登陆 注册

遇到一个骗子,发现一个骚思路!

十年 2020-03-11 安全文摘

事情的开始是这样的,前几天的时候,QQ 响起来了,一位朋友找我帮个忙,聊天记录见下图。

聊到我说我也没卡哪里,我也没有起疑心。因为他经常找我帮他在TaoBao买个东西啥的。

不过,我心里再仔细一想,聊天有点不对劲啊。他今天怎么没叫我龙哥?

我就马上WX问他说你号是不是被盗了,他说是的。然后就知道原来对面是个骗子,于是我就开始…嘿嘿嘿

于是,我赶紧就百度随便找了一个卡号,瞎编了一个名字给他,叫他给我转账。

后来我朋友看了聊天记录,说我真是个戏精,给自己加戏!

这里本来想着,发个木马给骗子,然后能控制骗子的电脑。但是,朋友说他要自己搞,还要免个杀什么的(杀毒软件检测不出)。

后续因为做免杀测试等原因,无奈的让骗子跑掉了。


其实可以看到聊天记录中骗子发了个银行转账截图。这些都是可以利用软件一键生成出来的。

像下面这样:

写到这里,可能有人说,怎么不及时改密码呢?

 

朋友其实也尝试了改,但是当时改密码后,对方也是秒改密码,一直循环了10多次,于是后边便放弃了。

 

我这里就在想是不是有某个BUG。后边感觉应该是QQ安全中心那个动态码,所以能秒改密码!


然后,通过后面的分析,想了想骗子是如何盗取他 QQ 号的。

 

后来找到原因了,是因为他的号经常借给朋友玩 LOL,所以

没有设置设备锁。他朋友好像也上过钓鱼网站,导致密码给泄露了出去。但是这里我也有一个疑点,QQ 不在常用登陆地,为什么没有显示风控呢?


这个思路可以无限裂变的,想想都恐怖。只要盗取一个人的QQ号,给10个人打款,在给10个好友发辅助申请。成功率在此不说。普通人估计都顶不住这波伤害的!

 

然后我通过查看QQ好友,发现!文章的重点,亮点来了!

看出什么玩意来没有。

没有? 好吧。我截个图。你可能就会明白了。

所以,究竟是怎么玩的呢?

我们都知道改 QQ密码有申诉要求好友辅助功能,一个 QQ 几百号人,找两个人辅助认证应该不难吧,但是你有没有想过,其实发短信并不是让你辅助认证,而是骗子以辅助好友认证的名义,帮你改你自己的密码!

 

这思路,骚不骚?知道了思路,我们总要来玩一下!这里,我找了我QQ上面一个小姐姐来测试了一下。为了让她入戏,我可是说了不少好话。

 

通过测试我发现对于设置了二代密保,没有设置设备锁的账户,这个方法是可行是。

 

但是如果是开了设备锁,就是下面这个样子。

即使我有你密码,我也登陆不了,登陆手机QQ也是登陆不了的,邮箱、空间。我没有试,但是只要设备锁上没有设置限制,就应该能登陆。

 

然后想着骗子能秒改密码,我也下载了一个QQ安全中心。

没有验证设备是下面这个样子的。

 

虽然说有字在上面挡住了,但是后面的动态码还是能看见的,这个动态码会一直刷新。

是否可以使用右边的扫一扫,扫描登陆,这里我就没有再进行测试了。

 

但是我记得Steam的认证设备就存在一个类似的Bug 。

 

上面这个思路,发现挺骚的。利用重置密码的短信验证功能,加上社会工程学。来达到改密码的效果。如果在配图是不是更完美了。

 

比如这图,你就看懂了吧。

这图如果发给我自己,估计我自己都快相信了。

不行还有F12元素大法,改完再截图给他看呗!

 

但是必须是目标QQ绑定的手机号发送,如果对方不是绑定手机号发送的短信,自己想一想可以怎么改图达到效果。


温馨提醒:

 

转账汇款一定要核实是本人。

比如这次这个事情,听说被骗的还有某信安大佬。

文由微信公众号Admin Team

生成海报
请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net