警惕盗取QQskey利用其发生盗号行为

日常关心腾讯的Bug,混一下TSRC,最近邮箱中会经常有一些群邮件

标题都是什么辛苦搜集的吾爱软件,比如下图

QQ 群垃圾邮件

获取 QQskey

内容都是一些网站啊,美名曰什么突破百度云限速,不限速百度网盘等等,结果都没什么用,你下载了打开就会拿到你的QQskey

众所周知,在众多网站中需要登陆的网站都会返回一个字符串(Cookie)用来记录和识别用户的登录状态

而 QQ 空间、QQ 邮箱等也不例外,通常我们把这串代码称之为skey权限代码,也就是说如果可以获得一个 QQ 号码的skey代码,就相应的拿到了对方 QQ 登陆和管理权限

我还记得前段时间我的 QQ 空间莫名其妙去访问好多陌生人的空间,多次修改密码,冻结 QQ 无效,找TSRC的人反应,居然说不是安全问题,是产品漏洞,需要找空间的人员反馈

我就没管了,放任使用,这里就不吐槽一下TSRC了。先说一下怎么获取到这个神奇的skey,其实很简单,一段代码就可以获取到

打开有 QQ 登录状态的页面,比如 QQ 空间、QQ 邮箱

使用 360 浏览器的可直接在地址栏粘贴并访问以下代码

javascript:var a,r=new RegExp("skey=(@.{9})");if(a=document.cookie.match(r))alert(a[1]);

Chrome 的话,存为书签,打开有 QQ 登录状态的页面,点击一下也是可以的

会弹出一段以@开头的字符串,这就是所谓的skey

QQskey

原理是获取当前页面中headers信息里的cookiesskey的值

注:仅供交流学习,请勿用于其他用途

分析

最近的群发群邮件的问题,都是由于木马网址中都是用热门软件进行传播,所以中招用户很多,一传十,十传百的

木马功能简单的来说就是拿到QQskey,有了QQskey就可以控制邮箱,再通过邮箱群发群邮件进行蠕虫传播

邮件内容通过线上网站获取,可以随时变换,防止备份,如果你中招了,那么除了盗了你的游戏账号以外,还会给你的群群发木马邮件,让你成为木马的传播者,这就是蠕虫

具体分析可查看吾爱破解公告原文

通过skey直接登陆 QQ 旗下网站,在 QQ 安全中心里我们是查不到登录记录的,所以很具有隐蔽性

一旦被坏人利用,对方就可以轻松获取你帐号下的所有权限,进而“为所欲为”

防范

平时不要相信陌生邮件,谨慎点击网站,检查访问域名是否为 QQ 旗下

给电脑安装一个安全软件是非常有必要的,比如 360,火绒等

经常修改密码,不重复使用同一密码、弱类型密码

3 条评论

发表评论

*