QQ安全问题完全解决方案(1)

　　随着聊天工具的日益普及，聊天工具已经成为黑客的主流攻击手段和攻击目标。许多黑客都盯上了这个通道，利用聊天工具的安全漏洞发起攻击，掌握了对方的聊天工具就可能得到了管理员权限。现在很多网络即时聊天工具的安全性都比较低，不需要很高水平就可以攻击成功。国内人们常用的即时通讯软件主要有腾讯的QQ、网易的泡泡、_blank">新浪UC、微软的MSN、ICQ、IMU即时通、雅虎通(Yahoo! Messenger)、Trillian 等，这里主要将用户最多的QQ安全问题和黑客攻击手段作一介绍。  

　　QQ是腾讯公司推出的一款免费聊天工具，现在网上已经出现了QQ2005贺岁版，QQ软件的主要用途是进行聊天。因为功能众多，大部分功能又是免费的，所以在国内成为用户最多的聊天工具，在线人数经常是几百万，到2004年底，在线用户最高峰已经突破1000万大关，因此成为黑客光顾的重点对象。 　本文从黑客对QQ的攻击方法入手，找出攻击的共性，从而更好地进行防御。 　对QQ用户的攻击主要有以下几个方面。

　　一、盗取QQ号码

　　盗取QQ号码的方法有攻击弱kou令和在公用计算机上安装键盘记录工具记录密

码，或者向用户发送木马，利用工具盗取口令。

　　弱kou令攻击就是利用QQ密码穷尽软件，在线尝试可能的密码组合，如果密码

位数很短，如6位以下，或者密码是全数字或一个英文单词等有明显特征的情况

，就很容易被穷尽软件找出，对付这种攻击的办法就是使用尽可能复杂的密码，

像字母和数字的组合，密码长度要至少8位以上等。

　　在很多公用计算机尤其是网吧的计算机上都被安装了键盘记录工具，当计算

机开启后，从键盘上健入的每一个字符都被完整地记录下来，黑客只要查看记录

文件，就不难从中找出QQ号码和对应的密码。对付这种攻击的办法是在输入密码

时，键盘和鼠标并用，利用鼠标调整密码的输入顺序就可以，如果你的密码有8

位以上并且密码的每个字符都不相同，即使黑客知道了你全部的密码字符，也不

足虑，想一想8的阶乘8*7*6*5*4*3*2*1=40320，已经够黑客穷尽很长时间，另一

条原则是在网吧上网后，要记得修改密码，增大自己的安全系数。

　　还有一种方法是利用用户贪便宜的心理，盗取QQ号码。最著名的是下面这样

一次欺骗。在某些论坛上有人发布这样的贴子,声称几个黑客成功的潜入了腾讯

公司的主页并得到了一些有价值的数据和漏洞。原理是进入腾讯公司的主页后，

他们在服务器上搞了个可以自动读取指令的号码QQ*******：，公司的管理员就

是通过发指令给这样QQ来完成比较简单的工作的（比如说收回QQ和找回密码等等

）这个QQ的号码是：**********（腾讯公司为了

不引起大家的注意，所以这个QQ比较普通，这个QQ一般隐身，向此QQ号码发代码

{Jerusalum/PLO********}{Vesselin Bontchev@@@@}{FRALDMUZK ###} (*****填

上QQ号码，@@@@填上QQ密码，###填你申请Q币的个数 ，就可以等着收Q币，还可

以得到好号。贪便宜想得到QQ币的用户，把自己的号码与密码都发给了此人，号

码自然被人盗走。

　　腾讯公司推出的QQ号码手机绑定功能可以一劳永逸地解决QQ号码的盗取问题

，美中不足的是这是一项收费服务，对那些想免费使用QQ软件的朋友是一项不小

的挑战。

　　二、利用系统广播,骗取手机费用

　　实际案例是某QQ用户的手机号码于10月31日收到来自977702XX774或1700002

XX774的下列信息：“恭喜你成功订阅了XXX业务每月将收取服务费30元，退订请

编辑DQ01#EXIT80发送至921X”。 短信内容中的“DQ01#EXIT80发送至921X”实

际是某个网站的订制某游戏业务中获取秘籍的指令，目的是让用户收到此信息后

，以为自己曾订制过某项业务，为了不再被收取费用，急急忙忙按照短信内容发

送“退订”；此时用户正中陷阱，原以为是退订业务，反而变成定制业务，导致

自己的手机费用受到损失。