近日QQ被爆大规模账号被盗,自动向好友、群发送不雅信息,这给很多人造成了困扰,特别是向家人或者客户发送这类信息,那是相当的尴尬!好消息是尴尬的不止你自己,还有其他人陪你一起尴尬(啊哈哈哈哈哈)
言归正传,首先为什么账号会被盗?像这种情况,肯定不是手机端登录操作的,一定是通过电脑端软件登录qq进行批量自动化操作,电脑端登录有几种方式:
1、账号密码登录;
2、扫码登录;
所以可能性主要体现在这两个方面:
可能性一:账号密码泄露在日常的QQ使用中,有可能我们在公共设备上登录过QQ,比如网吧电脑,公共设备往往是密码泄露的常规渠道,虽然QQ自身有双因素认证安全机制,但是为了提高用户体验,将安全级别降低了,比如在陌生设备登录会要求二次验证,但是在登录过的机器上再次登录,此时不做二次验证,如果账号密码已经被拿到,就可以在这台电脑上直接登录做一些让你困扰的事情。
总结就是在公共设备登录,造成账号密码泄露,绕过二次验证机制!但是这种方式个别用户被盗可能性大,这种大规模被盗就不太像。
可能性二:扫描非法二维码扫码登录无处不在,特别是QQ体量庞大,绝大多数都可以使用QQ扫码登录,不法分子非法伪造页面和二维码,让用户扫码登录,从而获得用户的登录授权,不法分子拿到授权通过不知名的手段存储起来,高价卖给下游团伙,集中使用登录并通过批量自动化软件,向好友、群发布消息,这种可能性是最大的。
总结:伪造二维码,让用户扫码获得登录授权;
就没办法处理吗?办法肯定是有的:
针对第一种情况,就牺牲掉用户体验,每次登录都强制用户使用双因素认证,这样能有效加强登录安全;
针对第二种情况,一是用户自己不要什么码都扫,一定要看好,再者就需要QQ本身更严谨控制扫码登录逻辑,详细剖析每一次交互,严格控制授权凭证有效期并加以验证,不给不法分子可乘之机。
中科恒伦作为企业级双因素认证厂商,非常注重企业用户安全登录,双因素认证加固势在必行,不要等到亡羊补牢为时已晚。