门有人提供假身份证,专门有人提供电话服务。
那时,安全厂商每天鉴定的钓鱼网站数量在8000个~10000个之间,而每天新增的钓鱼网站上万个,总有钓鱼网站成为漏网之鱼,威胁网民安全,一不小心访问了QQ邮箱钓鱼欺诈页面、QQ安全中心钓鱼欺诈页面等,就可能双手将QQ账号和密码献于黑客。
以美女照片为诱饵
通过微博、论坛等渠道传播访问某某网站可以浏览漂亮美眉以及最新XXX艳照的消息,网友点击消息中的链接后,进入一个类似QQ空间的网页,网页的其他内容半透明,主内容是一个QQ登录窗口,只有输入QQ账号和密码才能浏览图片,总有色迷心窍的网友上当受骗。
刷Q币陷阱
黑客利用网民“天上能掉Q币多好”的愿景,炮制了数不清的刷Q币软件,这些软件吹牛的本事一个比一个强。
稍有谱的说利用腾讯漏洞窃取Q币,实际上根本没有所谓的任意刷Q币漏洞,离谱的说强行连接腾讯数据库窃取Q币、破解电信声讯服务系统窃取Q币,这两种窃取方法没有黑客做得到。
吹牛的目的当然是为了忽悠用户输入QQ号码和密码,体验神奇的刷Q币功能,事实上这些软件都是空壳软件,根本没用。
HOSTS反黑文件作者、反钓鱼专家蒲浪向作者描述他做过的实验:“上百款刷Q币软件无一有效,有的图QQ账号和密码,有的直接骗钱,例如蓝鹰QQ刷币器,号称一次刷50~200个Q币,要先注册才可使用,每次注册用户被骗2元钱,钱流入北京天盈九州网络技术有限公司、怡丰联合科技有限责任公司的腰包。通过反编译,发现此类软件都是空壳软件,根本不具备任何实际功能。”
除了刷Q币软件,网上还有一堆QQ神奇软件(刷赞软件、图标点亮软件等),都是一样的套路。
QQ的应对之法是启用智能拦截钓鱼网站技术,通过提取钓鱼网站的特征码,再根据钓鱼网站特征码拦截未知的钓鱼网站;拦截传播QQ空壳软件的网站。
黑客的这些新花招一公开就不灵了,只能昙花一现,QQ终于获得全面压制优势。
不妨回忆一下,有多久没有听说身边人QQ被盗了。
2016年~至今:与黑客化敌为友
QQ盗号虽然威胁极大,但依然属于低级黑客玩的范畴,高级黑客青睐漏洞攻击、渗透攻击等,腾出手的腾讯令此类攻击逐步边缘化。这又是怎么回事呢?一个原因是腾讯安全崛起,另外一个原因是黑客转型白帽成为共识。
腾讯安全崛起
2016年腾讯安全联合实验室正式成立,下设科恩实验室、玄武实验室、湛泸实验室、云鼎实验室等七大实验室,荟萃了大批顶尖安全高手。
譬如玄武实验室掌门人TK,国际顶尖白帽黑客,公认的“黑客教主”,微软2016版全球黑客贡献百人榜,其名列第二,再譬如湛泸实验室掌门人yuange,国际顶尖白帽黑客,公认的“黑客宗师”,2008年北京奥运会特聘其负责信息安全……