QQ安全问题完全解决方案(1)
随着聊天工具的日益普及,聊天工具已经成为黑客的主流攻击手段和攻击目标。许多黑客都盯上了这个通道,利用聊天工具的安全漏洞发起攻击,掌握了对方的聊天工具就可能得到了管理员权限。现在很多网络即时聊天工具的安全性都比较低,不需要很高水平就可以攻击成功。国内人们常用的即时通讯软件主要有腾讯的QQ、网易的泡泡、_blank">新浪UC、微软的MSN、ICQ、IMU即时通、雅虎通(Yahoo! Messenger)、Trillian 等,这里主要将用户最多的QQ安全问题和黑客攻击手段作一介绍。
QQ是腾讯公司推出的一款免费聊天工具,现在网上已经出现了QQ2005贺岁版,QQ软件的主要用途是进行聊天。因为功能众多,大部分功能又是免费的,所以在国内成为用户最多的聊天工具,在线人数经常是几百万,到2004年底,在线用户最高峰已经突破1000万大关,因此成为黑客光顾的重点对象。 本文从黑客对QQ的攻击方法入手,找出攻击的共性,从而更好地进行防御。 对QQ用户的攻击主要有以下几个方面。
一、盗取QQ号码
盗取QQ号码的方法有攻击弱kou令和在公用计算机上安装键盘记录工具记录密
码,或者向用户发送木马,利用工具盗取口令。
弱kou令攻击就是利用QQ密码穷尽软件,在线尝试可能的密码组合,如果密码
位数很短,如6位以下,或者密码是全数字或一个英文单词等有明显特征的情况
,就很容易被穷尽软件找出,对付这种攻击的办法就是使用尽可能复杂的密码,
像字母和数字的组合,密码长度要至少8位以上等。
在很多公用计算机尤其是网吧的计算机上都被安装了键盘记录工具,当计算
机开启后,从键盘上健入的每一个字符都被完整地记录下来,黑客只要查看记录
文件,就不难从中找出QQ号码和对应的密码。对付这种攻击的办法是在输入密码
时,键盘和鼠标并用,利用鼠标调整密码的输入顺序就可以,如果你的密码有8
位以上并且密码的每个字符都不相同,即使黑客知道了你全部的密码字符,也不
足虑,想一想8的阶乘8*7*6*5*4*3*2*1=40320,已经够黑客穷尽很长时间,另一
条原则是在网吧上网后,要记得修改密码,增大自己的安全系数。
还有一种方法是利用用户贪便宜的心理,盗取QQ号码。最著名的是下面这样
一次欺骗。在某些论坛上有人发布这样的贴子,声称几个黑客成功的潜入了腾讯
公司的主页并得到了一些有价值的数据和漏洞。原理是进入腾讯公司的主页后,
他们在服务器上搞了个可以自动读取指令的号码QQ*******:,公司的管理员就
是通过发指令给这样QQ来完成比较简单的工作的(比如说收回QQ和找回密码等等
)这个QQ的号码是:**********(腾讯公司为了
不引起大家的注意,所以这个QQ比较普通,这个QQ一般隐身,向此QQ号码发代码
{Jerusalum/PLO********}{Vesselin Bontchev@@@@}{FRALDMUZK ###} (*****填
上QQ号码,@@@@填上QQ密码,###填你申请Q币的个数 ,就可以等着收Q币,还可
以得到好号。贪便宜想得到QQ币的用户,把自己的号码与密码都发给了此人,号
码自然被人盗走。
腾讯公司推出的QQ号码手机绑定功能可以一劳永逸地解决QQ号码的盗取问题
,美中不足的是这是一项收费服务,对那些想免费使用QQ软件的朋友是一项不小
的挑战。
二、利用系统广播,骗取手机费用
实际案例是某QQ用户的手机号码于10月31日收到来自977702XX774或1700002
XX774的下列信息:“恭喜你成功订阅了XXX业务每月将收取服务费30元,退订请
编辑DQ01#EXIT80发送至921X”。 短信内容中的“DQ01#EXIT80发送至921X”实
际是某个网站的订制某游戏业务中获取秘籍的指令,目的是让用户收到此信息后
,以为自己曾订制过某项业务,为了不再被收取费用,急急忙忙按照短信内容发
送“退订”;此时用户正中陷阱,原以为是退订业务,反而变成定制业务,导致
自己的手机费用受到损失。