你的微信、QQ,到底是如何被“盗走”的?
微信号被盗怎么办?当微信已经渗透到我们的生活、工作等方方面面后,这个问题恐怕很多人都不敢去想。
在我读大学的时候,就曾经有一个老师的QQ号疑似被盗,在班级群、专业群、院校群等多个群发布黄色图片,引起全校热烈讨论,即使后续大家都能知道是被盗号导致的,实际上也是让那位老师好一阵都来去匆匆,不想与人交谈这件“丑事”。
此外,各种微信号、QQ号被盗,然后用来诈骗亲朋好友的情况,在前几年并不少见,如果你已经有段时间没有登录QQ,不妨上去看看,说不定就能看到一些老相识发来的“垃圾信息”。当然,也有可能你的QQ号变成了发“垃圾信息”的账号,被多个QQ群、好友屏蔽踢出。
图源:微博
这些与人际关系深度绑定的社交账号,正在成为我们的“死穴”。近日,一个微信群截图就引起全网热议,在某“xx省单位资产系统技术支持群”中,一个备注“xxx办公厅”的群友,突然发布了三则信息,分别是“你老公出门了吗?”“等下我去你家”“穿丝袜等我”。
图源:微博
因为信息内容过于劲爆,聊天截图以惊人的速度传播并引起热议,更有好事者将其称为“丝袜门”,而在截图广泛传播后,相关方面给出的回应最初是病毒入侵,然后又改为微信号被盗,同时还表示已经让纪委、公安等部门介入调查。
随后相关部门发布了初步的调查结果,结果显示该微信号在当晚的10:02、10:03、10:07三个时间段分别在三个微信群发送了不雅信息,更具体的信息则需要等待后续的调查结果。
图源:微博
如果说最开始大家还对“微信号被盗”的说法有所疑问,那么在看到纪委的公告后,恐怕都会打消疑惑,毕竟如果真的是“发错群”,不太可能连着发错三个群。不过,这位账号负责人估计也是妥妥的“社死”了一段时间,同时也让人好奇,为什么他的微信账号会被盗?
对于微信的安全性,作为微信用户的我们是深有体会的,比如切换设备后想要重新登录微信号,一连串繁杂而多样的验证要求,只要有一项过不了就无法登录。即使你知道了微信号的密码,想要登录也要经过手机验证等步骤,可以说只要手机在手,微信号基本上不会被盗用,有时候手机号不慎停用,想要找回微信号都是困难重重。
图源:微博
这也是为什么大家一开始对微信号被盗的说法充满疑惑,至于最开始被病毒入侵的说法,则更加离谱,病毒入侵并不少见,不过一般都是入侵手机系统,并且通过隐蔽的方式窃取手机信息,很少有人会专门开发一个在微信发不雅信息的病毒。
至于入侵腾讯的服务器并群发不雅信息,可能性则更低,先不提微信信息本身都存储在手机端,服务器只是负责转发,黑入腾讯服务器的难度也是极高,虽然并非完全不可能,但是发生的概率远小于微信号被盗。
让我们说回微信号被盗的问题,恐怕不少80后、90后都记忆犹新,从游戏账号到QQ账号,与互联网一起成长的我们,基本上都遇到过账号被盗的情况。我就曾经有过几次游戏账号被盗的经历,甚至QQ账号都被盗过两次,不过在我的记忆中,自从腾讯多次升级安全保护机制后,类似的账号被盗情况已经大幅度降低。
当然,最近两年在QQ中也不时能看到一些许久不联系的朋友,突然在群里发一些诈骗和不雅信息,对此大家也是见怪不怪了。不过,如果微信中突然有人发一些不雅信息到群里,多数人的第一反应其实都是“发错了吧?”。
实际上,在日常使用中,QQ号被盗的频率确实高于微信号,特别是一些长时间没有使用的QQ号,因为没有及时更新安全保护信息,都存在不少的安全隐患。目前,QQ号和微信号的保护机制其实十分相似,甚至在保护功能上,QQ号还更胜一筹,多种保护措施,稍有不对就直接限制登录,即使如此也架不住用户自己“作死”。
图源:QQ安全中心
首先就是手机号验证,这是一个非常有效的防盗手段,基本上可以杜绝陌生人异地登录的可能,在微信号注册的过程中,手机号验证是强制性的。QQ号在最近几年也要求使用手机号验证,但是在此之前,QQ号是可以随意注册的,只需要一个安全邮箱即可。
当然, 在注册成功后,用户可以选择绑定安保手机等功能,在更早期甚至会生成一张密保卡,上面用英文字母和数字划分出一个表格。QQ用户在开启高等级保护后,在非常用IP地址登录都需要按照字母+数字的提示找到对应的格子,将格子中的信息填入验证窗。
在后续的安保升级中,手机验证、安全邮箱、异地登录保护、实时验证码等功能,基本上让QQ号的安全性得到有效保障。微信同样如此,频繁的验证需求,基本上也杜绝了他人在无法控制和获取手机号的情况下,直接远程登录的可能。
就个人体验而言,基本上只要把QQ的安全保护功能打开两到三个,被盗号的概率就已经很低,想要突破腾讯的层层阻碍盗取账号,难度远高于入侵你的手机或者电脑,然后打开远程控制。
那么问题来了,为什么还是屡屡出现微信号被盗用的新闻呢?
在很多人看来,微信、QQ被盗,基本上都是用病毒入侵等方式完成的,事实上,如果仅考虑非接触式盗号的话,确实如此。通过网络入侵有安全漏洞的电脑或手机,然后通过木马程序来远程控制或窃取密码等信息,就可以完成一次远程的非接触式盗号。
不过,随着Windows、Android和iOS系统的安全系统逐渐完善,多数情况下系统都是安全的,除非有人故意针对你发送钓鱼链接,然后你不仅安装还提供了系统权限,否则大多数恶意软件都只能进行简单的信息收集、屏幕共享等操作。
实际上,很多所谓的微信号被盗事故,背后的方法往往简单到让你觉得匪夷所思。
说到这里就不得不提到一个网络入侵中的常见概念:社会工程学,这个概念由顶级黑客凯文·米特尼克在自己的著作《反欺骗的艺术》中提出。凯文·米特尼克被誉为世界头号黑客,曾经入侵过美国的多个政府系统,也是全世界第一个因网络犯罪而被逮捕的黑客,然而,在他的这本著作中,并没有大家花大篇幅介绍各种计算机安全技术,而是将核心放在了“社会工程学”上。
图源:TechNews
简单来说,再严密的系统,只要有人参与到系统运行中,那么这些人就是系统的最大漏洞。举个例子,有家公司发现自己的商业机密信息屡屡被竞争对手获取,即使花大价钱升级网络安保措施也无济于事,甚至无法找到对方入侵的痕迹。最后,在网络安全专家的建议下,他们开始检查办公区域的监控摄像头,然后发现一个清洁工每天都会进入该区域并停留一段时间。
清洁工进入房间打扫是一件很常见的事情,但是逗留的时间无疑有点超出一般打扫所需要的时间,随后,网络安全专家和安保人员将清洁工喊来问话,然后获知了一个惊人的消息:一个穿西装的人曾经给过他一个U盘,并且告诉他只要在打扫卫生时把U盘插入CEO的电脑并开机,然后等待十到十五分钟再拔走,只要完成这项工作,对方就会支付一笔薪酬。
通过对U盘的分析,专家在其中发现了无线网络收发装置和木马程序,因为是通过物理方式直接入侵,所以对外的网络安全系统丝毫没有察觉。这个入侵案例就是典型的社会工程学应用场景,你并不需要解决高安全性的保护系统,只需要解决能够接触或是参与系统运行的人就行。
同理,微信盗号有时候或许只需要按一下开机键即可。大家应该都注意到,微信去年上线了免密自动登录功能,在常用设备上,用户可以无需输入密码和手机确认就可以直接登录微信。
图源:雷科技
换言之,如果你的电脑没有设置密码或是密码被他人获取,那么其他人就可以直接打开你的电脑并登录微信,其间甚至不需要用到任何的网络入侵手段,盗号,有时候就是如此简单。
另外,一些单位、企业的官方微信、微博等都会登录在一台专门的工作手机上,如果这台手机没有设置密码且被他人获取,同样可以轻松借用这些官方账号发布各种信息。
QQ等账号同理,大多数的盗号案件,背后其实都是使用者的疏忽大意所造成的,真正通过网络入侵实现的盗号,随着腾讯的安全措施不断升级,其实已经越发少见。
图源:QQ
所以,如果想最大程度地保障账号安全,除了定期检查网络安全设施、电脑和手机之外,还需要使用者提供安全防范意识,不将重要的设备解锁密码告知他人,日常使用的设备也最好设定具有安全性的密码,防止被他人直接登录。
如果对安全性有较高要求,最好不要使用微信的常用设备免验证登录功能,在你无法确保设备安全的情况,会极大地增加微信号被盗用的风险。可以说,单论从服务器端盗取账号,那么难度是极大的,但是如果是从现实世界中物理手段盗取,那么如果使用者不懂得防范,想要盗取你的账号,易如反掌。
本文来自「雷科技」,36氪经授权发布。