加入任意一个盗号的交流群,你就能看到他们之间发送的交易信息:
群中的聊天截图
普通人看到这些文字描述,并不容易明白他们是什么意思,这些莫名的名词称号,通常是盗号者之间为了方便,彼此之间约定俗成的一些黑话,上图只是一部分,我们整理了一些黑话,释义如下:
冷:Steam账号最后一次登录的时间,通常上次登录时间距离越久,号被找回的几率越小。
QQKey:全称是ClientKey,拥有Key,即可拥有几乎等同于QQ密码的效果,在一些可使用QQ快捷登录的场景,如QQ邮箱、QQ空间等,无需密码即可直接登录,无视一切QQ的安全措施(设备锁、信任设备)。
鱼站:钓鱼网站,通常被用于盗号者群发,然后获得登录者的QQ或者Steam账号密码。
密正:密码正确的QQ号。
洗号:用上面的密正,去查找对应的Steam账号,看账号内是否有吃鸡或者其他游戏,若有,则这个号将会被筛选出来,成为有价值的号,因为不是每个密正都有对应的Steam号,所以这一步产出并不稳定。
数据包:高质量密正的集合,来源于网吧。因为网吧目标人群,玩游戏的较多,QQ号和游戏账号的重合度较高,所以出号率会比普通密正高,价格也更贵。
担保:为了密正和数据包的交易顺利完成,需要一个有信誉的第三方做证人,担保资金的安全(类似支付宝),通常为盗号群的群主或者管理员,手续费5~10元不等。
XYZ:用来收集ClientKey的域名或者作鱼站的域名。
Tracker:游戏辅助。
红信:不能交易的号。
黑刺:游戏里的一件装备名称。
卡盟:售卖盗号软件登录卡密的销售方。
2、分工明确的流水线
在这条盗号的产业链中,参与者们,如同流水线一般,各自配合紧密,一步一步的往下进行着,整个流程画成图的话,是这个样子的:
盗号交易流程示意图
其中主要以下几个环节:
A.KEY的获取环节
只要使用过网页上的第三方QQ登录的人都知道,当你电脑上已登录QQ且网站支持QQ登录时,可以在不输入密码的情况下,点击头像完成登录,这极大的提升了网站登录的便捷性,但是相较于传统的密码输入,这种方式真的会更安全么?
如果本地环境可信任的情况下,这种情况是安全的,但是如果本地环境不可信,就会有比较大的安全隐患。盗号软件的制造者,通过制作一些木马生成器,可以快速的批量生成盗号木马,通过论坛发帖、群邮件发送等方式,伪装成加速器、破解软件等传播扩散开:
垃圾邮件传播
传播的盗号程序分为两种,一种是纯粹的盗号木马,没有任何加速功能:
没有任何加速功能的盗号木马
另一种则是修改了原来的加速器客户端,利用白加黑方式,启动黑DLL进行盗号的木马:
被修改的加速器客户端
早期腾讯的快速登录是使用Activex的方式实现的,为了兼容不同的浏览器,各个浏览器需要安装不同的控件才能实现快速登录,用户体验较差,而现在新版的快速登录,已不再依靠控件,而是通过QQ客户端本身在本地建立一个localhost服务器,类似IIS,把需要快速登陆的域名,解析到127.0.0.1,再通过对Cookie的操作,传递ClientKey,从而实现快速登录:
快捷登录抓包
虽然在实际使用时,这中间的跳转、参数验证很多,但是经过实验和对盗号软件的分析,我们发现本地要想实现对ClientKey的盗取,其实非常简单,只需要进过几步操作,就可以正确获得ClientKey了,没有任何阻碍(由于涉及到敏感操作,暂不透露具体实现步骤,已经提交TSRC处理)。
获取到的Key有一定的时效性,为了避免号主改密和Key失效,以及后续盗号步骤的顺利进行,盗号软件还会进行如下操作:
① 将获得到的Key发回到自己服务器进行集中存储:
盗号程序发回Key到服务器
② 打开QQ邮箱的邮件自动转发功能,开启POP3/IMAP/SMTP/Exchange/CardDAV/CalDAV服务,方便后续收取Steam密码重置邮件。
售卖这类盗号软件的渠道众多,除了上述靠论坛、邮件传播外,甚至在电商之中,也混杂着此类打着破解旗号的盗号软件销售:
某宝售卖的加速器
使用网购破解加速器被盗号
