探究絕地求生玩家被“誤封”的真相
19世紀末,義大利的經濟學家發現了一個重要的二八定律,即:“在任何一組東西中,最重要的只佔其中一小部分,約20%,其餘80%儘管是多數,但卻是次要的。”這個定律揭示了一個真理,也就是一件事的投入和產出往往是不成正比的,只有少部分的人才會起到決定性的作用,其餘大部分人的努力雖然有用,但是卻不太會影響最終的結果。
在網際網路的黑市上,也存在著這樣一群符合二八定律的人,他們如同螞蟻分工一般,20%是在用腦子工作,是當中的知識分子,剩下的80%,則是重複做著低收益、沒有技術含量的事,雖然也有用,但純粹是體力活。
瞭解這群人最有效的途徑,就是融入他們的圈子,只有進入了他們的圈子,你才會真正瞭解到這背後的故事,今天要寫的,則是Steam上絕地求生盜號圈的故事。
一、 圈中的那些黑話
要尋找到這群人,並不困難,在QQ或者搜尋引擎中,只需搜尋一些關鍵字,便可找到大量的交易群:
QQKey的交流群
加入任意一個盜號的交流群,你就能看到他們之間傳送的交易信息:
群中的聊天截圖
普通人看到這些文字描述,並不容易明白他們是什麼意思,這些莫名的名詞稱號,通常是盜號者之間為了方便,彼此之間約定俗成的一些黑話,上圖只是一部分,我們整理了一些黑話,釋義如下:
冷: Steam賬號最後一次登入的時間,通常上次登入時間距離越久,號被找回的機率越小。
QQKey : 全稱是ClientKey,擁有Key,即可擁有幾乎等同於QQ密碼的效果,在一些可使用QQ快捷登入的場景,如QQ郵箱、QQ空間等,無需密碼即可直接登入,無視一切QQ的安全措施(裝置鎖、信任裝置)。
魚站: 釣魚網站,通常被用於盜號者群發,然後獲得登入者的QQ或者Steam賬號密碼。
密正: 密碼正確的QQ號。
洗號: 用上面的密正,去查詢對應的Steam賬號,看賬號內是否有吃雞或者其他遊戲,若有,則這個號將會被篩選出來,成為有價值的號,因為不是每個密正都有對應的Steam號,所以這一步產出並不穩定。
資料包: 高質量密正的集合,來源於網咖。因為網咖目標人群,玩遊戲的較多,QQ號和遊戲賬號的重合度較高,所以出號率會比普通密正高,價格也更貴。
擔保: 為了密正和資料包的交易順利完成,需要一個有信譽的第三方做證人,擔保資金的安全(類似支付寶),通常為盜號群的群主或者管理員,手續費5~10元不等。
XYZ : 用來收集ClientKey的域名或者作魚站的域名。
Tracker : 遊戲輔助。
紅信: 不能交易的號。
黑刺: 遊戲裡的一件裝備名稱。
卡盟: 售賣盜號軟體登入卡密的銷售方。
二、 分工明確的流水線
在這條盜號的產業鏈中,參與者們,如同流水線一般,各自配合緊密,一步一步的往下進行著,整個流程畫成圖的話,是這個樣子的:
盜號交易流程示意圖
其中主要以下幾個環節:
A.KEY的獲取環節
只要使用過網頁上的第三方QQ登入的人都知道,當你電腦上已登入QQ且網站支援QQ登入時,可以在不輸入密碼的情況下,點選頭像完成登入,這極大的提升了網站登入的便捷性,但是相較於傳統的密碼輸入,這種方式真的會更安全麼?
如果本地環境可信任的情況下,這種情況是安全的,但是如果本地環境不可信,就會有比較大的安全隱患。盜號軟體的製造者,通過製作一些木馬生成器,可以快速的批量生成盜號木馬,通過論壇發帖、群郵件傳送等方式,偽裝成加速器、破解軟體等傳播擴散開:
垃圾郵件傳播
傳播的盜號程式分為兩種,一種是純粹的盜號木馬,沒有任何加速功能:
沒有任何加速功能的盜號木馬
另一種則是修改了原來的加速器客戶端,利用白加黑方式,啟動黑DLL進行盜號的木馬:
被修改的加速器客戶端
早期騰訊的快速登入是使用Activex的方式實現的,為了相容不同的瀏覽器,各個瀏覽器需要安裝不同的控制元件才能實現快速登入,使用者體驗較差,而現在新版的快速登入,已不再依靠控制元件,而是通過QQ客戶端本身在本地建立一個localhost伺服器,類似IIS,把需要快速登陸的域名,解析到127.0.0.1,再通過對Cookie的操作,傳遞ClientKey,從而實現快速登入:
快捷登入抓包
雖然在實際使用時,這中間的跳轉、引數驗證很多,但是經過實驗和對盜號軟體的分析,我們發現本地要想實現對ClientKey的盜取,其實非常簡單,只需要進過幾步操作,就可以正確獲得ClientKey了,沒有任何阻礙(由於涉及到敏感操作,暫不透露具體實現步驟,已經提交TSRC處理)。獲取到的Key有一定的時效性,為了避免號主改密和Key失效,以及後續盜號步驟的順利進行,盜號軟體還會進行如下操作:
① 將獲得到的Key發回到自己伺服器進行集中儲存:
盜號程式發回Key到伺服器
② 開啟QQ郵箱的郵件自動轉發功能,開啟POP3/IMAP/SMTP/Exchange/CardDAV/CalDAV服務,方便後續收取Steam密碼重置郵件。
售賣這類盜號軟體的渠道眾多,除了上述靠論壇、郵件傳播外,甚至在電商之中,也混雜著此類打著破解旗號的盜號軟體銷售:
某寶售賣的加速器
使用網購破解加速器被盜號
更有甚者,在網咖中,批量掃號獲取Steam的遊戲賬號,或者直接修改網咖Steam的程式,進行盜號,只要在被修改過的網咖客戶機上登入Steam賬號,即可被盜,讓人防不勝防:
使用QQ郵箱導致被盜號
網咖吃雞被盜號
網友晒圖,網咖批量拿號
作為賬號被盜方,往往覺得莫名其妙,甚至網上發帖吐槽質疑Steam亂封號,但卻不知自己的Steam賬號,早就被人用來開掛測試了,等到盜號的開掛者被系統封禁後,真正遭殃的就是無辜的號主了:
網友吐槽Steam賬號莫名被封
盜取到的KEY在傳送到盜號者手中後,盜號工具並沒有就此結束它的使命,通常,被盜玩家在發現賬號被盜後,會去嘗試修改QQ密碼和找回Steam賬號密碼,但是由於QQ郵箱被設定了郵件轉發和攔截Steam郵件,後續的所有找回操作,都變得困難重重:
被盜郵箱遮蔽了通知類郵件
B.洗號環節
參與洗號的人,是這個盜號鏈條中最沒有技術含量,卻又最累的,他們熬夜通宵洗號,就是為了將上一步獲得的QQ進行篩選,挑出擁有Steam賬號的QQ號,然後人工再進行進一步的篩選,挑出有極品裝備的賬號,此類賬號具有高價值,交易中更容易賣個更好的價格。
與洗號者的交流
洗號的操作通常會在晚上通宵進行,因為晚上的話,不容易被號主發現,從而延長被盜Q的存活時間,而洗完之後普通的賬號,則會再次進入電商進行售賣:
普通Steam賬號售賣
有趣的是,洗號者拿到的號,有一定機率是會拿到被別人洗過一遍,轉手二次售賣的賬號,信譽好的商家通常會保證自己提供的號中的最低密正率,若低於這個值,可以免費補發:
賣家洗號成功率保證
賬號的價格並不是固定的,截止目前,因騰訊對於QQ郵箱驗證碼收信的限制,導致市面上賬號量減少,因此價格也隨之波動:
C.卡盟
製作出來的盜號軟體,為了更好的分發和售賣,必須加入登入驗證系統進行管理,卡盟的存在就是為了解決這個問題,他們進行售賣充值卡,用來換取盜號軟體以及XYZ域名的使用時長:
售賣點卡的卡盟
三、 廠商做出的努力
這條產業鏈從誕生至今,已經持續了相當長的一段時間,伴隨著絕地求生的火熱,一個普通的洗號者,收入可以輕鬆年入幾十萬,往上的其他人員(卡盟、盜號軟體作者),收入更是無法想象,不過值得慶幸的是,在這篇文章編寫的過程中,情況已經發生了些許的變化:
1.QQ郵箱對Steam的驗證資訊進行了額外保護,單純的從KEY進入郵箱後,無法直接看到驗證訊息(不過這裡仍然存在辦法可以繞過,這個保護還不是很完善,發現的問題已經提交TSRC處理):
郵箱保護Steam賬號驗證碼郵件
2.設定郵件自動轉發時,添加了QQ密碼驗證措施,防止QQKey進入的人,設定自動轉發:
3.Steam對賬號被盜時的處理:
由於廠商做出的這些改變,盜號群裡的人也是哀聲怨道,開始尋找新的方向:
四、 如何防範
QQ郵箱因為使用非常便利,拿來註冊各種遊戲、賬號的人數也非常多,所以盜號者關注得也多,對於防範QQ郵箱導致的盜號,我們的建議是:
1.遊戲賬號繫結QQ郵箱之外的其他郵箱,如:微軟的outlook郵箱、谷歌的Gmail郵箱等,同時設定一個不同於QQ以及遊戲賬號的密碼,防止QQ賬號失陷後,其他相關聯的賬號全部失陷。
2.如果不方便更改關聯的QQ郵箱,請開啟QQ郵箱的獨立密碼(有獨立密碼的賬號,盜號者較難突破),並檢查如下設定,如POP3/SMTP等服務是否關閉,若不關閉,盜號者可直接接收你的郵件無需QQ密碼,QQ改密碼操作也不會影響盜號者正常接收郵件:
3.檢查郵箱是否開啟了郵件自動轉發功能,防止重要郵件被轉發至盜號者郵箱:
4.檢查郵箱的郵件地址黑名單,是否有遮蔽相關遊戲廠商的通知郵件的地址,若有,則全部刪除:
5.檢視收信記錄,是否存在可疑的拒收郵件:
6.下載開啟Steam的手機令牌App(下載地址: ofollow,noindex" target="_blank">https://store.steampowered.com/mobile ),而不是僅僅只繫結手機號和郵箱令牌。郵箱令牌目前風險非常大,一旦郵箱被突破,Steam賬號即被盜,而手機令牌目前暫無被盜的擔憂:
7.請在確定手機令牌繫結成功的情況下,再在網咖使用Steam,切勿使用第三方破解加速器,下載Steam請從官網下載:
山寨程式下載
五、 後記
隨著QQ本身安全性的不斷提升以及成熟的風控,盜號者現在已經很難做到對QQ號本身進行盜取了,但是衍生出來的其他關聯產業的盜號,卻是一直生生不息,絕地求生的火熱,無疑再次帶動了傳統的盜號行業。
當大家都在談論新技術、新遊戲的時候,黑市上的人也在一邊喝酒,一邊為這些新興起的事物,唱著讚歌,享受著它們帶來的福利,或許絕地求生和騰訊的合作,會抑制盜號的猖獗一段時間,但誰又知道下一次會是哪個遊戲呢?
相關MD5:
48b4ce7659cce990d502fa310ee927d0
32d9b65e33c9b7b27c7dbe6a1b4af468
e577de76e3b090f01ac174d50d796104
6277c8b9eeae1602acf612b5a674647f
91034798f0ba1639e2df488cf07ecfab
78fb8e9f8866beda3a6d4cda041747ee
d6fd3c8bcea38e0b4b552c2efe084b5d
57fc3bfe48069ecba7f538cac3ee55d1
相關域名:
43.226.77.66
45.114.127.226
api.dididati.com/v2/[email protected]&password=a2095XXXX
*本文作者:安全豹,轉載請註明來自FreeBuf.COM