19世纪末,意大利的经济学家发现了一个重要的二八定律,即:“在任何一组东西中,最重要的只占其中一小部分,约20%,其余80%尽管是多数,但却是次要的。”这个定律揭示了一个真理,也就是一件事的投入和产出往往是不成正比的,只有少部分的人才会起到决定性的作用,其余大部分人的努力虽然有用,但是却不太会影响最终的结果。 在互联网的黑市上,也存在着这样一群符合二八定律的人,他们如同蚂蚁分工一般,20%是在用脑子工作,是当中的知识分子,剩下的80%,则是重复做着低收益、没有技术含量的事,虽然也有用,但纯粹是体力活。 了解这群人最有效的途径,就是融入他们的圈子,只有进入了他们的圈子,你才会真正了解到这背后的故事,今天要写的,则是Steam上绝地求生盗号圈的故事。 一、圈中的那些黑话要寻找到这群人,并不困难,在QQ或者搜索引擎中,只需搜索一些关键字,便可找到大量的交易群:
QQKey的交流群 加入任意一个盗号的交流群,你就能看到他们之间发送的交易信息:
群中的聊天截图 普通人看到这些文字描述,并不容易明白他们是什么意思,这些莫名的名词称号,通常是盗号者之间为了方便,彼此之间约定俗成的一些黑话,上图只是一部分,我们整理了一些黑话,释义如下: 二、分工明确的流水线 在这条盗号的产业链中,参与者们,如同流水线一般,各自配合紧密,一步一步的往下进行着,整个流程画成图的话,是这个样子的:
盗号交易流程示意图 其中主要以下几个环节: A.KEY的获取环节只要使用过网页上的第三方QQ登录的人都知道,当你电脑上已登录QQ且网站支持QQ登录时,可以在不输入密码的情况下,点击头像完成登录,这极大的提升了网站登录的便捷性,但是相较于传统的密码输入,这种方式真的会更安全么? 如果本地环境可信任的情况下,这种情况是安全的,但是如果本地环境不可信,就会有比较大的安全隐患。盗号软件的制造者,通过制作一些木马生成器,可以快速的批量生成盗号木马,通过论坛发帖、群邮件发送等方式,伪装成加速器、破解软件等传播扩散开:
垃圾邮件传播 传播的盗号程序分为两种,一种是纯粹的盗号木马,没有任何加速功能:
没有任何加速功能的盗号木马 另一种则是修改了原来的加速器客户端,利用白加黑方式,启动黑DLL进行盗号的木马:
被修改的加速器客户端 早期腾讯的快速登录是使用Activex的方式实现的,为了兼容不同的浏览器,各个浏览器需要安装不同的控件才能实现快速登录,用户体验较差,而现在新版的快速登录,已不再依靠控件,而是通过QQ客户端本身在本地建立一个localhost服务器,类似IIS,把需要快速登陆的域名,解析到127.0.0.1,再通过对Cookie的操作,传递ClientKey,从而实现快速登录:
快捷登录抓包 虽然在实际使用时,这中间的跳转、参数验证很多,但是经过实验和对盗号软件的分析,我们发现本地要想实现对ClientKey的盗取,其实非常简单,只需要进过几步操作,就可以正确获得ClientKey了,没有任何阻碍(由于涉及到敏感操作,暂不透露具体实现步骤,已经提交TSRC处理)。获取到的Key有一定的时效性,为了避免号主改密和Key失效,以及后续盗号步骤的顺利进行,盗号软件还会进行如下操作: ① 将获得到的Key发回到自己服务器进行集中存储:
盗号程序发回Key到服务器 ② 打开QQ邮箱的邮件自动转发功能,开启POP3/IMAP/SMTP/Exchange/CardDAV/CalDAV服务,方便后续收取Steam密码重置邮件。 售卖这类盗号软件的渠道众多,除了上述靠论坛、邮件传播外,甚至在电商之中,也混杂着此类打着破解旗号的盗号软件销售:
某宝售卖的加速器
使用网购破解加速器被盗号 更有甚者,在网吧中,批量扫号获取Steam的游戏账号,或者直接修改网吧Steam的程序,进行盗号,只要在被修改过的网吧客户机上登录Steam账号,即可被盗,让人防不胜防:
使用QQ邮箱导致被盗号
网吧吃鸡被盗号
网友晒图,网吧批量拿号 作为账号被盗方,往往觉得莫名其妙,甚至网上发帖吐槽质疑Steam乱封号,但却不知自己的Steam账号,早就被人用来开挂测试了,等到盗号的开挂者被系统封禁后,真正遭殃的就是无辜的号主了:
网友吐槽Steam账号莫名被封 盗取到的KEY在发送到盗号者手中后,盗号工具并没有就此结束它的使命,通常,被盗玩家在发现账号被盗后,会去尝试修改QQ密码和找回Steam账号密码,但是由于QQ邮箱被设置了邮件转发和拦截Steam邮件,后续的所有找回操作,都变得困难重重:
被盗邮箱屏蔽了通知类邮件 B.洗号环节参与洗号的人,是这个盗号链条中最没有技术含量,却又最累的,他们熬夜通宵洗号,就是为了将上一步获得的QQ进行筛选,挑出拥有Steam账号的QQ号,然后人工再进行进一步的筛选,挑出有极品装备的账号,此类账号具有高价值,交易中更容易卖个更好的价格。
与洗号者的交流 洗号的操作通常会在晚上通宵进行,因为晚上的话,不容易被号主发现,从而延长被盗Q的存活时间,而洗完之后普通的账号,则会再次进入电商进行售卖:
普通Steam账号售卖 有趣的是,洗号者拿到的号,有一定几率是会拿到被别人洗过一遍,转手二次售卖的账号,信誉好的商家通常会保证自己提供的号中的最低密正率,若低于这个值,可以免费补发:
卖家洗号成功率保证 账号的价格并不是固定的,截止目前,因腾讯对于QQ邮箱验证码收信的限制,导致市面上账号量减少,因此价格也随之波动:  C.卡盟制作出来的盗号软件,为了更好的分发和售卖,必须加入登录验证系统进行管理,卡盟的存在就是为了解决这个问题,他们进行售卖充值卡,用来换取盗号软件以及XYZ域名的使用时长:
售卖点卡的卡盟 三、厂商做出的努力这条产业链从诞生至今,已经持续了相当长的一段时间,伴随着绝地求生的火热,一个普通的洗号者,收入可以轻松年入几十万,往上的其他人员(卡盟、盗号软件作者),收入更是无法想象,不过值得庆幸的是,在这篇文章编写的过程中,情况已经发生了些许的变化: 1.QQ邮箱对Steam的验证信息进行了额外保护,单纯的从KEY进入邮箱后,无法直接看到验证消息(不过这里仍然存在办法可以绕过,这个保护还不是很完善,发现的问题已经提交TSRC处理):
邮箱保护Steam账号验证码邮件 2.设置邮件自动转发时,添加了QQ密码验证措施,防止QQKey进入的人,设置自动转发:
QQ邮箱因为使用非常便利,拿来注册各种游戏、账号的人数也非常多,所以盗号者关注得也多,对于防范QQ邮箱导致的盗号,我们的建议是: 1.游戏账号绑定QQ邮箱之外的其他邮箱,如:微软的outlook邮箱、谷歌的Gmail邮箱等,同时设置一个不同于QQ以及游戏账号的密码,防止QQ账号失陷后,其他相关联的账号全部失陷。 2.如果不方便更改关联的QQ邮箱,请开启QQ邮箱的独立密码(有独立密码的账号,盗号者较难突破),并检查如下设置,如POP3/SMTP等服务是否关闭,若不关闭,盗号者可直接接收你的邮件无需QQ密码,QQ改密码操作也不会影响盗号者正常接收邮件:
7.请在确定手机令牌绑定成功的情况下,再在网吧使用Steam,切勿使用第三方破解加速器,下载Steam请从官网下载:
山寨程序下载 五、后记随着QQ本身安全性的不断提升以及成熟的风控,盗号者现在已经很难做到对QQ号本身进行盗取了,但是衍生出来的其他关联产业的盗号,却是一直生生不息,绝地求生的火热,无疑再次带动了传统的盗号行业。 当大家都在谈论新技术、新游戏的时候,黑市上的人也在一边喝酒,一边为这些新兴起的事物,唱着赞歌,享受着它们带来的福利,或许绝地求生和腾讯的合作,会抑制盗号的猖獗一段时间,但谁又知道下一次会是哪个游戏呢? 相关MD5:48b4ce7659cce990d502fa310ee927d0 32d9b65e33c9b7b27c7dbe6a1b4af468 e577de76e3b090f01ac174d50d796104 6277c8b9eeae1602acf612b5a674647f 91034798f0ba1639e2df488cf07ecfab 78fb8e9f8866beda3a6d4cda041747ee d6fd3c8bcea38e0b4b552c2efe084b5d 57fc3bfe48069ecba7f538cac3ee55d1 相关域名:43.226.77.66 45.114.127.226 api.dididati.com/v2/login?username=2095XXXX@qq.com&password=a2095XXXX 本文作者:安全豹,转载请注明来自FreeBuf.COM ==以下是赞助商内容== 华夏网盟官方微信交流群,期待你的到来, 明人不说暗话,我们缺司机,特别是很老的那种
|
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
本站是非盈利性质的论坛,所有信息均为原作者提供和网友推荐收集整理而来,仅供学习和研究使用。如有侵犯你版权的,请来信指出(hxwglm@outlook.com),本站将立即改正.
学网吧技术,到华夏网盟
做网吧行业最后死去的一个论坛
