探究絕地求生玩家被“誤封”的真相

摘要： 19世紀末，義大利的經濟學家發現了一個重要的二八定律，即：“在任何一組東西中，最重要的只佔其中一小部分，約20%，其餘80%儘管是多數，但卻是次要的。”這個定律揭示了一個真理，也就是一件事的投入和產出往往是不成正比的，只有少部分的人才會起到決定性的作用，其餘大部分人的努力雖然有用，但是卻不太...

19世紀末，義大利的經濟學家發現了一個重要的二八定律，即：“在任何一組東西中，最重要的只佔其中一小部分，約20%，其餘80%儘管是多數，但卻是次要的。”這個定律揭示了一個真理，也就是一件事的投入和產出往往是不成正比的，只有少部分的人才會起到決定性的作用，其餘大部分人的努力雖然有用，但是卻不太會影響最終的結果。

在網際網路的黑市上，也存在著這樣一群符合二八定律的人，他們如同螞蟻分工一般，20%是在用腦子工作，是當中的知識分子，剩下的80%，則是重複做著低收益、沒有技術含量的事，雖然也有用，但純粹是體力活。

瞭解這群人最有效的途徑，就是融入他們的圈子，只有進入了他們的圈子，你才會真正瞭解到這背後的故事，今天要寫的，則是Steam上絕地求生盜號圈的故事。

一、 圈中的那些黑話

要尋找到這群人，並不困難，在QQ或者搜尋引擎中，只需搜尋一些關鍵字，便可找到大量的交易群：

QQKey的交流群

加入任意一個盜號的交流群，你就能看到他們之間傳送的交易信息：

群中的聊天截圖

普通人看到這些文字描述，並不容易明白他們是什麼意思，這些莫名的名詞稱號，通常是盜號者之間為了方便，彼此之間約定俗成的一些黑話，上圖只是一部分，我們整理了一些黑話，釋義如下：

冷： Steam賬號最後一次登入的時間，通常上次登入時間距離越久，號被找回的機率越小。

QQKey ： 全稱是ClientKey，擁有Key，即可擁有幾乎等同於QQ密碼的效果，在一些可使用QQ快捷登入的場景，如QQ郵箱、QQ空間等，無需密碼即可直接登入，無視一切QQ的安全措施（裝置鎖、信任裝置）。

魚站： 釣魚網站，通常被用於盜號者群發，然後獲得登入者的QQ或者Steam賬號密碼。

密正： 密碼正確的QQ號。

洗號： 用上面的密正，去查詢對應的Steam賬號，看賬號內是否有吃雞或者其他遊戲，若有，則這個號將會被篩選出來，成為有價值的號，因為不是每個密正都有對應的Steam號，所以這一步產出並不穩定。

資料包： 高質量密正的集合，來源於網咖。因為網咖目標人群，玩遊戲的較多，QQ號和遊戲賬號的重合度較高，所以出號率會比普通密正高，價格也更貴。

擔保： 為了密正和資料包的交易順利完成，需要一個有信譽的第三方做證人，擔保資金的安全（類似支付寶），通常為盜號群的群主或者管理員，手續費5~10元不等。

XYZ ： 用來收集ClientKey的域名或者作魚站的域名。

Tracker ： 遊戲輔助。

紅信： 不能交易的號。

黑刺： 遊戲裡的一件裝備名稱。

卡盟： 售賣盜號軟體登入卡密的銷售方。

二、 分工明確的流水線

在這條盜號的產業鏈中，參與者們，如同流水線一般，各自配合緊密，一步一步的往下進行著，整個流程畫成圖的話，是這個樣子的：

盜號交易流程示意圖

其中主要以下幾個環節：

A.KEY的獲取環節

只要使用過網頁上的第三方QQ登入的人都知道，當你電腦上已登入QQ且網站支援QQ登入時，可以在不輸入密碼的情況下，點選頭像完成登入，這極大的提升了網站登入的便捷性，但是相較於傳統的密碼輸入，這種方式真的會更安全麼？

如果本地環境可信任的情況下，這種情況是安全的，但是如果本地環境不可信，就會有比較大的安全隱患。盜號軟體的製造者，通過製作一些木馬生成器，可以快速的批量生成盜號木馬，通過論壇發帖、群郵件傳送等方式，偽裝成加速器、破解軟體等傳播擴散開：

垃圾郵件傳播

傳播的盜號程式分為兩種，一種是純粹的盜號木馬，沒有任何加速功能：

沒有任何加速功能的盜號木馬

另一種則是修改了原來的加速器客戶端，利用白加黑方式，啟動黑DLL進行盜號的木馬：

被修改的加速器客戶端

早期騰訊的快速登入是使用Activex的方式實現的，為了相容不同的瀏覽器，各個瀏覽器需要安裝不同的控制元件才能實現快速登入，使用者體驗較差，而現在新版的快速登入，已不再依靠控制元件，而是通過QQ客戶端本身在本地建立一個localhost伺服器，類似IIS，把需要快速登陸的域名，解析到127.0.0.1，再通過對Cookie的操作，傳遞ClientKey，從而實現快速登入：

快捷登入抓包

雖然在實際使用時，這中間的跳轉、引數驗證很多，但是經過實驗和對盜號軟體的分析，我們發現本地要想實現對ClientKey的盜取，其實非常簡單，只需要進過幾步操作，就可以正確獲得ClientKey了，沒有任何阻礙（由於涉及到敏感操作，暫不透露具體實現步驟，已經提交TSRC處理）。獲取到的Key有一定的時效性，為了避免號主改密和Key失效，以及後續盜號步驟的順利進行，盜號軟體還會進行如下操作：

① 將獲得到的Key發回到自己伺服器進行集中儲存：

盜號程式發回Key到伺服器

②  開啟QQ郵箱的郵件自動轉發功能，開啟POP3/IMAP/SMTP/Exchange/CardDAV/CalDAV服務，方便後續收取Steam密碼重置郵件。

售賣這類盜號軟體的渠道眾多，除了上述靠論壇、郵件傳播外，甚至在電商之中，也混雜著此類打著破解旗號的盜號軟體銷售：

某寶售賣的加速器

使用網購破解加速器被盜號

更有甚者，在網咖中，批量掃號獲取Steam的遊戲賬號，或者直接修改網咖Steam的程式，進行盜號，只要在被修改過的網咖客戶機上登入Steam賬號，即可被盜，讓人防不勝防：

使用QQ郵箱導致被盜號

網咖吃雞被盜號

網友晒圖，網咖批量拿號

作為賬號被盜方，往往覺得莫名其妙，甚至網上發帖吐槽質疑Steam亂封號，但卻不知自己的Steam賬號，早就被人用來開掛測試了，等到盜號的開掛者被系統封禁後，真正遭殃的就是無辜的號主了：

網友吐槽Steam賬號莫名被封

盜取到的KEY在傳送到盜號者手中後，盜號工具並沒有就此結束它的使命，通常，被盜玩家在發現賬號被盜後，會去嘗試修改QQ密碼和找回Steam賬號密碼，但是由於QQ郵箱被設定了郵件轉發和攔截Steam郵件，後續的所有找回操作，都變得困難重重：

被盜郵箱遮蔽了通知類郵件

B.洗號環節

參與洗號的人，是這個盜號鏈條中最沒有技術含量，卻又最累的，他們熬夜通宵洗號，就是為了將上一步獲得的QQ進行篩選，挑出擁有Steam賬號的QQ號，然後人工再進行進一步的篩選，挑出有極品裝備的賬號，此類賬號具有高價值，交易中更容易賣個更好的價格。

與洗號者的交流

洗號的操作通常會在晚上通宵進行，因為晚上的話，不容易被號主發現，從而延長被盜Q的存活時間，而洗完之後普通的賬號，則會再次進入電商進行售賣：

普通Steam賬號售賣

有趣的是，洗號者拿到的號，有一定機率是會拿到被別人洗過一遍，轉手二次售賣的賬號，信譽好的商家通常會保證自己提供的號中的最低密正率，若低於這個值，可以免費補發：

賣家洗號成功率保證

賬號的價格並不是固定的，截止目前，因騰訊對於QQ郵箱驗證碼收信的限制，導致市面上賬號量減少，因此價格也隨之波動：

C.卡盟

製作出來的盜號軟體，為了更好的分發和售賣，必須加入登入驗證系統進行管理，卡盟的存在就是為了解決這個問題，他們進行售賣充值卡，用來換取盜號軟體以及XYZ域名的使用時長：

售賣點卡的卡盟

三、 廠商做出的努力

這條產業鏈從誕生至今，已經持續了相當長的一段時間，伴隨著絕地求生的火熱，一個普通的洗號者，收入可以輕鬆年入幾十萬，往上的其他人員（卡盟、盜號軟體作者），收入更是無法想象，不過值得慶幸的是，在這篇文章編寫的過程中，情況已經發生了些許的變化：

1.QQ郵箱對Steam的驗證資訊進行了額外保護，單純的從KEY進入郵箱後，無法直接看到驗證訊息（不過這裡仍然存在辦法可以繞過，這個保護還不是很完善，發現的問題已經提交TSRC處理）：

郵箱保護Steam賬號驗證碼郵件

2.設定郵件自動轉發時，添加了QQ密碼驗證措施，防止QQKey進入的人，設定自動轉發：

3.Steam對賬號被盜時的處理：

由於廠商做出的這些改變，盜號群裡的人也是哀聲怨道，開始尋找新的方向：

四、 如何防範

QQ郵箱因為使用非常便利，拿來註冊各種遊戲、賬號的人數也非常多，所以盜號者關注得也多，對於防範QQ郵箱導致的盜號，我們的建議是：

1.遊戲賬號繫結QQ郵箱之外的其他郵箱，如：微軟的outlook郵箱、谷歌的Gmail郵箱等，同時設定一個不同於QQ以及遊戲賬號的密碼，防止QQ賬號失陷後，其他相關聯的賬號全部失陷。

2.如果不方便更改關聯的QQ郵箱，請開啟QQ郵箱的獨立密碼（有獨立密碼的賬號，盜號者較難突破），並檢查如下設定，如POP3/SMTP等服務是否關閉，若不關閉，盜號者可直接接收你的郵件無需QQ密碼，QQ改密碼操作也不會影響盜號者正常接收郵件：

3.檢查郵箱是否開啟了郵件自動轉發功能，防止重要郵件被轉發至盜號者郵箱：

4.檢查郵箱的郵件地址黑名單，是否有遮蔽相關遊戲廠商的通知郵件的地址，若有，則全部刪除：

5.檢視收信記錄，是否存在可疑的拒收郵件：

6.下載開啟Steam的手機令牌App（下載地址： ofollow,noindex" target="_blank">https://store.steampowered.com/mobile ），而不是僅僅只繫結手機號和郵箱令牌。郵箱令牌目前風險非常大，一旦郵箱被突破，Steam賬號即被盜，而手機令牌目前暫無被盜的擔憂：

7.請在確定手機令牌繫結成功的情況下，再在網咖使用Steam，切勿使用第三方破解加速器，下載Steam請從官網下載：

山寨程式下載

五、 後記

隨著QQ本身安全性的不斷提升以及成熟的風控，盜號者現在已經很難做到對QQ號本身進行盜取了，但是衍生出來的其他關聯產業的盜號，卻是一直生生不息，絕地求生的火熱，無疑再次帶動了傳統的盜號行業。

當大家都在談論新技術、新遊戲的時候，黑市上的人也在一邊喝酒，一邊為這些新興起的事物，唱著讚歌，享受著它們帶來的福利，或許絕地求生和騰訊的合作，會抑制盜號的猖獗一段時間，但誰又知道下一次會是哪個遊戲呢？

相關MD5：

48b4ce7659cce990d502fa310ee927d0

32d9b65e33c9b7b27c7dbe6a1b4af468

e577de76e3b090f01ac174d50d796104

6277c8b9eeae1602acf612b5a674647f

91034798f0ba1639e2df488cf07ecfab

78fb8e9f8866beda3a6d4cda041747ee

d6fd3c8bcea38e0b4b552c2efe084b5d

57fc3bfe48069ecba7f538cac3ee55d1

相關域名：

43.226.77.66

45.114.127.226

api.dididati.com/v2/[email protected]&password=a2095XXXX

*本文作者：安全豹，轉載請註明來自FreeBuf.COM