街边的二维码不要随便扫,可能会自动群发广告 - 防骗网 - 爱扫码·i3m.cn:3hhh.cn/4345 -扫一扫.cn·二维码.cn 333e.cn/4345 搜一搜.cn/4345


二维码
管理员
管理员
  • 社区居民
  • 最爱沙发
  • 原创写手
  • 忠实会员
阅读:759回复:0

无障碍·translate·翻訳·二维码.cn/i3h.cn/4345
·搜一搜.cn/街边的二维码不要随便扫,可能会自动群发广告

楼主#
更多 发布于:2017-09-27 14:54
街边的二维码不要随便扫,可能会自动群发广告


只是因为在人群中多扫了你一眼,从此被你骗进微商店。


遇到地铁上的兼职扫码族,在他们人畜无害脸与小礼物的攻势下,不少人都会同意扫一扫。大不了事后取关嘛,也许你也是这么想,何况,眼下能摆脱一个烦人的角色,还有礼品可捞,何乐不为?


但是最近一款「微信裂变」软件的出现,只要扫码关注就会自动给好友群发垃圾信息,让本来就不讨人喜的「求扫码」变得臭名昭著。小子就近日遇到的一起事件,做了一些分析,提供应对方法。


事件


近日,我收到一条好友发来的广告,就随手回了她一下:你被盗号了。不料她马上向我喊冤,声称只是扫了一个二维码,就给所有好友发了广告:


「效果拔群」



这种情况叫「裂变」,其实就是对方运用外链,在远程登录了你的微信,借此转发广告。
我在某宝上搜了一下,发现不少出售这类软件的。只有几家坚持他们是「自主研发」,大多直接告诉我是「破解版」。销售数据挺好看,买家不在少数:


禁游戏,这个却不禁?



如果你在某度里一搜,大量提供裂变犯罪工具、方法(作为法科生我很确定)的网站堂而皇之占据前几条结果:


反正是没人管了



小本买卖,轰炸效果却比澳门赌场更甚。可见,微信裂变营销已经形成一条黑产业链。


解析


通过佯装购买,我从某宝贩子那儿了解到一些技术细节,结合解析得的一枚「裂变二维码」地址,大致推断出他们的工作方式:


原理并不复杂



持码者手中的二维码,对应其服务器地址,在远程开了多个实时刷新的微信登录界面;你一旦扫了,服务器将返回你微信登录的 token,你一点击信任/登录,对方就成了。简单说,就是他们登了你的微信。目前来看这些裂变软件仅仅是群发事先编辑好的广告,未来他们会演变成怎样——例如获取你最新的聊天记录、发送诈骗信息——就不得而知了。


比起费尽心思的盗号,这种方式不需要持码人具备任何计算机知识,线下进攻、爆炸式传播,危害更大。


防范


裂变营销的危害比你想象的大。一般的好友看到你发过去的垃圾信息,大概只是皱皱眉头。但是有些「小电影」的广告,你一定不想被上司看见吧?何况,裂变服务器在远程登录了你的帐号,谁知道他会看见哪些信息!裂变营销,对个人形象和隐私产生严重危害,是彻头彻尾的犯罪行径,而刑法对工具提供者的惩罚尤其严重:

《刑法》提供侵入、非法控制计算机信息系统程序、工具罪:为提供专门用于侵入、非法控制计算机信息系统的程序、工具……情节严重的……处3年以下有期徒刑或者拘役……



其实,只需稍加警惕,这些恶意广告就很难钻空子。它们有一些特征:


  • 扫后请求获取头像等资料权限

  • 扫后请求网页版微信登录

  • 扫后已登录的网页版/电脑版微信突然掉线

  • 持码者不断催促你点击、拿礼品转移你注意力



多数的裂变二维码,需要你扫后再点击几次,看到这种授权请求直接调头走人就是。无论持码者拿多么诱人的东西在你鼻子前晃,眼睛也不要离开屏幕,看到任何可疑提示都应立刻中断操作。


如果你有解析二维码的软件(如 iPhone 上的 workflow),可以先看看其对应地址是否可疑,我解析出来的裂变码 URL,压根不是微信内部链接格式的:


不走心啊,看小子不搞个黑名单库



结语


你并没有义务帮助这种「大学生创业」,更没有理由去承担人际危机和信息泄漏的风险。安全工作,始于安全意识。


也希望兼职的大学生,不要捧着完全不知底细的二维码就上街,一次进宫就能给你一生抹黑。



少数派 1个月前 (08-14)

街边的二维码不要随便扫,可能会自动群发广告

二维码
  • 喜欢0 评分0
    游客
    

    返回顶部