其实要让你的QQ空间发个卖X的说说,压根不需要盗号那么麻烦,分分钟教你做人……
方法一:获取授权
有一个场景,大家一定不会陌生。现在互联网产品越来越多,每个人注册的账号也越来越多,为了优化大家的体验,不至于每个产品都要重新注册一遍账号。许多平台推出了授权登录,比如:QQ、微信、微博以及邮箱等,大家无需重复注册,一键授权即可。但是,很少有人会留意这一键登录背后,第三方平台已经掌握了我们大量隐私信息,其中就包括“让第三方获得可以借助我们的空间推送广告的权利”。
但是这个其实大家都在做,所以空间官方账号运营人员在大中午看小电影授权给第三方又忘记切换账号的小概率事件反生,不然“获取授权”导致卖片广告发布几率约等于零。
“发表分享到QQ空间” 目前是模块权限中的标配
方法二:空间钓鱼
与第一种不同,外挂木马简单粗暴,速度快。符合黑产的核心价值观qq空间登录,所以在老师傅口中,这类手段才是主流。
级别低一点的,一般通过在QQ空间等平台推广钓鱼链接,诱惑他人领红包、登录色情网站等方式盗取QQ号。一旦点击链接,输入了QQ账号和密码,网站后台就会记录下来,一般黑产是不会下功夫去登录你账号发说说。这些账号,在黑市上供不应求,一个高质量的一手账号甚至可以买到5-10元不等。老师傅告诉Magiccc,去年有个大学生就用这个,半年多搞了200万QQ号,最后搞太狠了,被公安查了。
因为低级无门槛qq空间登录,所以上面的方式转化率很低。所以,像老师傅这类黑产人员,会下功夫仿制钓鱼页面,比如:完全模仿QQ登录的样式,做一个QQ相册登录页面,几乎可以以假乱真。然后,在你点进去以后,提示你快捷登录失效,要求你重新输入帐号密码,一旦你输入自己的帐号密码,就会直接发送到该钓鱼网站所有者的后台数据库里面,然后登录你的QQ账号密码继续群发给你的好友。
钓鱼的方式几率的确很大,运营人员如果安全意识不够高,被盗取信息也不奇怪。
方法三:平台漏洞
光利用平台漏洞在QQ空间发广告的事儿就不算新鲜事!是人家黑产人士早在2015年就玩剩下的产物……
娜娜项目网每日更新创业和副业教程
网址:nanaxm.cn 点击前往娜娜项目网
站 长 微 信: nanadh666
猎豹团队就在15年通过Freebuf曝光过,以下是当时的文章内容摘录:
“转发机制
腾讯地图的一个实时竞价页面存在一个XSS漏洞,由于没有对请求参数做严格检查,通过精心构造的请求数据导致返回信息中的数据可被利用来执行js代码,同时服务器没有对请求来源进行检测,因此可以造成CSRF攻击。
查看之前抓取到的利用该漏洞进行不良信息转发的页面,在该页面开头嵌入了一个iframe标签如下:
标签style为隐藏属性,从而使得该插入页面不会被用户发现,插入的页面链接就是构造好的url地址。
当页面被加载时,页面通过这个url接口向腾讯地图的RealTime Bidding服务器发送一个请求,服务器没有对请求来源进行效验,直接将请求的数据返回,并附带了一些查询信息,如下图所示,其中exploit是构造的利用代码。
娜娜项目网每日更新创业和副业教程
网址:nanaxm.cn 点击前往娜娜项目网
站 长 微 信: nanadh666