19世纪末,意大利的经济学家发现了一个重要的二八定律,即:“在任何一组东西中,最重要的只占其中一小部分,约20%,其余80%尽管是多数,但却是次要的。”这个定律揭示了一个真理,也就是一件事的投入和产出往往是不成正比的,只有少部分的人才会起到决定性的作用,其余大部分人的努力虽然有用,但是却不太会影响最终的结果。
在互联网的黑市上,也存在着这样一群符合二八定律的人,他们如同蚂蚁分工一般,20%是在用脑子工作,是当中的知识分子,剩下的80%,则是重复做着低收益、没有技术含量的事,虽然也有用,但纯粹是体力活。
了解这群人最有效的途径,就是融入他们的圈子,只有进入了他们的圈子,你才会真正了解到这背后的故事,今天要写的,则是Steam上绝地求生盗号圈的故事。
一、圈中的那些黑话
要寻找到这群人,并不困难,在QQ或者搜索引擎中,只需搜索一些关键字,便可找到大量的交易群:
QQKey的交流群
加入任意一个盗号的交流群,你就能看到他们之间发送的交易信息:
群中的聊天截图
普通人看到这些文字描述,并不容易明白他们是什么意思,这些莫名的名词称号,通常是盗号者之间为了方便,彼此之间约定俗成的一些黑话,上图只是一部分,我们整理了一些黑话,释义如下:
冷:Steam账号最后一次登录的时间,通常上次登录时间距离越久,号被找回的几率越小。
QQKey:全称是ClientKey,拥有Key,即可拥有几乎等同于QQ密码的效果,在一些可使用QQ快捷登录的场景,如QQ邮箱、QQ空间等,无需密码即可直接登录,无视一切QQ的安全措施(设备锁、信任设备)。
鱼站:钓鱼网站,通常被用于盗号者群发,然后获得登录者的QQ或者Steam账号密码。
密正:密码正确的QQ号。
洗号:用上面的密正,去查找对应的Steam账号,看账号内是否有吃鸡或者其他游戏,若有,则这个号将会被筛选出来,成为有价值的号,因为不是每个密正都有对应的Steam号,所以这一步产出并不稳定。
数据包:高质量密正的集合,来源于网吧。因为网吧目标人群,玩游戏的较多,QQ号和游戏账号的重合度较高,所以出号率会比普通密正高,价格也更贵。
担保:为了密正和数据包的交易顺利完成,需要一个有信誉的第三方做证人,担保资金的安全(类似支付宝),通常为盗号群的群主或者管理员,手续费5~10元不等。
XYZ:用来收集ClientKey的域名或者作鱼站的域名。
Tracker:游戏辅助。
红信:不能交易的号。
黑刺:游戏里的一件装备名称。
卡盟:售卖盗号软件登录卡密的销售方。
二、分工明确的流水线
在这条盗号的产业链中,参与者们,如同流水线一般,各自配合紧密,一步一步的往下进行着,整个流程画成图的话,是这个样子的:
盗号交易流程示意图
其中主要以下几个环节:
A.KEY的获取环节
只要使用过网页上的第三方QQ登录的人都知道,当你电脑上已登录QQ且网站支持QQ登录时,可以在不输入密码的情况下,点击头像完成登录,这极大的提升了网站登录的便捷性,但是相较于传统的密码输入,这种方式真的会更安全么?
如果本地环境可信任的情况下,这种情况是安全的,但是如果本地环境不可信,就会有比较大的安全隐患。盗号软件的制造者,通过制作一些木马生成器,可以快速的批量生成盗号木马,通过论坛发帖、群邮件发送等方式,伪装成加速器、破解软件等传播扩散开:
垃圾邮件传播
传播的盗号程序分为两种,一种是纯粹的盗号木马,没有任何加速功能:
没有任何加速功能的盗号木马
另一种则是修改了原来的加速器客户端,利用白加黑方式,启动黑DLL进行盗号的木马:
被修改的加速器客户端
早期腾讯的快速登录是使用Activex的方式实现的,为了兼容不同的浏览器,各个浏览器需要安装不同的控件才能实现快速登录,用户体验较差,而现在新版的快速登录,已不再依靠控件,而是通过QQ客户端本身在本地建立一个localhost服务器,类似IIS,把需要快速登陆的域名,解析到127.0.0.1,再通过对Cookie的操作,传递ClientKey,从而实现快速登录:
快捷登录抓包
虽然在实际使用时,这中间的跳转、参数验证很多,但是经过实验和对盗号软件的分析,我们发现本地要想实现对ClientKey的盗取,其实非常简单,只需要进过几步操作,就可以正确获得ClientKey了,没有任何阻碍(由于涉及到敏感操作,暂不透露具体实现步骤,已经提交TSRC处理)。获取到的Key有一定的时效性,为了避免号主改密和Key失效,以及后续盗号步骤的顺利进行,盗号软件还会进行如下操作:
① 将获得到的Key发回到自己服务器进行集中存储:
盗号程序发回Key到服务器
② 打开QQ邮箱的邮件自动转发功能,开启POP3/IMAP/SMTP/Exchange/CardDAV/CalDAV服务,方便后续收取Steam密码重置邮件。
售卖这类盗号软件的渠道众多,除了上述靠论坛、邮件传播外,甚至在电商之中,也混杂着此类打着破解旗号的盗号软件销售:
某宝售卖的加速器
使用网购破解加速器被盗号
更有甚者,在网吧中,批量扫号获取Steam的游戏账号,或者直接修改网吧Steam的程序,进行盗号,只要在被修改过的网吧客户机上登录Steam账号,即可被盗,让人防不胜防:
使用QQ邮箱导致被盗号
网吧吃鸡被盗号
网友晒图,网吧批量拿号
作为账号被盗方,往往觉得莫名其妙,甚至网上发帖吐槽质疑Steam乱封号,但却不知自己的Steam账号,早就被人用来开挂测试了,等到盗号的开挂者被系统封禁后,真正遭殃的就是无辜的号主了:
网友吐槽Steam账号莫名被封
盗取到的KEY在发送到盗号者手中后,盗号工具并没有就此结束它的使命,通常,被盗玩家在发现账号被盗后,会去尝试修改QQ密码和找回Steam账号密码,但是由于QQ邮箱被设置了邮件转发和拦截Steam邮件,后续的所有找回操作,都变得困难重重:
被盗邮箱屏蔽了通知类邮件
B. 洗号环节
参与洗号的人,是这个盗号链条中最没有技术含量,却又最累的,他们熬夜通宵洗号,就是为了将上一步获得的QQ进行筛选,挑出拥有Steam账号的QQ号,然后人工再进行进一步的筛选,挑出有极品装备的账号,此类账号具有高价值,交易中更容易卖个更好的价格。
与洗号者的交流
洗号的操作通常会在晚上通宵进行,因为晚上的话,不容易被号主发现,从而延长被盗Q的存活时间,而洗完之后普通的账号,则会再次进入电商进行售卖:
普通Steam账号售卖
有趣的是,洗号者拿到的号,有一定几率是会拿到被别人洗过一遍,转手二次售卖的账号,信誉好的商家通常会保证自己提供的号中的最低密正率,若低于这个值,可以免费补发:
卖家洗号成功率保证
账号的价格并不是固定的,截止目前,因腾讯对于QQ邮箱验证码收信的限制,导致市面上账号量减少,因此价格也随之波动:
C. 卡盟
制作出来的盗号软件,为了更好的分发和售卖,必须加入登录验证系统进行管理,卡盟的存在就是为了解决这个问题,他们进行售卖充值卡,用来换取盗号软件以及XYZ域名的使用时长:
售卖点卡的卡盟
三、厂商做出的努力
这条产业链从诞生至今,已经持续了相当长的一段时间,伴随着绝地求生的火热,一个普通的洗号者,收入可以轻松年入几十万,往上的其他人员(卡盟、盗号软件作者),收入更是无法想象,不过值得庆幸的是,在这篇文章编写的过程中,情况已经发生了些许的变化:
1、 QQ邮箱对Steam的验证信息进行了额外保护,单纯的从KEY进入邮箱后,无法直接看到验证消息(不过这里仍然存在办法可以绕过,这个保护还不是很完善,发现的问题已经提交TSRC处理):
邮箱保护Steam账号验证码邮件
2、 设置邮件自动转发时,添加了QQ密码验证措施,防止QQKey进入的人,设置自动转发:
3、 Steam对账号被盗时的处理:
由于厂商做出的这些改变,盗号群里的人也是哀声怨道,开始寻找新的方向:
四、如何防范
QQ邮箱因为使用非常便利,拿来注册各种游戏、账号的人数也非常多,所以盗号者关注得也多,对于防范QQ邮箱导致的盗号,我们的建议是:
1、 游戏账号绑定QQ邮箱之外的其他邮箱,如:微软的outlook邮箱、谷歌的Gmail邮箱等,同时设置一个不同于QQ以及游戏账号的密码,防止QQ账号失陷后,其他相关联的账号全部失陷。
2、 如果不方便更改关联的QQ邮箱,请开启QQ邮箱的独立密码(有独立密码的账号,盗号者较难突破),并检查如下设置,如POP3/SMTP等服务是否关闭,若不关闭,盗号者可直接接收你的邮件无需QQ密码,QQ改密码操作也不会影响盗号者正常接收邮件:
3、 检查邮箱是否开启了邮件自动转发功能,防止重要邮件被转发至盗号者邮箱:
4、 检查邮箱的邮件地址黑名单,是否有屏蔽相关游戏厂商的通知邮件的地址,若有,则全部删除:
5、 查看收信记录,是否存在可疑的拒收邮件:
6、 下载开启Steam的手机令牌App(下载地址:https://store.steampowered.com/mobile),而不是仅仅只绑定手机号和邮箱令牌。邮箱令牌目前风险非常大,一旦邮箱被突破,Steam账号即被盗,而手机令牌目前暂无被盗的担忧:
Steam官方手机令牌
7、 请在确定手机令牌绑定成功的情况下,再在网吧使用Steam,切勿使用第三方破解加速器,下载Steam请从官网下载:
山寨程序下载
五、后记
随着QQ本身安全性的不断提升以及成熟的风控,盗号者现在已经很难做到对QQ号本身进行盗取了,但是衍生出来的其他关联产业的盗号,却是一直生生不息,绝地求生的火热,无疑再次带动了传统的盗号行业。
当大家都在谈论新技术、新游戏的时候,黑市上的人也在一边喝酒,一边为这些新兴起的事物,唱着赞歌,享受着它们带来的福利,或许绝地求生和腾讯的合作,会抑制盗号的猖獗一段时间,但谁又知道下一次会是哪个游戏呢?
相关MD5:
48b4ce7659cce990d502fa310ee927d0
32d9b65e33c9b7b27c7dbe6a1b4af468
e577de76e3b090f01ac174d50d796104
6277c8b9eeae1602acf612b5a674647f
91034798f0ba1639e2df488cf07ecfab
78fb8e9f8866beda3a6d4cda041747ee
d6fd3c8bcea38e0b4b552c2efe084b5d
57fc3bfe48069ecba7f538cac3ee55d1
相关域名:
43.226.77.66
45.114.127.226
api.dididati.com/v2/[email protected]&password=a2095XXXX.
来源:freebuf.com 2018-11-23 16:39:13 by: 安全豹
请登录后发表评论
注册