最近，QQ上又双叒叕出现了很多的来路不明的二维码，身边呢也是很多人被盗号了，究竟是何种黑客技术让如此多的账号中招呢？今天我们就来揭露下QQ上二维码盗号的原理。

首先我们来看下这些个二维码都是什么样子的

还有这样的

还有一种就很厉害了，是官方的活动，但是二维码被替换掉了

可以看到，这些二维码无一例外，都是充满诱惑力，都说扫了二维码以后有免费的馅饼吃，在巨大的诱惑力面前很多人抱着试一试的态度还真就扫了，然后悲剧就发生了。

通常来讲，你扫过二维码后会进入一个网站，出来一个看起来很正常的QQ网页登陆界面，说你身份已过期什么的，让你重新登录，此时你有两个选择，有一定防范心理的人可能会直接关闭网页了，但是等到你退出去后，你会发现.....你的所有QQ好友，QQ群都被你发了一条消息，内容就是这张二维码....

另外一种人很熟练的输入了自己的QQ账号密码，然后....就没有然后了...你的账号密码就被回传到服务器，下一秒你的账号可能就会被改密了...

那么讲了这么多，他们是怎么做到的，这背后的原理是什么呢？你扫描过二维码后发生了什么呢？别着急，咱们继续往下看。

我们用二维码在线扫描工具，得到了扫描这个二维码（以第一个为例子分析）后会跳转到的网站：

可以得到它指向了一个网站：https://jq.qq.com/?_wv=1027&k=5vYFQ14 

然而..直接ping它你会发现找不到这个服务器。

不过别担心，总有办法，我们用nslookup查询得知服务器的IP地址为：14.215.158.24

那么转了一圈，我们终于发现....这个二维码并没有任何问题.....（至少这个例子没有...）

这个二维码指向的IP就是腾讯自己的一个IP...

那么，问题到底出在哪里呢？

0x02：网络恶意营销搞的鬼！

来介绍一种大多数人可能从来没有听到过的东西：QQ裂变

这是一种基于XML（可扩展标记语言）的营销\引流方式

整个流程就是通过附加在分享链接后面的一段代码来实现后台自动分享的功能，由于涉及技术敏感，防止被利用去做些不好的事情（其实我也不会23333），这里我就不贴完整的实现过程了，以下是一个简单的原理图：

执行内容就是群发消息的代码了

这里再引用一段关于微信裂变的说明：

他们的工作方式：

原理并不复杂

持码者手中的二维码，对应其服务器地址，在远程开了多个实时刷新的微信登录界面；你一旦扫了，服务器将返回你微信登录的 token，你一点击信任 / 登录，对方就成了。简单说，就是他们登了你的微信。目前来看这些裂变软件仅仅是群发事先编辑好的广告，未来他们会演变成怎样——例如获取你最新的聊天记录、发送诈骗信息——就不得而知了。比起费尽心思的盗号，这种方式不需要持码人具备任何计算机知识，线下进攻、爆炸式传播，危害更大。

看到这里，大家肯定已经知道他们是如何做到群发消息的了，正常的二维码+XML实现你毫不知情下的转发，那么，盗号又是如何实现的呢？

由于第一个案例不具有盗号功能...我们换一个分析

这个就是我上面提到的官方确实有这么一个活动的情况下替换掉原先的二维码来引诱扫描的（你可真是个小机灵鬼..）

具体的域名解析，代码解析就不放了，大家肯定也看烦了，直接说实现原理：

也很简单，传播功能的实现还是用之前讲到过的QQ分裂技术实现的，只不过这次绑定的原网址不再是正常的广告了，而是黑客编写的仿真QQ登陆页面！

看起来完全没毛病，再加上是从QQ中扫描二维码进去的，更具有迷惑性。

但是在这里你输入了正确的密码也是登录不上的，你输入的内容会直接回传到盗号者的邮箱中，过程简化如下：

虽然这样的网站在被举报后会直接被腾讯安全拦截，但是放不成防，挂了一个又出来一个，着实吓人。

后记：

盗号的人确实很可恶了，但是我们也不是没有办法对吧，本来那些奇怪的二维码就不应该轻易的扫吧.....我们是不是也要反思下呢？下面教几个辨别假（误）二维码的方法：

看起来能轻易获得很好的东西的二维码不要扫

如果非要扫，用这个：http://jiema.wwei.cn/（一个在线扫码工具）看扫描结果的网址是不是腾讯的官方域名（*qq.com）不是的话肯定是盗号的，是的话也要小心分裂营销

最后，还是希望大家能安安全全的再这个Internet中过好每一天哦~

留下你的赞，评论还有硬币！！(溜了溜了...

禁止转载·谢谢