记一次针对鹅厂的盗号追踪——盗号，朋友，以及妹子的故事

一. 说明

本文是我的一次有趣的追踪经历，写出来，作为一个盗号追踪案例，供大家参考学习，同时也有让大家重新反思低端诈骗的攻击性，和非网络安全从业者对网络诈骗的警惕性的作用。

PS：本文仅用于技术研究与讨论，严禁用于非法用途，违者后果自负

二. 附加背景与说明

就在几个星期前，鹅厂貌似爆出了在线文档那么一个漏洞。

我自己也收到了在线文档，好像是点了会有密码泄露，引起了我的兴趣。

而前几天我的一个朋友和就刚刚又有一个朋友被盗了号，所以我打算写写对盗号的追踪案例。

注意，因为文章是我在事情结束后分4个晚上写的，所以截屏的时间逻辑是对不上的，但绝对是我最近真事。同时，为了文章简短，我有部分追踪的内容没写出来，所以在追踪逻辑小细节有点小问题和部分没说明，初投稿，请见谅！

三. 发现的开始

就在几天前，我看到我的QQ空间里有朋友抱怨的自己号被盗掉了。

然后我就闻到了可能是越权漏洞的香气（一般不会有漏洞），并主动向他要那个二维码。

可惜他在找回自己账号后，把所有信息都删了。

我就让他先检查一下自己的安全设备，看看有没有不熟悉的。

因为我们关系比较好，所以他打算把号给我，要求我对他进行正义的审判

在他给我密码时，我有点惊讶的，发现他的密码是弱口令，当然，也许是因为他临时用这个密码的原因。

经典的名字加123456

四. 登录朋友账号

登录他的账号后，我就开始查他的账号最近有哪些ip登陆过

然后大威天龙，不对，我第一眼发现了赣州的ip

还有个湖南的，所以我就在想，这是不是攻击者的VPN或者其他ip伪装手法。

当然，为了确定，我问他最近有没有去过外地，他回答没有。

然后我就一直把朋友的账号登陆记录往上翻。

我发现赣州的登录最早出在19号，（因为腾讯是只保留七天的记录了，所以再往前查不到了。)

出现在19号下午4:24。

我就问他19号那天干什么去了？

他说，中午去了趟网吧，4:00就下机了。

4点24绝对不是他登的

此时我怀疑是网吧的问题，有人安装了记忆键盘，或者对电脑有过手脚，但就算攻击者拿到了密码，也是无法登陆的。需要验证码或者手机令牌。

中间我也问过他那个互联业务是什么？他说忘了。

没办法，只能回到检查其他ip，与寻找二维码。

当然，此时我们也不是只干了一件事。

我在登他号之前，我就让他重新去添加那个攻击者的账号。(虽然不容易成功，而且攻击者就算会同意，也会先登下我朋友的号看看有没有陷阱，所以我没有在账号安全删攻击者的设备，让他更好登陆)

五. 逐渐清醒

为了寻找到二维码，我开始翻这个账号的加好友记录。

成功加到一个妹子

她说她也是受害者，但作为被坑过的我，保留了30%，她可能就是攻击者的可能性。

这是她的朋友被诈骗的一部分聊天记录

虽然很烂的骗法，但她的朋友有人被骗了300多。

不过我朋友的账号的好友也有机灵的，你们看看

跟她聊了一下下后，她也是说扫了二维码，点了辅助好友认证，号就被盗了的。

我便让她为我提供那个二维码。

不过因为这是她的小号，而不是扫了那个二维码的大号，所以她也给不出来。

我让她再仔细想想，然后我趁她思考的这个时间，重新检查了下这个账号的登录记录。发现就在刚刚有赣州登陆的记录。

攻击者上线了？来确认情况？

真刺激！（注意，这里号，并不是一直都在我手上的，我让我朋友登回去，查一下本地聊天记录的。）

我激动不已地把这个好消息告诉了我的朋友。

结果你猜我朋友怎么回答？

也就说他用的流量对接的ip是赣州的

这是我心中有数不清的口吐芳香，但我的脑子开始逐渐清醒了。

我重新思考一下这件事。

第一，我觉得他在19号就被攻击这件事是错的。

第二，赣州号可能不是攻击者的ip

其次，黑客真正攻击他的时间应该就只是他扫二维码的那一天。

所以我把火力对准他被盗号的那一天，检查每一个在24号登陆的记录，我相信在那一天是绝对能找到真正的攻击者的ip登陆记录，因为那天他必须得登录这个账号来改密码。

经过仔细的排查，果不其然，我成功排查出了攻击者的记录

并且确定了只有这个ip头，是攻击者的，而且我们也可以看出这个攻击者是有点不严谨的，因为他一直使用同一个ip

重点是他的手机比我好

六. 妹子的情况

搞清登录记录的问题后，妹子发了个图片

我问她要这个二维码，她说搞不到，这截图是其他受害者的

接着又发了这个

当然到后面凌晨4点时的情况是这样的

你们觉得可能?绝对白给。（注意妹子的头像是她自己换的，这段聊天是我自己的账号）

回到前面妹子与王八蛋刚聊完的时间，之后我就开始听她抱怨攻击者多么可恶，

因为她是小妹妹，我是单身狗，所以我就爱听她抱怨，你管我

好在这妹子后面搞到了二维码，我不用多追踪一天

这个二维码不是腾讯官方的，所以有经验的老司机一看就知道是钓鱼网站，妹子肯定填了自己的密码

不过这个可不是钓鱼网站，准确说是钓鱼页面

扫描后是一个知名的问卷类的网站，被坏人用来干这事了（所以我对二维码简单涂鸦，保留下该网站的面子）

我朋友和这妹子还有其他受害者都填了自己的号和密码

还有账号安全保护的问题

到这里，我朋友都还没意识到自己干了什么

而那个妹子压根就没开安全保护

七. 追踪的结束

简单讲下骗法，就是攻击者先在网上收集A的足够信息，再用一个B号伪装成A的小号（比如头像，名称，名字等），去骗A的好友C，说自己大号被盗，给了些图片作证据，要求C帮忙好友辅助验证，进了个钓鱼页面，输了自己账号密码，又自己用自己手机发了令牌给腾讯中心（也正因为是用自己手机这点，受害者才没察觉有危险，这是腾讯要反思的地方），然后攻击者就成功登上了账号，开始诈骗好友，并故技重施盗了下一个不小心的人的号

在搞清这些后，我告诉了我朋友真相，他便猛男羞愧（他可曾是班长哦，在班上读学校发的网络安全宣传红纸）

妹子也在第二天要回了账号，

并有意外收获（貌似是攻击者与别的黑产的交易账号，我没细查，建议你们不要乱扫）

接着我就给刚拿回账号的小妹妹发了这个

剩下的就是警察叔叔们的事了

备注，后面小妹妹还主动想当我小弟哦（发个图来虾仁猪心）

（当然这里的牛逼是我给她看了其它的工作的图片）

吾辈楷模！

八. 反思

对于我来说，应当学会的是，在追踪ip时，要先弄清那些显示外地的ip号是否可能是本人的IP（比如本人开了vpn,或手机上有对应的软件），以避免追踪方向错误，造成目标不清，白费力气。

对于提供问卷类功能的厂商来说，要学会对提交的问卷设计过滤程序，起码在输任何密码的时候，提醒下用户要确认，以避免成为犯罪分子的帮凶。

对于网络安全从业者来说，要明白，非网络安全从业者对危险的察觉力是很弱的，对待他们要有耐心（下面的那位也是个生动的说明），同时也要明白，非网络安全从业者对自己是如何受害的描述是很乱的，在与他们交流时，要有自己的判断，否则受害者的描述会带偏你的（你们是不知道，听我朋友和小妹妹的描述真让我有一刻以为是新的越权漏洞《捂脸》，包括下面的被盗号的朋友的描述，也是离谱）